简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

取证—所有活动

提供者 netapp-alavoie 下载此页面的 PDF

所有活动页面可帮助您了解对 Cloud Secure 环境中的实体执行的操作。

检查所有活动数据

单击 * 取证 > 活动取证 * ,然后单击 * 所有活动 * 选项卡以访问所有活动页面。此页面概述了您环境中的活动,并重点介绍了以下信息:

  • 显示 Activity History (根据选定全局时间范围,每分钟 / 每 5 分钟 / 每 10 分钟访问一次)的图形

    您可以通过在图形中拖动一个方框来缩放图形。此时将加载整个页面以显示缩放的时间范围。放大后,将显示一个按钮,用户可以通过该按钮进行缩小。

  • 活动类型图表。要按活动类型获取活动历史记录数据,请单击相应的 x 轴标签链接。

  • 实体类型 _ 上的活动图表。要按实体类型获取活动历史记录数据,请单击相应的 x 轴标签链接。

  • 所有活动数据的列表

_* 所有活动 * _ 表显示了以下信息。请注意,默认情况下并不会显示所有这些列。您可以单击齿轮图标来选择要显示的列 齿轮图标

  • 访问实体的 * 时间 * ,包括上次访问的年份,月份,日期和时间。

  • 通过指向的链接访问实体的 * 用户 * "用户信息"

  • 用户执行的 * 活动 * 。支持的类型包括:

    • * 更改组所有权 * - 文件或文件夹的组所有权已更改。有关组所有权的详细信息,请参见 "此链接。"

    • * 更改所有者 * —文件或文件夹的所有权已更改为其他用户。

    • * 更改权限 * - 文件或文件夹权限已更改。

    • * 创建 * - 创建文件或文件夹。

    • * 删除 * - 删除文件或文件夹。如果删除某个文件夹,则会为该文件夹和子文件夹中的所有文件获取 delete 事件。

    • * 读取 * - 文件已读取。

    • * 读取元数据 * - 仅在启用文件夹监控选项时才显示。将在 Windows 上打开文件夹或在 Linux 中的文件夹内运行 "ls" 时生成。

    • * 重命名 * - 重命名文件或文件夹。

    • * 写入 * - 将数据写入文件。

    • * 写入元数据 * - 写入文件元数据,例如,权限已更改。

    • * 其他更改 * —上述未提及的任何其他事件。所有未映射的事件都会映射到 " 其他更改 " 活动类型。适用于文件和文件夹。

  • 指向实体的 * 路径 * ,并带有指向的链接 "实体详细信息数据"

  • 实体类型 * ,包括实体(即文件)扩展名( .doc , .docx , .tmp 等)

  • 实体所在的 * 设备 *

  • 用于提取事件的 * 协议 * 。

  • 重命名原始文件时用于重命名事件的 * 原始路径 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。

  • 实体所在的 * 卷 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。

筛选取证活动历史记录数据

您可以使用两种方法筛选数据。

  1. 将鼠标悬停在表中的字段上,然后单击显示的筛选器图标。该值将添加到 Top _Filter by" 列表中的相应筛选器中。

  2. 通过在 _Filter by" 字段中键入来筛选数据:

    通过单击 * ‘+]* 按钮从顶部的 Filter by ' 小工具中选择相应的筛选器:

    实体文件器,宽度 = 500

    输入搜索文本

    按 Enter 或单击筛选器框外侧以应用筛选器。

您可以按以下字段筛选取证活动数据:

  • * 活动 * 类型。

  • 访问实体的 * 源 IP* 。您必须使用双引号提供有效的源 IP 地址,例如 "10.1.1.1." 。诸如 "10.1.* " , "10.1.* 。 * " 等不完整的 IP 将不起作用。

  • 提取协议专用活动的 * 协议 * 。

  • * 降噪 * 用于筛选在正常运行过程中生成的临时文件上的活动。如果启用了降噪功能,则会筛选扩展名为 .tmp , .ldb , .lAccdb , .$db 等的临时文件。

  • 执行活动的用户的 * 用户名 * 。您需要提供确切的用户名以进行筛选。使用部分用户名或部分用户名预先设置或后缀为‘ * ' 的搜索将不起作用。

以下字段受特殊筛选规则的约束:

  • * 实体类型 * ,使用实体(文件)扩展名

  • 实体的 * 路径 *

  • * 用户 * 正在执行活动

  • 实体所在的 * 设备 * ( SVM )

  • 实体所在的 * 卷 *

  • 重命名原始文件时用于重命名事件的 * 原始路径 * 。

筛选时,上述字段受以下限制:

  • 确切值应在引号内:示例: "searchText"

  • 通配符字符串不能包含任何引号:例如: searchText , \* searchText* 将筛选包含 ‘searchtext ' 的任何字符串。

  • 带有前缀的字符串示例: searchText* 将搜索以 ‘searchtext ' 开头的任何字符串。

对取证活动历史记录数据进行排序

您可以按 time ,用户,源 IP ,活动,路径 _ 和 _Entity Type 对活动历史记录数据进行排序。默认情况下,此表按降序 time 顺序排序,这意味着将首先显示最新数据。已对 DeviceProtocol 字段禁用排序。

导出所有活动

您可以单击 "Activity History" 表上方的 Export 按钮将活动历史记录导出到 .CSV 文件。请注意,仅导出排名前 10 , 000 位的记录。

为所有活动选择列

默认情况下, all activity 表会显示 SELECT 列。要添加,删除或更改列,请单击表右侧的齿轮图标,然后从可用列列表中进行选择。

活动选择器,宽度 = 30%

活动历史记录保留

对于活动 Cloud Secure 环境,活动历史记录保留 13 个月。

故障排除

问题

请尝试此操作

在 "All actives" 表的 ‘User ' 列下,用户名显示为: "ldap : HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817” 或 "ldap : default : 80038003"

可能的原因可能是: 1.尚未配置任何用户目录收集器。要添加一个,请转到 * 管理 > 数据收集器 > 用户目录收集器 * ,然后单击 * + 用户目录收集器 * 。选择 Active DirectoryLDAP Directory Server 。2. 已配置用户目录收集器,但它已停止或处于错误状态。请转到 * 管理 > 数据收集器 > 用户目录收集器 * 并检查状态。请参见 "用户目录收集器故障排除" 文档中有关故障排除提示的章节。正确配置后,此名称将在 24 小时内自动解析。如果仍无法解决此问题,请检查您是否添加了正确的用户数据收集器。确保用户确实属于添加的 Active Directory/LDAP 目录服务器。