ファイルアクセスの監査 - FSx for ONTAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルアクセスの監査

Amazon FSx for NetApp ONTAP は、ストレージ仮想マシン (SVM) 内のファイルやディレクトリへのエンドユーザーアクセスの監査をサポートしています。

ファイルアクセス監査の概要

ファイルアクセス監査では、定義した監査ポリシーに基づいて、エンドユーザーによる個々のファイルやディレクトリへのアクセスをレコードできます。ファイルアクセス監査は、システムのセキュリティを向上させ、システムデータへの不正アクセスのリスクを軽減するのに役立ちます。ファイルアクセス監査は、組織がデータ保護要件への準拠を維持し、潜在的な脅威を早期に特定し、データ違反のリスクを軽減するのに役立ちます。

Amazon FSx は、ファイルおよびディレクトリアクセス全体で、成功した試行 (ファイルに正常にアクセスする十分な許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートしています。また、ファイルアクセス監査はいつでも無効にできます。

デフォルトでは、監査イベントログは EVTX ファイル形式で保存され、Microsoft イベントビューワーを使用して表示できます。

監査できる SMB アクセスイベント

次の表は、監査できる SMB ファイルおよびフォルダアクセスイベントを示しています。

イベント ID (EVT / EVTX) イベント 説明 カテゴリ

560/4656

オブジェクトを開く / オブジェクトを作成

オブジェクトアクセス: オブジェクト (ファイルまたはディレクトリ) を開く

ファイルアクセス

563/4659

削除するインテントでオブジェクトを開く

オブジェクトアクセス: オブジェクト (ファイルまたはディレクトリ) へのハンドルが削除の意図でリクエストされました

ファイルアクセス

564/4660

オブジェクトの削除

オブジェクトアクセス: オブジェクト (ファイルまたはディレクトリ) を削除します。ONTAP は、Windows クライアントがオブジェクト (ファイルまたはディレクトリ) の削除を試みるとこのイベントを生成します。

ファイルアクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクト属性の取得 / オブジェクト属性の設定

オブジェクトアクセス: オブジェクトアクセスの試み (読み取り、書き込み、属性の取得、属性の設定)。

注記

このイベントでは、ONTAP はオブジェクトに対する最初の SMB 読み取りおよび最初の SMB 書き込みオペレーション (成功または障害) のみを監査します。これにより、1 つのクライアントがオブジェクトを開き、同じオブジェクトに対して多数の連続する読み取りまたは書き込み操作を実行するときに、ONTAP による過剰なログエントリ作成を防ぎます。

ファイルアクセス

N / A / 4664

ハードリンク

オブジェクトアクセス: ハードリンクの作成を試みました

ファイルアクセス

N / A / N / A ONTAP イベント ID 9999

オブジェクトの名前を変更

オブジェクトアクセス: オブジェクトの名前が変更されました。これは ONTAP イベントです。現在、Windows では 1 つのイベントとしてサポートされていません。

ファイルアクセス

N / A / N / A ONTAP イベント ID 9998

オブジェクトのリンク解除

オブジェクトアクセス: オブジェクトのリンクが解除されました。これは ONTAP イベントです。現在、Windows では 1 つのイベントとしてサポートされていません。

ファイルアクセス

監査できる NFS アクセスイベント

次の NFS ファイルおよびフォルダアクセスイベントを監査できます。

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

ファイルアクセス監査を設定するためのタスクの概要

ファイルアクセス監査に FSx for ONTAP を設定するには以下の高レベルのタスクが必要です。

  1. ファイルアクセス監査の要件と考慮事項をよく 理解 してください。

  2. 特定の SVM で 監査設定を作成する

  3. その SVM で 監査を有効化 する。

  4. ファイルとディレクトリに 監査ポリシーを設定する

  5. FSx for ONTAP が放出した後、監査イベントログを表示する

次の手順で、タスクの詳細を示します。

ファイルアクセス監査を有効にするファイルシステム上の他の SVM に対して、タスクを繰り返します。

監査要件

SVM で監査を設定および有効にする前に、次の要件と考慮事項に注意する必要があります。

  • NFS 監査では、u タイプとして指定された監査アクセスコントロールエントリ (ACE) がサポートされ、オブジェクトへのアクセスの試みがあると、監査ログエントリが生成されます。NFS 監査では、モードビットと監査 ACE の間にマッピングはありません。ACL をモードビットに変換する場合、監査 ACE はスキップされます。モードビットを ACL に変換する場合、監査 ACE は生成されません。

