取證 - 所有活動
建議變更
PDF
「所有活動」頁面可協助您了解在工作負載安全環境中對實體執行的操作。
檢查所有活動數據
按一下“取證 > 活動取證”,然後按一下“所有活動”標籤以存取“所有活動”頁面。此頁面概述了租戶上的活動,重點介紹了以下資訊:
-
顯示「活動歷史」的圖表(基於選定的全域時間範圍)
您可以透過在圖形中拖出一個矩形來縮放圖形。將載入整個頁面以顯示縮放的時間範圍。放大時,會顯示按鈕讓使用者縮小。
-
_所有活動_資料的清單。
-
分組下拉式選單將提供按使用者、資料夾、實體類型等對活動進行分組的選項。
-
表格上方將出現一個常用路徑按鈕,點擊該按鈕我們可以獲得帶有實體路徑詳細資訊的滑出面板。
*所有活動*表格顯示以下資訊。請注意,預設並非所有這些列都會顯示。您可以透過點擊“齒輪”圖示來選擇要顯示的列。
-
存取實體的*時間*,包括上次造訪的年、月、日和時間。
-
透過連結存取實體的*使用者*"使用者資訊"作為滑出面板。
-
使用者執行的*活動*。支援的類型有:
-
變更群組所有權 - 檔案或資料夾的群組所有權已變更。有關團體所有權的更多詳細信息,請參閱"此連結。"
-
更改擁有者 - 文件或資料夾的所有權更改為另一個使用者。
-
變更權限 - 檔案或資料夾權限已變更。
-
建立 - 建立檔案或資料夾。
-
刪除-刪除檔案或資料夾。如果刪除了一個資料夾,則會取得該資料夾及其子資料夾中所有檔案的_delete_事件。
-
讀取-檔案已讀取。
-
讀取元資料 - 僅在啟用資料夾監控選項時。將在 Windows 上開啟資料夾或在 Linux 中的資料夾內執行「ls」時產生。
-
重新命名-重新命名檔案或資料夾。
-
寫入 - 資料寫入檔案。
-
寫入元數據 - 寫入文件元數據,例如,權限變更。
-
其他變更 - 任何其他未在上面描述的事件。所有未對應的事件都對應到「其他變更」活動類型。適用於文件和資料夾。
-
-
Path 是_entity_路徑。這應該是精確的實體路徑(例如,「/home/userX/nested1/nested2/abc.txt」)或遞歸搜尋路徑的目錄部分(例如,「/home/userX/nested1/nested2/」)。注意:這裡不允許使用正規表示式路徑模式(例如,*nested*)。或者,也可以為路徑過濾指定如下所述的單獨路徑資料夾層級篩選器。
-
1st Level Folder (Root) 是小寫的實體路徑的根目錄。
-
2nd Level Folder 是小寫的實體路徑的二級目錄。
-
3rd Level Folder 是小寫的實體路徑的第三級目錄。
-
4th Level Folder 是小寫的實體路徑的第四級目錄。
-
實體類型,包含實體(即檔案)副檔名(.doc、.docx、.tmp 等)。
-
實體所在的*設備*。
-
用於取得事件的*協定*。
-
原始檔案重命名時用於重命名事件的*原始路徑*。預設情況下,此列在表中不可見。使用列選擇器將此列新增至表中。
-
實體所在的*卷*。預設情況下,此列在表中不可見。使用列選擇器將此列新增至表中。
-
*實體名稱*是實體路徑的最後一個組成部分;對於檔案類型的實體,它是檔案名稱。
選擇表格行將開啟一個滑出面板,其中一個標籤中顯示使用者設定文件,另一個標籤中顯示活動和實體概覽。
預設的_Group by_方法是_Activity forensics_。如果您選擇不同的「分組依據」方法(例如,實體類型),則會顯示實體「分組依據」表。如果沒有做出選擇,則顯示_Group By_ all。
-
活動計數顯示為超連結;選擇此項目將新增選定的分組作為篩選器。活動表將根據該篩選器進行更新。
-
請注意,如果您更改過濾器、改變時間範圍或刷新螢幕,則必須再次設定過濾器才能返回過濾結果。
-
請注意,當選擇實體名稱作為篩選器時,分組依據下拉選單將被停用;此外,當使用者已經在分組依據畫面上時,實體名稱作為篩選器將會被停用。
