可审核的 CLI 更改事件概述
建议更改
PDF
ONTAP 可以审核某些命令行界面更改事件,包括某些 SMB 共享事件,某些审核策略事件,某些本地安全组事件,本地用户组事件和授权策略事件。了解可以审核哪些变更事件有助于解释事件日志中的结果。
您可以通过手动轮换审核日志,启用或禁用审核,显示有关审核更改事件的信息,修改审核更改事件以及删除审核更改事件来管理 Storage Virtual Machine ( SVM )审核 CLI 更改事件。
作为管理员,如果您执行任何命令来更改与 SMB 共享,本地用户组,本地安全组,授权策略和审核策略事件相关的配置, 生成记录并审核相应的事件:
审核类别 |
事件 |
事件 IDs |
运行此命令 … |
Mhost 审核 |
策略更改 |
[4719] Audit configuration changed |
`vserver audit disable |
enable |
modify` |
文件共享 |
[5142] Network share was add得 |
|
[5143] Network share was modified |
|
modify |
delete` `vserver cifs share add |
remove` |
[5144] Network share deleted |
|
审核 |
用户帐户 |
[4720] 已创建本地用户 |
|
[4722] 已启用本地用户 |
`vserver cifs users-and-groups local-user create |
modify` |
[4724] 本地用户密码重置 |
|
[4725] 已禁用本地用户 |
`vserver cifs users-and-groups local-user create |
modify` |
[4726] 本地用户已删除 |
|
[4738] Local user Change. |
|
【 4781 】本地用户重命名 |
|
安全组 |
【 4731 】已创建本地安全组 |
|
[4734] Local Security Group deleted |
|
[4735] Local Security Group Modified |
`vserver cifs users-and-groups local-group rename |
modify` |
[4732] 已将用户添加到本地组 |
|
[4733] 已从本地组中删除此用户 |
|
authorization-policy-change |
【 4704 】已分配用户权限 |
|
【 4705 】已删除用户权限 |
`vserver cifs users-and-groups privilege remove-privilege |
reset-privilege` |