Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Auditoría del acceso a archivos
Amazon FSx para NetApp ONTAP admite la auditoría de los accesos de los usuarios finales a los archivos y directorios de una máquina virtual de almacenamiento (SVM).
**Topics**
+ [Descripción general de la auditoría de acceso a archivos](#auditing-overview)
+ [Descripción general de las tareas para configurar la auditoría de acceso a los archivos](#auditing-tasks)
## Descripción general de la auditoría de acceso a archivos
La auditoría de acceso a los archivos le permite registrar los accesos de los usuarios finales a archivos y directorios individuales en función de las políticas de auditoría que defina. La auditoría del acceso a los archivos puede ayudarle a mejorar la seguridad del sistema y reducir el riesgo de acceso no autorizado a los datos del sistema. La auditoría del acceso a los archivos ayuda a sus organizaciones a cumplir con los requisitos de protección de datos, identificar las posibles amenazas de forma temprana y reducir el riesgo de una violación de datos.
En todos los accesos a archivos y directorios, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, si un usuario con permisos suficientes accede correctamente a un archivo), los intentos fallidos o ambos. También puede desactivar la auditoría de acceso a archivos en cualquier momento.
De forma predeterminada, los registros de eventos de auditoría se almacenan en formato de archivo `EVTX`, lo que le permite verlos mediante Microsoft Event Viewer.
### Eventos de acceso de pequeñas y medianas empresas que se pueden auditar
En la siguiente tabla se enumeran los eventos de acceso a archivos y carpetas SMB que se pueden auditar.
****
| ID de evento (EVT/EVTX) | Evento | Descripción | Categoría |
| --- | --- | --- | --- |
| 560/4656 | Abrir objeto/Crear objeto | ACCESO A OBJETOS: objeto (archivo o directorio) abierto | Acceso a archivos |
| 563/4659 | Abra un objeto con la intención de eliminarlo | ACCESO AL OBJETO: se solicitó el identificador de un objeto (archivo o directorio) con la intención de eliminarlo | Acceso a archivos |
| 564/4660 | Eliminar objeto | ACCESO AL OBJETO: eliminar el objeto (archivo o directorio). ONTAP genera este evento cuando un cliente de Windows intenta eliminar el objeto (archivo o directorio) | Acceso a archivos |
| 567/4663 | Leer objeto/Escribir objeto/Obtener atributos de objeto/Establecer atributos de objeto | ACCESO AL OBJETO: intento de acceso al objeto (leer, escribir, obtener un atributo, establecer un atributo). En este caso, ONTAP sólo audita la primera operación de lectura y la primera operación de escritura SMB (correcta o fallida) en un objeto. Esto evita que ONTAP cree demasiadas entradas de registro cuando un solo cliente abre un objeto y realiza varias operaciones sucesivas de lectura o escritura en el mismo objeto. | Acceso a archivos |
| N/A/4664 | Enlace duro | ACCESO AL OBJETO: se intentó crear un enlace duro | Acceso a archivos |
| N/A/N/A ID de evento ONTAP 9999 | Renombrar objeto | ACCESO A OBJETOS: objeto renombrado. Se trata de un evento de ONTAP. Actualmente, Windows no lo admite como evento único. | Acceso a archivos |
| N/A/N/A ID de evento ONTAP 9998 | Desvincular el objeto | ACCESO AL OBJETO: objeto desvinculado. Este es un evento de ONTAP. Actualmente, Windows no lo admite como evento único. | Acceso a archivos |
### Eventos de acceso a NFS que se pueden auditar
Se pueden auditar los siguientes eventos de acceso a archivos y carpetas de NFS.
+ LEER
+ OPEN
+ CLOSE
+ READDIR
+ ESCRIBIR
+ SETATTR
+ CREATE
+ LINK
+ OPENATTR
+ REMOVE
+ GETATTR
+ VERIFY
+ NVERIFY
+ RENAME
## Descripción general de las tareas para configurar la auditoría de acceso a los archivos
La configuración de FSx para ONTAP para la auditoría de acceso a los archivos implica las siguientes tareas de alto nivel:
1. [Conocer](#auditing-requirements) los requisitos y consideraciones de la auditoría de acceso a ficheros.
1. [Crear una configuración de auditoría](#create-audit-config) en una SVM específica.
1. [Habilitar la auditoría](#enable-auditing) en esa SVM.
