稽核檔案存取 - 適用於 ONTAP 的 FSx
檔案存取稽核概觀設定檔案存取稽核的工作概觀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

稽核檔案存取

Amazon in FSx 支 NetApp ONTAP援稽核最終使用者對儲存虛擬機器中檔案和目錄的存取 (SVM)。

檔案存取稽核概觀

檔案存取稽核可讓您根據您定義的稽核策略,記錄使用者對個別檔案和目錄的存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織遵循資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。

Amazon FSx 支援跨檔案和目錄存取記錄成功的嘗試 (例如具有足夠權限的使用者成功存取檔案)、失敗嘗試或兩者皆支援。您也可以隨時關閉檔案存取稽核。

依預設,稽核事件記錄會以EVTX檔案格式儲存,讓您可以使用 Microsoft 事件檢視器來檢視這些記錄檔。

SMB可稽核的存取事件

下表列出了可以稽核的SMB檔案和資料夾存取事件。

事件識別碼 (EVT/EVTX) 事件 描述 類別

560/4656

開啟物件/建立物件

OBJECTACCESS:對象(文件或目錄)打開

檔案存取

563/4659

以刪除意圖開啟物件

OBJECTACCESS:刪除意圖請求對象(文件或目錄)的句柄

檔案存取

564/4660

刪除物件

OBJECTACCESS:刪除對象(文件或目錄)。ONTAP當 Windows 客戶端嘗試刪除對象(文件或目錄)時生成此事件

檔案存取

567/4663

讀取物件/寫入物件/取得物件屬性/設定物件屬性

OBJECTACCESS:對象訪問嘗試(讀取,寫入,獲取屬性,設置屬性)。

注意

針對此事件,僅ONTAP稽核物件的第一次SMB讀取和第一次SMB寫入作業 (成功或失敗)。這樣可防ONTAP止在單一用戶端開啟物件並對相同物件執行許多連續的讀取或寫入作業時,建立過多的記錄項目。

檔案存取

N /一

硬鏈接

OBJECTACCESS:嘗試建立硬連結

檔案存取

N/A /N/A ONTAP 事件識別碼 9999

重命名物件

OBJECTACCESS:已重新命名物件。這是一個ONTAP事件。Windows 目前不支援它做為單一事件。

檔案存取

N/A ONTAP 事件識別碼 9998

取消連結物件

OBJECTACCESS:取消連結的物件。這是一個ONTAP事件。Windows 目前不支援它做為單一事件。

檔案存取

NFS可稽核的存取事件

可稽核下列NFS檔案和資料夾存取事件。

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

設定檔案存取稽核的工作概觀

FSx為ONTAP檔案存取稽核設定包含下列高階工作:

  1. 熟悉檔案存取稽核需求和考量事項。

  2. 在特定項目上建立稽核組態SVM。

  3. 在此啟用稽核SVM。

  4. 針對您的檔案和目錄設定稽核策略

  5. 檢視發出之後FSx的稽核事件記錄檔。ONTAP

作業詳細資訊在下列程序中提供。

針對您要啟用檔案存取稽核的任何其他SVM檔案系統重複這些工作。

稽核需求

在上配置和啟用稽核之前SVM,您應該注意下列需求和考量事項。

  • NFS稽核支援指定為類型的稽核存取控制項目 (ACEs)u,它會在嘗試存取物件時產生稽核記錄項目。對於NFS稽核,模式位元和稽核之間沒有對應ACEs。轉換ACLs為模式位元時,會略ACEs過稽核。將模式位元轉換為時ACLs,不ACEs會產生稽核。

  • 稽核取決於暫存磁碟區中的可用空間。暫存磁碟區是用ONTAP來儲存暫存檔案的專用磁碟區,暫存檔案是儲存在個別節點上的中繼二進位檔案,其中稽核記錄會在轉換為EVTX或XML檔案格式之前儲存。) 您必須確定在包含稽核磁碟區的彙總中,有足夠的空間可供安裝磁碟區使用。

  • 稽核取決於包含儲存已轉換稽核事件記錄檔之目錄的磁碟區中有可用空間。您必須確定用來儲存事件記錄的磁碟區中有足夠的空間。您可以在建立稽核配置時使用-rotate-limit參數來指定要保留在稽核目錄中的稽核記錄數目,這有助於確保磁碟區中有足夠的可用空間供稽核記錄檔使用。

