Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon FSx for NetApp ONTAP unterstützt die Prüfung von Endbenutzerzugriffen auf Dateien und Verzeichnisse in einer virtuellen Speichermaschine (SVM).
Themen
Übersicht über die Prüfung des Dateizugriffs
Mit der Dateizugriffsüberwachung können Sie die Zugriffe von Endbenutzern auf einzelne Dateien und Verzeichnisse auf der Grundlage der von Ihnen definierten Überwachungsrichtlinien aufzeichnen. Die Dateizugriffsüberwachung kann Ihnen helfen, die Sicherheit Ihres Systems zu verbessern und das Risiko eines unbefugten Zugriffs auf Ihre Systemdaten zu verringern. Die Dateizugriffsprüfung hilft Ihrem Unternehmen dabei, die Datenschutzanforderungen einzuhalten, potenzielle Bedrohungen frühzeitig zu erkennen und das Risiko einer Datenschutzverletzung zu verringern.
Bei allen Datei- und Verzeichniszugriffen FSx unterstützt Amazon die Protokollierung erfolgreicher Versuche (z. B. wenn ein Benutzer mit ausreichenden Berechtigungen erfolgreich auf eine Datei zugreift), fehlgeschlagener Versuche oder beides. Sie können die Dateizugriffsüberwachung auch jederzeit deaktivieren.
Standardmäßig werden Prüfereignisprotokolle im EVTX Dateiformat gespeichert, sodass Sie sie mit der Microsoft Event Viewer anzeigen können.
SMB-Zugriffsereignisse, die überwacht werden können
In der folgenden Tabelle sind die SMB-Datei- und Ordnerzugriffsereignisse aufgeführt, die überwacht werden können.
| Ereignis-ID (EVT/EVTX) | Ereignis | Beschreibung | Kategorie |
|---|---|---|---|
|
560/4656 |
Objekt öffnen/Objekt erstellen |
OBJEKTZUGRIFF: Objekt (Datei oder Verzeichnis) geöffnet |
Dateizugriff |
|
563/4659 |
Objekt mit der Absicht öffnen, es zu löschen |
OBJEKTZUGRIFF: Ein Handle für ein Objekt (Datei oder Verzeichnis) wurde mit der Absicht angefordert, es zu löschen |
Dateizugriff |
|
564/4660 |
Objekt löschen |
OBJEKTZUGRIFF: Objekt löschen (Datei oder Verzeichnis). ONTAP generiert dieses Ereignis, wenn ein Windows-Client versucht, das Objekt (Datei oder Verzeichnis) zu löschen |
Dateizugriff |
|
567/4663 |
Objektattribute lesen Object/Write Object/Get Object Attributes/Set |
OBJEKTZUGRIFF: Versuch, auf ein Objekt zuzugreifen (lesen, schreiben, Attribut abrufen, Attribut setzen). AnmerkungFür dieses Ereignis prüft ONTAP nur den ersten SMB-Lese- und den ersten SMB-Schreibvorgang (Erfolg oder Misserfolg) an einem Objekt. Dadurch wird verhindert, dass ONTAP zu viele Protokolleinträge erstellt, wenn ein einzelner Client ein Objekt öffnet und viele aufeinanderfolgende Lese- oder Schreiboperationen für dasselbe Objekt ausführt. |
Dateizugriff |
|
N/A/4664 |
Harter Link |
OBJEKTZUGRIFF: Es wurde versucht, einen Hardlink zu erstellen |
Dateizugriff |
|
N/A/N/A ONTAP-Ereignis-ID 9999 |
Objekt umbenennen |
OBJEKTZUGRIFF: Objekt wurde umbenannt. Dies ist ein ONTAP-Ereignis. Es wird derzeit von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
|
N/A/N/A ONTAP-Ereignis-ID 9998 |
Objektverknüpfung aufheben |
OBJEKTZUGRIFF: Objekt ist nicht verknüpft. Dies ist ein ONTAP-Ereignis. Es wird derzeit von Windows nicht als einzelnes Ereignis unterstützt. |
Dateizugriff |
NFS-Zugriffsereignisse, die überwacht werden können
Die folgenden NFS-Datei- und Ordnerzugriffsereignisse können überwacht werden.
READ
OPEN
CLOSE
READDIR
WRITE
SETATTR
CREATE
VERKNÜPFUNG
ÖFFNENATTR
REMOVE
GETATTR
VERIFIZIEREN
UNVERIFIZIEREN
RENAME
Überblick über die Aufgaben zur Einrichtung der Dateizugriffsüberwachung
Die Einrichtung FSx von ONTAP für die Dateizugriffsprüfung umfasst die folgenden allgemeinen Aufgaben:
Machen Sie sich mit den Anforderungen und Überlegungen zur Dateizugriffsprüfung vertraut.