1. [Configurar políticas de auditoría](#file-audit-policies) en sus archivos y directorios.
1. [Ver los registros de eventos de auditoría](#view-audit-logs) después de que FSx for ONTAP los emita.
Los detalles de la tarea se proporcionan en los siguientes procedimientos.
Repita las tareas con cualquier otra SVM del sistema de archivos para el que desee habilitar la auditoría de acceso a los archivos.
### Requisitos de auditoría
Antes de configurar y habilitar la auditoría en una SVM, se deben tener en cuenta los siguientes requisitos y consideraciones.
+ La auditoría de NFS permite auditar las entradas de control de acceso (ACE) designadas como tipo `u`, que generan una entrada en el registro de auditoría cuando se intenta acceder al objeto. Para la auditoría de NFS, no hay ningún mapeo entre los bits de modo y las ACE de auditoría. Al convertir las ACL en bits de modo, se omiten las ACE de auditoría. Al convertir los bits de modo en ACL, no se generan las ACE de auditoría.
+ La auditoría depende de la disponibilidad de espacio en los volúmenes de estadificación. (Un volumen de estadificación es un volumen dedicado creado por ONTAP para almacenar archivos de estadificación, que son archivos binarios intermedios en nodos individuales donde se almacenan los registros de auditoría antes de su conversión a un formato de archivo EVTX o XML). Debe asegurarse de que hay espacio suficiente para los volúmenes de estadificación en los agregados que contienen volúmenes auditados.
+ La auditoría depende de que haya espacio disponible en el volumen que contiene el directorio donde se almacenan los registros de eventos de auditoría convertidos. Debe asegurarse de que haya suficiente espacio en los volúmenes utilizados para almacenar los registros de eventos. Puede especificar el número de registros de auditoría que desea retener en el directorio de auditoría con el parámetro de `-rotate-limit` al crear una configuración de auditoría, lo que puede ayudar a garantizar que haya suficiente espacio disponible para los registros de auditoría en el volumen.
### Crear configuraciones de auditoría en las SVM
Antes de empezar a auditar los eventos de archivos y directorios, debe crear una configuración de auditoría en la máquina virtual de almacenamiento (SVM). Después de crear la configuración de auditoría, debe habilitarla en la SVM.
Antes de usar el comando `vserver audit create` para crear la configuración de auditoría, asegúrese de haber creado un directorio para usarlo como destino de los registros y de que el directorio no tenga enlaces simbólicos. El directorio de destino se especifica con el parámetro `-destination`.
Puede crear una configuración de auditoría que rote los registros de auditoría en función del tamaño del registro o de una programación, de la siguiente manera:
+ Para rotar los registros de auditoría en función del tamaño del registro, utilice este comando:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]
```
El siguiente ejemplo crea una configuración de auditoría para la SVM denominada `svm1` que audita las operaciones de los archivos y los eventos de inicio y cierre de sesión de CIFS (SMB) (la configuración predeterminada) mediante una rotación basada en el tamaño. El formato de registro es `EVTX` (el predeterminado), los registros se almacenan en el directorio `/audit_log` y tendrá un solo archivo de registro cada vez (con un tamaño máximo de 200 MB).
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ Para rotar los registros de auditoría en función de una programación, utilice este comando:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
[-rotate-limit integer] [-rotate-schedule-month chron_month]
[-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
[-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]
```
El parámetro `-rotate-schedule-minute` es obligatorio si va a configurar la rotación de registros de auditoría basada en el tiempo.
En el siguiente ejemplo, se crea una configuración de auditoría para la SVM denominada `svm2` mediante la rotación basada en el tiempo. El formato de registro es `EVTX` (predeterminado) y los registros de auditoría se rotan mensualmente, a las 12:30 p. m. todos los días de la semana.
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
Puede usar el parámetro `-format` para especificar si los registros de auditoría se crean en el formato `EVTX` convertido (el predeterminado) o en el formato de archivo `XML`. El formato `EVTX` le permite ver los archivos de registro con Microsoft Event Viewer.
De forma predeterminada, las categorías de eventos que se van a auditar son los eventos de acceso a archivos (tanto SMB como NFS), los eventos de inicio y cierre de sesión de CIFS (SMB) y los eventos de cambio de política de autorización. Puede tener un mayor control sobre los eventos que se van a registrar mediante el parámetro `-events`, que tiene el siguiente formato:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
Por ejemplo, el uso de `-events file-share` permite la auditoría de los eventos de uso compartido de archivos.
