Mengaudit akses kunci - fsX untuk ONTAP
Gambaran umum audit akses fileIkhtisar tugas untuk menyiapkan audit akses file

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaudit akses kunci

Amazon FSx for NetApp ONTAP men-support audit akses pengguna akhir ke file dan direktori di mesin virtual (SVM)

Gambaran umum audit akses file

Mengaudit akses file memungkinkan Anda merekam akses pengguna akhir atas file tunggal dan direktori tunggal berdasarkan kebijakan audit yang telah Anda tentukan. Audit akses file dapat membantu Anda meningkatkan keamanan sistem dan mengurangi risiko akses tidak sah ke data sistem Anda. Audit akses file membantu organisasi Anda tetap mematuhi persyaratan perlindungan data, mengidentifikasi potensi ancaman sejak dini, dan mengurangi risiko pelanggaran data.

Di seluruh file dan direktori, Amazon FSx men-support pencatatan upaya yang berhasil (seperti pengguna dengan izin yang berhasil mengakses file), upaya yang gagal, atau keduanya. Anda juga dapat menonaktifkan audit akses file kapan saja.

Secara default, log peristiwa audit disimpan dalam formatEVTX file, yang memungkinkan Anda melihatnya menggunakan Microsoft Event Viewer.

Peristiwa akses SMB yang dapat diaudit

Tabel berikut mencantumkan file SMB dan folder akses peristiwa dapat diaudit.

ID Acara (EVT/EVTX) Peristiwa Deskripsi Kategori

560/4656

Buka Object/Buat Object

AKSES OBJEK: Objek (file atau direktori) terbuka

Akses file

563/4659

Buka Object dengan Intent to Delete

AKSES OBJEK: Pegangan ke objek (file atau direktori) diminta dengan Intent to Delete

Akses file

564/4660

Menghapus Objek

AKSES OBJEK: Hapus Object (file atau direktori). ONTAP menghasilkan acara ini ketika klien Windows mencoba untuk menghapus objek (file atau direktori)

Akses file

567/4663

Baca Objek/Tulis Objek/Dapatkan Atribut Objek/Set Objek Atribut

AKSES OBJEK: Upaya akses objek (baca, tulis, dapatkan atribut, set atribut).

catatan

Untuk acara ini, ONTAP hanya mengaudit operasi baca SMB pertama dan penulisan SMB pertama (sukses atau gagal) pada suatu objek. Ini mencegah ONTAP membuat entri log yang berlebihan ketika satu klien membuka objek dan melakukan banyak operasi baca atau tulis berturut-turut ke objek yang sama.

Akses file

N/4664

Tautan keras

AKSES OBJEK: Upaya dilakukan untuk membuat hard link

Akses file

N/A/N/A ONTAP ID Acara 9999

Ubah Nama Objek

OBJECT ACCESS: Object berganti nama. Ini adalah acara ONTAP. Saat ini tidak didukung oleh Windows sebagai acara tunggal.

Akses file

N/A/N/A ONTAP ID Acara 9998

Unlink Obyek

OBJEK ACCESS: Obyek unlinked. Ini adalah acara ONTAP. Saat ini tidak didukung oleh Windows sebagai acara tunggal.

Akses file

peristiwa akses NFS yang dapat diaudit

Peristiwa akses file dan folder NFS berikut dapat diaudit.

  • MEMBACA

  • BUKA

  • TUTUP

  • READDIR

  • MENULIS

  • SETATTR

  • BUAT

  • PRANALA

  • OPENATTR

  • REMOVE (HAPUS)

  • GETATTR

  • MEMVERIFIKASI

  • NVERIFIKASI

  • GANTI NAMA

Ikhtisar tugas untuk menyiapkan audit akses file

Menyiapkan FSx for ONTAP untuk audit akses file melibatkan tugas tingkat tinggi berikut ini:

  1. Biasakan diri Anda dengan persyaratan dan pertimbangan audit akses file.

  2. Buat konfigurasi audit pada SVM tertentu.

  3. Aktifkan audit pada SVM itu.

  4. Konfigurasikan kebijakan audit pada file dan direktori Anda.

  5. Lihat log peristiwa audit setelah FSx untuk ONTAP memancarkannya.

Rincian tugas disediakan dalam prosedur berikut.

Ulangi tugas untuk SVM lain pada sistem file Anda yang ingin Anda aktifkan audit akses file

Persyaratan audit

Sebelum mengkonfigurasi dan mengaktifkan audit pada SVM, Anda harus mengetahui persyaratan dan pertimbangan berikut.

