Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

规划审核配置

贡献者
PDF

在 Storage Virtual Machine ( SVM )上配置审核之前,您必须了解哪些配置选项可用,并规划要为每个选项设置的值。此信息可帮助您配置满足业务需求的审核配置。

某些配置参数对于所有审核配置都是通用的。

此外,您还可以使用某些参数来指定在轮换整合和转换的审核日志时使用的方法。配置审核时,您可以指定以下三种方法之一:

  • 根据日志大小轮换日志

    这是用于轮换日志的默认方法。

  • 根据计划轮换日志

  • 根据日志大小和计划轮换日志(以先发生的事件为准)

备注

应始终至少设置一种日志轮换方法。

所有审核配置通用的参数

创建审核配置时,必须指定两个必需参数。此外,您还可以指定三个可选参数。

信息类型

选项

Required

包括

您的价值

_SVM 名称 _

要创建审核配置的 SVM 的名称。此 SVM 必须已存在。

-vserver vserver_name

是的。

是的。

日志目标路径 _

指定用于存储转换后的审核日志的目录,通常为专用卷或 qtree 。此路径必须已存在于 SVM 命名空间中。

路径长度最多可包含 864 个字符,并且必须具有读写权限。

如果路径无效,审核配置命令将失败。

如果 SVM 是 SVM 灾难恢复源,则日志目标路径不能位于根卷上。这是因为根卷内容不会复制到灾难恢复目标。

不能将 FlexCache 卷用作日志目标( ONTAP 9.7 及更高版本)。

-destination text

是的。

是的。

要审核的事件的类别 _

指定要审核的事件的类别。可以审核以下事件类别:

  • 文件访问事件( SMB 和 NFSv4 )

  • SMB登录和注销事件

  • 中央访问策略暂存事件

    从Windows 2012 Active Directory域开始、可以使用中央访问策略暂存事件。

  • 文件共享类别事件

  • 审核策略更改事件

  • 本地用户帐户管理事件

  • 安全组管理事件

  • 授权策略更改事件

默认情况下会审核文件访问以及SMB登录和注销事件。

*注意:*在指定之前 cap-staging 作为事件类别、SVM上必须存在SMB服务器。虽然您可以在审核配置中启用中央访问策略暂存、而无需在SMB服务器上启用动态访问控制、但只有在启用动态访问控制后、才会生成中央访问策略暂存事件。动态访问控制可通过SMB服务器选项启用。默认情况下,不会启用此功能。

-events {file-ops

cifs-logon-logoff

cap-staging

file-share

audit-policy-change

user-account

security-group

authorization-policy-change

日志文件输出格式 _

确定审核日志的输出格式。输出格式可以是特定于ONTAP的格式之一 XML 或Microsoft Windows EVTX 日志格式。默认情况下、输出格式为 EVTX

-format {xml

evtx

日志文件轮换限制 _

确定在将最旧的日志文件转出之前要保留的审核日志文件数。例如、如果输入的值为 5,则会保留最后五个日志文件。

的值 0 指示保留所有日志文件。默认值为0。

-rotate-limit integer

用于确定何时轮换审核事件日志的参数

  • 根据日志大小轮换日志 *

默认情况下,会根据大小轮换审核日志。

  • 默认日志大小为 100 MB 。

  • 如果要使用默认日志轮换方法和默认日志大小,则无需为日志轮换配置任何特定参数。

  • 如果要仅根据日志大小轮换审核日志、请使用以下命令取消设置 -rotate-schedule-minute 参数: vserver audit modify -vserver vs0 -destination / -rotate-schedule-minute -

如果不想使用默认日志大小、则可以配置 -rotate-size 用于指定自定义日志大小的参数:

信息类型

选项

Required

包括

您的价值

日志文件大小限制 _

确定审核日志文件大小限制。

-rotate-size {integer[KB

MB

GB

TB

  • 根据计划轮换日志 *

如果您选择根据计划轮换审核日志,则可以通过使用基于时间的轮换参数的任意组合来计划日志轮换。

  • 如果使用基于时间的旋转、则 -rotate-schedule-minute 参数为必填项。

  • 所有其他基于时间的轮换参数均为可选参数。

  • 轮换计划使用所有与时间相关的值进行计算。

    例如、如果仅指定 -rotate-schedule-minute 参数、审核日志文件将根据一周中所有日期指定的分钟数在一年中所有月份的所有时间内进行轮换。

  • 如果您仅指定一个或两个基于时间的旋转参数(例如、 -rotate-schedule-month-rotate-schedule-minutes)、日志文件将根据您在一周中的所有日期指定的分钟值进行轮换、在所有时间内、但仅在指定月份内。

    例如,您可以指定在 1 月, 3 月和 8 月期间,在所有星期一,星期三和星期六的上午 10 : 30 轮换审核日志

  • 指定这两者的值 -rotate-schedule-dayofweek-rotate-schedule-day、它们会独立考虑。

    例如、如果指定 -rotate-schedule-dayofweek 作为星期五和 -rotate-schedule-day 如果为13、则审核日志将在每个星期五和指定月份的第13天轮换、而不仅仅是在每个星期五的第13天轮换。

  • 如果要仅根据计划轮换审核日志、请使用以下命令取消设置 -rotate-size 参数: vserver audit modify -vserver vs0 -destination / -rotate-size -

您可以使用以下可用审核参数列表来确定用于配置审核事件日志轮换计划的值:

信息类型

选项

Required

包括

您的价值

日志轮换计划: month_

确定轮换审核日志的每月计划。

有效值为 JanuaryDecember,和 all。例如,您可以指定在 1 月, 3 月和 8 月期间轮换审核日志。

-rotate-schedule-month chron_month

日志轮换计划:星期几 _

确定轮换审核日志的每日(星期几)计划。

有效值为 SundaySaturday,和 all。例如,您可以指定在星期二和星期五或一周的所有日期轮换审核日志。

-rotate-schedule-dayofweek chron_dayofweek

日志轮换计划: day_

确定轮换审核日志的每月计划日期。

有效值范围为 131。例如,您可以指定在一个月的第 10 天和第 20 天或一个月的所有日期轮换审核日志。

-rotate-schedule-day chron_dayofmonth

日志轮换计划: hour_

确定轮换审核日志的每小时计划。

有效值范围为 0 (午夜)至 23 (晚上11:00)。指定 all 每小时轮换一次审核日志。例如,您可以指定在 6 (早上 6 点)和 18 (下午 6 点)轮换审核日志。

-rotate-schedule-hour chron_hour

日志轮换计划: minute_

确定轮换审核日志的分钟计划。

有效值范围为 0 to 59。例如,您可以指定在 30 分钟轮换审核日志。

-rotate-schedule-minute chron_minute

是,如果配置基于计划的日志轮换;否则,否

  • 根据日志大小和计划轮换日志 *

您可以通过同时设置来选择根据日志大小和计划轮换日志文件 -rotate-size 参数和基于时间的旋转参数的任意组合。例如:if -rotate-size 设置为10 MB、然后 -rotate-schedule-minute 设置为15时、日志文件将在日志文件大小达到10 MB时或每小时的15分钟(以先发生的事件为准)轮换。