Para obtener más información sobre el comando `vserver audit create`, consulte [Crear una configuración de auditoría](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html).
### Habilitar la auditoría en una SVM
Cuando termine de configurar la configuración de auditoría, debe habilitar la auditoría en la SVM. Para ello, utilice el siguiente comando:
```
vserver audit enable -vserver svm_name
```
Por ejemplo, use el siguiente comando para habilitar la auditoría en la SVM denominada `svm1`.
```
vserver audit enable -vserver svm1
```
Puede desactivar la auditoría de acceso en cualquier momento. Por ejemplo, use el siguiente comando para desactivar la auditoría en el SVM denominado `svm4`.
```
vserver audit disable -vserver svm4
```
Al deshabilitar la auditoría, la configuración de auditoría no se elimina en la SVM, lo que significa que puede volver a habilitar la auditoría en esa SVM en cualquier momento.
### Configurar las políticas de auditoría de archivos y carpetas
Debe configurar las políticas de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Puede configurar políticas de auditoría para supervisar los intentos de acceso correctos y fallidos.
Puede configurar políticas de auditoría tanto para SMB como para NFS. Las políticas de auditoría para pequeñas y medianas empresas y NFS tienen diferentes requisitos de configuración y capacidades de auditoría en función del estilo de seguridad del volumen.
#### Políticas de auditoría sobre archivos y directorios similares a los de seguridad de NTFS
Puede configurar las políticas de auditoría de NTFS mediante la pestaña Seguridad de Windows o la CLI de ONTAP.
##### Cómo configurar las políticas de auditoría de NTFS (pestaña Seguridad de Windows)
Las políticas de auditoría de NTFS se configuran agregando entradas a las SACL de NTFS asociadas a un descriptor de seguridad de NTFS. A continuación, el descriptor de seguridad se aplica a los archivos y directorios de NTFS. La GUI de Windows gestiona automáticamente estas tareas. El descriptor de seguridad puede contener listas de control de acceso discrecional (DACL) para aplicar permisos de acceso a archivos y carpetas, SACL para la auditoría de archivos y carpetas o ambas.
1. En el menú **Herramientas del Explorador de Windows**, seleccione **Mapear unidad de red**.
1. Complete el cuadro **Mapear unidad de red**:
1. Elige una letra de **Unidad**.
1. En el cuadro **Carpeta**, escriba el nombre del servidor SMB (CIFS) que contiene el recurso compartido, que contiene los datos que desea auditar y el nombre del recurso compartido.
1. Seleccione **Finalizar**.
La unidad que ha seleccionado está montada y lista, y la ventana del Explorador de Windows muestra los archivos y carpetas contenidos en el recurso compartido.
1. Seleccione el archivo o directorio para el que desea habilitar el acceso de auditoría.
1. Haga clic con el botón derecho del ratón en el archivo o directorio y, a continuación, seleccione **Propiedades**.
1. Elija la pestaña **Seguridad**.
1. Haga clic en **Avanzado**.
1. Seleccione la pestaña **Auditoría**.
1. Realice las acciones deseadas:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/file-access-auditing.html)
Si está configurando la auditoría de un usuario o grupo o está cambiando la auditoría de un usuario o grupo existente, se abre el cuadro **Entrada de auditoría del *objeto***.
1. En el cuadro **Aplicar a**, seleccione cómo desea aplicar esta entrada de auditoría.
Si está configurando la auditoría en un solo archivo, el cuadro **Aplicar a** no está activo, ya que el valor predeterminado es Solo este objeto.
1. En el cuadro **Acceso**, seleccione lo que desee auditar y si desea auditar los eventos correctos, los eventos fallidos o ambos.
+ Para auditar los eventos exitosos, seleccione la casilla **Éxito**.
+ Para auditar los eventos de error, seleccione la casilla **Fallo**.
Elija las acciones que debe supervisar para cumplir con sus requisitos de seguridad. Para obtener más información acerca de estos eventos auditables, consulte la documentación de Windows. Puede auditoría de los siguientes eventos:
+ Control total
+ Recorre la carpeta o ejecuta el archivo
+ Listar carpeta / leer datos
+ Leer atributos
+ Leer atributos extendidos
+ Crear archivos / escribir datos
+ Crear carpetas / añadir datos
+ Leer atributos
+ Escribir atributos extendidos
+ Eliminar subcarpetas y archivos
+ Eliminar
+ Permisos de lectura
+ Cambiar los permisos
+ Asumir la responsabilidad
1. Si no desea que la configuración de auditoría se propague a los siguientes archivos y carpetas del contenedor original, seleccione la casilla **Aplicar estas entradas de auditoría únicamente a los objetos y/o contenedores de este contenedor**.
