Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

审核备用 NTFS 数据流时的注意事项

贡献者

在使用 NTFS 备用数据流审核文件时,必须牢记某些注意事项。

要审核的对象的位置会使用两个标记(即)记录在事件记录中 ObjectName 标记(路径)和 HandleID 标记(手柄)。要正确识别正在记录的流请求,您必须了解 NTFS 备用数据流的以下字段中的 ONTAP 记录:

  • evtx ID : 4656 个事件(打开和创建审核事件)

    • 备用数据流的路径将记录在中 ObjectName 标记。

    • 备用数据流的句柄记录在中 HandleID 标记。

  • evtx ID : 4663 个事件(所有其他审核事件,例如读取,写入, getattr 等)

    • 基础文件的路径(而不是备用数据流)会记录在中 ObjectName 标记。

    • 备用数据流的句柄记录在中 HandleID 标记。

示例

以下示例说明了如何使用确定备用数据流的evtx ID:4663个事件 HandleID 标记。即使 ObjectName 读取审核事件中记录的标记(路径)指向基本文件路径、即 HandleID 标记可用于将事件标识为备用数据流的审核记录。

流文件名采用以下格式 base_file_name:stream_name。在此示例中、将显示 dir1 目录包含一个基础文件、其中包含一个备用数据流、其路径如下:

/dir1/file1.txt
/dir1/file1.txt:stream1
备注

以下事件示例中的输出将被截断,如图所示;输出不会显示事件的所有可用输出标记。

对于evtx ID 4656 (打开审核事件)、备用数据流的审核记录输出将在中记录备用数据流名称 ObjectName 标记:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

对于evtx ID 4663 (读取审核事件)、同一备用数据流的审核记录输出将在中记录基本文件名 ObjectName 标记;但是、中的句柄 HandleID 标记是备用数据流的句柄、可用于将此事件与备用数据流相关联:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>