Erstellen Sie eine Überwachungskonfiguration auf einer bestimmten SVM.
Aktivieren Sie die Überwachung auf dieser SVM.
Konfigurieren Sie Überwachungsrichtlinien für Ihre Dateien und Verzeichnisse.
Sehen Sie sich die Audit-Ereignisprotokolle an, nachdem sie von FSx FOR ONTAP ausgegeben wurden.
Einzelheiten zu den Aufgaben finden Sie in den folgenden Verfahren.
Wiederholen Sie die Aufgaben für alle anderen SVMs in Ihrem Dateisystem, für die Sie die Dateizugriffsüberwachung aktivieren möchten.
Anforderungen an die Überwachung
Bevor Sie die Überwachung auf einer SVM konfigurieren und aktivieren, sollten Sie sich der folgenden Anforderungen und Überlegungen bewusst sein.
Die NFS-Überwachung unterstützt die Prüfung der als Typ eingegebenen Zugriffssteuerungseinträge (ACEs)
u, die beim Versuch, auf das Objekt zuzugreifen, einen Auditprotokolleintrag generieren. Bei der NFS-Überwachung gibt es keine Zuordnung zwischen Modusbits und Audit. ACEs Bei der Konvertierung in ACLs Modus-Bits werden Audits ACEs übersprungen. Bei der Konvertierung von Modus-Bits in ACLs, ACEs werden keine Audits generiert.Die Überwachung hängt davon ab, ob in den Staging-Volumes Speicherplatz verfügbar ist. (Ein Staging-Volume ist ein spezielles Volume, das von ONTAP zum Speichern von Staging-Dateien erstellt wurde. Dabei handelt es sich um binäre Zwischendateien auf einzelnen Knoten, auf denen Prüfdatensätze vor der Konvertierung in ein EVTX- oder XML-Dateiformat gespeichert werden.) Sie müssen sicherstellen, dass in Aggregaten, die geprüfte Volumes enthalten, ausreichend Speicherplatz für die Staging-Volumes vorhanden ist.
Die Überwachung hängt davon ab, ob auf dem Volume, das das Verzeichnis enthält, in dem die konvertierten Audit-Ereignisprotokolle gespeichert werden, Speicherplatz verfügbar ist. Sie müssen sicherstellen, dass auf den Volumes, die zum Speichern von Ereignisprotokollen verwendet werden, ausreichend Speicherplatz vorhanden ist. Sie können die Anzahl der Audit-Logs angeben, die im Audit-Verzeichnis aufbewahrt werden sollen, indem Sie den
-rotate-limitParameter bei der Erstellung einer Audit-Konfiguration verwenden. So können Sie sicherstellen, dass auf dem Volume ausreichend Speicherplatz für die Audit-Logs vorhanden ist.
Überwachungskonfigurationen werden erstellt auf SVMs
Bevor Sie mit der Überwachung von Datei- und Verzeichnisereignissen beginnen können, müssen Sie eine Überwachungskonfiguration auf der virtuellen Speichermaschine (SVM) erstellen. Nachdem Sie die Überwachungskonfiguration erstellt haben, müssen Sie sie auf der SVM aktivieren.
Bevor Sie den vserver audit create Befehl zur Erstellung der Auditing-Konfiguration verwenden, stellen Sie sicher, dass Sie ein Verzeichnis erstellt haben, das als Ziel für Logs verwendet werden soll, und dass das Verzeichnis keine symbolischen Links enthält. Sie geben das Zielverzeichnis mit dem -destination Parameter an.