  • NFS audit mendukung audit Access Control Entries (ACE) ditunjuk sebagai jenisu, yang menghasilkan entri log audit ketika akses dicoba pada objek. Untuk audit NFS, tidak ada pemetaan antara bit mode dan ACE audit. Saat mengonversi ACL ke bit mode, ACE audit dilewati. Saat mengonversi bit mode ke ACL, ACE audit tidak dihasilkan.

  • Audit tergantung pada memiliki ruang yang tersedia dalam volume pementasan. (Volume pementasan adalah volume khusus yang dibuat oleh ONTAP untuk menyimpan file pementasan, yang merupakan file biner perantara pada node individu tempat catatan audit disimpan sebelum konversi ke format file EVTX atau XML.) Anda harus memastikan bahwa ada ruang yang cukup untuk volume pementasan dalam agregat yang berisi volume yang diaudit.

  • Audit tergantung pada memiliki ruang yang tersedia dalam volume yang berisi direktori tempat log peristiwa audit yang dikonversi disimpan. Anda harus memastikan bahwa ada cukup ruang dalam volume yang digunakan untuk menyimpan log acara. Anda dapat menentukan jumlah log audit yang akan disimpan di direktori audit dengan menggunakan-rotate-limit parameter saat membuat konfigurasi audit, yang dapat membantu memastikan bahwa ada cukup ruang yang tersedia untuk log audit dalam volume.

Membuat konfigurasi audit pada SVM

Sebelum Anda dapat mulai mengaudit file dan direktori peristiwa, Anda harus membuat konfigurasi audit pada Storage Virtual Machine (SVM). Setelah membuat konfigurasi audit, Anda harus mengaktifkan pada SVM.

Sebelum Anda menggunakanvserver audit create perintah untuk membuat konfigurasi audit, pastikan Anda telah membuat direktori untuk digunakan sebagai tujuan untuk log, dan bahwa direktori tidak memiliki symlink. Anda menentukan direktori tujuan dengan-destination parameter.

Anda dapat membuat konfigurasi audit yang memutar log audit berdasarkan ukuran log atau jadwal, sebagai berikut:

  • Untuk memutar log audit berdasarkan ukuran log, gunakan perintah ini:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    Contoh berikut membuat konfigurasi audit untuk SVM bernamasvm1 yang mengaudit operasi file dan logon CIFS (SMB) dan peristiwa logoff (default) menggunakan rotasi berbasis ukuran. Format log adalahEVTX (default), log disimpan dalam/audit_log direktori, dan Anda akan memiliki file log tunggal pada satu waktu (hingga 200MB dalam ukuran).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Untuk memutar log audit berdasarkan jadwal, gunakan perintah ini:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    -rotate-schedule-minuteParameter diperlukan jika Anda mengonfigurasi rotasi log audit berbasis waktu.

    Contoh berikut membuat konfigurasi audit untuk SVM bernamasvm2 menggunakan rotasi berbasis waktu. Format log adalahEVTX (default) dan log audit diputar setiap bulan, pukul 12:30 pada semua hari dalam seminggu.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Anda dapat menggunakan-format parameter untuk menentukan apakah log audit dibuat dalamEVTX format yang dikonversi (default) atau dalam formatXML file. EVTXFormat ini memungkinkan Anda untuk melihat file log dengan Microsoft Event Viewer.

Secara default, kategori peristiwa yang akan diaudit adalah peristiwa akses file (baik SMB dan NFS), CIFS (SMB) logon dan peristiwa logoff, dan peristiwa perubahan kebijakan otorisasi. Anda dapat memiliki kontrol yang lebih besar atas peristiwa mana yang akan dicatat oleh-events parameter, yang memiliki format berikut:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Misalnya, menggunakan-events file-share memungkinkan audit peristiwa berbagi file.

Untuk informasi selengkapnya tentangvserver audit create perintah, lihat Membuat konfigurasi audit.

