Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

規劃稽核組態

貢獻者
PDF

在儲存虛擬機器(SVM)上設定稽核之前、您必須先瞭解可用的組態選項、並針對每個選項規劃您要設定的值。此資訊可協助您設定稽核組態、以滿足您的業務需求。

所有稽核組態都有一些通用的組態參數。

此外、您也可以使用某些參數來指定在旋轉合併和轉換的稽核記錄時使用哪些方法。您可以在設定稽核時指定下列三種方法之一:

  • 根據記錄大小來旋轉記錄

    這是用來旋轉記錄的預設方法。

  • 根據排程來旋轉記錄

  • 根據記錄大小和排程來旋轉記錄(以先發生的事件為準) f

至少應設定一種記錄輪調方法。

所有稽核組態的通用參數

建立稽核組態時、必須指定兩個必要參數。您也可以指定三個選用參數:

資訊類型

選項

必要

包括

您的價值

SVM名稱

要在其中建立稽核組態的SVM名稱。SVM必須已經存在。

-vserver vserver_name

是的

是的

記錄目的地路徑

指定儲存已轉換稽核記錄的目錄、通常是專屬磁碟區或qtree。路徑必須已存在於SVM命名空間中。

路徑長度最多可達864個字元、且必須具有讀寫權限。

如果路徑無效、稽核組態命令就會失敗。

如果SVM是SVM災難恢復來源、則記錄目的地路徑無法位於根磁碟區上。這是因為根磁碟區內容並未複寫到災難恢復目的地。

您無法將FlexCache 無法使用的功能區當成記錄目的地ONTAP (例如、更新版本的更新版本)。

-destination text

是的

是的

要稽核的事件類別_

指定要稽核的事件類別。您可以稽核下列事件類別:

  • 檔案存取事件(SMB和NFSv4)

  • SMB登入和登出事件

  • 集中存取原則執行事件

    從 Windows 2012 Active Directory 網域開始、就可以使用中央存取原則的移位事件。

  • 檔案共用類別事件

  • 稽核原則變更事件

  • 本機使用者帳戶管理事件

  • 安全性群組管理事件

  • 授權原則變更事件

預設為稽核檔案存取和SMB登入及登出事件。

  • 備註: * 您可以先指定 cap-staging 在事件類別中、 SVM 上必須存在 SMB 伺服器。雖然您可以在稽核組態中啟用集中存取原則接移功能、但不會在SMB伺服器上啟用動態存取控制、但只有啟用動態存取控制時、才會產生集中存取原則接移事件。動態存取控制是透過SMB伺服器選項來啟用。預設不會啟用此功能。

-events {file-ops

cifs-logon-logoff

cap-staging

file-share

audit-policy-change

user-account

security-group

authorization-policy-change}

記錄檔案輸出格式

決定稽核記錄的輸出格式。輸出格式可以是 ONTAP 專用格式 XML 或 Microsoft Windows EVTX 記錄格式。依預設、輸出格式為 EVTX

-format {xml

evtx}

記錄檔案旋轉限制

決定要保留多少稽核記錄檔、然後再將最舊的記錄檔轉出。例如、如果您輸入的值 5,最後五個記錄檔會保留。

的值 0 表示保留所有記錄檔。預設值為 0 。

-rotate-limit integer

用於判斷何時旋轉稽核事件記錄的參數

根據記錄大小旋轉記錄

預設值是根據大小來旋轉稽核記錄。

  • 預設記錄大小為100 MB

  • 如果您要使用預設的記錄檔旋轉方法和預設的記錄檔大小、則不需要設定任何特定的記錄檔旋轉參數。

  • 如果您想要根據記錄檔大小來旋轉稽核記錄檔、請使用下列命令來取消設定 -rotate-schedule-minute 參數: vserver audit modify -vserver vs0 -destination / -rotate-schedule-minute -

如果您不想使用預設記錄大小、可以設定 -rotate-size 指定自訂記錄大小的參數:

資訊類型

選項

必要

包括

您的價值

記錄檔案大小限制

決定稽核記錄檔大小限制。

-rotate-size {integer[kb

MB

GB

TB

根據排程旋轉記錄

如果您選擇根據排程來旋轉稽核記錄、您可以使用任何組合的時間型旋轉參數來排程記錄輪調。

  • 如果您使用時間型旋轉、則會使用 -rotate-schedule-minute 參數為必填。

  • 所有其他的時間型旋轉參數都是選用的。

  • 旋轉排程是使用所有與時間相關的值來計算。

    例如、如果您只指定 -rotate-schedule-minute 參數時、稽核記錄檔會根據一週中所有天所指定的分鐘數、在一年中所有月份的所有小時內進行旋轉。

  • 如果只指定一或兩個時間型旋轉參數(例如、 -rotate-schedule-month-rotate-schedule-minutes)、記錄檔會根據您在一週的所有天、所有時間、但僅在指定的月份內所指定的分鐘值來旋轉。

    例如、您可以指定稽核日誌在一月、三月和八月的所有週一、週三和週六上午10:30進行輪調

  • 如果您同時指定兩者的值 -rotate-schedule-dayofweek 和 `-rotate-schedule-day`的問題。

    例如、如果您指定 -rotate-schedule-dayofweek 星期五和 -rotate-schedule-day 截至 13 日、稽核記錄將會在每週五和指定月份的第 13 天、而不只是在每週五的第 13 天輪調。

  • 如果您想要根據排程來旋轉稽核記錄檔、請使用下列命令來取消設定 -rotate-size 參數: vserver audit modify -vserver vs0 -destination / -rotate-size -

您可以使用下列可用稽核參數清單、來決定要使用哪些值來設定稽核事件記錄輪調的排程:

資訊類型

選項

必要

包括

您的價值

記錄輪調排程:月

決定每月循環稽核記錄的排程。

有效值為 January 透過 December`和 `all。例如、您可以指定稽核日誌在1月、3月和8月期間輪調。

-rotate-schedule-month chron_month

記錄輪調排程:週中日

決定每日(一週中的某天)排程以循環稽核記錄。

有效值為 Sunday 透過 Saturday`和 `all。例如、您可以指定稽核日誌在週二和週五、或一週中的所有日子循環顯示。

-rotate-schedule-dayofweek chron_dayofweek

記錄輪調排程:天

決定每月的日期排程、以循環稽核記錄。

有效值範圍從 1 透過 31。例如、您可以指定稽核日誌在每月的第10天和第20天、或每月的所有天進行旋轉。

-rotate-schedule-day chron_dayofmonth

_記錄輪調排程:hour _

決定每小時循環稽核記錄的排程。

有效值範圍從 0 (午夜)至 23 (下午 11 : 00 )。指定 all 每小時輪換稽核記錄。例如、您可以指定稽核日誌的旋轉時間為6(上午6點)和18(下午6點)。

-rotate-schedule-hour chron_hour

記錄輪調排程:分

決定稽核日誌的分鐘排程。

有效值範圍從 059。例如、您可以指定稽核日誌在30分鐘內旋轉。

-rotate-schedule-minute chron_minute

是、如果設定排程型記錄輪調、則為否

根據記錄大小和排程來旋轉記錄

您可以選擇根據記錄大小和排程來旋轉記錄檔、方法是同時設定 -rotate-size 參數和時間型旋轉參數。例如: IF -rotate-size 設為 10 MB 、且 -rotate-schedule-minute 設為 15 、當記錄檔大小達到 10 MB 或每小時 15 分鐘(以先發生的事件為準)時、記錄檔會旋轉。