Sie können eine Überwachungskonfiguration erstellen, bei der die Audit-Logs je nach Protokollgröße oder einem Zeitplan rotiert werden, und zwar wie folgt:
Verwenden Sie diesen Befehl, um Audit-Logs basierend auf der Protokollgröße zu rotieren:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-size {integer[KB|MB|GB|TB|PB]}]Im folgenden Beispiel wird eine Überwachungskonfiguration für die SVM mit dem Namen erstellt
svm1, die Dateioperationen und CIFS- (SMB) Anmelde- und Abmeldeereignisse (Standard) anhand der Größenänderung überwacht. Das Protokollformat istEVTX(Standard). Die Protokolle werden im/audit_logVerzeichnis gespeichert, und Sie haben jeweils nur eine Protokolldatei (bis zu 200 MB groß).vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MBVerwenden Sie diesen Befehl, um Audit-Logs nach einem Zeitplan zu rotieren:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-schedule-monthchron_month] [-rotate-schedule-dayofweekchron_dayofweek] [-rotate-schedule-daychron_dayofmonth] [-rotate-schedule-hourchron_hour] [-rotate-schedule-minutechron_minute]Der
-rotate-schedule-minuteParameter ist erforderlich, wenn Sie die zeitbasierte Rotation des Auditprotokolls konfigurieren.Im folgenden Beispiel wird eine Auditing-Konfiguration für die SVM
svm2mit zeitbasierter Rotation erstellt. Das Protokollformat istEVTX(Standard), und die Audit-Logs werden monatlich, jeweils um 12:30 Uhr, an allen Wochentagen rotiert.vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
Sie können den -format Parameter verwenden, um anzugeben, ob die Audit-Logs im konvertierten EVTX Format (Standard) oder im XML Dateiformat erstellt werden. Das EVTX Format ermöglicht es Ihnen, die Protokolldateien mit Microsoft Event Viewer anzuzeigen.
Standardmäßig handelt es sich bei den zu überwachenden Ereigniskategorien um Dateizugriffsereignisse (sowohl SMB als auch NFS), CIFS-Anmelde- und Abmeldeereignisse (SMB) sowie Ereignisse zur Änderung der Autorisierungsrichtlinie. Mithilfe des -events Parameters, der das folgende Format hat, können Sie besser steuern, welche Ereignisse protokolliert werden sollen:
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}Die Verwendung -events file-share ermöglicht beispielsweise die Überwachung von Dateifreigabeereignissen.
Weitere Informationen zu diesem vserver audit create Befehl finden Sie unter Erstellen einer Überwachungskonfiguration
Auditing auf einer SVM aktivieren
Nachdem Sie die Konfiguration für die Überwachung eingerichtet haben, müssen Sie die Überwachung auf der SVM aktivieren. Verwenden Sie dazu den folgenden Befehl:
vserver audit enable -vserver svm_nameVerwenden Sie beispielsweise den folgenden Befehl, um die Überwachung auf der genannten svm1 SVM zu aktivieren.
vserver audit enable -vserver svm1
Sie können die Zugriffsprüfung jederzeit deaktivieren. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachung auf der genannten svm4 SVM zu deaktivieren.
vserver audit disable -vserver svm4
Wenn Sie das Auditing deaktivieren, wird die Audit-Konfiguration auf der SVM nicht gelöscht, was bedeutet, dass Sie das Auditing auf dieser SVM jederzeit wieder aktivieren können.
Konfiguration von Überwachungsrichtlinien für Dateien und Ordner
Sie müssen Überwachungsrichtlinien für die Dateien und Ordner konfigurieren, die auf Benutzerzugriffsversuche überprüft werden sollen. Sie können Überwachungsrichtlinien so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Zugriffsversuche überwacht werden.
Sie können sowohl SMB- als auch NFS-Überwachungsrichtlinien konfigurieren. Für SMB- und NFS-Überwachungsrichtlinien gelten je nach Sicherheitsstil des Volumes unterschiedliche Konfigurationsanforderungen und Prüffunktionen.
Überwachungsrichtlinien für Dateien und Verzeichnisse im NTFS-Sicherheitsstil
Sie können NTFS-Überwachungsrichtlinien mithilfe der Registerkarte Windows-Sicherheit oder der ONTAP CLI konfigurieren.
Sie konfigurieren NTFS-Überwachungsrichtlinien, indem Sie NTFS-Einträge hinzufügen SACLs , die einer NTFS-Sicherheitsbeschreibung zugeordnet sind. Die Sicherheitsbeschreibung wird dann auf NTFS-Dateien und -Verzeichnisse angewendet. Diese Aufgaben werden automatisch von der Windows-GUI ausgeführt. Die Sicherheitsbeschreibung kann willkürliche Zugriffskontrolllisten (DACLs) für die Zuweisung von Datei- und Ordnerzugriffsberechtigungen, SACLs für die Datei- und Ordnerüberwachung oder beides SACLs und enthalten. DACLs
Wählen Sie im Windows Explorer im Menü Tools die Option Netzlaufwerk zuordnen aus.
Füllen Sie das Feld Netzlaufwerk zuordnen aus:
-
Wählen Sie einen Laufwerksbuchstaben.
