可稽核的SMB事件總覽
建議變更
PDF
可稽核特定的SMB事件、包括特定檔案和資料夾存取事件、特定登入和登出事件、以及集中存取原則暫存事件。ONTAP瞭解哪些存取事件可以稽核、有助於解讀事件記錄的結果。
下列額外的SMB事件可在ONTAP 下列版本中進行稽核:
事件ID(EVT/evtx) |
活動 |
說明 |
類別 |
4670 |
物件權限已變更 |
物件存取:權限已變更。 |
檔案存取 |
4907 |
物件稽核設定已變更 |
物件存取:稽核設定已變更。 |
檔案存取 |
4913. |
物件中心存取原則已變更 |
物件存取:CAP已變更。 |
檔案存取 |
下列SMB事件ONTAP 可在下列版本中透過下列功能進行稽核:
事件ID(EVT/evtx) |
活動 |
說明 |
類別 |
540/4624 |
帳戶已成功登入 |
登入/登出:網路(SMB)登入。 |
登入與登出 |
598/4625 |
帳戶無法登入 |
登入/登出:不明的使用者名稱或錯誤的密碼。 |
登入與登出 |
530/4625 |
帳戶無法登入 |
登入/登出:帳戶登入時間限制。 |
登入與登出 |
531/4625 |
帳戶無法登入 |
登入/登出:帳戶目前已停用。 |
登入與登出 |
532/4625 |
帳戶無法登入 |
登入/登出:使用者帳戶已過期。 |
登入與登出 |
533/4625 |
帳戶無法登入 |
登入/登出:使用者無法登入此電腦。 |
登入與登出 |
534/4625 |
帳戶無法登入 |
登入/登出:使用者未在此授予登入類型。 |
登入與登出 |
535/4625 |
帳戶無法登入 |
登入/登出:使用者密碼已過期。 |
登入與登出 |
537-4625 |
帳戶無法登入 |
登入/登出:登入失敗的原因並非上述原因。 |
登入與登出 |
5310/4625 |
帳戶無法登入 |
登入/登出:帳戶已鎖定。 |
登入與登出 |
538/4634 |
帳戶已登出 |
登入/登出:本機或網路使用者登出。 |
登入與登出 |
560/ 4656 |
開啟物件/建立物件 |
物件存取:物件(檔案或目錄)開啟。 |
檔案存取 |
563/4659 |
開啟要刪除的物件 |
物件存取:要求物件(檔案或目錄)的控點、目的是刪除。 |
檔案存取 |
564/4660 |
刪除物件 |
物件存取:刪除物件(檔案或目錄)。當Windows用戶端嘗試刪除物件(檔案或目錄)時、會產生此事件。ONTAP |
檔案存取 |
567/4663 |
讀取物件/寫入物件/取得物件屬性/設定物件屬性 |
物件存取:物件存取嘗試(讀取、寫入、取得屬性、設定屬性)。 附註: ONTAP 針對此活動、僅針對物件上的第一個SMB讀取和第一個SMB寫入作業(成功或失敗)進行不稽核。這可防止ONTAP 在單一用戶端開啟物件並對同一個物件執行多次連續的讀取或寫入作業時、造成過多的記錄項目。 |
檔案存取 |
NA/4664 |
硬式連結 |
物件存取:嘗試建立硬式連結。 |
檔案存取 |
NA/4818 |
建議的集中存取原則並未授予與目前集中存取原則相同的存取權限 |
物件存取:集中存取原則Staging。 |
檔案存取 |
NA/ NA Data ONTAP 不適用事件ID 9999 |
重新命名物件 |
物件存取:物件已重新命名。這是一個不確定的事件。ONTAPWindows目前不支援將它當成單一事件。 |
檔案存取 |
NA/ NA Data ONTAP 不景事件ID 9998 |
取消連結物件 |
物件存取:物件未連結。這是一個不確定的事件。ONTAPWindows目前不支援將它當成單一事件。 |
檔案存取 |
活動4656的其他相關資訊
。 HandleID 稽核中的標記 XML 事件包含所存取物件(檔案或目錄)的處理方式。。 HandleID evtx 4656 事件的標記包含不同的資訊、取決於開啟的事件是用於建立新物件或開啟現有物件:
-
如果開啟的事件是建立新物件(檔案或目錄)的開放式要求、則
HandleID稽核 XML 事件中的標記顯示為空白HandleID(例如:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>)。。
HandleID為空白、因為在實際物件建立之前和處理代碼存在之前、會先稽核開啟(用於建立新物件)的要求。相同物件的後續稽核事件在中具有適當的物件控點HandleID標記。 -
如果開啟的事件是開啟現有物件的開放式要求、則稽核事件會在中指派該物件的處理代碼
HandleID標記(例如:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>)。