  • 監査は、ステージングボリュームに空き領域があるかどうかによって異なります。(ステージングボリュームは、ONTAP によってステージングファイルを保存するために作成される専用ボリュームで、ステージングファイルは、EVTX または XML ファイル形式への変換前に監査レコードが格納される個々のノードの中間バイナリファイルです)。監査ボリュームを含むアグリゲート内のステージングボリュームに十分なスペースがあることを確認する必要があります。

  • 監査は、変換された監査イベントログが格納されているディレクトリを含むボリューム内の使用可能な領域があるかどうかによって異なります。イベントログの保存に使用するボリュームに十分な領域があることを確認する必要があります。監査設定の作成時に -rotate-limit パラメータを使用することで、監査ディレクトリに保持する監査ログの数を指定できます。これは、ボリューム内の監査ログに十分な空き領域があることを確認するのに役立ちます。

SVM での監査設定の作成

ファイルおよびディレクトリイベントの監査を開始する前に、ストレージ仮想マシン (SVM) で監査設定を作成する必要があります。監査設定の作成後、SVM で有効にする必要があります。

vserver audit create コマンドを使用して監査設定を作成する前に、ログの宛先として使用するディレクトリを作成し、ディレクトリにシンボリックリンクがないことを確認します。-destination パラメータで宛先ディレクトリを指定します。

次のように、ログサイズまたはスケジュールに基づいて監査ログをローテーションする監査設定を作成できます。

  • ログサイズに基づいて監査ログをローテーションするには、このコマンドを使用します。

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    次の例では、サイズベースのローテーションを使用して、ファイル操作と CIFS (SMB) のログインおよびログオフイベント (デフォルト) を監査する svm1 という名前の SVM の監査設定を作成します。ログ形式は EVTX (デフォルト)で、ログは /audit_log ディレクトリに保存され、一度に 1 つのログファイル (最大サイズ 200 MB) が作成されます。

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
  • スケジュールに基づいて監査ログをローテーションするには、このコマンドを使用します。

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-schedule-month chron_month] [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth] [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    時間ベースの監査ログローテーションを設定する場合は、-rotate-schedule-minute パラメータが必要です。

    次の例では、時間ベースのローテーションを使用して、svm2 という名前の SVM の監査設定を作成します。ログ形式は EVTX (デフォルト) で、監査ログは毎月、すべての曜日の午後 12 時 30 分にローテーションされます。

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

-format パラメータを使用して、監査ログが変換された EVTX 形式 (デフォルト) または XML ファイル形式で作成されるかどうかを指定できます。EVTX 形式を使用すると、Microsoft イベントビューワーでログファイルを表示できます。

デフォルトでは、監査されるイベントのカテゴリは、ファイルアクセスイベント (SMB と NFS の両方)、CIFS (SMB) のログオンおよびログオフイベント、および認可ポリシー変更イベントです。次の形式の -events パラメータを使用して、ログに記録するイベントをより細かくコントロールできます。

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

例えば、-events file-share ファイル共有イベントの監査を有効にします。

vserver audit create コマンドの詳細については、「Create an audit configuration」(監査設定を作成する) を参照してください。

SVM での監査の有効化

監査設定の設定が完了したら、SVM で監査を有効にする必要があります。そのためには、次のコマンドを使用します。

vserver audit enable -vserver svm_name

例えば、svm1 という名前の SVM の監査を有効にするには、次のコマンドを使用します。

vserver audit enable -vserver svm1

アクセス監査の作成はいつでも無効にできます。例えば、次のコマンドを使用して、svm4 という名前の SVM の監査をオフにします。

vserver audit disable -vserver svm4

監査を無効にしても、SVM 上の監査設定は削除されません。つまり、その SVM の監査をいつでも再度有効にできます。

ファイルおよびフォルダの監査ポリシーを設定する

ユーザーアクセスの試みを監査するファイルおよびフォルダーに監査ポリシーを設定する必要があります。監査ポリシーは、アクセス試行の成功と失敗の両方を監視するように設定できます。

