审核备用 NTFS 数据流时的注意事项

在使用 NTFS 备用数据流审核文件时,必须记住某些注意事项。

要审核的对象的位置记录在事件记录中、使用两个标记: ObjectName 标记(路径)和 HandleID 标记(句柄)。要正确识别正在记录的流请求、您必须了解 NTFS 备用数据流在这些字段中的 ONTAP 记录:

示例

以下示例说明了如何使用 HandleID 标记识别 EVTX ID : 4663 事件用于备用数据流。即使读取审核事件中记录的 ObjectName 标记(路径)是基本文件路径,可以使用 HandleID 标记将事件标识为备用数据流的审核记录。

流文件名采用表单base_file_name:stream_name。在此示例中,dir1目录包含一个基础文件、具有以下路径的备用数据流:

/dir1/file1.txt
/dir1/file1.txt:stream1
注:以下事件示例中的输出被截断(如所示);输出不会显示事件的所有可用输出标记。

对于 EVTX ID 4656 ( Open Audit 事件)、备用数据流的审计记录输出将在 ObjectName 标记中记录备用数据流名称:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" /> 
  <EventID>4656</EventID> 
  <EventName>Open Object</EventName> 
  [...]
  </System>
- <EventData>
  [...]
  <Data Name="ObjectType">Stream</Data> 
  <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>      
  <Data Name="ObjectName">(data1);/dir1/file1.txt:stream1</Data>               
  [...]
  </EventData>
  </Event>
- <Event>

对于 EVTX ID 4663 (读取审计事件)、同一备用数据流的审计记录输出将在 ObjectName 标记中记录基本文件名; 但是, HandleID 标记中的句柄是备用数据流的句柄,可用于将此事件与备用数据流关联:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" /> 
  <EventID>4663</EventID> 
  <EventName>Read Object</EventName> 
  [...]
  </System>
- <EventData>
  [...] 
  <Data Name="ObjectType">Stream</Data>
  <Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>    
  <Data Name="ObjectName">(data1);/dir1/file1.txt</Data> 
  [...]
  </EventData>
  </Event>
- <Event>