简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

查看审核事件日志

提供者

您可以使用审核事件日志来确定您是否具有足够的文件安全性,以及是否有不正确的文件和文件夹访问尝试。您可以查看和处理以 evtxXML 文件格式保存的审核事件日志。

  • evtx 文件格式

    您可以使用 Microsoft 事件查看器将转换后的 evtx 审核事件日志作为已保存文件打开。

    使用事件查看器查看事件日志时,可以使用两个选项:

    • 常规视图

      系统将为此事件记录显示所有事件通用的信息。在此版本的 ONTAP 中,不会显示事件记录的特定于事件的数据。您可以使用详细视图显示事件特定的数据。

    • 详细视图

      提供友好的视图和 XML 视图。友好视图和 XML 视图可显示所有事件的通用信息以及事件记录的事件特定数据。

  • XML 文件格式

    您可以在支持 XML 文件格式的第三方应用程序上查看和处理 XML 审核事件日志。如果您具有 XML 架构以及 XML 字段定义的相关信息,则可以使用 XML 查看工具查看审核日志。有关 XML 架构和定义的详细信息,请参见 "《 ONTAP 审核架构参考》"

如何使用事件查看器查看活动审核日志

如果审核整合过程正在集群上运行,则整合过程会将新记录附加到启用了审核的 Storage Virtual Machine ( SVM )的活动审核日志文件中。可以在 Microsoft 事件查看器中通过 SMB 共享访问和打开此活动审核日志。

除了查看现有审核记录之外,事件查看器还提供了一个刷新选项,可用于刷新控制台窗口中的内容。是否可以在事件查看器中查看新附加的日志,取决于用于访问活动审核日志的共享是否已启用机会锁。

共享上的机会锁设置

行为

enabled

事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作不会刷新日志并附加整合过程中的新事件。

已禁用

事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作会使用整合过程附加的新事件刷新日志。

注

此信息仅适用于 evtx 事件日志。XML 事件日志可通过浏览器中的 SMB 查看,也可使用任何 XML 编辑器或查看器通过 NFS 查看。