Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

NAS 檔案系統稽核

貢獻者

NAS 檔案系統在現今的威脅環境中佔用更多資源、因此稽核功能對於支援可見度至關重要。

安全性需要驗證。ONTAP 9 可在整個解決方案中提供更多的稽核事件和詳細資料。由於 NAS 檔案系統在現今的威脅環境中佔用更多資源、因此稽核功能對於支援可見度至關重要。由於 ONTAP 9 的稽核功能有所改善、 CIFS 稽核詳細資料比以往更豐富。關鍵詳細資料、包括下列資訊、會記錄建立的事件:

  • 檔案、資料夾及共用存取

  • 建立、修改或刪除的檔案

  • 成功的檔案讀取存取

  • 嘗試讀取或寫入檔案失敗

  • 資料夾權限變更

建立稽核組態

您必須啟用 CIFS 稽核、才能產生稽核事件。使用 vserver audit create 命令建立稽核組態。根據預設、稽核記錄會根據大小使用旋轉方法。如果在「旋轉參數」欄位中指定、您可以使用時間型旋轉選項。其他記錄稽核輪調組態詳細資料包括輪調排程、輪調限制、一週的輪調天數、以及輪調大小。下列文字提供範例組態、描述稽核組態、使用每月的時間輪換、排定在每週的所有日期 12 : 30 進行。

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

CIFS 稽核事件

CIFS 稽核事件如下:

  • * 檔案共用 * :使用相關命令新增、修改或刪除 CIFS 網路共用時、會產生稽核事件 vserver cifs share

  • * 稽核原則變更 * :使用相關命令停用、啟用或修改稽核原則時,會產生稽核事件 vserver audit

  • * 使用者帳戶 * :建立或刪除本機 CIFS 或 UNIX 使用者時、會產生稽核事件;啟用、停用或修改本機使用者帳戶;或重設或變更密碼。此事件使用 vserver cifs users-and-groups local-group 命令或相關 vserver services name-service unix-user 命令。

  • * 安全性群組 * :使用命令或相關命令建立或刪除本機 CIFS 或 UNIX 安全性群組時、會產生稽核事件 vserver cifs users-and-groups local-group vserver services name-service unix-group

  • * 授權原則變更 * :使用命令授與或撤銷 CIFS 使用者或 CIFS 群組的權限時、會產生稽核事件 vserver cifs users-and-groups privilege

註 這項功能是以系統稽核功能為基礎、可讓系統管理員從資料使用者的角度來檢閱系統允許和執行的項目。

REST API 對 NAS 稽核的影響

ONTAP 包括管理員帳戶使用 REST API 存取及操作 SMB/CIFS 或 NFS 檔案的能力。雖然 REST API 只能由 ONTAP 管理員執行、 REST API 命令卻會略過系統 NAS 稽核記錄。此外、 ONTAP 系統管理員也可以在使用 REST API 時略過檔案權限。不過、系統命令記錄檔會擷取系統管理員對檔案執行 REST API 的動作。

建立無存取權限 REST API 角色

您可以建立無法透過 REST 存取 ONTAP 磁碟區的 REST API 角色、以防止 ONTAP 管理員使用 REST API 進行檔案存取。若要配置此角色、請完成下列步驟。

步驟
  1. 建立新的 REST 角色、此角色無法存取儲存磁碟區、但具有所有其他 REST API 存取權。

    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none
    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
  2. 將系統管理員帳戶指派給您在上一個步驟中建立的新 REST API 角色。

    cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
註 如果您想阻止內置 ONTAP 羣集管理員帳戶使用 REST API 進行文件訪問,則需要先 "建立新的系統管理員帳戶、並停用或刪除內建帳戶"執行。