取证—所有活动
建议更改
PDF
所有活动页面可帮助您了解对工作负载安全环境中的实体执行的操作。
检查所有活动数据
单击 * 取证 > 活动取证 * ,然后单击 * 所有活动 * 选项卡以访问所有活动页面。此页面概述了租户上的活动、其中突出显示了以下信息:
-
显示_Activity History_(基于选定全局时间范围)的图形
您可以通过在图形中拖动一个方框来缩放图形。此时将加载整个页面以显示缩放的时间范围。放大后,将显示一个按钮,用户可以通过该按钮进行缩小。
-
_All Activity_数据的列表。
-
分组下拉菜单将提供按用户、文件夹、实体类型等对活动进行分组的选项。
-
表上方将提供一个通用路径按钮、单击此按钮后、我们可以看到包含实体路径详细信息的滑出面板。
“所有活动”表显示以下信息。请注意,默认情况下并不会显示所有这些列。您可以通过单击"齿轮"图标来选择要显示的列。
-
访问实体的 * 时间 * ,包括上次访问的年份,月份,日期和时间。
-
通过作为滑出面板的链接访问实体的*用户*"用户信息"。
-
用户执行的 * 活动 * 。支持的类型包括:
-
* 更改组所有权 * - 文件或文件夹的组所有权已更改。有关组所有权的更多详细信息、请参见"此链接。"
-
* 更改所有者 * —文件或文件夹的所有权已更改为其他用户。
-
* 更改权限 * - 文件或文件夹权限已更改。
-
* 创建 * - 创建文件或文件夹。
-
* 删除 * - 删除文件或文件夹。如果删除某个文件夹,则会为该文件夹和子文件夹中的所有文件获取 delete 事件。
-
* 读取 * - 文件已读取。
-
* 读取元数据 * - 仅在启用文件夹监控选项时才显示。将在Windows上打开文件夹或在Linux中的文件夹内运行"ls"时生成。
-
* 重命名 * - 重命名文件或文件夹。
-
* 写入 * - 将数据写入文件。
-
* 写入元数据 * - 写入文件元数据,例如,权限已更改。
-
* 其他更改 * —上述未提及的任何其他事件。所有未映射的事件都会映射到"其他变更"活动类型。适用于文件和文件夹。
-
-
Path*为_实体_路径。此路径应为精确的实体路径(例如、"/HOME/userX/nosted1/nosted2/abc.txt _)或递归搜索路径的目录部分(例如、"/HOME/userX/nosted1/nosted2/_")。注意:此处不允许使用正则表达式路径模式(例如*n嵌 套*)。或者、也可以为路径筛选指定如下所述的单个路径文件夹级筛选器。
-
一级文件夹(根)*是实体路径的根目录(小写)。
-
二级文件夹*是实体路径的二级目录(小写)。
-
第三级文件夹*是实体路径的第三级目录(小写)。
-
第4层文件夹*是实体路径的第4层目录(小写)。
-
实体类型*,包括实体(即文件)扩展名(.doc、.doc、.tmp等)。
-
实体所在的*Device*。
-
用于提取事件的 * 协议 * 。
-
重命名原始文件时用于重命名事件的 * 原始路径 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。
-
实体所在的 * 卷 * 。默认情况下,此列在表中不可见。使用列选择器将此列添加到表中。
-
实体名称*是实体路径的最后一部分;对于文件形式的实体类型,则是文件名。
选择表格行将打开一个滑出面板、其中一个选项卡显示用户配置文件、另一个选项卡显示活动和实体概述。
默认的_Group by 方法为_Activity Forensic。如果选择其他_Group by方法(例如,实体类型),则将显示实体_Group by表。如果未进行任何选择,则会显示_Group by _*All*。
-
活动计数显示为超链接;选择此选项将添加选定的分组作为筛选器。活动表将根据该筛选器进行更新。
-
请注意、如果更改筛选器、更改时间范围或刷新屏幕、则在不重新设置筛选器的情况下、将无法返回到筛选后的结果。
-
请注意、如果选择实体名称作为筛选器、则"分组依据"下拉列表将被禁用;此外、如果用户已在"分组依据"屏幕上、则"实体名称作为筛选器"将被禁用。
筛选取证活动历史记录数据
您可以使用两种方法筛选数据。
-
可以从滑出面板添加过滤器。该值将添加到 Top _Filter by" 列表中的相应筛选器中。
-
通过在 _Filter by" 字段中键入来筛选数据:
单击*[+]*按钮,从“筛选依据”小工具顶部选择适当的筛选器:
输入搜索文本
按 Enter 或单击筛选器框外侧以应用筛选器。
您可以按以下字段筛选取证活动数据:
-
* 活动 * 类型。
-
提取协议专用活动的 * 协议 * 。
-
执行活动的用户的 * 用户名 * 。您需要提供确切的用户名以进行筛选。不能使用部分用户名或部分用户名前缀或后缀为"*"进行搜索。
-
