了解ONTAP可以审核以解释结果的SMB事件
建议更改
PDF
ONTAP 可以审核某些 SMB 事件,包括某些文件和文件夹访问事件,某些登录和注销事件以及中央访问策略暂存事件。了解可以审核哪些访问事件有助于解释事件日志中的结果。
可以审核以下附加 SMB 事件:
事件 ID ( EVT/EVTX ) |
事件 |
Description |
类别 |
4670 |
对象权限已更改 |
对象访问:权限已更改。 |
文件访问 |
4907年 |
对象审核设置已更改 |
对象访问:审核设置已更改。 |
文件访问 |
4913. |
对象中央访问策略已更改 |
对象访问: CAP 已更改。 |
文件访问 |
可以在 ONTAP 9.0 及更高版本中审核以下 SMB 事件:
事件 ID ( EVT/EVTX ) |
事件 |
Description |
类别 |
540/4624. |
已成功登录帐户 |
登录/注销:网络(SMB)登录。 |
登录和注销 |
529/4625. |
帐户无法登录 |
logon/logoff :用户名未知或密码错误。 |
登录和注销 |
530/4625 |
帐户无法登录 |
logon/logoff :帐户登录时间限制。 |
登录和注销 |
531/4625. |
帐户无法登录 |
logon/logoff :帐户当前已禁用。 |
登录和注销 |
532/4625. |
帐户无法登录 |
登录 / 注销:用户帐户已过期。 |
登录和注销 |
533/4625. |
帐户无法登录 |
logon/logoff :用户无法登录到此计算机。 |
登录和注销 |
534/4625. |
帐户无法登录 |
logon/logoff :此处未授予用户登录类型。 |
登录和注销 |
535/4625. |
帐户无法登录 |
登录 / 注销:用户密码已过期。 |
登录和注销 |
5374625. |
帐户无法登录 |
logon/logoff :由于上述原因,登录失败。 |
登录和注销 |
539/4625. |
帐户无法登录 |
logon/logoff :帐户已锁定。 |
登录和注销 |
534/4634 |
已注销帐户 |
登录 / 注销:本地或网络用户注销。 |
登录和注销 |
560/4656 |
打开对象 / 创建对象 |
对象访问:打开对象(文件或目录)。 |
文件访问 |
563/4659. |
打开要删除的对象 |
对象访问:已请求对对象(文件或目录)的句柄,其目的是删除。 |
文件访问 |
564/4660 |
删除对象 |
对象访问:删除对象(文件或目录)。当 Windows 客户端尝试删除对象(文件或目录)时, ONTAP 会生成此事件。 |
文件访问 |
567/463. |
读取对象 / 写入对象 / 获取对象属性 / 设置对象属性 |
对象访问:对象访问尝试(读取,写入,获取属性,设置属性)。
|
文件访问 |
NA/4664 |
硬链接 |
对象访问:尝试创建硬链接。 |
文件访问 |
NA/4818 |
建议的中央访问策略不会授予与当前中央访问策略相同的访问权限 |
对象访问:中央访问策略暂存。 |
文件访问 |
不适用 Data ONTAP 事件 ID 9999 |
重命名对象 |
对象访问:对象已重命名。这是一个 ONTAP 事件。目前, Windows 不支持将其作为单个事件。 |
文件访问 |
不适用/不适用Data ONTAP事件ID 9998 |
取消对象链接 |
对象访问:对象未链接。这是一个 ONTAP 事件。目前, Windows 不支持将其作为单个事件。 |
文件访问 |
追加信息关于事件 4656
。 HandleID 标记 XML event包含所访问对象(文件或目录)的句柄。。 HandleID 根据打开的事件是用于创建新对象还是用于打开现有对象、evtx 4656事件的标记包含不同的信息:
-
如果打开事件是创建新对象(文件或目录)的打开请求、则
HandleID审核XML事件中的标记显示为空HandleID(例如:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>)。。
HandleID为空、因为在实际创建对象之前和句柄存在之前、系统会审核打开(用于创建新对象)请求。同一对象的后续审核事件在中具有正确的对象句柄HandleID标记。 -
如果此打开事件是打开现有对象的OPEN请求、则此审核事件将在中为该对象分配句柄
HandleID标记(例如:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>)。