Mengaudit akses file - FSx untuk ONTAP
Gambaran umum audit akses fileIkhtisar tugas untuk mengatur audit akses file

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaudit akses file

Amazon FSx untuk NetApp ONTAP mendukung audit akses pengguna akhir ke file dan direktori di mesin virtual penyimpanan (). SVM

Gambaran umum audit akses file

Audit akses file memungkinkan Anda merekam akses pengguna akhir dari masing-masing file dan direktori berdasarkan kebijakan audit yang Anda tentukan. Audit akses file dapat membantu Anda meningkatkan keamanan sistem Anda dan mengurangi risiko akses tidak sah ke data sistem Anda. Audit akses file membantu organisasi Anda tetap mematuhi persyaratan perlindungan data, mengidentifikasi potensi ancaman sejak dini, dan mengurangi risiko pelanggaran data.

Di seluruh akses file dan direktori, Amazon FSx mendukung pencatatan upaya yang berhasil (seperti pengguna dengan izin yang cukup berhasil mengakses file), upaya gagal, atau keduanya. Anda juga dapat menonaktifkan audit akses file kapan saja.

Secara default, log peristiwa audit disimpan dalam format EVTX file, yang memungkinkan Anda melihatnya menggunakan Microsoft Event Viewer.

SMBmengakses peristiwa yang dapat diaudit

Tabel berikut mencantumkan peristiwa akses SMB file dan folder yang dapat diaudit.

ID Acara (EVT/EVTX) Peristiwa Deskripsi Kategori

560/4656

Buka Objek/Buat Objek

OBJECTACCESS: Objek (file atau direktori) terbuka

Akses File

563/4659

Buka Object dengan Intent to Delete

OBJECTACCESS: Pegangan ke objek (file atau direktori) diminta dengan Intent to Delete

Akses File

564/4660

Hapus Objek

OBJECTACCESS: Hapus Objek (file atau direktori). ONTAPmenghasilkan acara ini ketika klien Windows mencoba untuk menghapus objek (file atau direktori)

Akses File

567/4663

Baca Atribut Object/Write Object/Get Object Attributes/Set Objek

OBJECTACCESS: Upaya akses objek (baca, tulis, dapatkan atribut, atur atribut).

catatan

Untuk acara ini, ONTAP audit hanya operasi SMB baca dan SMB tulis pertama (sukses atau gagal) pada suatu objek. Ini mencegah ONTAP dari membuat entri log yang berlebihan ketika satu klien membuka objek dan melakukan banyak operasi baca atau tulis berturut-turut ke objek yang sama.

Akses File

N/A/4664

Tautan keras

OBJECTACCESS: Upaya dilakukan untuk membuat tautan keras

Akses File

ID Acara N/A/N/A 9999 ONTAP

Ganti Nama Objek

OBJECTACCESS: Objek berganti nama. Ini adalah sebuah ONTAP peristiwa. Saat ini tidak didukung oleh Windows sebagai satu acara.

Akses File

ID Acara N/A/N/A 9998 ONTAP

Putuskan tautan Objek

OBJECTACCESS: Objek tidak terhubung. Ini adalah sebuah ONTAP peristiwa. Saat ini tidak didukung oleh Windows sebagai satu acara.

Akses File

NFSmengakses peristiwa yang dapat diaudit

Peristiwa akses NFS file dan folder berikut dapat diaudit.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Ikhtisar tugas untuk mengatur audit akses file

Menyiapkan FSx ONTAP untuk audit akses file melibatkan tugas-tugas tingkat tinggi berikut:

  1. Biasakan diri Anda dengan persyaratan dan pertimbangan audit akses file.

  2. Buat konfigurasi audit pada spesifikSVM.

  3. Aktifkan audit untuk ituSVM.

  4. Konfigurasikan kebijakan audit pada file dan direktori Anda.

  5. Lihat log peristiwa audit setelah FSx untuk ONTAP memancarkannya.

Rincian tugas disediakan dalam prosedur berikut.

Ulangi tugas untuk yang lain SVM di sistem file Anda yang ingin Anda aktifkan audit akses file.

Persyaratan audit

Sebelum Anda mengkonfigurasi dan mengaktifkan audit padaSVM, Anda harus mengetahui persyaratan dan pertimbangan berikut.

  • NFSaudit mendukung audit Entri Kontrol Akses (ACEs) yang ditetapkan sebagai tipeu, yang menghasilkan entri log audit saat akses dicoba pada objek. Untuk NFS audit, tidak ada pemetaan antara bit mode dan audit. ACEs Saat mengonversi ACLs ke bit mode, audit ACEs dilewati. Saat mengonversi bit mode keACLs, audit tidak ACEs dihasilkan.

  • Audit tergantung pada memiliki ruang yang tersedia dalam volume pementasan. (Volume pementasan adalah volume khusus yang dibuat oleh ONTAP untuk menyimpan file pementasan, yang merupakan file biner perantara pada node individu di mana catatan audit disimpan sebelum konversi ke format XML file EVTX atau.) Anda harus memastikan bahwa ada ruang yang cukup untuk volume pementasan dalam agregat yang berisi volume yang diaudit.

