简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

创建审核配置

08/09/2024 贡献者

PDF

在 Storage Virtual Machine （ SVM ）上创建文件和目录审核配置包括了解可用的配置选项，规划配置以及配置和启用配置。然后，您可以显示有关审核配置的信息，以确认生成的配置是所需的配置。

在开始审核文件和目录事件之前，必须在 Storage Virtual Machine （ SVM ）上创建审核配置。

开始之前

如果您计划为中央访问策略暂存创建审核配置、则SVM上必须存在SMB服务器。

虽然您可以在审核配置中启用中央访问策略暂存、而无需在SMB服务器上启用动态访问控制、但只有在启用动态访问控制后、才会生成中央访问策略暂存事件。

动态访问控制可通过SMB服务器选项启用。默认情况下，不会启用此功能。
如果命令中某个字段的参数无效，例如字段的条目无效，条目重复以及条目不存在，则此命令将在审核阶段之前失败。

此类故障不会生成审核记录。

关于此任务

如果 SVM 是 SVM 灾难恢复源，则目标路径不能位于根卷上。

步骤

使用规划工作表中的信息，创建审核配置以根据日志大小或计划轮换审核日志：

审核日志轮换方式

输入 …

日志大小

`vserver audit create -vserver vserver_name -destination path -events [{file-ops

cifs-logon-logoff

cap-staging

file-share

authorization-policy-change

user-account

security-group

authorization-policy-change}] [-format {xml

evtx}] [-rotate-limit integer] [-rotate-size {integer[KB

PB]}]`

计划

`vserver audit create -vserver vserver_name -destination path -events [{file-ops

cifs-logon-logoff

cap-staging}] [-format {xml

示例

以下示例将创建一个审核配置、该配置使用基于大小的轮换来审核文件操作以及SMB登录和注销事件(默认设置)。日志格式为 EVTX (默认值)。日志存储在中 /audit_log 目录。日志文件大小限制为 200 MB。日志大小达到 200 MB 时会进行轮换。

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-size 200MB

以下示例将创建一个审核配置、该配置使用基于大小的轮换来审核文件操作以及SMB登录和注销事件(默认设置)。日志格式为 EVTX (默认值)。日志存储在中 /cifs_event_logs 目录。日志文件大小限制为 100 MB (默认值)、日志轮换限制为 5：

cluster1::> vserver audit create -vserver vs1 -destination /cifs_event_logs -rotate-limit 5

以下示例将创建一个审核配置，该配置使用基于时间的轮换来审核文件操作， CIFS 登录和注销事件以及中央访问策略暂存事件。日志格式为 EVTX (默认值)。审核日志每月在中午 12 ： 30 轮换一次在一周的所有日期。日志轮换限制为 5：

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -events file-ops,cifs-logon-logoff,file-share,audit-policy-change,user-account,security-group,authorization-policy-change,cap-staging -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30 -rotate-limit 5

创建审核配置

Creating your file...