-
Geben Sie im Feld Ordner den Namen des SMB-Servers (CIFS) ein, der die Freigabe enthält, in der sich die Daten befinden, die Sie überprüfen möchten, sowie den Namen der Freigabe.
-
Wählen Sie Finish (Abschließen).
Das von Ihnen ausgewählte Laufwerk ist bereitgestellt und bereit. Im Windows Explorer-Fenster werden die Dateien und Ordner angezeigt, die in der Freigabe enthalten sind.
-
Wählen Sie die Datei oder das Verzeichnis aus, für das Sie den Überwachungszugriff aktivieren möchten.
Klicken Sie mit der rechten Maustaste auf die Datei oder das Verzeichnis und wählen Sie dann Eigenschaften.
Wählen Sie die Registerkarte Sicherheit aus.
Klicken Sie auf Erweitert.
Wählen Sie die Registerkarte Auditing.
Führen Sie die gewünschten Aktionen aus:
Wenn Sie … Gehen Sie wie folgt vor Richten Sie die Überwachung für einen neuen Benutzer oder eine neue Gruppe ein
Wählen Sie Hinzufügen aus.
Geben Sie im Feld Geben Sie den Objektnamen für die Auswahl ein den Namen des Benutzers oder der Gruppe ein, den Sie hinzufügen möchten.
Wählen Sie OK aus.
Entfernen Sie die Überwachung für einen Benutzer oder eine Gruppe
Wählen Sie im Feld Geben Sie den Objektnamen zur Auswahl ein den Benutzer oder die Gruppe aus, den Sie entfernen möchten.
Wählen Sie Remove (Entfernen) aus.
Wählen Sie OK aus.
Überspringen Sie den Rest dieses Verfahrens.
Ändern Sie die Überwachung für einen Benutzer oder eine Gruppe
Wählen Sie im Feld Geben Sie den Objektnamen zur Auswahl ein den Benutzer oder die Gruppe aus, den Sie ändern möchten.
Wählen Sie Edit (Bearbeiten) aus.
Wählen Sie OK aus.
Wenn Sie die Überwachung für einen Benutzer oder eine Gruppe einrichten oder die Überwachung für einen vorhandenen Benutzer oder eine bestehende Gruppe ändern, wird das
objectFeld Überwachungseintrag für geöffnet.Wählen Sie im Feld Anwenden für aus, wie Sie diesen Überwachungseintrag anwenden möchten.
Wenn Sie die Überwachung für eine einzelne Datei einrichten, ist das Feld Anwenden auf nicht aktiv, da standardmäßig nur dieses Objekt angezeigt wird.
Wählen Sie im Feld Zugriff aus, was überwacht werden soll und ob Sie erfolgreiche Ereignisse, Fehlschläge oder beides überwachen möchten.
Um erfolgreiche Ereignisse zu überwachen, wählen Sie das Feld Erfolg aus.
Um Fehlerereignisse zu überprüfen, wählen Sie das Feld Fehler aus.
Wählen Sie die Aktionen aus, die Sie überwachen müssen, um Ihre Sicherheitsanforderungen zu erfüllen. Weitere Informationen zu diesen überprüfbaren Ereignissen finden Sie in Ihrer Windows-Dokumentation. Sie können die folgenden Ereignisse überwachen:
Volle Kontrolle
Ordner durchqueren/Datei ausführen
Ordner auflisten/Daten lesen
Attribute lesen
Lesen Sie erweiterte Attribute
Dateien erstellen/Daten schreiben
Ordner erstellen/Daten anhängen
Attribute schreiben
Schreiben Sie erweiterte Attribute
Löschen Sie Unterordner und Dateien
Löschen
Berechtigungen lesen
Berechtigungen ändern
Übernehmen Sie die Verantwortung
Wenn Sie nicht möchten, dass die Überwachungseinstellung auf nachfolgende Dateien und Ordner des ursprünglichen Containers übertragen wird, aktivieren Sie das Kontrollkästchen Diese Überwachungseinträge nur auf Objekte und/oder Container innerhalb dieses Containers anwenden.
Wählen Sie Anwenden aus.
Wenn Sie mit dem Hinzufügen, Entfernen oder Bearbeiten von Überwachungseinträgen fertig sind, wählen Sie OK.
Das
objectFeld Auditing-Eintrag für wird geschlossen.Wählen Sie im Feld Überwachung die Vererbungseinstellungen für diesen Ordner aus. Wählen Sie nur die Mindeststufe aus, die die Überwachungsereignisse bereitstellt, die Ihren Sicherheitsanforderungen entsprechen.
