为存储虚拟机( SVM )配置审计策略更改事件并Storage Virtual Machine (SVM),将生成审计事件。在使用vserver audit相关命令修改审计策略时会生成 audit-policy-change 事件。
无论何时禁用、启用或修改审核策略、都将生成事件 ID 为 4719 的 audit-policy-change 事件、并有助于确定用户何时尝试禁用审核以覆盖跟踪。默认情况下,它已配置,需要具有诊断权限才能禁用。
netapp-clus1::*> vserver audit disable -vserver vserver_1 - System - Provider [ Name] NetApp-Security-Auditing [ Guid] {3CB2A168-FE19-4A4E-BDAD-DCF422F13473} EventID 4719 EventName Audit Disabled ... ... SubjectUserName admin SubjectUserSid 65533-1001 SubjectDomainName ~ SubjectIP console SubjectPort