* 降噪 * 用于筛选用户在过去 2 小时内创建的文件。它还用于筛选用户访问的临时文件(例如 .tmp 文件)。
-
执行活动的用户的*域*。您需要提供*精确域*才能进行筛选。不能搜索部分域、或者以通配符('*')前缀或后缀的部分域。可以指定_None_以搜索缺少的域。
以下字段受特殊筛选规则的约束:
-
实体类型,使用实体(文件)扩展名-最好在引号内指定确切的实体类型。例如、"TXT"。
-
实体的*路径*-这应该是精确的实体路径(例如、"/HOME/userX/nesed1/nesed2/abc.txt _)或递归搜索路径的目录部分(例如、"/HOME/userX/nesed1/nesed2/")。注意:此处不允许使用正则表达式路径模式(例如*n嵌 套*)。目录路径筛选器(以/结尾的路径字符串)建议使用最深4个目录、以更快地获得结果。例如、"/HOME/userX/nosted1/nosted2/_"。有关详细信息、请参见下表。
-
一级文件夹(根)—作为过滤器的实体路径的根目录。例如、如果实体路径为/HOME/userX/nosted1/nosted2/、则可以使用home或"HOME"。
-
2nd Level Folder (二级文件夹)-实体路径过滤器的二级目录。例如、如果实体路径为/HOME/userX/nosted1/nosted2/、则可以使用userX或"userX"。
-
第三级文件夹—实体路径筛选器的第三级目录。
-
例如、如果实体路径为/HOME/userX/nosted1/nosted2/、则可以使用nosted1或"nosted1"。
-
4th Level Folder (第四级文件夹)-目录实体路径过滤器的第四级目录。例如、如果实体路径为/HOME/userX/nosted1/nosted2/、则可以使用nosted2或"nosted2"。
-
*用户*执行活动-最好在引号中指定确切的用户。例如、"Administrator (管理员)"_。
-
实体所在的 * 设备 * ( SVM )
-
实体所在的 * 卷 *
-
重命名原始文件时用于重命名事件的 * 原始路径 * 。
-
访问实体的 * 源 IP* 。
-
您可以使用通配符*和?。例如:10.0.0.、10.0?.0.10、10.10
-
如果需要完全匹配、则必须使用双引号提供有效的源IP地址、例如"10.1.1.1"。带有双引号的不完整IP (如"10.1.1"、"10.1.*"等)将不起作用。
-
-
实体名称*—作为过滤器的实体路径的文件名。例如、如果实体路径为/HOME/userX/nESTed1/testfile.txt、则实体名称为testfile.txt。请注意、建议在引号中指定确切的文件名;请尽量避免使用通配符搜索。例如、"testfile.txt "。此外、请注意、建议使用此实体名称筛选器来缩短时间范围(最长3天)。
筛选时,上述字段受以下限制:
-
确切值应在引号内:示例: "searchText"
-
通配符字符串不能包含引号:例如:searText、\*searText*将筛选包含'searchtext'的任何字符串。
-
带有前缀的字符串,例如:searText*,将搜索以'searchtext'开头的任何字符串。
请注意、所有筛选字段均为区分大小写的搜索。例如:如果应用的筛选器为"实体类型"、其值为"searchtext"、则将返回结果、其中实体类型为"searchtext"、"searchText"、"SeARCHTEXt"
活动法证筛选器示例:
| 用户应用的筛选器表达式 | 预期结果 | 性能评估 | 注释 |
|---|---|---|---|
路径="/HOME/userX/ned1/ned2/" |
递归查找给定目录下的所有文件和文件夹 |
快速 |
目录搜索最多可达4个目录。 |
路径="/HOME/userX/ned1/" |
递归查找给定目录下的所有文件和文件夹 |
快速 |
目录搜索最多可达4个目录。 |
路径="/HOME/userX/nESTed1/test" |
路径值与/HOME/userX/nESTed1/test匹配的完全匹配 |
速度较慢 |
与目录搜索相比、精确搜索的速度较慢。 |
路径="/HOME/userX/ned1/ned2/ned3/" |
递归查找给定目录下的所有文件和文件夹 |
速度较慢 |
超过4个目录搜索速度较慢。 |
任何其他非基于路径的筛选器。建议将用户和实体类型筛选器放在引号中、例如User="Adminator"实体Type="txt |
快速 |
||
实体名称="test.log" |
完全匹配、其中文件名为test.log |
快速 |
因为它完全匹配 |
实体名称=*。test.log |
以test.log结尾的文件名 |
慢 |
由于通配符、速度可能会很慢。 |
实体名称= test*.log |