過濾取證活動歷史數據
您可以使用兩種方法來過濾資料。
-
可以從滑出面板添加過濾器。該值被加到頂部「過濾依據」清單中的相應過濾器中。
-
透過在「篩選依據」欄位中輸入以下內容來篩選資料:
點擊 [+] 按鈕,從頂部的“按條件過濾”小部件中選擇適當的過濾器:
輸入搜尋文字
按 Enter 鍵或按一下篩選器方塊外部即可套用篩選器。
您可以按以下欄位過濾取證活動資料:
-
*活動*類型。
-
協議 用於獲取特定於協議的活動。
-
執行活動的使用者的*使用者名稱*。您需要提供準確的用戶名來過濾。使用部分使用者名稱或以「*」為前綴或後綴的部分使用者名稱進行搜尋將無法運作。
-
降噪 過濾使用者在過去 2 小時內建立的檔案。它也用於過濾使用者存取的臨時檔案(例如 .tmp 檔案)。
-
執行活動的使用者的*網域*。您需要提供*精確的域*來進行過濾。搜尋部分域名,或以通配符('*')作為前綴或後綴的部分域名將無法運作。可以指定_None_來搜尋缺少的域。
以下欄位需遵守特殊過濾規則:
-
實體類型,使用實體(檔案)副檔名 - 最好在引號內指定確切的實體類型。例如“txt”。
-
實體的*路徑* - 這應該是精確的實體路徑(例如,「/home/userX/nested1/nested2/abc.txt」)或遞歸搜尋的路徑的目錄部分(例如,「/home/userX/nested1/nested2/」)。注意:這裡不允許使用正規表示式路徑模式(例如,*nested*)。為了更快地獲得結果,建議使用最多 4 個目錄深度的目錄路徑過濾器(以 / 結尾的路徑字串)。例如,「/home/userX/nested1/nested2/」。請參閱下表以了解更多詳細資訊。
-
第一層資料夾(根) - 作為篩選器的實體路徑的根目錄。例如,如果實體路徑是 /home/userX/nested1/nested2/,那麼可以使用 home 或「home」。
-
第二層資料夾 - 實體路徑過濾器的第二級目錄。例如,如果實體路徑是 /home/userX/nested1/nested2/,則可以使用 userX 或「userX」。
-
第三層資料夾 – 實體路徑過濾器的第三級目錄。
-
例如,如果實體路徑是 /home/userX/nested1/nested2/,則可以使用 nested1 或“nested1”。
-
第四級資料夾 - 實體路徑過濾器的第四級目錄。例如,如果實體路徑是 /home/userX/nested1/nested2/,則可以使用 nested2 或“nested2”。
-
*使用者*執行活動 - 最好在引號內指定確切的使用者。例如,“管理員”。
-
實體所在的*設備*(SVM)
-
實體所在的*體積*
-
原始檔案重命名時用於重命名事件的*原始路徑*。
-
存取實體的*來源 IP*。
-
您可以使用通配符 * 和 ?。例如:10.0.0.、10.0.0.10、10.10
-
如果需要完全匹配,則必須提供雙引號中有效的來源 IP 位址,例如「10.1.1.1。」。帶有雙引號的不完整 IP(例如“10.1.1。”,“10.1..*”等)將不起作用。
-
-
實體名稱 - 作為篩選器的實體路徑的檔案名稱。例如,如果實體路徑是 /home/userX/nested1/testfile.txt,那麼實體名稱就是 testfile.txt。請注意,建議在引號內指定確切的檔案名稱;盡量避免使用萬用字元搜尋。例如“testfile.txt”。另請注意,建議在較短的時間範圍內(最多 3 天)使用此實體名稱過濾器。
以上欄位在過濾時需要遵循以下原則:
-
確切值應放在引號內:例如:“searchtext”
-
通配符字串不能包含引號:範例:searchtext,*searchtext*,將過濾任何包含「searchtext」的字串。
-
