创建审核配置

在开始审核文件和目录事件之前,必须在存储虚拟机( SVM )上创建审核配置。 Storage Virtual Machine (SVM).

开始之前

如果计划为中央访问策略暂存创建审核配置,SVM

说明:
  • 虽然您可以在审核配置中启用中央访问策略暂存而不在 CIFS 服务器上启用动态访问控制,但只有启用动态访问控制时才会生成中央访问策略暂存事件。

    通过 CIFS 服务器选项启用动态访问控制。默认情况下不启用该功能。

  • 如果命令中字段的参数无效、例如字段无效、重复条目和不存在条目、则该命令在审核阶段之前失败。

    此类故障不会生成审计记录。

关于本任务

如果SVMSVM 灾难恢复源、则目标路径不能位于根卷上。

步骤

  1. 使用规划工作表中的信息、创建审核配置、根据日志大小或计划轮转审核日志:
    如果要轮转审计日志 ... 输入
    日志大小 vserver audit create -vserver vserver_name -destination path -events [{file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|security-group|authorization-policy-change}] [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]
    时间表 vserver audit create -vserver vserver_name -destination path -events [{file-ops|cifs-logon-logoff|cap-staging}] [-format {xml|evtx}] [-rotate-limit integer] [-rotate-schedule-month chron_month] [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth] [-rotate-schedule-hour chron_hour] -rotate-schedule-minute chron_minute
    注:如果要配置基于时间的审计日志轮转、则需要使用 -rotate-schedule-minute 参数。

示例

以下示例创建了一个审核配置、该配置使用基于大小的轮转来审核文件操作和 CIFS 登录和注销事件(默认值)。日志格式为EVTX(默认)。日志存储/audit_log在目录中。日志文件大小限制为 200 MB 。当日志大小达到 200 MB 时,系统会旋转日志:

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-size 200MB

以下示例创建了一个审核配置、该配置使用基于大小的轮转来审核文件操作和 CIFS 登录和注销事件(默认值)。日志格式为EVTX(默认)。日志文件大小限制为 100 MB (默认值)、日志轮转限制为 5

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-limit 5

以下示例创建了一个审核配置、该配置使用基于时间的轮转来审核文件操作、 CIFS 登录和注销事件以及中央访问策略暂存事件。日志格式为EVTX(默认)。审核日志每月轮转一次、时间为下午 12 点 30 分一周中的所有天。日志轮转限制为 5

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -events file-ops,cifs-logon-logoff,file-share,audit-policy-change,user-account,security-group,authorization-policy-change,cap-staging -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30 -rotate-limit 5