Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

監査できる SMB イベントの概要

共同作成者

ONTAP は、ファイルおよびフォルダのアクセスイベント、ログオンおよびログオフイベント、集約型アクセスポリシーのステージングイベントなどの SMB イベントを監査できます。どのようなアクセスイベントを監査できるか理解しておくと、イベントログの結果を解釈するときに役立ちます。

ONTAP 9.2 以降では、次の SMB イベントが監査対象として追加されました。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

4670

オブジェクト権限が変更されました

オブジェクトアクセス:権限が変更された。

ファイルアクセス

4907

オブジェクトの監査設定が変更されました

オブジェクトアクセス:監査設定が変更された。

ファイルアクセス

4913

オブジェクトの集約型アクセスポリシーが変更されました

オブジェクトへのアクセス: CAP が変更された。

ファイルアクセス

ONTAP 9.0 以降では、次の SMB イベントを監査できます。

イベント ID ( EVT / EVTX )

イベント

説明

カテゴリ

540/4624

アカウントがログオンに成功しました

ログオン/ログオフ:ネットワーク(SMB)ログオン。

ログオンおよびログオフ

529/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザ名が不明またはパスワードが無効です。

ログオンおよびログオフ

530/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントログオンの時間制限です。

ログオンおよびログオフ

531/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントは現在無効になっています。

ログオンおよびログオフ

532/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザアカウントの有効期限が切れています。

ログオンおよびログオフ

533/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはこのコンピュータにログオンできません。

ログオンおよびログオフ

534/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザはログオンを許可されていません。

ログオンおよびログオフ

535/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:ユーザのパスワードが期限切れです。

ログオンおよびログオフ

537/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:上記以外の理由でログオンが失敗しました。

ログオンおよびログオフ

539/4625

アカウントがログオンに失敗しました

ログオン / ログオフ:アカウントのロックアウト。

ログオンおよびログオフ

538/4634

アカウントがログオフされました

ログオン / ログオフ:ローカルまたはネットワークユーザのログオフ。

ログオンおよびログオフ

560/4656

オブジェクトを開く / オブジェクトを作成

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)が開きます。

ファイルアクセス

563/4659.

削除するためにオブジェクトを開く

オブジェクトへのアクセス:削除するためにオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求された。

ファイルアクセス

564 / 4660

オブジェクトを削除します

オブジェクトへのアクセス:オブジェクト(ファイルまたはディレクトリ)を削除します。ONTAP は、 Windows クライアントがオブジェクト(ファイルまたはディレクトリ)の削除を試みるとこのイベントを生成します。

ファイルアクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定

オブジェクトへのアクセス:オブジェクトへのアクセスの試み(読み取り、書き込み、属性の取得、属性の設定)。

  • 注: * このイベントでは、 ONTAP はオブジェクトに対する最初の SMB 読み取り操作と SMB 書き込み操作(の成功または失敗)を監査します。これにより、 1 つのクライアントが、あるオブジェクトを開き、そのオブジェクトに対して連続的に多数の読み取りまたは書き込みを行っても、 ONTAP が余計にログエントリを書き込むことがなくなります。

ファイルアクセス

NA / 4664

ハードリンク

オブジェクトへのアクセス:ハードリンクの作成が試行されました。

ファイルアクセス

NA / 4818

提案された集約型アクセスポリシーでは、現在の集約型アクセスポリシーと同じアクセス権限が付与されません

オブジェクトへのアクセス:集約型アクセスポリシーのステージング。

ファイルアクセス

NA / NA Data ONTAP イベント ID 9999

オブジェクト名を変更します

オブジェクトへのアクセス:オブジェクトの名前変更。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。

ファイルアクセス

NA/NA Data ONTAPイベントID 9998

オブジェクトのリンク解除

オブジェクトへのアクセス:オブジェクトのリンクが解除される。これは ONTAP イベントです。Windows では現在、単一イベントとしてサポートされていません。

ファイルアクセス

イベント 4656 に関する追加情報

HandleID 監査でタグを付けます XML イベントには、アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが含まれます。。 HandleID EVTX 4656イベントのタグには、オープンイベントが新しいオブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって、異なる情報が含まれます。

  • openイベントが新しいオブジェクト(ファイルまたはディレクトリ)を作成するためのオープン要求である場合は、 HandleID 監査XMLイベントのタグに空が表示されます HandleID (例: <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> )。

    HandleID が空の理由は、(新しいオブジェクトを作成するための)OPEN要求が、実際のオブジェクトの作成が行われる前、およびハンドルが存在する前に監査されるためです。同じオブジェクトの後続の監査対象イベントは、で適切なオブジェクトハンドルを持ちます HandleID タグ。

  • オープンイベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントには、でそのオブジェクトの割り当てられたハンドルが割り当てられます HandleID タグ(例: <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> )。