  • Audit tergantung pada memiliki ruang yang tersedia dalam volume yang berisi direktori tempat log peristiwa audit yang dikonversi disimpan. Anda harus memastikan bahwa ada cukup ruang dalam volume yang digunakan untuk menyimpan log peristiwa. Anda dapat menentukan jumlah log audit yang akan disimpan di direktori audit dengan menggunakan -rotate-limit parameter saat membuat konfigurasi audit, yang dapat membantu memastikan bahwa ada cukup ruang yang tersedia untuk log audit dalam volume.

Membuat konfigurasi audit pada SVMs

Sebelum Anda dapat mulai mengaudit peristiwa file dan direktori, Anda harus membuat konfigurasi audit pada Storage Virtual Machine ()SVM. Setelah Anda membuat konfigurasi audit, Anda harus mengaktifkannya di. SVM

Sebelum Anda menggunakan vserver audit create perintah untuk membuat konfigurasi audit, pastikan Anda telah membuat direktori untuk digunakan sebagai tujuan untuk log, dan direktori tidak memiliki symlink. Anda menentukan direktori tujuan dengan -destination parameter.

Anda dapat membuat konfigurasi audit yang memutar log audit berdasarkan ukuran log atau jadwal, sebagai berikut:

  • Untuk memutar log audit berdasarkan ukuran log, gunakan perintah ini:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    Contoh berikut membuat konfigurasi audit untuk SVM nama svm1 yang mengaudit operasi file dan () peristiwa logon dan logoff CIFS (defaultSMB) menggunakan rotasi berbasis ukuran. Format log adalah EVTX (default), log disimpan dalam /audit_log direktori, dan Anda akan memiliki satu file log pada satu waktu (hingga 200MB dalam ukuran).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Untuk memutar log audit berdasarkan jadwal, gunakan perintah ini:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    -rotate-schedule-minuteParameter diperlukan jika Anda mengonfigurasi rotasi log audit berbasis waktu.

    Contoh berikut membuat konfigurasi audit untuk SVM nama svm2 menggunakan rotasi berbasis waktu. Format log adalah EVTX (default) dan log audit diputar setiap bulan, pada pukul 12:30 pada semua hari dalam seminggu.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Anda dapat menggunakan -format parameter untuk menentukan apakah log audit dibuat dalam EVTX format yang dikonversi (default) atau dalam format XML file. EVTXFormat ini memungkinkan Anda untuk melihat file log dengan Microsoft Event Viewer.

Secara default, kategori peristiwa yang akan diaudit adalah peristiwa akses file (keduanya SMB danNFS), CIFS (SMB) peristiwa logon dan logoff, dan peristiwa perubahan kebijakan otorisasi. Anda dapat memiliki kontrol yang lebih besar atas peristiwa mana yang akan dicatat oleh -events parameter, yang memiliki format berikut:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Misalnya, menggunakan -events file-share mengaktifkan audit peristiwa berbagi file.

Untuk informasi selengkapnya tentang vserver audit create perintah, lihat Membuat konfigurasi audit.

Mengaktifkan audit pada sebuah SVM

Setelah Anda selesai menyiapkan konfigurasi audit, Anda harus mengaktifkan audit pada. SVM Untuk melakukannya, gunakan perintah berikut:

vserver audit enable -vserver svm_name

Misalnya, gunakan perintah berikut untuk mengaktifkan audit pada SVM namasvm1.

vserver audit enable -vserver svm1

Anda dapat menonaktifkan audit akses kapan saja. Misalnya, gunakan perintah berikut untuk mematikan audit pada SVM namasvm4.

vserver audit disable -vserver svm4

Saat Anda menonaktifkan audit, konfigurasi audit tidak akan dihapusSVM, yang berarti Anda dapat mengaktifkan kembali audit SVM kapan saja.

Mengkonfigurasi kebijakan audit file dan folder

Anda perlu mengonfigurasi kebijakan audit pada file dan folder yang ingin diaudit untuk upaya akses pengguna. Anda dapat mengonfigurasi kebijakan audit untuk memantau upaya akses yang berhasil dan gagal.

Anda dapat mengonfigurasi keduanya SMB dan kebijakan NFS audit. SMBdan kebijakan NFS audit memiliki persyaratan konfigurasi dan kemampuan audit yang berbeda berdasarkan gaya keamanan volume.

Kebijakan audit pada NTFS file dan direktori bergaya keamanan

Anda dapat mengonfigurasi kebijakan NTFS audit dengan menggunakan tab Keamanan Windows atau ONTAPCLI.

