감사할 수 있는 SMB 이벤트 개요
변경 제안
PDF
ONTAP는 특정 파일 및 폴더 액세스 이벤트, 특정 로그온 및 로그오프 이벤트, 중앙 액세스 정책 스테이징 이벤트를 비롯한 특정 SMB 이벤트를 감사할 수 있습니다. 감사할 수 있는 액세스 이벤트를 알면 이벤트 로그의 결과를 해석할 때 도움이 됩니다.
ONTAP 9.2 이상에서 다음과 같은 추가 SMB 이벤트를 감사할 수 있습니다.
이벤트 ID(EVT/evtx) |
이벤트 |
설명 |
범주 |
4670)을 참조하십시오 |
개체 권한이 변경되었습니다 |
객체 액세스: 권한이 변경되었습니다. |
파일 액세스 |
4907 |
개체 감사 설정이 변경되었습니다 |
개체 액세스: 감사 설정이 변경되었습니다. |
파일 액세스 |
4913 |
객체 중앙 액세스 정책이 변경되었습니다 |
개체 액세스: 캡이 변경되었습니다. |
파일 액세스 |
다음 SMB 이벤트는 ONTAP 9.0 이상에서 감사할 수 있습니다.
이벤트 ID(EVT/evtx) |
이벤트 |
설명 |
범주 |
540/4624 |
계정이 성공적으로 로그온되었습니다 |
로그온/로그오프: 네트워크(SMB) 로그온. |
로그온 및 로그오프 |
529/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 알 수 없는 사용자 이름 또는 잘못된 암호입니다. |
로그온 및 로그오프 |
530/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 계정 로그온 시간 제한. |
로그온 및 로그오프 |
531/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 계정이 현재 비활성화되었습니다. |
로그온 및 로그오프 |
532/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 사용자 계정이 만료되었습니다. |
로그온 및 로그오프 |
533/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 사용자가 이 컴퓨터에 로그온할 수 없습니다. |
로그온 및 로그오프 |
534/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 여기에 로그온 유형이 부여되지 않았습니다. |
로그온 및 로그오프 |
535/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 사용자 암호가 만료되었습니다. |
로그온 및 로그오프 |
537/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 위의 이유 이외의 이유로 로그온하지 못했습니다. |
로그온 및 로그오프 |
539/4625 |
계정 로그온에 실패했습니다 |
로그온/로그오프: 계정이 잠겼습니다. |
로그온 및 로그오프 |
538/4634 |
계정이 로그오프되었습니다 |
로그온/로그오프: 로컬 또는 네트워크 사용자 로그오프. |
로그온 및 로그오프 |
560/4656)을 참조하십시오 |
객체 열기/객체 생성 |
오브젝트 액세스: 오브젝트(파일 또는 디렉토리)가 열려 있습니다. |
파일 액세스 |
563/4659 |
삭제 의도에 따라 개체를 엽니다 |
오브젝트 액세스: 오브젝트(파일 또는 디렉토리)에 대한 핸들이 삭제 의향과 함께 요청되었습니다. |
파일 액세스 |
564/4660 |
개체 삭제 |
오브젝트 액세스: 오브젝트 삭제(파일 또는 디렉토리). ONTAP는 Windows 클라이언트가 개체(파일 또는 디렉터리)를 삭제하려고 할 때 이 이벤트를 생성합니다. |
파일 액세스 |
567/4663 |
개체 읽기/개체 쓰기/개체 속성 가져오기/개체 특성 설정 |
오브젝트 액세스: 오브젝트 액세스 시도(읽기, 쓰기, get 속성, set 속성)
|
파일 액세스 |
해당 없음/4664 |
하드 링크 |
개체 액세스: 하드 링크를 만들려고 했습니다. |
파일 액세스 |
해당 없음/4818 |
제안된 중앙 액세스 정책은 현재 중앙 액세스 정책과 동일한 액세스 권한을 부여하지 않습니다 |
객체 액세스: 중앙 액세스 정책 스테이징. |
파일 액세스 |
NA/NA Data ONTAP 이벤트 ID 9999 |
개체 이름 바꾸기 |
오브젝트 액세스: 오브젝트 이름 바꾸기. ONTAP 이벤트입니다. 현재 Windows에서 단일 이벤트로 지원되지 않습니다. |
파일 액세스 |
NA/NA Data ONTAP 이벤트 ID 9998 |
개체 연결 끊기 |
개체 액세스: 개체 연결 해제됨. ONTAP 이벤트입니다. 현재 Windows에서 단일 이벤트로 지원되지 않습니다. |
파일 액세스 |
이벤트 4656에 대한 추가 정보
감사 XML 이벤트의 HandleID 태그에는 액세스한 개체(파일 또는 디렉터리)의 핸들이 들어 있습니다. evtx 4656 이벤트에 대한 "HandleID" 태그는 open 이벤트가 새 개체를 만들거나 기존 개체를 여는 데 사용되는지 여부에 따라 다른 정보를 포함합니다.
-
Open event가 Open request로 새로운 object(file or directory)를 생성하려는 경우 Audit XML event의 HandleID 태그는 빈 HandleID를 표시합니다(예: "<Data Name="HandleID">00000000000000;00;00000000; 00000000</Data>").
실제 개체 생성이 발생하기 전과 핸들이 있기 전에 열려 있는(새 개체 만들기) 요청을 감사하기 때문에 "HandleID"가 비어 있습니다. 같은 개체에 대한 후속 감사 이벤트에는 'HandleID' 태그에 올바른 객체 핸들이 있습니다.
-
open event가 기존 object를 열기 위한 open 요청인 경우 audit event는 'HandleID' 태그(예: "<Data Name="HandleID">0000000401;00;000000ea;00123ed4</Data>")에서 해당 object의 할당된 handle을 갖게 됩니다.