取证—所有活动
建议更改
PDF
所有活动页面可帮助您了解对工作负载安全环境中的实体执行的操作。
检查所有活动数据
单击 * 取证 > 活动取证 * ,然后单击 * 所有活动 * 选项卡以访问所有活动页面。此页面概述了租户上的活动、其中突出显示了以下信息:
-
显示 Activity History (根据选定全局时间范围,每分钟 / 每 5 分钟 / 每 10 分钟访问一次)的图形
您可以通过在图形中拖动一个方框来缩放图形。此时将加载整个页面以显示缩放的时间范围。放大后,将显示一个按钮,用户可以通过该按钮进行缩小。
-
活动类型图表。要按活动类型获取活动历史记录数据,请单击相应的 x 轴标签链接。
-
实体类型 _ 上的活动图表。要按实体类型获取活动历史记录数据,请单击相应的 x 轴标签链接。
-
所有活动数据的列表
_* 所有活动 * _ 表显示了以下信息。请注意,默认情况下并不会显示所有这些列。您可以通过单击"齿轮"图标来选择要显示的列。
-
访问实体的 * 时间 * ,包括上次访问的年份,月份,日期和时间。
-
通过链接访问实体的*user*"用户信息"。
-
用户执行的 * 活动 * 。支持的类型包括:
-
* 更改组所有权 * - 文件或文件夹的组所有权已更改。有关组所有权的更多详细信息、请参见"此链接。"
-
* 更改所有者 * —文件或文件夹的所有权已更改为其他用户。
-
* 更改权限 * - 文件或文件夹权限已更改。
-
* 创建 * - 创建文件或文件夹。
-
* 删除 * - 删除文件或文件夹。如果删除某个文件夹,则会为该文件夹和子文件夹中的所有文件获取 delete 事件。
-
* 读取 * - 文件已读取。
-
* 读取元数据 * - 仅在启用文件夹监控选项时才显示。将在 Windows 上打开文件夹或在 Linux 中的文件夹内运行 "ls" 时生成。
-
* 重命名 * - 重命名文件或文件夹。
-
* 写入 * - 将数据写入文件。
-
* 写入元数据 * - 写入文件元数据,例如,权限已更改。
-
* 其他更改 * —上述未提及的任何其他事件。所有未映射的事件都会映射到 " 其他更改 " 活动类型。适用于文件和文件夹。
-
-
实体的*路径*,带有到的链接"实体详细信息数据"
-
实体类型 * ,包括实体(即文件)扩展名( .doc , .docx , .tmp 等)
-
实体所在的 * 设备 *
-
用于提取事件的 * 协议 * 。
-
重命名原始文件时用于重命名事件的 * 原始路径 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。
-
实体所在的 * 卷 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。
筛选取证活动历史记录数据
您可以使用两种方法筛选数据。
-
将鼠标悬停在表中的字段上,然后单击显示的筛选器图标。该值将添加到 Top _Filter by" 列表中的相应筛选器中。
-
通过在 _Filter by" 字段中键入来筛选数据:
通过单击 * ‘+]* 按钮从顶部的 Filter by ' 小工具中选择相应的筛选器:
输入搜索文本
按 Enter 或单击筛选器框外侧以应用筛选器。
您可以按以下字段筛选取证活动数据:
-
* 活动 * 类型。
-
访问实体的 * 源 IP* 。您必须使用双引号提供有效的源 IP 地址,例如 "10.1.1.1." 。诸如 "10.1.* " , "10.1.* 。 * " 等不完整的 IP 将不起作用。
-
提取协议专用活动的 * 协议 * 。
-
执行活动的用户的 * 用户名 * 。您需要提供确切的用户名以进行筛选。使用部分用户名或部分用户名预先设置或后缀为‘ * ' 的搜索将不起作用。
-
* 降噪 * 用于筛选用户在过去 2 小时内创建的文件。它还用于筛选用户访问的临时文件(例如 .tmp 文件)。
-
执行活动的用户的*域*。您需要提供*精确域*才能进行筛选。不能搜索部分域、或者以通配符('*')前缀或后缀的部分域。可以指定_None_以搜索缺少的域。
以下字段受特殊筛选规则的约束:
-
实体类型,使用实体(文件)扩展名-最好在引号内指定确切的实体类型。例如_"TXT"_。
-
实体的路径-目录路径筛选器(以/结尾的路径字符串)建议目录深度最多为4个,以便更快地获得结果。例如、/HOME/userX/nosted1/nosted2/_或"/HOME/userX/nosted1/nosted2/"_。有关详细信息、请参见下表。
-
*用户*执行活动-最好在引号中指定确切的用户。例如、"Administrator (管理员)"_。
-
实体所在的 * 设备 * ( SVM )
-
实体所在的 * 卷 *
-
重命名原始文件时用于重命名事件的 * 原始路径 * 。
筛选时,上述字段受以下限制:
-
确切值应在引号内:示例: "searchText"
-
通配符字符串不能包含任何引号:例如: searchText , \* searchText* 将筛选包含 ‘searchtext ' 的任何字符串。
-