文件名以test开头、以.log结尾 |
慢 |
由于通配符、速度可能会很慢。 |
实体名称= test.lo |
以test.lo开头的文件名例如:它将与test.log、test.log.1、test.log1匹配 |
速度较慢 |
由于末尾是通配符、因此速度可能会很慢。 |
实体名称= test |
以test开头的文件名 |
速度最慢 |
由于末尾是通配符、并且使用的是更通用的值、因此速度可能会最慢。 |
注意:
-
当所选时间范围跨越3天以上时、所有活动图标旁边显示的活动计数将四舍五入为30分钟。例如、_ 9月1日上午10:15到9月7日上午10:15 _的时间范围将显示9月1日上午10:00到9月7日上午10:30的活动计数。
-
同样、当选定时间范围超过3天时、活动历史记录图中显示的计数指标也会四舍五入为30分钟。
对取证活动历史记录数据进行排序
您可以按_time、User、Source IP、Activity、、_实体 类型、一级文件夹(根)、二级文件夹、三级文件夹和四级文件夹对活动历史记录数据进行排序。默认情况下,此表按降序 time 顺序排序,这意味着将首先显示最新数据。已对 Device 和 Protocol 字段禁用排序。
异步导出用户指南
概述
存储工作负载安全性中的异步导出功能旨在处理大型数据导出。
分步指南:使用异步导出导出数据
-
启动导出:选择导出所需的持续时间和筛选器、然后单击导出按钮。
-
等待导出完成:处理时间从几分钟到几小时不等。您可能需要刷新取证页面几次。导出作业完成后、将启用"下载上次导出CSV文件"按钮。
-
下载:单击"下载上次创建的导出文件"按钮以.zip格式获取导出的数据。此数据将可供下载、直到用户启动另一个异步导出或3天后(以先发生者为准)为止。此按钮将保持启用状态、直到启动另一个异步导出为止。
-
限制:
-
对于每个活动和活动分析表、异步下载数量目前限制为每个用户1次、每个租户3次。
-
对于Activities Table、导出的数据限制为最多100万条记录;而对于Group by、限制为50万条记录。
-
用于通过API提取取证数据的示例脚本位于NetApp代理上的_/opt/API/云 安全/agent/extr导 出脚本/_。有关该脚本的详细信息、请参见此位置的自述文件。
为所有活动选择列
默认情况下, all activity 表会显示 SELECT 列。要添加,删除或更改列,请单击表右侧的齿轮图标,然后从可用列列表中进行选择。
活动历史记录保留
对于活动工作负载安全环境、活动历史记录保留13个月。
取证页面中的筛选器适用性
| 筛选器 | 功能 | 示例 | 适用于这些筛选器 | 不适用于这些筛选器 | 结果 |
|---|---|---|---|---|---|
* (星号) |
用于搜索所有内容 |
Auto*03172022如果搜索文本包含连字符或下划线、请在方括号中提供表达式。例如、(SVM*)用于搜索SVM-123 |
用户、实体类型、设备、卷、原始路径、1stLevel文件夹、2ndLevel文件夹、3rdLevel文件夹、4thLevel文件夹、实体名称、源IP |
返回以"Auto"开头并以"03172022"结尾的所有资源 |
|
?(问号) |
用于搜索特定数量的字符 |
AutoSabotageUser1_03172022? |
用户、实体类型、设备、卷、1stLevel文件夹、2ndLevel文件夹、3rdLevel文件夹、4thLevel文件夹、实体名称、源IP |
返回AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022B、AutoSabotageUser1_031720225等 |
|
或 |
用于指定多个实体 |
AutoSabotageUser1_03172022或AutoRansomUser4_03162022 |
用户、域、实体类型、原始路径、实体名称、源IP |
返回任意AutoSabotageUser1_03172022或AutoRansomUser4_03162022 |
|
不是 |
用于从搜索结果中排除文本 |
非AutoRansomUser4_03162022 |
用户、域、实体类型、原始路径、1stLevel文件夹、2ndLevel文件夹、3rdLevel文件夹、4thLevel文件夹、实体名称、源IP |
设备 |
返回不以"AutoRansomUser4_03162022"开头的所有内容 |
无 |
在所有字段中搜索空值 |
无 |
域 |
返回目标字段为空的结果 |
路径搜索
使用和不使用/的搜索结果将有所不同
"/AutoDir1/AutoFile03242022" |
仅精确搜索有效;返回路径精确为/AutoDir1/AutoFile03242022的所有活动(区分大小写) |
