Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

감사할 수 있는 SMB 이벤트 개요

기여자
PDF

ONTAP는 특정 파일 및 폴더 액세스 이벤트, 특정 로그온 및 로그오프 이벤트, 중앙 액세스 정책 스테이징 이벤트를 비롯한 특정 SMB 이벤트를 감사할 수 있습니다. 감사할 수 있는 액세스 이벤트를 알면 이벤트 로그의 결과를 해석할 때 도움이 됩니다.

ONTAP 9.2 이상에서 다음과 같은 추가 SMB 이벤트를 감사할 수 있습니다.

이벤트 ID(EVT/evtx)

이벤트

설명

범주

4670)을 참조하십시오

개체 권한이 변경되었습니다

객체 액세스: 권한이 변경되었습니다.

파일 액세스

4907

개체 감사 설정이 변경되었습니다

개체 액세스: 감사 설정이 변경되었습니다.

파일 액세스

4913

객체 중앙 액세스 정책이 변경되었습니다

개체 액세스: 캡이 변경되었습니다.

파일 액세스

다음 SMB 이벤트는 ONTAP 9.0 이상에서 감사할 수 있습니다.

이벤트 ID(EVT/evtx)

이벤트

설명

범주

540/4624

계정이 성공적으로 로그온되었습니다

로그온/로그오프: 네트워크(SMB) 로그온.

로그온 및 로그오프

529/4625

계정 로그온에 실패했습니다

로그온/로그오프: 알 수 없는 사용자 이름 또는 잘못된 암호입니다.

로그온 및 로그오프

530/4625

계정 로그온에 실패했습니다

로그온/로그오프: 계정 로그온 시간 제한.

로그온 및 로그오프

531/4625

계정 로그온에 실패했습니다

로그온/로그오프: 계정이 현재 비활성화되었습니다.

로그온 및 로그오프

532/4625

계정 로그온에 실패했습니다

로그온/로그오프: 사용자 계정이 만료되었습니다.

로그온 및 로그오프

533/4625

계정 로그온에 실패했습니다

로그온/로그오프: 사용자가 이 컴퓨터에 로그온할 수 없습니다.

로그온 및 로그오프

534/4625

계정 로그온에 실패했습니다

로그온/로그오프: 여기에 로그온 유형이 부여되지 않았습니다.

로그온 및 로그오프

535/4625

계정 로그온에 실패했습니다

로그온/로그오프: 사용자 암호가 만료되었습니다.

로그온 및 로그오프

537/4625

계정 로그온에 실패했습니다

로그온/로그오프: 위의 이유 이외의 이유로 로그온하지 못했습니다.

로그온 및 로그오프

539/4625

계정 로그온에 실패했습니다

로그온/로그오프: 계정이 잠겼습니다.

로그온 및 로그오프

538/4634

계정이 로그오프되었습니다

로그온/로그오프: 로컬 또는 네트워크 사용자 로그오프.

로그온 및 로그오프

560/4656)을 참조하십시오

객체 열기/객체 생성

오브젝트 액세스: 오브젝트(파일 또는 디렉토리)가 열려 있습니다.

파일 액세스

563/4659

삭제 의도에 따라 개체를 엽니다

오브젝트 액세스: 오브젝트(파일 또는 디렉토리)에 대한 핸들이 삭제 의향과 함께 요청되었습니다.

파일 액세스

564/4660

개체 삭제

오브젝트 액세스: 오브젝트 삭제(파일 또는 디렉토리). ONTAP는 Windows 클라이언트가 개체(파일 또는 디렉터리)를 삭제하려고 할 때 이 이벤트를 생성합니다.

파일 액세스

567/4663

개체 읽기/개체 쓰기/개체 속성 가져오기/개체 특성 설정

오브젝트 액세스: 오브젝트 액세스 시도(읽기, 쓰기, get 속성, set 속성)

  • 참고: * 이 이벤트의 경우 ONTAP는 개체에 대한 첫 번째 SMB 읽기 및 첫 번째 SMB 쓰기 작업(성공 또는 실패)만 감사합니다. 이렇게 하면 단일 클라이언트가 개체를 열고 동일한 개체에 대해 여러 번의 연속 읽기 또는 쓰기 작업을 수행할 때 ONTAP에서 과도한 로그 항목을 만들지 못하게 됩니다.

파일 액세스

해당 없음/4664

하드 링크

개체 액세스: 하드 링크를 만들려고 했습니다.

파일 액세스

해당 없음/4818

제안된 중앙 액세스 정책은 현재 중앙 액세스 정책과 동일한 액세스 권한을 부여하지 않습니다

객체 액세스: 중앙 액세스 정책 스테이징.

파일 액세스

NA/NA Data ONTAP 이벤트 ID 9999

개체 이름 바꾸기

오브젝트 액세스: 오브젝트 이름 바꾸기. ONTAP 이벤트입니다. 현재 Windows에서 단일 이벤트로 지원되지 않습니다.

파일 액세스

NA/NA Data ONTAP 이벤트 ID 9998

개체 연결 끊기

개체 액세스: 개체 연결 해제됨. ONTAP 이벤트입니다. 현재 Windows에서 단일 이벤트로 지원되지 않습니다.

파일 액세스

이벤트 4656에 대한 추가 정보

감사 XML 이벤트의 HandleID 태그에는 액세스한 개체(파일 또는 디렉터리)의 핸들이 들어 있습니다. evtx 4656 이벤트에 대한 "HandleID" 태그는 open 이벤트가 새 개체를 만들거나 기존 개체를 여는 데 사용되는지 여부에 따라 다른 정보를 포함합니다.

  • Open event가 Open request로 새로운 object(file or directory)를 생성하려는 경우 Audit XML event의 HandleID 태그는 빈 HandleID를 표시합니다(예: "<Data Name="HandleID">00000000000000;00;00000000; 00000000</Data>").

    실제 개체 생성이 발생하기 전과 핸들이 있기 전에 열려 있는(새 개체 만들기) 요청을 감사하기 때문에 "HandleID"가 비어 있습니다. 같은 개체에 대한 후속 감사 이벤트에는 'HandleID' 태그에 올바른 객체 핸들이 있습니다.

  • open event가 기존 object를 열기 위한 open 요청인 경우 audit event는 'HandleID' 태그(예: "<Data Name="HandleID">0000000401;00;000000ea;00123ed4</Data>")에서 해당 object의 할당된 handle을 갖게 됩니다.