如何管理审计 - 策略 - 更改事件

为存储虚拟机( SVM )配置审计策略更改事件并Storage Virtual Machine (SVM),将生成审计事件。在使用vserver audit相关命令修改审计策略时会生成 audit-policy-change 事件。

无论何时禁用、启用或修改审核策略、都将生成事件 ID 为 4719 的 audit-policy-change 事件、并有助于确定用户何时尝试禁用审核以覆盖跟踪。默认情况下,它已配置,需要具有诊断权限才能禁用。

以下示例显示了在禁用审计时生成的 ID 为 4719 的审计策略更改事件:
netapp-clus1::*> vserver audit disable -vserver vserver_1
- System 
  - Provider 
   [ Name]  NetApp-Security-Auditing 
   [ Guid]  {3CB2A168-FE19-4A4E-BDAD-DCF422F13473} 
   EventID 4719 
   EventName Audit Disabled 
   ...
   ...  
  SubjectUserName admin 
  SubjectUserSid 65533-1001 
  SubjectDomainName ~ 
  SubjectIP console 
  SubjectPort