带有前缀的字符串示例: searchText* 将搜索以 ‘searchtext ' 开头的任何字符串。
活动法证筛选器示例:
| 用户应用的筛选器表达式 | 预期结果 | 性能评估 | 注释 |
|---|---|---|---|
路径=/HOME/userX/nesed1/nesed2/或/HOME/userX/nesed1/nesed2/*或"/HOME/userX/nesed1/nesed2/" |
递归查找给定目录下的所有文件和文件夹 |
快速 |
目录搜索最多可达4个目录。 |
路径=/HOME/userX/nosted1/或/HOME/userX/nosted1/*或"/HOME/userX/nosted1/" |
递归查找给定目录下的所有文件和文件夹 |
快速 |
目录搜索最多可达4个目录。 |
路径=/HOME/userX/nESTed1/test*或/HOME/userX/nESTed1/test |
递归查找给定路径正则表达式下的所有文件和文件夹(test*可以表示文件或目录,也可以同时表示这两者) |
速度较慢 |
目录+文件正则表达式搜索比目录搜索慢。 |
路径=/HOME/userX/nosted1/nosted2/nosted3/或/HOME/userX/nosted1/nsteed2/nsted3/*或"/HOME/userX/nosted1/nosted2/nosted3/" |
递归查找给定目录下的所有文件和文件夹 |
速度较慢 |
超过4个目录搜索速度较慢。 |
path=*userX/nESTD1/test* |
在给定通配符路径字符串下递归查找所有文件和文件夹(test*可以表示文件或目录,也可以同时表示这两者) |
速度最慢 |
前导通配符搜索是速度最慢的搜索。 |
任何其他非基于路径的筛选器。建议将用户和实体类型筛选器放在引号中、例如User="Adminator"实体Type="txt |
快速 |
注意:
-
当所选时间范围跨越3天以上时、所有活动图标旁边显示的活动计数将四舍五入为30分钟。例如、_ 9月1日上午10:15到9月7日上午10:15 _的时间范围将显示9月1日上午10:00到9月7日上午10:30的活动计数。
-
同样、当选定时间范围超过3天时、"活动类型"、"实体类型上的活动"和"活动历史记录"图中显示的计数指标也会四舍五入为30分钟。
对取证活动历史记录数据进行排序
您可以按_time、User、Source IP、Activity_和_Enity Type_对活动历史记录数据进行排序。默认情况下,此表按降序 time 顺序排序,这意味着将首先显示最新数据。已对 Device 和 Protocol 字段禁用排序。
异步导出用户指南
概述
存储工作负载安全性中的异步导出功能旨在处理大型数据导出。
分步指南:使用异步导出导出数据
-
启动导出:选择导出所需的持续时间和筛选器、然后单击导出按钮。
-
等待导出完成:处理时间从几分钟到几小时不等。您可能需要刷新取证页面几次。导出作业完成后、将启用"下载上次导出CSV文件"按钮。
-
下载:单击"下载上次创建的导出文件"按钮以.zip格式获取导出的数据。此数据将可供下载、直到用户启动另一个异步导出或3天后(以先发生者为准)为止。此按钮将保持启用状态、直到启动另一个异步导出为止。
-
限制:
-
异步下载的数量目前限制为每个用户1次、每个租户3次。
-
导出的数据限制为最多100万条记录。
-
用于通过API提取取证数据的示例脚本位于NetApp代理上的_/opt/API/云 安全/agent/extr导 出脚本/_。有关该脚本的详细信息、请参见此位置的自述文件。
为所有活动选择列
默认情况下, all activity 表会显示 SELECT 列。要添加,删除或更改列,请单击表右侧的齿轮图标,然后从可用列列表中进行选择。
活动历史记录保留
对于活动工作负载安全环境、活动历史记录保留13个月。
取证页面中的筛选器适用性
| 筛选器 | 功能 | 示例 | 适用于这些筛选器 | 不适用于这些筛选器 | 结果 |
|---|---|---|---|---|---|
* (星号) |
用于搜索所有内容 |
Auto*03172022如果搜索文本包含连字符或下划线、请在方括号中提供表达式。例如、(SVM*)用于搜索SVM-123 |
用户、路径、实体类型、设备、卷、原始路径 |
返回以"Auto"开头、以"03172022 "结尾的所有资源 |
|
?(问号) |
用于搜索特定数量的字符 |
AutoSabotageUser1_03172022? |
用户、实体类型、设备、卷 |
返回AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022B、AutoSabotageUser1_031720225等 |
|
或 |
用于指定多个实体 |
AutoSabotageUser1_03172022或AutoRansomUser4_03162022 |
用户、域、路径、实体类型、原始路径 |
返回任意AutoSabotageUser1_03172022或AutoRansomUser4_03162022 |
