为存储虚拟机( SVM )配置审计策略更改事件并Storage Virtual Machine (SVM),将生成审计事件。在使用vserver audit相关命令修改审计策略时会生成 audit-policy-change 事件。
无论何时禁用、启用或修改审核策略、都将生成事件 ID 为 4719 的 audit-policy-change 事件、并有助于确定用户何时尝试禁用审核以覆盖跟踪。默认情况下,它已配置,需要具有诊断权限才能禁用。
netapp-clus1::*> vserver audit disable -vserver vserver_1
- System
- Provider
[ Name] NetApp-Security-Auditing
[ Guid] {3CB2A168-FE19-4A4E-BDAD-DCF422F13473}
EventID 4719
EventName Audit Disabled
...
...
SubjectUserName admin
SubjectUserSid 65533-1001
SubjectDomainName ~
SubjectIP console
SubjectPort