简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
审核备用 NTFS 数据流时的注意事项
贡献者
建议更改
PDF
在使用 NTFS 备用数据流审核文件时,必须牢记某些注意事项。
要审核的对象的位置会使用两个标记(即)记录在事件记录中 ObjectName 标记(路径)和 HandleID 标记(手柄)。要正确识别正在记录的流请求,您必须了解 NTFS 备用数据流的以下字段中的 ONTAP 记录:
-
evtx ID : 4656 个事件(打开和创建审核事件)
-
备用数据流的路径将记录在中
ObjectName标记。 -
备用数据流的句柄记录在中
HandleID标记。
-
-
evtx ID : 4663 个事件(所有其他审核事件,例如读取,写入, getattr 等)
-
基础文件的路径(而不是备用数据流)会记录在中
ObjectName标记。 -
备用数据流的句柄记录在中
HandleID标记。
-
示例
以下示例说明了如何使用确定备用数据流的evtx ID:4663个事件 HandleID 标记。即使 ObjectName 读取审核事件中记录的标记(路径)指向基本文件路径、即 HandleID 标记可用于将事件标识为备用数据流的审核记录。
流文件名采用以下格式 base_file_name:stream_name。在此示例中、将显示 dir1 目录包含一个基础文件、其中包含一个备用数据流、其路径如下:
/dir1/file1.txt /dir1/file1.txt:stream1
|
以下事件示例中的输出将被截断,如图所示;输出不会显示事件的所有可用输出标记。 |
对于evtx ID 4656 (打开审核事件)、备用数据流的审核记录输出将在中记录备用数据流名称 ObjectName 标记:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4656</EventID> <EventName>Open Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\> ** [...] </EventData> </Event> - <Event>
对于evtx ID 4663 (读取审核事件)、同一备用数据流的审核记录输出将在中记录基本文件名 ObjectName 标记;但是、中的句柄 HandleID 标记是备用数据流的句柄、可用于将此事件与备用数据流相关联:
- <Event> - <System> <Provider Name="Netapp-Security-Auditing" /> <EventID>4663</EventID> <EventName>Read Object</EventName> [...] </System> - <EventData> [...] **<Data Name="ObjectType"\>Stream</Data\> <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\> <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> ** [...] </EventData> </Event> - <Event>