Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

查看审核事件日志

贡献者

您可以使用审核事件日志来确定您是否具有足够的文件安全性,以及是否有不正确的文件和文件夹访问尝试。您可以查看和处理保存在中的审核事件日志 EVTXXML 文件格式。

  • EVTX 文件格式

    您可以打开已转换的 EVTX 使用Microsoft事件查看器将事件日志作为已保存文件进行审核。

    使用事件查看器查看事件日志时,可以使用两个选项:

    • 常规视图

      系统将为此事件记录显示所有事件通用的信息。在此版本的 ONTAP 中,不会显示事件记录的特定于事件的数据。您可以使用详细视图显示事件特定的数据。

    • 详细视图

      提供友好的视图和 XML 视图。友好视图和 XML 视图可显示所有事件的通用信息以及事件记录的事件特定数据。

  • XML 文件格式

    您可以查看和处理 XML 支持的第三方应用程序上的审核事件日志 XML 文件格式。如果您具有 XML 架构以及 XML 字段定义的相关信息,则可以使用 XML 查看工具查看审核日志。有关 XML 架构和定义的详细信息,请参见 "《 ONTAP 审核架构参考》"

如何使用事件查看器查看活动审核日志

如果审核整合过程正在集群上运行,则整合过程会将新记录附加到启用了审核的 Storage Virtual Machine ( SVM )的活动审核日志文件中。可以在 Microsoft 事件查看器中通过 SMB 共享访问和打开此活动审核日志。

除了查看现有审核记录之外,事件查看器还提供了一个刷新选项,可用于刷新控制台窗口中的内容。是否可以在事件查看器中查看新附加的日志,取决于用于访问活动审核日志的共享是否已启用机会锁。

共享上的机会锁设置

行为

enabled

事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作不会刷新日志并附加整合过程中的新事件。

已禁用

事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作会使用整合过程附加的新事件刷新日志。

备注

此信息仅适用于 EVTX 事件日志。 XML 可以在浏览器中通过SMB查看事件日志、也可以使用任何XML编辑器或查看器通过NFS查看事件日志。