Mengaktifkan audit pada SVM

Setelah selesai menyiapkan konfigurasi audit, Anda harus mengaktifkan audit di SVM. Untuk melakukannya, gunakan perintah berikut:

vserver audit enable -vserver svm_name

Misalnya, gunakan perintah berikut untuk mengaktifkan audit pada SVM yang bernamasvm1.

vserver audit enable -vserver svm1

Anda dapat menonaktifkan audit akses kapan saja. Misalnya, gunakan perintah berikut untuk menonaktifkan audit pada SVM bernamasvm4.

vserver audit disable -vserver svm4

Bila Anda menonaktifkan audit, konfigurasi audit tidak dihapus di SVM, yang berarti Anda dapat mengaktifkan kembali audit pada SVM tersebut kapan saja.

Mengkonfigurasi kebijakan audit file dan folder

Anda perlu mengkonfigurasi kebijakan audit pada file dan folder yang ingin Anda audit untuk upaya akses pengguna. Anda dapat mengonfigurasi kebijakan audit untuk memantau upaya akses yang berhasil dan gagal.

Anda dapat mengkonfigurasi kebijakan audit SMB dan NFS. Kebijakan audit SMB dan NFS memiliki persyaratan konfigurasi yang berbeda dan kemampuan audit berdasarkan gaya keamanan volume.

Kebijakan audit pada file dan direktori gaya keamanan NTFS

Anda dapat mengonfigurasi kebijakan audit NTFS dengan menggunakan tab Keamanan Windows atau CLI ONTAP.

Anda mengkonfigurasi kebijakan audit NTFS dengan menambahkan entri ke NTFS SACL yang terkait dengan deskriptor keamanan NTFS. Deskriptor keamanan kemudian diterapkan ke file dan direktori NTFS. Tugas-tugas ini secara otomatis ditangani oleh GUI Windows. Deskriptor keamanan dapat berisi daftar kontrol akses diskresioner (DACL) untuk menerapkan izin akses file dan folder, SACL untuk audit file dan folder, atau SACl dan DACL.

  1. Dari menu Alat di Windows Explorer, pilih Peta drive jaringan.

  2. Lengkapi kotak Map Network Drive:

    1. Pilih huruf Drive.

    2. Di kotak Folder, ketik nama server SMB (CIFS) yang berisi berbagi, memegang data yang ingin Anda audit dan nama berbagi.

    3. Pilih Selesai.

    Drive yang Anda pilih sudah terpasang dan siap dengan jendela Windows Explorer yang menampilkan file dan folder yang terdapat di dalam share.

  3. Pilih file atau direktori yang ingin Anda aktifkan akses audit.

  4. Klik kanan pada file atau direktori, lalu pilih Properti.

  5. Pilih tab Security.

  6. Klik Lanjutan.

  7. Pilih tab Audit.

  8. Lakukan tindakan yang diinginkan:

    Jika Anda ingin... Lakukan hal berikut

    Menyiapkan audit untuk pengguna atau grup baru

    1. Pilih Tambahkan.

    2. Di kotak Masukkan nama objek yang akan dipilih, ketik nama pengguna atau grup yang ingin Anda tambahkan.

    3. Pilih OKE.

    Menghapus audit dari pengguna atau grup

    1. Di kotak Masukkan nama objek yang akan dipilih, pilih pengguna atau grup yang ingin Anda hapus.

    2. Pilih Hapus.

    3. Pilih OKE.

    4. Lewati sisa prosedur ini.

    Mengubah audit untuk pengguna atau grup

    1. Di kotak Masukkan nama objek untuk dipilih, pilih pengguna atau grup yang ingin Anda ubah.

    2. Pilih Edit.

    3. Pilih OKE.

    Jika Anda menyiapkan audit pada pengguna atau grup atau mengubah audit pada pengguna atau grup yang ada, kotak Entri Audit untuk objek akan terbuka.

  9. Di kotak Terapkan ke, pilih bagaimana Anda ingin menerapkan entri audit ini.

    Jika Anda menyiapkan audit pada satu file, kotak Terapkan ke tidak aktif, karena default ke objek ini saja.

  10. Di kotak Akses, pilih apa yang ingin diaudit dan apakah Anda ingin mengaudit peristiwa yang berhasil, peristiwa kegagalan, atau keduanya.

    • Untuk mengaudit acara yang berhasil, pilih kotak Sukses.

    • Untuk mengaudit kejadian kegagalan, pilih kotak Kegagalan.

