本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

稽核替代NTFS資料流時的考量事項

07/31/2023 貢獻者

在使用NTFS替代資料流稽核檔案時、您必須謹記某些考量事項。

要稽核的物件位置會使用兩個標籤（即）記錄在事件記錄中 ObjectName 標記（路徑）和 HandleID 標記（控點）。若要正確識別正在記錄的串流要求、您必須知道ONTAP 這些欄位中有哪些資料流是NTFS替代資料串流的佐證記錄：

evtxID：4656個事件（開啟並建立稽核事件）
- 替代資料串流的路徑會記錄在中 ObjectName 標記。
- 替代資料串流的處理方式會記錄在中 HandleID 標記。
evtxID：4663個事件（所有其他稽核事件、例如讀取、寫入、getattr等）
- 基礎檔案的路徑、而非替代資料串流、會記錄在中 ObjectName 標記。
- 替代資料串流的處理方式會記錄在中 HandleID 標記。

範例

下列範例說明如何使用識別 evtx ID ： 4663 個事件以用於替代資料串流 HandleID 標記。即使是 ObjectName 在讀取稽核事件中記錄的標記（路徑）位於基礎檔案路徑 HandleID 標記可用於將事件識別為替代資料串流的稽核記錄。

串流檔案名稱採用格式 base_file_name:stream_name。在此範例中 dir1 目錄包含基礎檔案、具有下列路徑的替代資料串流：

/dir1/file1.txt
/dir1/file1.txt:stream1

下列事件範例中的輸出會如所示被刪減；輸出不會顯示事件的所有可用輸出標記。

對於 evtx ID 4656 （開放式稽核事件）、替代資料串流的稽核記錄輸出會在中記錄替代資料串流名稱 ObjectName 標記：

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

對於 evtx ID 4663 （讀取稽核事件）、相同替代資料串流的稽核記錄輸出會在中記錄基礎檔案名稱 ObjectName 標記；不過、中的控點 HandleID 標記是替代資料串流的處理方式、可用於將此事件與替代資料串流建立關聯：

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>

稽核替代NTFS資料流時的考量事項

Creating your file...