帶有前綴的字串,例如:searchtext*,將搜尋以“searchtext”開頭的任何字串。
請注意,所有過濾欄位都是區分大小寫的搜尋。例如:如果套用的篩選器是實體類型,值為“searchtext”,它將傳回實體類型為“searchtext”、“SearchText”、“SEARCHTEXT”的結果
活動取證過濾器範例:
| 使用者應用的過濾表達式 | 預期結果 | 績效評估 | 評論 |
|---|---|---|---|
路徑 = “/home/userX/nested1/nested2/” |
遞歸查找給定目錄下的所有檔案和資料夾 |
快速地 |
最多 4 個目錄的目錄搜尋將會很快。 |
路徑 = “/home/userX/nested1/” |
遞歸查找給定目錄下的所有檔案和資料夾 |
快速地 |
最多 4 個目錄的目錄搜尋將會很快。 |
路徑 = “/home/userX/nested1/test” |
路徑值與 /home/userX/nested1/test 完全匹配 |
慢點 |
與目錄搜尋相比,精確搜尋的速度較慢。 |
路徑 = “/home/userX/nested1/nested2/nested3/” |
遞歸查找給定目錄下的所有檔案和資料夾 |
慢點 |
超過 4 個目錄的搜尋速度較慢。 |
任何其他非基於路徑的過濾器。建議將使用者和實體類型過濾器放在引號中,例如,使用者=“管理員”實體類型=“txt” |
快速地 |
||
實體名稱 = “test.log” |
檔案名為 test.log 的精確匹配 |
快速地 |
因為它是完全匹配 |
實體名稱 = *test.log |
檔案名稱以 test.log 結尾 |
慢的 |
由於通配符,它可能會很慢。 |
實體名稱 = test*.log |
檔案名稱以 test 開頭,以 .log 結尾 |
慢的 |
由於通配符,它可能會很慢。 |
實體名稱 = test.lo |
檔案名稱以 test.lo 開頭 例如:它將符合 test.log、test.log.1、test.log1 |
慢點 |
由於最後有通配符,所以速度可能會很慢。 |
實體名稱 = 測試 |
以 test 開頭的檔名 |
最慢 |
由於末尾有通配符並且使用了更多通用值,因此速度可能最慢。 |
筆記:
-
當選定的時間範圍跨越 3 天以上時,「所有活動」圖示旁顯示的活動計數將四捨五入為 30 分鐘。例如,時間範圍「9 月 1 日上午 10:15 至 9 月 7 日上午 10:15」將顯示從 9 月 1 日上午 10:00 到 9 月 7 日上午 10:30 的活動計數。
-
同樣,當選定的時間範圍跨越 3 天以上時,活動歷史記錄圖表中顯示的計數指標將四捨五入為 30 分鐘。
將取證活動歷史資料排序
您可以按時間、使用者、來源 IP、活動、實體類型、第一級資料夾(根)、第二級資料夾、第三層資料夾和第四級資料夾對活動歷史資料進行排序。預設情況下,表格按時間降序排列,這表示最新的數據將首先顯示。 Device 和 Protocol 欄位的排序已停用。
非同步匯出使用者指南
概況
儲存工作負載安全性中的非同步導出功能旨在處理大量資料導出。
逐步指南:使用非同步匯出匯出數據
-
啟動匯出:選擇所需的匯出時間長度和篩選器,然後按一下匯出按鈕。
-
等待匯出完成:處理時間可能從幾分鐘到幾個小時不等。您可能需要重新整理取證頁面幾次。匯出作業完成後,「下載最後匯出的 CSV 檔案」按鈕將會啟用。
-
下載:點擊「下載最後建立的匯出檔案」按鈕以取得.zip格式的匯出資料。這些資料將可供下載,直到使用者啟動另一個非同步匯出或 3 天過去(以先發生者為準)。該按鈕將保持啟用狀態,直到啟動另一個非同步匯出。
-
限制:
-
目前,每位使用者每個活動和活動分析表的非同步下載次數限制為 1 次,每位租用戶的非同步下載次數限制為 3 次。
-
