查看审核事件日志
建议更改
PDF
您可以使用审核事件日志来确定您是否具有足够的文件安全性,以及是否有不正确的文件和文件夹访问尝试。您可以查看和处理保存在中的审核事件日志 EVTX 或 XML 文件格式。
-
EVTX文件格式您可以打开已转换的
EVTX使用Microsoft事件查看器将事件日志作为已保存文件进行审核。使用事件查看器查看事件日志时,可以使用两个选项:
-
常规视图
系统将为此事件记录显示所有事件通用的信息。在此版本的 ONTAP 中,不会显示事件记录的特定于事件的数据。您可以使用详细视图显示事件特定的数据。
-
详细视图
提供友好的视图和 XML 视图。友好视图和 XML 视图可显示所有事件的通用信息以及事件记录的事件特定数据。
-
-
XML文件格式您可以查看和处理
XML支持的第三方应用程序上的审核事件日志XML文件格式。如果您具有 XML 架构以及 XML 字段定义的相关信息,则可以使用 XML 查看工具查看审核日志。有关 XML 架构和定义的详细信息,请参见 "《 ONTAP 审核架构参考》"。
如何使用事件查看器查看活动审核日志
如果审核整合过程正在集群上运行,则整合过程会将新记录附加到启用了审核的 Storage Virtual Machine ( SVM )的活动审核日志文件中。可以在 Microsoft 事件查看器中通过 SMB 共享访问和打开此活动审核日志。
除了查看现有审核记录之外,事件查看器还提供了一个刷新选项,可用于刷新控制台窗口中的内容。是否可以在事件查看器中查看新附加的日志,取决于用于访问活动审核日志的共享是否已启用机会锁。
共享上的机会锁设置 |
行为 |
enabled |
事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作不会刷新日志并附加整合过程中的新事件。 |
已禁用 |
事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作会使用整合过程附加的新事件刷新日志。 |
|
此信息仅适用于 |