SMB と NFS の両方の監査ポリシーを設定できます。SMB および NFS 監査ポリシーは、ボリュームのセキュリティスタイルに基づいて、設定要件と監査機能が異なります。

NTFS セキュリティスタイルのファイルおよびディレクトリに関する監査ポリシー

NTFS 監査ポリシーは、Windows のセキュリティタブまたは ONTAP CLI を使用して設定できます。

NTFS 監査ポリシーを設定するには、NTFS セキュリティ記述子に関連付けられた NTFS SACL にエントリを追加します。その後、セキュリティ記述子は NTFS ファイルとディレクトリに適用されます。タスクは Windows GUI によって自動的に処理されます。セキュリティ記述子には、ファイルとフォルダのアクセス許可を適用するための随意アクセスコントロールリスト (DACL)、ファイルとフォルダの監査のための SACL、または SACL と DACL の両方を含めることができます。

  1. Windows エクスプローラーの [Tools] (ツール) メニューから [Map network drive] (ネットワークドライブのマップ) を選択します。

  2. [Map Network Drive] (ネットワークドライブのマップ) ボックスを完了します。

    1. [Drive] (ドライブ) 文字を選択します。

    2. [Folder] (フォルダ) ボックスに、監査するデータと共有する名前を保持している共有を含む SMB (CIFS) サーバ名を入力します。

    3. [Finish] (終了) を選択します。

    選択したドライブがマウントされ、共有に含まれるファイルとフォルダを表示する Windows エクスプローラウィンドウで準備ができました。

  3. 監査アクセスを有効にするファイルまたはディレクトリを選択します。

  4. ファイルまたはディレクトリを右クリックし、[Properties] (プロパティ) を選択します。

  5. [Security] (セキュリティ) タブを選択します。

  6. [Advanced] (アドバンスト) をクリックします。

  7. [Auditing] (監査) タブを選択します。

  8. 目的のアクションを実行します。

    目的が 次の作業を行います。

    新しいユーザーまたはグループの監査を設定する

    1. [Add] (追加) を選択します。

    2. [Enter the object name to select] (選択するオブジェクト名を入力する) ボックスで、追加するユーザーまたはグループの名前を入力します。

    3. OK を選択します。

    ユーザーまたはグループから監査を削除する

    1. [Enter the object name to select] ボックスで、削除するユーザーまたはグループを選択します。

    2. [Remove] (削除) を選択します。

    3. OK を選択します。

    4. この手順の残りをスキップします。

    ユーザーまたはグループの監査を変更する

    1. [Enter the object name to select] ボックスで、変更するユーザーまたはグループを選択します。

    2. [Edit] (編集) を選択します。

    3. OK を選択します。

    ユーザーまたはグループの監査を設定する場合、または既存のユーザーまたはグループの監査を変更する場合は、オブジェクト の監査エントリ ボックスが開きます。

  9. [Apply to] (適用先) ボックスで、この監査エントリの適用方法を選択します。

    単一のファイルに対して監査を設定する場合は、[Apply to] ボックスは、既定で [This object only] (このオブジェクトのみ) に設定されているため、アクティブではありません。

  10. [Access] (アクセス) ボックスで、監査対象を選択し、成功イベント、障害イベント、またはその両方を監査するかどうかを選択します。

    • 成功したイベントを監査するには、[Success] (成功) ボックスを選択します。

    • 障害イベントを監査するには、[Failure] (障害) ボックスを選択します。

    セキュリティ要件を満たすために監視する必要があるアクションを選択します。監査可能なイベントの詳細については、Windows ドキュメントを参照してください。次のイベントを監査できます。