對於活動表,匯出的資料限制為最多 100 萬筆記錄;而對於分組,限制為 50 萬筆記錄。
-
代理程式上的 /opt/netapp/cloudsecure/agent/export-script/ 處有一個透過 API 提取取證資料的範例腳本。有關該腳本的更多詳細信息,請參閱此處的自述文件。
所有活動的列選擇
_所有活動_表預設顯示選定列。若要新增、刪除或變更列,請按一下表格右側的齒輪圖標,然後從可用列清單中進行選擇。
活動歷史記錄保留
對於活躍的工作負載安全環境,活動記錄將保留 13 個月。
取證頁面中過濾器的適用性
| 篩選 | 它的作用 | 例子 | 適用於這些過濾器 | 不適用於這些過濾器 | 結果 |
|---|---|---|---|---|---|
*(星號) |
讓您搜尋一切 |
Auto*03172022 如果搜尋文字包含連字號或底線,請在括號中給出表達式。例如,(svm*) 用於搜尋 svm-123 |
使用者、實體類型、裝置、磁碟區、原始路徑、第一層資料夾、第二層資料夾、第三層資料夾、第四層資料夾、實體名稱、來源 IP |
傳回所有以「Auto」開頭並以「03172022」結尾的資源 |
|
? (問號) |
使您能夠搜尋特定數量的字符 |
AutoSabotageUser1_03172022? |
使用者、實體類型、裝置、磁碟區、第一層資料夾、第二層資料夾、第三層資料夾、第四層資料夾、實體名稱、來源 IP |
返回 AutoSabotageUser1_03172022A、AutoSabotageUser1_03172022B、AutoSabotageUser1_031720225 等等 |
|
或者 |
使您能夠指定多個實體 |
AutoSabotageUser1_03172022 或 AutoRansomUser4_03162022 |
使用者、網域、實體類型、原始路徑、實體名稱、來源 IP |
傳回 AutoSabotageUser1_03172022 或 AutoRansomUser4_03162022 中的任一個 |
|
不是 |
允許您從搜尋結果中排除文本 |
NOT AutoRansomUser4_03162022 |
使用者、網域、實體類型、原始路徑、一級資料夾、二級資料夾、三級資料夾、四級資料夾、實體名稱、來源 IP |
裝置 |
傳回所有不以「AutoRansomUser4_03162022」開頭的內容 |
沒有任何 |
在所有欄位中搜尋 NULL 值 |
沒有任何 |
領域 |
傳回目標欄位為空的結果 |
路徑搜尋
有和沒有 / 的搜尋結果會有所不同
“/AutoDir1/AutoFile03242022” |
僅精確搜尋有效;傳回所有具有精確路徑為 /AutoDir1/AutoFile03242022 的活動(不區分大小寫) |
“/AutoDir1/” |
有效;傳回與 AutoDir1 相符的第一級目錄的所有活動(不區分大小寫) |
“/AutoDir1/AutoFile03242022/” |
有效;傳回與 AutoDir1 相符的第一級目錄和與 AutoFile03242022 相符的第二層目錄的所有活動(不區分大小寫) |
/AutoDir1/AutoFile03242022 或 /AutoDir1/AutoFile03242022 |
不起作用 |
不是/AutoDir1/AutoFile03242022 |
不起作用 |
不是/AutoDir1 |
不起作用 |
不是/AutoFile03242022 |
不起作用 |
* |
不起作用 |
本機根 SVM 使用者活動變化
如果本機根 SVM 使用者正在執行任何活動,現在將在使用者名稱中考慮安裝 NFS 共用的用戶端的 IP,該 IP 將在取證活動和使用者活動頁面中顯示為 root@<ip-address-of-the-client>。
例如:
-
