Visão geral de eventos SMB que podem ser auditados
O ONTAP pode auditar determinados eventos SMB, incluindo determinados eventos de acesso a arquivos e pastas, determinados eventos de logon e logoff e eventos de preparação de políticas de acesso central. Saber quais eventos de acesso podem ser auditados é útil ao interpretar os resultados dos logs de eventos.
Os seguintes eventos SMB adicionais podem ser auditados no ONTAP 9.2 e posteriores:
ID DO EVENTO (EVT/EVTX) |
Evento |
Descrição |
Categoria |
4670 |
As permissões do objeto foram alteradas |
ACESSO A OBJETO: Permissões alteradas. |
Acesso a ficheiros |
4907 |
As definições de auditoria de objetos foram alteradas |
ACESSO A OBJETO: Definições de auditoria alteradas. |
Acesso a ficheiros |
4913 |
A Política de Acesso Central Objeto foi alterada |
ACESSO A OBJETO: CAP ALTERADO. |
Acesso a ficheiros |
Os seguintes eventos SMB podem ser auditados no ONTAP 9.0 e posteriores:
ID DO EVENTO (EVT/EVTX) |
Evento |
Descrição |
Categoria |
540/4624 |
Uma conta foi iniciada com êxito |
Logon/LOGOFF: Logon em rede (SMB). |
Início de sessão e fim de sessão |
529/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: Nome de usuário desconhecido ou senha ruim. |
Início de sessão e fim de sessão |
530/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: Restrição de tempo de logon da conta. |
Início de sessão e fim de sessão |
531/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: Conta atualmente desativada. |
Início de sessão e fim de sessão |
532/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: A conta de usuário expirou. |
Início de sessão e fim de sessão |
533/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: O usuário não pode fazer logon neste computador. |
Início de sessão e fim de sessão |
534/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: O usuário não recebeu o tipo de logon aqui. |
Início de sessão e fim de sessão |
535/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: A senha do usuário expirou. |
Início de sessão e fim de sessão |
537/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: O logon falhou por motivos diferentes dos acima. |
Início de sessão e fim de sessão |
539/4625 |
Não foi possível iniciar sessão numa conta |
Logon/LOGOFF: Conta bloqueada. |
Início de sessão e fim de sessão |
538/4634 |
Uma conta foi encerrada |
Logon/LOGOFF: LOGOFF de usuário local ou de rede. |
Início de sessão e fim de sessão |
560/4656 |
Abrir Objeto/criar Objeto |
ACESSO A OBJETO: Objeto (arquivo ou diretório) aberto. |
Acesso a ficheiros |
563/4659 |
Abra Objeto com a intenção de Excluir |
ACESSO A OBJETO: Um identificador para um objeto (arquivo ou diretório) foi solicitado com o intent to Delete. |
Acesso a ficheiros |
564/4660 |
Eliminar Objeto |
ACESSO A OBJETO: Excluir Objeto (arquivo ou diretório). O ONTAP gera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório). |
Acesso a ficheiros |
567/4663 |
Ler Objeto/escrever Objeto/obter atributos Objeto/Definir atributos Objeto |
ACESSO A OBJETO: Tentativa de acesso a objeto (ler, escrever, obter atributo, definir atributo). Observação: para este evento, o ONTAP audita apenas a primeira operação de leitura e gravação SMB (sucesso ou falha) em um objeto. Isso impede que o ONTAP crie entradas de log excessivas quando um único cliente abre um objeto e executa muitas operações de leitura ou gravação sucessivas no mesmo objeto. |
Acesso a ficheiros |
NA/4664 |
Link físico |
ACESSO A OBJETOS: Foi feita uma tentativa de criar um link físico. |
Acesso a ficheiros |
NA/4818 |
A política de acesso central proposta não concede as mesmas permissões de acesso que a política de acesso central atual |
ACESSO A OBJETOS: Central Access Policy Staging. |
Acesso a ficheiros |
ID do evento Data ONTAP NA/na 9999 |
Mudar o nome do objeto |
ACESSO A OBJETO: Objeto renomeado. Este é um evento da ONTAP. Atualmente, não é suportado pelo Windows como um único evento. |
Acesso a ficheiros |
ID do evento Data ONTAP NA/na 9998 |
Desvincular Objeto |
ACESSO A OBJETO: Objeto não vinculado. Este é um evento da ONTAP. Atualmente, não é suportado pelo Windows como um único evento. |
Acesso a ficheiros |
Informações adicionais sobre o evento 4656
A HandleID
tag no evento de auditoria XML
contém o identificador do objeto (arquivo ou diretório) acessado. A HandleID
tag para o evento EVTX 4656 contém informações diferentes, dependendo se o evento aberto é para criar um novo objeto ou para abrir um objeto existente:
-
Se o evento aberto for uma solicitação aberta para criar um novo objeto (arquivo ou diretório), a
HandleID
tag no evento XML de auditoria mostrará um vazioHandleID
(por exemplo:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>
).O
HandleID
está vazio porque a SOLICITAÇÃO ABERTA (para criar um novo objeto) é auditada antes da criação real do objeto acontecer e antes de existir um identificador. Eventos auditados subsequentes para o mesmo objeto têm o identificador de objeto certo naHandleID
tag. -
Se o evento aberto for uma solicitação aberta para abrir um objeto existente, o evento de auditoria terá o identificador atribuído desse objeto na
HandleID
tag (por exemplo:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>
).