    • フルコントロール

    • トラバースフォルダー / ファイルを実行

    • フォルダの一覧表示 / データの読み取り

    • 属性の読み取り

    • 拡張属性の読み取り

    • ファイルの作成 / データの書き込み

    • フォルダの作成 / データの追加

    • 属性の書き込み

    • 拡張属性の書き込み

    • サブフォルダとファイルの削除

    • 削除

    • 読み取りアクセス許可

    • 許可の変更

    • 所有権の取得

  11. 監査設定を元のコンテナの後続のファイルおよびフォルダに伝搬しない場合は、[Apply these auditing entries to objects and/or containers within this container only] (監査エントリをこのコンテナ内のオブジェクトやコンテナにのみ適用する) ボックスを選択します。

  12. [Apply] (適用する) を選択します。

  13. 監査エントリの追加、削除、または編集が完了したら、OK を選択します。

    オブジェクト の監査エントリ ボックスが閉じます。

  14. [Auditing] (監査) ボックスで、このフォルダの継承設定を選択します。セキュリティ要件を満たす監査イベントを提供する最小レベルのみを選択します。

    次のいずれかを選択できます。

    • [Include inheritable auditing entries from this object's parent] (このオブジェクトの親から継承可能な監査エントリを含める) ボックスを選択します。

    • [Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this object] (すべての子孫にある既存の継承可能な監査エントリを、このオブジェクトの継承可能な監査エントリで置き換える) ボックスを選択します。

    • 両方のボックスを選択します。

    • どちらのボックスも選択しないでください。

    単一のファイルに SACL を設定する場合は、[Replace all existing inheritable auditing entries on all descendants with inheritable auditing entries from this object] ボックスは [Auditing] (監査) ボックスに存在しません。

  15. OK を選択します。

ONTAP CLI を使用すると、Windows クライアントの SMB 共有を使用してデータに接続することなく、NTFS 監査ポリシーを設定できます。

例えば、次のコマンドは、p1 という名前のセキュリティポリシーを vs0 という名前の SVM に適用します。

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX セキュリティスタイルのファイルおよびディレクトリに関する監査ポリシー

NFS v4.x ACL (アクセスコントロールリスト) に監査 ACE (アクセスコントロール表現) を追加することにより、UNIX セキュリティスタイルのファイルとディレクトリの監査を設定します。これにより、セキュリティ上の目的で、特定の NFS ファイルおよびディレクトリアクセスイベントをモニタリングできます。

注記

NFS v4.x の場合、任意の ACE とシステム ACE の両方が同じ ACL に格納されます。したがって、既存の ACL に監査 ACE を追加するときは、既存の ACL を上書きして失わないように注意する必要があります。既存の ACL に監査 ACE を追加する順序は重要ではありません。

  1. nfs4_getfacl または同等のコマンドを使用して、ファイルまたはディレクトリの既存の ACL を取得します。

  2. 目的の監査 ACE を追加します。

  3. nfs4_setfacl または同等のコマンドを使用して、更新された ACL をファイルまたはディレクトリに適用します。

    この例では -a のオプションを使用してユーザー (testuser という名前) に file1 という名前のファイルに対する読み取り許可を与えます。

    nfs4_setfacl -a "A::testuser@example.com:R" file1

監査ログの表示

EVTX または XML ファイル形式に保存された監査イベントログを表示できます。

  • EVTX ファイル形式 - Microsoft イベントビューワーを使用して、変換された EVTX 監査イベントログを保存済みファイルとして開くことができます。

    イベントビューワーを使用してイベントログを表示するときに使用できるオプションは 2 つあります。

    • 一般ビュー: イベントレコードのすべてのイベントに共通する情報が表示されます。イベントレコードのイベント固有のデータは表示されません。詳細ビューを使用して、イベント固有のデータを表示できます。

    • 詳細表示: フレンドリービューと XML ビューを使用できます。フレンドリビューと XML ビューには、すべてのイベントに共通する情報と、イベントレコードのイベント固有のデータの両方が表示されます。

  • XML ファイル形式 - XML ファイル形式をサポートするサードパーティーアプリケーションで、XML 監査イベントログを表示および処理できます。XML スキーマと XML フィールドの定義に関する情報がある場合は、XML 表示ツールを使用して監査ログを表示できます。