Sie können eine der folgenden Optionen auswählen:
Wählen Sie das Feld Vererbbare Überwachungseinträge aus dem übergeordneten Objekt einbeziehen.
Wählen Sie das Feld Alle vorhandenen vererbbaren Überwachungseinträge für alle untergeordneten Objekte durch vererbbare Überwachungseinträge aus diesem Objekt ersetzen.
Wählen Sie beide Felder aus.
Wählen Sie keines der beiden Felder aus.
Wenn Sie die Einstellung SACLs für eine einzelne Datei festlegen, ist das Feld Alle vorhandenen vererbbaren Überwachungseinträge für alle abhängigen Objekte durch vererbbare Überwachungseinträge aus diesem Objekt ersetzen nicht im Feld Überwachung vorhanden.
Wählen Sie OK aus.
Mithilfe der ONTAP CLI können Sie NTFS-Überwachungsrichtlinien konfigurieren, ohne über eine SMB-Freigabe auf einem Windows-Client eine Verbindung zu den Daten herstellen zu müssen.
Sie können NTFS-Überwachungsrichtlinien mithilfe der Befehlsfamilie ntfs sacl add im vserver security file-directory
konfigurieren.
Der folgende Befehl wendet beispielsweise eine Sicherheitsrichtlinie an, die auf die angegebene SVM benannt ist. p1 vs0
vserver security file-directory apply -vserver vs0 -policy-name p1
Überwachungsrichtlinien für Dateien und Verzeichnisse im UNIX-Sicherheitsstil
Sie konfigurieren die Überwachung für Dateien und Verzeichnisse im UNIX-Sicherheitsstil, indem Sie Audit ACEs (Zugriffskontrollausdrücke) zu NFS ACLs v4.x (Zugriffskontrolllisten) hinzufügen. Auf diese Weise können Sie aus Sicherheitsgründen bestimmte NFS-Datei- und Verzeichniszugriffsereignisse überwachen.
Anmerkung
Bei NFS v4.x werden sowohl diskretionäre Daten als auch Systemdaten in derselben ACEs ACL gespeichert. Daher müssen Sie vorsichtig sein, wenn Sie einer vorhandenen ACL eine Prüfung hinzufügen ACEs , um zu verhindern, dass eine bestehende ACL überschrieben und verloren geht. Die Reihenfolge, in der Sie das Audit ACEs zu einer vorhandenen ACL hinzufügen, spielt keine Rolle.
Rufen Sie die vorhandene ACL für die Datei oder das Verzeichnis mit dem
nfs4_getfacloder einem gleichwertigen Befehl ab.Hängen Sie das gewünschte Audit ACEs an.
-
Wenden Sie die aktualisierte ACL mit dem oder einem gleichwertigen Befehl auf die Datei
nfs4_setfacloder das Verzeichnis an.In diesem Beispiel wird die
-aOption verwendet, um einem (benanntentestuser) Benutzer Leseberechtigungen für die angegebene Datei zu erteilenfile1.nfs4_setfacl -a "A::testuser@example.com:R" file1
Audit-Ereignisprotokolle anzeigen
Sie können Audit-Ereignisprotokolle anzeigen, die in den XML Dateiformaten EVTX oder gespeichert sind.
EVTXDateiformat — Sie können die konvertiertenEVTXAudit-Ereignisprotokolle mit der Microsoft Event Viewer als gespeicherte Dateien öffnen.Es gibt zwei Optionen, die Sie beim Anzeigen von Ereignisprotokollen mit der Ereignisanzeige verwenden können:
Allgemeine Ansicht: Informationen, die allen Ereignissen gemeinsam sind, werden für den Ereignisdatensatz angezeigt. Die ereignisspezifischen Daten für den Ereignisdatensatz werden nicht angezeigt. Sie können die Detailansicht verwenden, um ereignisspezifische Daten anzuzeigen.
Detailansicht: Eine benutzerfreundliche Ansicht und eine XML-Ansicht sind verfügbar. In der benutzerfreundlichen Ansicht und in der XML-Ansicht werden sowohl die Informationen angezeigt, die allen Ereignissen gemeinsam sind, als auch die ereignisspezifischen Daten für den Ereignisdatensatz.
XMLDateiformat — Sie können XML-Audit-Ereignisprotokolle in Drittanbieteranwendungen, die das XML-Dateiformat unterstützen, anzeigen und verarbeiten. XML-Anzeigetools können zum Anzeigen der Auditprotokolle verwendet werden, sofern Sie über das XML-Schema und Informationen zu den Definitionen für die XML-Felder verfügen.