建立稽核組態 SVMs

您必須先在儲存區虛擬機器 (SVM) 上建立稽核組態,才能開始稽核檔案和目錄事件。建立稽核配置之後,您必須在上啟用它SVM。

在您使用命vserver audit create令建立稽核組態之前,請確定您已建立一個用作記錄目的地的目錄,而且該目錄沒有符號連結。您可以使用-destination參數指定目標目錄。

您可以建立稽核配置,根據記錄檔大小或排程輪替稽核記錄,如下所示:

  • 若要根據記錄檔大小輪換稽核記錄,請使用以下指令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    下列範例會針對稽核檔案作業的SVM名稱svm1建立稽核組態,以及 CIFS (SMB) 使用以大小為基礎的輪替登入和登出事件 (預設值)。記錄檔格式為 EVTX (預設值),記錄會儲存在/audit_log目錄中,而且您一次只會有一個記錄檔 (大小最大為 200MB)。

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 若要根據排程輪替稽核記錄,請使用以下指令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    如果您要設定以時間為基礎的稽核記錄輪替,則需要此-rotate-schedule-minute參數。

    下列範例會使用以時間為基礎的循環,建立SVMsvm2具名的稽核組態。記錄檔格式為 EVTX (預設值),而且稽核記錄會在一週中的所有日子每月 12:30 PM 進行輪換。

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

您可以使用-format參數來指定是以轉換的EVTX格式 (預設值) 還是以XML檔案格式建立稽核記錄。該EVTX格式允許您使用 Microsoft 事件查看器查看日誌文件。

依預設,要稽核的事件類別為檔案存取事件 (SMB和NFS)、CIFS (SMB) 登入和登出事件,以及授權原則變更事件。您可以透過參數更好地控制要記錄哪些事件,該-events參數具有下列格式:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

例如,使用-events file-share可啟用檔案共用事件的稽核功能。

如需有關vserver audit create命令的詳細資訊,請參閱建立稽核配置

啟用稽核 SVM

完成設定稽核組態之後,您必須啟用上的稽核SVM。若要這麼做,請使用下列命令:

vserver audit enable -vserver svm_name

例如,使用下列命令啟用SVM具名的稽核功能svm1

vserver audit enable -vserver svm1

您可以隨時停用存取稽核。例如,使用下列命令關閉SVM具名的稽核功能svm4

vserver audit disable -vserver svm4

當您停用稽核時,不會刪除上的稽核配置SVM,這表示您可以隨SVM時重新啟用稽核。

設定檔案和資料夾稽核策略

您需要針對要稽核使用者存取嘗試進行稽核的檔案和資料夾設定稽核策略。您可以設定稽核策略來監控成功和失敗的存取嘗試。

您可以同時設定SMB和NFS稽核策略。SMB和NFS稽核策略會根據磁碟區的安全性樣式,具有不同的組態需求和稽核功能。

NTFS安全性樣式檔案和目錄的稽核策略

您可以使用 Windows 安全性索引標籤或設定NTFS稽核策略ONTAPCLI。

您可以將項目新增至NTFSSACLs與NTFS安全描述區相關聯的項目,以設定NTFS稽核策略。然後,安全性描述元會套用至NTFS檔案和目錄。這些工作會由視窗自動處理GUI。安全性描述元可以包含用於套用檔案和資料夾存取權限、SACLs檔案和資料夾稽核的判別存取控制清單 (DACLs),或同時套用SACLs和DACLs。

  1. 從 Windows 檔案總管的「工具」功能表中,選取「對應網路磁碟機

  2. 完成「對應網路磁碟機」方塊:

    1. 選擇磁碟機代號。

    2. 在 [資料] 方塊中,輸入包含共用的 SMB (CIFS) 伺服器名稱,其中包含您要稽核的資料和共用的名稱。

    3. 選擇 Finish (完成)。

    您選取的磁碟機會掛載並準備好 Windows 檔案總管視窗,顯示共用中包含的檔案和資料夾。

  3. 選取您要啟用稽核存取權的檔案或目錄。

  4. 以滑鼠右鍵按一下檔案或目錄,然後選擇 [內容]。

  5. 選擇 Security (安全) 標籤。

  6. 按一下進階

  7. 選擇 [稽核] 索引標籤。

  8. 執行所需的動作:

