Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

建立稽核組態

貢獻者

在儲存虛擬機器(SVM)上建立檔案和目錄稽核組態、包括瞭解可用的組態選項、規劃組態、然後設定和啟用組態。然後您可以顯示稽核組態的相關資訊、以確認所產生的組態為所需的組態。

在開始稽核檔案和目錄事件之前、您必須先在儲存虛擬機器(SVM)上建立稽核組態。

開始之前

如果您打算建立稽核組態以進行集中存取原則暫存、則SVM上必須有SMB伺服器。

註
  • 雖然您可以在稽核組態中啟用集中存取原則接移功能、但不會在SMB伺服器上啟用動態存取控制、但只有啟用動態存取控制時、才會產生集中存取原則接移事件。

    動態存取控制是透過SMB伺服器選項來啟用。預設不會啟用此功能。

  • 如果命令中某個欄位的引數無效、例如欄位的輸入無效、項目重複、以及項目不存在、則命令會在稽核階段之前失敗。

    此類失敗不會產生稽核記錄。

關於這項工作

如果SVM是SVM災難恢復來源、則目的地路徑無法位於根磁碟區上。

步驟
  1. 使用規劃工作表中的資訊、建立稽核組態、根據記錄大小或排程來旋轉稽核記錄:

    如果您想要以下列方式來旋轉稽核記錄…​

    輸入…​

    記錄檔大小

    `vserver audit create -vserver vserver_name -destination path -events [{file-ops

    cifs-logon-logoff

    cap-staging

    file-share

    authorization-policy-change

    user-account

    security-group

    authorization-policy-change}] [-format {xml

    evtx}] [-rotate-limit integer] [-rotate-size {integer[KB

    MB

    GB

    TB

    PB]}]`

    排程

    `vserver audit create -vserver vserver_name -destination path -events [{file-ops

    cifs-logon-logoff

    cap-staging}] [-format {xml

範例

下列範例會建立稽核組態、以大小為基礎的旋轉方式來稽核檔案作業和SMB登入及登出事件(預設值)。記錄格式為 EVTX (預設)。記錄會儲存在中 /audit_log 目錄。記錄檔大小限制為 200 MB。當記錄大小達到200 MB時、就會進行旋轉:

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-size 200MB

下列範例會建立稽核組態、以大小為基礎的旋轉方式來稽核檔案作業和SMB登入及登出事件(預設值)。記錄格式為 EVTX (預設)。記錄會儲存在中 /cifs_event_logs 目錄。記錄檔大小限制為 100 MB (預設值)、且記錄輪調限制為 5

cluster1::> vserver audit create -vserver vs1 -destination /cifs_event_logs -rotate-limit 5

下列範例建立稽核組態、以稽核檔案作業、CIFS登入和登出事件、以及使用時間型輪調的集中存取原則暫存事件。記錄格式為 EVTX (預設)。稽核記錄會每月於下午12:30循環一次一週中的所有天。日誌輪轉限制為 5

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -events file-ops,cifs-logon-logoff,file-share,audit-policy-change,user-account,security-group,authorization-policy-change,cap-staging -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30 -rotate-limit 5