    Pilih tindakan yang perlu Anda pantau untuk memenuhi persyaratan keamanan Anda. Untuk informasi lebih lanjut tentang peristiwa audit ini, lihat dokumentasi Windows. Anda dapat mengaudit peristiwa berikut:

    • Kontrol penuh

    • Melintasi folder/mengeksekusi file

    • Daftar folder/baca data

    • Baca atribut

    • Baca atribut diperpanjang

    • Buat file/tulis data

    • Buat folder/tambahkan data

    • Tulis atribut

    • Tulis atribut diperpanjang

    • Menghapus subfolder dan file

    • Hapus

    • Izin baca

    • Mengubah izin

    • Ambil kepemilikan

  11. Jika Anda tidak ingin pengaturan audit menyebar ke file dan folder berikutnya dari wadah asli, pilih kotak Terapkan entri audit ini ke objek dan/atau kontainer dalam kotak hanya kontainer ini.

  12. Pilih Apply (Terapkan).

  13. Setelah Anda selesai menambahkan, menghapus, atau mengedit entri audit, pilih OK.

    Kotak Entri Audit untuk objek ditutup.

  14. Di kotak Audit, pilih pengaturan warisan untuk folder ini. Pilih hanya tingkat minimal yang menyediakan peristiwa audit yang memenuhi persyaratan keamanan Anda.

    Anda dapat memilih salah satu dari yang berikut ini:

    • Pilih Sertakan entri audit yang dapat diwariskan dari kotak induk objek ini.

    • Pilih kotak Ganti semua entri audit warisan yang ada pada semua keturunan dengan entri audit yang dapat diwariskan dari objek ini.

    • Pilih kedua kotak.

    • Pilih tidak ada kotak.

    Jika Anda menyetel SACL pada satu file, kotak Ganti semua entri audit warisan yang ada pada semua keturunan dengan entri audit yang dapat diwariskan dari objek ini tidak ada di kotak Audit.

  15. Pilih OKE.

Dengan menggunakan ONTAP CLI, Anda dapat mengkonfigurasi kebijakan audit NTFS tanpa perlu terhubung ke data menggunakan berbagi SMB pada klien Windows.

Misalnya, perintah berikut menerapkan kebijakan keamanan bernamap1 SVM bernamavs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Kebijakan audit pada file dan direktori gaya keamanan UNIX

Anda mengkonfigurasi audit untuk file dan direktori gaya keamanan UNIX dengan menambahkan ACE audit (ekspresi kontrol akses) ke NFS v4.x ACL (daftar kontrol akses). Ini memungkinkan Anda untuk memantau acara akses file dan direktori NFS tertentu untuk tujuan keamanan.

catatan

Untuk NFS v4.x, ACE diskresioner dan sistem disimpan dalam ACL yang sama. Oleh karena itu, Anda harus berhati-hati saat menambahkan ACE audit ke ACL yang ada untuk menghindari Timpa dan kehilangan ACL yang ada. Urutan di mana Anda menambahkan ACE audit ke ACL yang ada tidak masalah.

  1. Ambil ACL yang ada untuk file atau direktori dengan menggunakan perintahnfs4_getfacl atau setara.

  2. Tambahkan ACE audit yang diinginkan.

  3. Terapkan ACL yang diperbarui ke file atau direktori dengan menggunakan perintahnfs4_setfacl atau setara.

    Contoh ini menggunakan-a opsi untuk memberikan pengguna (bernamatestuser) izin baca ke file bernamafile1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Melihat log event

Anda dapat melihat log peristiwa audit yang disimpan dalam formatEVTX atauXML file.

  • EVTXformat file - Anda dapat membuka log peristiwaEVTX audit yang dikonversi sebagai file yang disimpan menggunakan Microsoft Event Viewer.

    Ada dua pilihan yang dapat Anda gunakan saat melihat log peristiwa menggunakan Event Viewer:

    • Tampilan umum: Informasi yang umum untuk semua acara ditampilkan untuk catatan acara. Data khusus peristiwa untuk catatan peristiwa tidak ditampilkan. Anda dapat menggunakan tampilan terperinci untuk menampilkan data khusus acara.

    • Tampilan terperinci: Tampilan ramah dan tampilan XMLtersedia. Tampilan ramah dan tampilan XMLmenampilkan kedua informasi yang umum untuk semua peristiwa dan data khusus peristiwa untuk catatan peristiwa.

  • XMLformat file - Anda dapat melihat dan memproses log peristiwa audit XMLpada aplikasi pihak ketiga yang mendukung format file XML-nya. Alat tampilan XMLdapat digunakan untuk melihat log audit asalkan Anda memiliki skema XMLdan informasi tentang definisi untuk bidang XML-nya.