    如果您想要… 執行以下操作

    為新使用者或群組設定稽核

    1. 選擇新增

    2. 在 [輸入要選取的物件名稱] 方塊中,輸入您要新增的使用者或群組的名稱。

    3. 選擇確定

    從使用者或群組移除稽核

    1. 在 [輸入要選取的物件名稱] 方塊中,選取您要移除的使用者或群組。

    2. 選擇移除

    3. 選擇確定

    4. 略過此程序的其餘部分。

    變更使用者或群組的稽核

    1. 在 [輸入要選取的物件名稱] 方塊中,選擇您要變更的使用者或群組。

    2. 選擇編輯

    3. 選擇確定

    如果您要在使用者或群組上設定稽核,或是變更現有使用者或群組的稽核,則 [稽核項目] object框打開。

  9. 在 [套用至] 方塊中,選取您要套用此稽核項目的方式。

    如果您要在單一檔案上設定稽核,則 [套用至] 方塊不會處於使用中狀態,因為它預設為 [僅此物件]。

  10. 在「存取權」方塊中,選取您要稽核的項目,以及是否要稽核成功事件、失敗事件或兩者。

    • 若要稽核成功的事件,請選擇成方塊。

    • 若要稽核失敗事件,請選擇「失敗」方塊。

    選擇您需要監視的動作,以符合您的安全性需求。如需有關這些可稽核事件的詳細資訊,請參閱您的 Windows 文件。您可以稽核下列事件:

    • 完全控制

    • 遍歷文件夾/執行文件

    • 列表文件夾/讀取數據

    • 讀取屬性

    • 讀取延伸屬性

    • 建立檔案/寫入資料

    • 建立資料夾/附加資料

    • 寫入屬性

    • 寫入擴充屬性

    • 刪除子資料夾和檔案

    • Delete

    • 讀取權限

    • 變更權限

    • 取得所有權

  11. 如果您不想將稽核設定傳播到原始容器的後續檔案和資料夾,請選擇 [將這些稽核項目套用至僅限此容器內的物件和/或容器] 方塊。

  12. 選擇套用

  13. 完成新增、移除或編輯稽核項目之後,請選擇 [確定]

    稽核項目 object框關閉。

  14. 在 [稽核] 方塊中,選擇此資料夾的繼承設定。請僅選擇提供符合安全性需求之稽核事件的最低層級。

    您可以選擇下列其中之一:

    • 選擇 [包含此物件父項中可繼承的稽核項目] 方塊。

    • 選擇 [以此物件的可繼承稽核項目取代所有子代上的所有現有可繼承稽核項目] 方塊。

    • 選擇這兩個方塊。

    • 兩個方塊都不選擇。

    如果您在單一檔案SACLs上進行設定,則 [稽核] 方塊中不會顯示 [使用此物件繼承的稽核項目取代所有子代上的所有現有可繼承稽核項目] 方塊。

  15. 選擇確定

透過使用 ONTAPCLI,您可以設定NTFS稽核策略,而無需使用 Windows 用戶端上的SMB共用連線至資料。

例如,下列命令會將名為的安全性原則套用p1至具名的SVM安全性原則vs0

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX安全性樣式檔案和目錄的稽核策略

您可以將稽核 (存取UNIX控制運算式) 新增至 NFS v4.x ACEs ACLs (存取控制清單),以設定安全性樣式檔案和目錄的稽核。這使您可以基於安全目的監視某些NFS文件和目錄訪問事件。

注意

對於 NFS v4.x,全權委託和系統都存儲在相同的ACEs位置。ACL因此,在將稽核新增ACEs至現有稽核時必須小心,ACL以避免覆寫和遺失現有ACL稽核。將稽核加入至現有稽核ACEs的順序ACL無關緊要。

  1. 使用或等效命令擷取檔案或目錄的現有ACL檔案nfs4_getfacl或目錄。

  2. 附加所需的稽核ACEs。

  3. 使用或等效的指令,ACL將更新的套用至檔案nfs4_setfacl或目錄。

    此範例會使用此-a選項,將名為的檔案授予使用者 (名為testuser) 讀取權限file1

    nfs4_setfacl -a "A::testuser@example.com:R" file1

檢視稽核事件記錄

您可以檢視以EVTXXML檔案格式儲存的稽核事件記錄。

  • EVTX檔案格式 — 您可以使用 Microsoft 事件檢視器將轉換後的EVTX稽核事件記錄檔開啟為已儲存的檔案。

    使用事件檢視器檢視事件記錄檔時,您可以使用兩個選項:

    • 一般檢視:會針對事件記錄顯示所有事件共用的資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定的資料。

    • 詳細視圖:友好的視圖和XML視圖可用。易記檢視和檢XML視會同時顯示所有事件共用的資訊,以及事件記錄的事件特定資料。

  • XML檔案格式 — 您可以在支援檔案格式的協力廠商應用程式上檢視和處理XML稽核事件記錄。XMLXML檢視工具可用來檢視稽核記錄,前提是您具有結XML構描述和XML欄位定義的相關資訊。