"/AutoDir1/" |
Works;返回与AutoDir1匹配的一级目录的所有活动(区分大小写) |
"/AutoDir1/AutoFile03242022/" |
Works;返回与AutoDir1和AutoFile03242022匹配的一级目录和二级目录的所有活动(区分大小写) |
/AutoDir1/AutoFile03242022或/AutoDir1/AutoFile03242022 |
不管用 |
非/AutoDir1/AutoFile03242022 |
不管用 |
非/AutoDir1 |
不管用 |
非/AutoFile03242022 |
不管用 |
* |
不管用 |
本地root SVM用户活动发生变化
如果本地root SVM用户正在执行任何活动、则挂载NFS共享的客户端的IP现在会考虑在用户名中、在取证活动和用户活动页面中、该用户名将显示为root@<ip-address-of-the-client>。
例如:
-
如果SVM-1受工作负载安全性监控、并且该SVM的root用户在IP地址为10.197.12.40的客户端上挂载共享、则取证活动页面中显示的用户名为_root@10.197.12.40_。
-
如果将同一个SVM-1挂载到IP地址为10.197.12.41的另一个客户端、则取证活动页面中显示的用户名为_root@10.197.12.41_。
*•这样做是为了按IP地址隔离NFS root用户活动。以前、所有活动都被视为仅由_root_用户完成、不区分IP。
故障排除
问题 |
请尝试此操作 |
在"所有活动"表中的"用户"列下、用户名显示为:"LDAP:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817"或"LDAP:default:80038003" |
可能的原因可能是: 1.尚未配置任何用户目录收集器。要添加一个,请转到*工作负载安全性>收集器>用户目录收集器*,然后单击*+用户目录收集器*。选择 Active Directory 或 LDAP Directory Server 。2.已配置用户目录收集器,但它已停止或处于错误状态。请进入*收集器>用户目录收集器*并检查状态。有关故障排除提示、请参阅"用户目录收集器故障排除"文档的一节。正确配置后,此名称将在 24 小时内自动解析。如果仍无法解决此问题,请检查您是否添加了正确的用户数据收集器。确保用户确实属于添加的 Active Directory/LDAP 目录服务器。 |
UI 中未显示某些 NFS 事件。 |
检查以下内容: 1.运行设置了 POSIX 属性的 AD 服务器的用户目录收集器时,应通过 UI 启用 unixid 属性。2.在UI 3的用户页面中搜索时、应显示正在进行NFS访问的任何用户。NFS 4 不支持原始事件(尚未发现用户的事件)。不会监控对 NFS 导出的匿名访问。5.确保使用的NFS版本为4.1或更低版本。(请注意、ONTAP 9.15或更高版本支持NFS 4.1。) |
在Forsics_All Activity_或_indices_页面的筛选器中键入包含通配符(如星号(*))的某些字母后、页面加载速度非常慢。 |
搜索字符串中的星号(*)将搜索所有内容。但是,诸如_*<searchTerm>_或_*<searchTerm>*之类的前导通配符字符串会导致查询速度较慢。要获得更好的性能,请改用前缀字符串,格式为<searchTerm>*(换言之,请附加星号(*)_after_搜索词)。示例:使用字符串_testvolume*,而不是_*testvolume_或_*test*volume_。使用目录搜索以递归方式查看给定文件夹下的所有活动(分层搜索)。例如、"/path1/path2/path3/"将以递归方式在/path1/path2/path3下列出所有活动。或者、使用所有活动选项卡下的"Add to Filter"(添加到筛选器)选项。 |
使用路径筛选器时遇到"Request failed with status code 500/503"错误。 |
请尝试使用较小的日期范围来筛选记录。 |
使用_path_筛选器时、取证UI加载数据的速度较慢。 |
目录路径筛选器(以/结尾的路径字符串)建议目录深度最多为4个、以获得更快的结果。例如、如果目录路径为/AAA/BBB/CCC/DDD、请尝试搜索"/AAA/BBB/CCC/DDD/"以更快地加载数据。 |
取证UI加载数据速度较慢、在使用实体名称筛选器时遇到故障。 |
请尝试使用较小的时间范围并使用双引号进行精确值搜索。例如、如果实体路径为"/HOME/userX/nesed1/nesed2/nesed3/testfile.txt "、则尝试使用"testfile.txt "作为实体名称筛选器。 |