Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

可审核的 SMB 事件概述

贡献者
PDF

ONTAP 可以审核某些 SMB 事件,包括某些文件和文件夹访问事件,某些登录和注销事件以及中央访问策略暂存事件。了解可以审核哪些访问事件有助于解释事件日志中的结果。

可以在 ONTAP 9.2 及更高版本中审核以下其他 SMB 事件:

事件 ID ( EVT/EVTX )

事件

Description

类别

4670

对象权限已更改

对象访问:权限已更改。

文件访问

4907年

对象审核设置已更改

对象访问:审核设置已更改。

文件访问

4913.

对象中央访问策略已更改

对象访问: CAP 已更改。

文件访问

可以在 ONTAP 9.0 及更高版本中审核以下 SMB 事件:

事件 ID ( EVT/EVTX )

事件

Description

类别

540/4624.

已成功登录帐户

登录/注销:网络(SMB)登录。

登录和注销

529/4625.

帐户无法登录

logon/logoff :用户名未知或密码错误。

登录和注销

530/4625

帐户无法登录

logon/logoff :帐户登录时间限制。

登录和注销

531/4625.

帐户无法登录

logon/logoff :帐户当前已禁用。

登录和注销

532/4625.

帐户无法登录

登录 / 注销:用户帐户已过期。

登录和注销

533/4625.

帐户无法登录

logon/logoff :用户无法登录到此计算机。

登录和注销

534/4625.

帐户无法登录

logon/logoff :此处未授予用户登录类型。

登录和注销

535/4625.

帐户无法登录

登录 / 注销:用户密码已过期。

登录和注销

5374625.

帐户无法登录

logon/logoff :由于上述原因,登录失败。

登录和注销

539/4625.

帐户无法登录

logon/logoff :帐户已锁定。

登录和注销

534/4634

已注销帐户

登录 / 注销:本地或网络用户注销。

登录和注销

560/4656

打开对象 / 创建对象

对象访问:打开对象(文件或目录)。

文件访问

563/4659.

打开要删除的对象

对象访问:已请求对对象(文件或目录)的句柄,其目的是删除。

文件访问

564/4660

删除对象

对象访问:删除对象(文件或目录)。当 Windows 客户端尝试删除对象(文件或目录)时, ONTAP 会生成此事件。

文件访问

567/463.

读取对象 / 写入对象 / 获取对象属性 / 设置对象属性

对象访问:对象访问尝试(读取,写入,获取属性,设置属性)。

  • 注意: * 对于此事件, ONTAP 仅审核对象的第一个 SMB 读取和第一个 SMB 写入操作(成功或失败)。这样,当一个客户端打开一个对象并对同一个对象执行多次连续读写操作时, ONTAP 就不会创建过多的日志条目。

文件访问

NA/4664

硬链接

对象访问:尝试创建硬链接。

文件访问

NA/4818

建议的中央访问策略不会授予与当前中央访问策略相同的访问权限

对象访问:中央访问策略暂存。

文件访问

不适用 Data ONTAP 事件 ID 9999

重命名对象

对象访问:对象已重命名。这是一个 ONTAP 事件。目前, Windows 不支持将其作为单个事件。

文件访问

不适用/不适用Data ONTAP事件ID 9998

取消对象链接

对象访问:对象未链接。这是一个 ONTAP 事件。目前, Windows 不支持将其作为单个事件。

文件访问

追加信息关于事件 4656

HandleID 标记 XML event包含所访问对象(文件或目录)的句柄。。 HandleID 根据打开的事件是用于创建新对象还是用于打开现有对象、evtx 4656事件的标记包含不同的信息:

  • 如果打开事件是创建新对象(文件或目录)的打开请求、则 HandleID 审核XML事件中的标记显示为空 HandleID (例如: <Data Name="HandleID">00000000000000;00;00000000;00000000</Data> )。

    HandleID 为空、因为在实际创建对象之前和句柄存在之前、系统会审核打开(用于创建新对象)请求。同一对象的后续审核事件在中具有正确的对象句柄 HandleID 标记。

  • 如果此打开事件是打开现有对象的OPEN请求、则此审核事件将在中为该对象分配句柄 HandleID 标记(例如: <Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data> )。