查看和处理ONTAP审核事件日志
建议更改
PDF
您可以使用审核事件日志来确定您是否具有足够的文件安全性,以及是否有不正确的文件和文件夹访问尝试。您可以查看和处理保存在中的审核事件日志 EVTX 或 XML 文件格式。
-
EVTX文件格式您可以打开已转换的
EVTX使用Microsoft事件查看器将事件日志作为已保存文件进行审核。使用事件查看器查看事件日志时,可以使用两个选项:
-
常规视图
系统将为此事件记录显示所有事件通用的信息。在此版本的 ONTAP 中,不会显示事件记录的特定于事件的数据。您可以使用详细视图显示事件特定的数据。
-
详细视图
提供友好的视图和 XML 视图。友好视图和 XML 视图可显示所有事件的通用信息以及事件记录的事件特定数据。
-
-
XML文件格式您可以在支持
XML文件格式的第三方应用程序上查看和处理XML审计事件日志。只要您拥有 XML 模式和有关 XML 字段定义的信息,就可以使用 XML 查看工具查看审计日志。有关 XML 模式和定义的更多信息,请参见 "《 ONTAP 审核架构参考》"。
如何使用事件查看器查看活动审核日志
如果审核整合过程正在集群上运行,则整合过程会将新记录附加到启用了审核的 Storage Virtual Machine ( SVM )的活动审核日志文件中。可以在 Microsoft 事件查看器中通过 SMB 共享访问和打开此活动审核日志。
除了查看现有审核记录之外,事件查看器还提供了一个刷新选项,可用于刷新控制台窗口中的内容。是否可以在事件查看器中查看新附加的日志,取决于用于访问活动审核日志的共享是否已启用机会锁。
共享上的机会锁设置 |
行为 |
enabled |
事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作不会刷新日志并附加整合过程中的新事件。 |
已禁用 |
事件查看器将打开日志,其中包含截至该时间点写入到该日志中的事件。刷新操作会使用整合过程附加的新事件刷新日志。 |
|
此信息仅适用于 |