|
不是 |
用于从搜索结果中排除文本 |
非AutoRansomUser4_03162022 |
用户、域、路径、实体类型、原始路径 |
设备 |
返回不以"AutoRansomUser4_03162022 "开头的所有内容 |
无 |
在所有字段中搜索空值 |
无 |
域 |
返回目标字段为空的结果 |
路径/原始路径搜索
使用和不使用/的搜索结果将有所不同
/AutoDir1/AutoFile |
工作正常 |
AutoDir1/AutoFile |
不起作用 |
/AutoDir1/AutoFile (Dir1) |
dir1部分子字符串不起作用 |
"/AutoDir1/AutoFile03242022" |
精确搜索有效 |
Auto* 03242022 |
不起作用 |
AutoSabotageUser1_03172022? |
不起作用 |
/AutoDir1/AutoFile03242022或/AutoDir1/AutoFile03242022 |
工作正常 |
非/AutoDir1/AutoFile03242022 |
工作正常 |
非/AutoDir1 |
工作正常 |
非/AutoFile03242022 |
不起作用 |
* |
显示所有条目 |
本地root SVM用户活动发生变化
如果本地root SVM用户正在执行任何活动、则挂载NFS共享的客户端的IP现在会考虑在用户名中、在取证活动和用户活动页面中、该用户名将显示为root@<ip-address-of-the-client>。
例如:
-
如果SVM-1受工作负载安全性监控、并且该SVM的root用户在IP地址为10.197.12.40的客户端上挂载共享、则取证活动页面中显示的用户名为_root@10.197.12.40_。
-
如果将同一个SVM-1挂载到IP地址为10.197.12.41的另一个客户端、则取证活动页面中显示的用户名为_root@10.197.12.41_。
*•这样做是为了按IP地址隔离NFS root用户活动。以前、所有活动都被视为仅由_root_用户完成、不区分IP。
故障排除
问题 |
请尝试此操作 |
在 "All actives" 表的 ‘User ' 列下,用户名显示为: "ldap : HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 或 "ldap : default : 80038003" |
可能的原因可能是: 1.尚未配置任何用户目录收集器。要添加一个,请转到*工作负载安全性>收集器>用户目录收集器*,然后单击*+用户目录收集器*。选择 Active Directory 或 LDAP Directory Server 。2.已配置用户目录收集器,但它已停止或处于错误状态。请进入*收集器>用户目录收集器*并检查状态。有关故障排除提示、请参阅"用户目录收集器故障排除"文档的一节。正确配置后,此名称将在 24 小时内自动解析。如果仍无法解决此问题,请检查您是否添加了正确的用户数据收集器。确保用户确实属于添加的 Active Directory/LDAP 目录服务器。 |
UI 中未显示某些 NFS 事件。 |
检查以下内容: 1.运行设置了 POSIX 属性的 AD 服务器的用户目录收集器时,应通过 UI 启用 unixid 属性。2.在UI 3的用户页面中搜索时、应显示正在进行NFS访问的任何用户。NFS 4 不支持原始事件(尚未发现用户的事件)。不会监控对 NFS 导出的匿名访问。5.确保在低于NFS4.1的版本中使用NFS版本。 |
在Forsics_All Activity_或_indices_页面的筛选器中键入包含通配符(如星号(*))的某些字母后、页面加载速度非常慢。 |
搜索字符串中的星号(*)将搜索所有内容。但是,诸如_*<searchTerm>_或_*<searchTerm>*之类的前导通配符字符串会导致查询速度较慢。要获得更好的性能,请改用前缀字符串,格式为<searchTerm>*(换言之,请附加星号(*)_after_搜索词)。示例:使用字符串_testvolume*,而不是_*testvolume_或_*test*volume_。使用目录搜索以递归方式查看给定文件夹下的所有活动(分层搜索)。例如、/path1/path2/path3/或"/path1/path2/path3/"将以递归方式在/path1/path2/path3下列出所有活动。或者、使用所有活动选项卡下的"Add to Filter"(添加到筛选器)选项。 |
使用路径筛选器时遇到"Request failed with status code 500/503"错误。 |
请尝试使用较小的日期范围来筛选记录。 |
使用_path_筛选器时、取证UI加载数据的速度较慢。 |
目录路径筛选器(路径字符串以/结尾)建议目录深度最多为4个、以获得更快的结果。例如、如果目录路径为/AAA/BBB/CCCC/DDD、请尝试搜索/AAA/BBB/CCCC/DDD/或"/AAA/BBB/CCC/DDD/"以更快地加载数据。 |