Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Visão geral de eventos SMB que podem ser auditados

Colaboradores

O ONTAP pode auditar determinados eventos SMB, incluindo determinados eventos de acesso a arquivos e pastas, determinados eventos de logon e logoff e eventos de preparação de políticas de acesso central. Saber quais eventos de acesso podem ser auditados é útil ao interpretar os resultados dos logs de eventos.

Os seguintes eventos SMB adicionais podem ser auditados no ONTAP 9.2 e posteriores:

ID DO EVENTO (EVT/EVTX)

Evento

Descrição

Categoria

4670

As permissões do objeto foram alteradas

ACESSO A OBJETO: Permissões alteradas.

Acesso a ficheiros

4907

As definições de auditoria de objetos foram alteradas

ACESSO A OBJETO: Definições de auditoria alteradas.

Acesso a ficheiros

4913

A Política de Acesso Central Objeto foi alterada

ACESSO A OBJETO: CAP ALTERADO.

Acesso a ficheiros

Os seguintes eventos SMB podem ser auditados no ONTAP 9.0 e posteriores:

ID DO EVENTO (EVT/EVTX)

Evento

Descrição

Categoria

540/4624

Uma conta foi iniciada com êxito

Logon/LOGOFF: Logon em rede (SMB).

Início de sessão e fim de sessão

529/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: Nome de usuário desconhecido ou senha ruim.

Início de sessão e fim de sessão

530/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: Restrição de tempo de logon da conta.

Início de sessão e fim de sessão

531/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: Conta atualmente desativada.

Início de sessão e fim de sessão

532/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: A conta de usuário expirou.

Início de sessão e fim de sessão

533/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: O usuário não pode fazer logon neste computador.

Início de sessão e fim de sessão

534/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: O usuário não recebeu o tipo de logon aqui.

Início de sessão e fim de sessão

535/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: A senha do usuário expirou.

Início de sessão e fim de sessão

537/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: O logon falhou por motivos diferentes dos acima.

Início de sessão e fim de sessão

539/4625

Não foi possível iniciar sessão numa conta

Logon/LOGOFF: Conta bloqueada.

Início de sessão e fim de sessão

538/4634

Uma conta foi encerrada

Logon/LOGOFF: LOGOFF de usuário local ou de rede.

Início de sessão e fim de sessão

560/4656

Abrir Objeto/criar Objeto

ACESSO A OBJETO: Objeto (arquivo ou diretório) aberto.

Acesso a ficheiros

563/4659

Abra Objeto com a intenção de Excluir

ACESSO A OBJETO: Um identificador para um objeto (arquivo ou diretório) foi solicitado com o intent to Delete.

Acesso a ficheiros

564/4660

Eliminar Objeto

ACESSO A OBJETO: Excluir Objeto (arquivo ou diretório). O ONTAP gera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório).

Acesso a ficheiros

567/4663

Ler Objeto/escrever Objeto/obter atributos Objeto/Definir atributos Objeto

ACESSO A OBJETO: Tentativa de acesso a objeto (ler, escrever, obter atributo, definir atributo).

Observação: para este evento, o ONTAP audita apenas a primeira operação de leitura e gravação SMB (sucesso ou falha) em um objeto. Isso impede que o ONTAP crie entradas de log excessivas quando um único cliente abre um objeto e executa muitas operações de leitura ou gravação sucessivas no mesmo objeto.

Acesso a ficheiros

NA/4664

Link físico

ACESSO A OBJETOS: Foi feita uma tentativa de criar um link físico.

Acesso a ficheiros

NA/4818

A política de acesso central proposta não concede as mesmas permissões de acesso que a política de acesso central atual

ACESSO A OBJETOS: Central Access Policy Staging.

Acesso a ficheiros

ID do evento Data ONTAP NA/na 9999

Mudar o nome do objeto

ACESSO A OBJETO: Objeto renomeado. Este é um evento da ONTAP. Atualmente, não é suportado pelo Windows como um único evento.

Acesso a ficheiros

ID do evento Data ONTAP NA/na 9998

Desvincular Objeto

ACESSO A OBJETO: Objeto não vinculado. Este é um evento da ONTAP. Atualmente, não é suportado pelo Windows como um único evento.

Acesso a ficheiros

Informações adicionais sobre o evento 4656

A HandleID tag no evento de auditoria XML contém o identificador do objeto (arquivo ou diretório) acessado. A HandleID tag para o evento EVTX 4656 contém informações diferentes, dependendo se o evento aberto é para criar um novo objeto ou para abrir um objeto existente:

  • Se o evento aberto for uma solicitação aberta para criar um novo objeto (arquivo ou diretório), a HandleID tag no evento XML de auditoria mostrará um vazio HandleID (por exemplo: <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> ).

    O HandleID está vazio porque a SOLICITAÇÃO ABERTA (para criar um novo objeto) é auditada antes da criação real do objeto acontecer e antes de existir um identificador. Eventos auditados subsequentes para o mesmo objeto têm o identificador de objeto certo na HandleID tag.

  • Se o evento aberto for uma solicitação aberta para abrir um objeto existente, o evento de auditoria terá o identificador atribuído desse objeto na HandleID tag (por exemplo: <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> ).