1. Seleccione **Aplicar**.
1. Cuando termine de añadir, eliminar o editar las entradas de auditoría, pulse **Aceptar**.
Se cierra el cuadro **Entrada de auditoría para el *objeto***.
1. En el cuadro **Auditoría**, seleccione la configuración de herencia de esta carpeta. Elija solo el nivel mínimo que proporcione los eventos de auditoría que cumplan con sus requisitos de seguridad.
Puede elegir una de las siguientes opciones:
+ Seleccione la casilla **Incluir entradas de auditoría heredables de la casilla principal de este objeto**.
+ Seleccione la casilla **Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto**.
+ Seleccione ambas casillas.
+ No seleccione ninguna de las casillas.
Si configura las SACL en un solo archivo, la casilla **Reemplazar todas las entradas de auditoría heredables existentes en todos los descendientes por entradas de auditoría heredables de este objeto** no aparece en la casilla **Auditoría**.
1. Seleccione **Aceptar**.
##### Cómo configurar las políticas de auditoría de NTFS (ONTAP CLI)
Mediante la CLI de ONTAP, puede configurar las políticas de auditoría de NTFS sin necesidad de conectarse a los datos mediante un recurso compartido SMB en un cliente de Windows.
+ Puede configurar las políticas de auditoría de NTFS mediante la familia de comandos [vserver security file-directory ntfs sacl add](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description).
Por ejemplo, el siguiente comando crea una política de seguridad denominada `p1` a la SVM denominada `vs0`.
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
A continuación, el siguiente comando se aplica la política de seguridad de `p1` a la SVM de `vs0`.
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### Audite las políticas de archivos y directorios de estilo de seguridad de UNIX
Para configurar la auditoría de los archivos y directorios de tipo seguro de UNIX, agregue las ACE de auditoría (expresiones de control de acceso) a las ACL (listas de control de acceso) de NFS v4.x. Esto le permite supervisar determinados eventos de acceso a archivos y directorios de NFS por motivos de seguridad.
**nota**
En el caso de NFS v4.x, las ACE discrecionales y de sistema se almacenan en la misma ACL. Por lo tanto, debe tener cuidado al agregar las ACE de auditoría a una ACL existente para evitar sobrescribir y perder una ACL existente. No importa el orden en el que se agreguen las ACE de auditoría a una ACL existente.
##### Cómo configurar las políticas de auditoría de UNIX
1. Recupere la ACL existente para el archivo o directorio mediante el comando `nfs4_getfacl` o un comando equivalente.
1. Añada las ACE de auditoría deseadas.
1. Aplique la ACL actualizada al archivo o directorio mediante el comando `nfs4_setfacl` o un comando equivalente.
En este ejemplo, se utiliza la `-a` opción para conceder a un usuario (llamado `testuser`) permisos de lectura sobre el archivo denominado `file1`.
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### Visualización de los registros de eventos de auditoría
Puede ver los registros de eventos de auditoría guardados en los formatos de archivo `EVTX` o `XML`.
+ Formato de archivo `EVTX`: puede abrir los registros de eventos de auditoría `EVTX` convertidos como archivos guardados con Microsoft Event Viewer.
Hay dos opciones que puede utilizar para ver los registros de eventos con Event Viewer:
+ **Vista general**: en el registro de eventos se muestra la información común a todos los eventos. No se muestran los datos específicos del evento para el registro del evento. Puede utilizar la vista detallada para mostrar datos específicos del evento.
+ **Vista detallada**: hay disponibles una vista descriptiva y una vista XML. La vista descriptiva y la vista XML muestran tanto la información común a todos los eventos como los datos específicos del evento para el registro del evento.
+ Formato de archivo `XML`: puede ver y procesar los registros de eventos de auditoría XML en aplicaciones de terceros que admiten el formato de archivo XML. Las herramientas de visualización de XML se pueden utilizar para ver los registros de auditoría, siempre que disponga del esquema XML y de la información sobre las definiciones de los campos XML.