如果 SVM-1 由 Workload Security 監控,且該 SVM 的根使用者在 IP 位址為 10.197.12.40 的用戶端上掛載共用,則取證活動頁面中顯示的使用者名稱將為 root@10.197.12.40。
-
如果將同一個 SVM-1 安裝到 IP 位址為 10.197.12.41 的另一個用戶端,則取證活動頁面中顯示的使用者名稱將為 root@10.197.12.41。
*• 這樣做是為了透過 IP 位址隔離 NFS 根使用者活動。以前,所有活動都被認為僅由_root_用戶完成,沒有IP區別。
故障排除
問題 |
嘗試一下 |
在「所有活動」表中的「使用者」欄位下,使用者名稱顯示為:「ldap:HQ.COMPANYNAME.COM:S-1-5-21-3577637-1906459482-1437260136-1831817」或「ldap:default:80038 |
可能的原因有:1.尚未配置使用者目錄收集器。若要新增一個,請前往*工作負載安全性>收集器>使用者目錄收集器*,然後按一下*+使用者目錄收集器*。選擇“Active Directory”或“LDAP 目錄伺服器”。2.已配置使用者目錄收集器,但它已停止或處於錯誤狀態。請前往*收集器>使用者目錄收集器*並檢查狀態。請參閱"使用者目錄收集器故障排除"請參閱文件中的故障排除提示部分。正確配置後,名稱將在 24 小時內自動解析。如果仍然沒有解決,請檢查您是否已新增了正確的使用者資料收集器。確保該使用者確實是所新增的 Active Directory/LDAP 目錄伺服器的一部分。 |
某些 NFS 事件在 UI 中看不到。 |
檢查以下內容:1.應執行設定了 POSIX 屬性的 AD 伺服器的使用者目錄收集器,並從 UI 啟用 unixid 屬性。2.從 UI 3 在使用者頁面中搜尋時,應該可以看到任何進行 NFS 存取的使用者。 NFS 4 不支援原始事件(尚未發現使用者的事件)。對 NFS 導出的匿名存取將不會受到監控。5.確保使用的 NFS 版本為 4.1 或更低版本。 (請注意, ONTAP 9.15 或更高版本支援 NFS 4.1。) |
在取證_所有活動_或_實體_頁面的篩選器中輸入一些包含萬用字元(如星號 (*))的字母後,頁面載入速度非常慢。 |
搜尋字串中的星號 (*) 可搜尋所有內容。但是,以 *<searchTerm> 或 *<searchTerm>* 等為首的通配符字串將導致查詢速度變慢。為了獲得更好的效能,請改用前綴字串,格式為 <searchTerm>*(換句話說,在搜尋字詞後面附加星號 (*))。範例:使用字串 testvolume*,而不是 *testvolume 或 *test*volume。使用目錄搜尋以遞歸方式查看給定資料夾下的所有活動(分層搜尋)。例如,「/path1/path2/path3/」將以遞歸方式列出 /path1/path2/path3 下的所有活動。或使用「所有活動」標籤下的「新增至篩選器」選項。 」 |
使用路徑過濾器時遇到「請求失敗,狀態代碼 500/503」錯誤。 |
嘗試使用較小的日期範圍來篩選記錄。 |
使用 path 過濾器時,Forensic UI 載入資料的速度很慢。 |
目錄路徑過濾器(以 / 結尾的路徑字串)建議深度最多為 4 個目錄,以便更快獲得結果。例如,如果目錄路徑是 /Aaa/Bbb/Ccc/Ddd,請嘗試搜尋“/Aaa/Bbb/Ccc/Ddd/”以更快地載入資料。 |
使用實體名稱過濾器時,Forensics UI 載入資料緩慢且故障。 |
請嘗試使用較小的時間範圍並使用雙引號進行精確值搜尋。例如,如果 entityPath 是“/home/userX/nested1/nested2/nested3/testfile.txt”,則嘗試使用“testfile.txt”作為實體名稱過濾器。 |