Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建审核配置

贡献者

在 Storage Virtual Machine ( SVM )上创建文件和目录审核配置包括了解可用的配置选项,规划配置以及配置和启用配置。然后,您可以显示有关审核配置的信息,以确认生成的配置是所需的配置。

在开始审核文件和目录事件之前,必须在 Storage Virtual Machine ( SVM )上创建审核配置。

开始之前

如果您计划为中央访问策略暂存创建审核配置、则SVM上必须存在SMB服务器。

备注
  • 虽然您可以在审核配置中启用中央访问策略暂存、而无需在SMB服务器上启用动态访问控制、但只有在启用动态访问控制后、才会生成中央访问策略暂存事件。

    动态访问控制可通过SMB服务器选项启用。默认情况下,不会启用此功能。

  • 如果命令中某个字段的参数无效,例如字段的条目无效,条目重复以及条目不存在,则此命令将在审核阶段之前失败。

    此类故障不会生成审核记录。

关于此任务

如果 SVM 是 SVM 灾难恢复源,则目标路径不能位于根卷上。

步骤
  1. 使用规划工作表中的信息,创建审核配置以根据日志大小或计划轮换审核日志:

    审核日志轮换方式

    输入 …​

    日志大小

    `vserver audit create -vserver vserver_name -destination path -events [{file-ops

    cifs-logon-logoff

    cap-staging

    file-share

    authorization-policy-change

    user-account

    security-group

    authorization-policy-change}] [-format {xml

    evtx}] [-rotate-limit integer] [-rotate-size {integer[KB

    MB

    GB

    TB

    PB]}]`

    计划

    `vserver audit create -vserver vserver_name -destination path -events [{file-ops

    cifs-logon-logoff

    cap-staging}] [-format {xml

示例

以下示例将创建一个审核配置、该配置使用基于大小的轮换来审核文件操作以及SMB登录和注销事件(默认设置)。日志格式为 EVTX (默认值)。日志存储在中 /audit_log 目录。日志文件大小限制为 200 MB。日志大小达到 200 MB 时会进行轮换。

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-size 200MB

以下示例将创建一个审核配置、该配置使用基于大小的轮换来审核文件操作以及SMB登录和注销事件(默认设置)。日志格式为 EVTX (默认值)。日志存储在中 /cifs_event_logs 目录。日志文件大小限制为 100 MB (默认值)、日志轮换限制为 5

cluster1::> vserver audit create -vserver vs1 -destination /cifs_event_logs -rotate-limit 5

以下示例将创建一个审核配置,该配置使用基于时间的轮换来审核文件操作, CIFS 登录和注销事件以及中央访问策略暂存事件。日志格式为 EVTX (默认值)。审核日志每月在中午 12 : 30 轮换一次在一周的所有日期。日志轮换限制为 5

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -events file-ops,cifs-logon-logoff,file-share,audit-policy-change,user-account,security-group,authorization-policy-change,cap-staging -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30 -rotate-limit 5