Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

稽核替代NTFS資料流時的考量事項

貢獻者
PDF

在使用NTFS替代資料流稽核檔案時、您必須謹記某些考量事項。

要稽核的物件位置會使用兩個標籤(即)記錄在事件記錄中 ObjectName 標記(路徑)和 HandleID 標記(控點)。若要正確識別正在記錄的串流要求、您必須知道ONTAP 這些欄位中有哪些資料流是NTFS替代資料串流的佐證記錄:

  • evtxID:4656個事件(開啟並建立稽核事件)

    • 替代資料串流的路徑會記錄在中 ObjectName 標記。

    • 替代資料串流的處理方式會記錄在中 HandleID 標記。

  • evtxID:4663個事件(所有其他稽核事件、例如讀取、寫入、getattr等)

    • 基礎檔案的路徑、而非替代資料串流、會記錄在中 ObjectName 標記。

    • 替代資料串流的處理方式會記錄在中 HandleID 標記。

範例

下列範例說明如何使用識別 evtx ID : 4663 個事件以用於替代資料串流 HandleID 標記。即使是 ObjectName 在讀取稽核事件中記錄的標記(路徑)位於基礎檔案路徑 HandleID 標記可用於將事件識別為替代資料串流的稽核記錄。

串流檔案名稱採用格式 base_file_name:stream_name。在此範例中 dir1 目錄包含基礎檔案、具有下列路徑的替代資料串流:

/dir1/file1.txt
/dir1/file1.txt:stream1
註

下列事件範例中的輸出會如所示被刪減;輸出不會顯示事件的所有可用輸出標記。

對於 evtx ID 4656 (開放式稽核事件)、替代資料串流的稽核記錄輸出會在中記錄替代資料串流名稱 ObjectName 標記:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4656</EventID>
  <EventName>Open Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt:stream1</Data\>          **
  [...]
  </EventData>
  </Event>
- <Event>

對於 evtx ID 4663 (讀取稽核事件)、相同替代資料串流的稽核記錄輸出會在中記錄基礎檔案名稱 ObjectName 標記;不過、中的控點 HandleID 標記是替代資料串流的處理方式、可用於將此事件與替代資料串流建立關聯:

- <Event>
- <System>
  <Provider Name="Netapp-Security-Auditing" />
  <EventID>4663</EventID>
  <EventName>Read Object</EventName>
  [...]
  </System>
- <EventData>
  [...]
  **<Data Name="ObjectType"\>Stream</Data\>
  <Data Name="HandleID"\>00000000000401;00;000001e4;00176767</Data\>
  <Data Name="ObjectName"\>\(data1\);/dir1/file1.txt</Data\> **
  [...]
  </EventData>
  </Event>
- <Event>