Anda mengonfigurasi kebijakan NTFS audit dengan menambahkan entri NTFS SACLs yang terkait dengan deskriptor NTFS keamanan. Deskriptor keamanan kemudian diterapkan ke NTFS file dan direktori. Tugas-tugas ini secara otomatis ditangani oleh WindowsGUI. Deskriptor keamanan dapat berisi daftar kontrol akses diskresioner (DACLs) untuk menerapkan izin akses file dan folder, SACLs untuk audit file dan folder, atau keduanya dan. SACLs DACLs

  1. Dari menu Tools di Windows Explorer, pilih Map network drive.

  2. Lengkapi kotak Map Network Drive:

    1. Pilih huruf Drive.

    2. Di kotak Folder, ketik SMB (CIFS) nama server yang berisi share, memegang data yang ingin Anda audit dan nama share.

    3. Pilih Selesai.

    Drive yang Anda pilih sudah terpasang dan siap dengan jendela Windows Explorer yang menampilkan file dan folder yang terdapat dalam share.

  3. Pilih file atau direktori yang ingin Anda aktifkan akses auditing.

  4. Klik kanan file atau direktori, lalu pilih Properties.

  5. Pilih tab Security.

  6. Klik Lanjutan.

  7. Pilih tab Audit.

  8. Lakukan tindakan yang diinginkan:

    Jika Anda ingin... Lakukan hal berikut

    Mengatur audit untuk pengguna atau grup baru

    1. Pilih Tambahkan.

    2. Dalam kotak Masukkan nama objek untuk dipilih, ketikkan nama pengguna atau grup yang ingin Anda tambahkan.

    3. Pilih OKE.

    Menghapus audit dari pengguna atau grup

    1. Di kotak Masukkan nama objek untuk dipilih, pilih pengguna atau grup yang ingin Anda hapus.

    2. Pilih Hapus.

    3. Pilih OKE.

    4. Lewati sisa prosedur ini.

    Mengubah audit untuk pengguna atau grup

    1. Di kotak Masukkan nama objek untuk dipilih, pilih pengguna atau grup yang ingin Anda ubah.

    2. Pilih Edit.

    3. Pilih OKE.

    Jika Anda menyiapkan audit pada pengguna atau grup atau mengubah audit pada pengguna atau grup yang ada, kotak Entri Audit untuk object terbuka.

  9. Di kotak Terapkan ke, pilih cara Anda ingin menerapkan entri audit ini.

    Jika Anda menyiapkan audit pada satu file, kotak Terapkan ke tidak aktif, karena defaultnya hanya untuk objek ini.

  10. Di kotak Akses, pilih apa yang ingin diaudit dan apakah Anda ingin mengaudit peristiwa yang berhasil, peristiwa kegagalan, atau keduanya.

    • Untuk mengaudit peristiwa yang berhasil, pilih kotak Sukses.

    • Untuk mengaudit peristiwa kegagalan, pilih kotak Kegagalan.

    Pilih tindakan yang perlu Anda pantau untuk memenuhi persyaratan keamanan Anda. Untuk informasi selengkapnya tentang peristiwa yang dapat diaudit ini, lihat dokumentasi Windows Anda. Anda dapat mengaudit peristiwa berikut:

    • Kontrol penuh

    • Melintasi folder/jalankan file

    • Daftar folder/baca data

    • Baca atribut

    • Baca atribut yang diperluas

    • Buat file/tulis data

    • Buat folder/tambahkan data

    • Tulis atribut

    • Tulis atribut yang diperluas

    • Hapus subfolder dan file

    • Hapus

    • Baca izin

    • Ubah izin

    • Ambil kepemilikan

  11. Jika Anda tidak ingin setelan audit menyebar ke file dan folder berikutnya dari wadah asli, pilih kotak Terapkan entri audit ini ke objek dan/atau wadah dalam wadah ini saja.

  12. Pilih Terapkan.

  13. Setelah selesai menambahkan, menghapus, atau mengedit entri audit, pilih OK.

    Entri Audit untuk object kotak ditutup.

  14. Di kotak Audit, pilih pengaturan warisan untuk folder ini. Pilih hanya level minimal yang menyediakan acara audit yang memenuhi persyaratan keamanan Anda.

    Anda dapat memilih salah satu dari yang berikut ini:

    • Pilih kotak Sertakan entri audit yang dapat diwariskan dari kotak induk objek ini.

    • Pilih kotak Ganti semua entri audit warisan yang ada pada semua turunan dengan entri audit yang dapat diwariskan dari objek ini.

    • Pilih kedua kotak.

    • Pilih kotak mana pun.

    Jika Anda menyetel SACLs pada satu file, kotak Ganti semua entri audit warisan yang ada pada semua turunan dengan entri audit yang dapat diwariskan dari objek ini tidak ada di kotak Audit.

  15. Pilih OKE.

Dengan menggunakan ONTAPCLI, Anda dapat mengonfigurasi kebijakan NTFS audit tanpa perlu terhubung ke data menggunakan SMB berbagi pada klien Windows.

Misalnya, perintah berikut menerapkan kebijakan keamanan SVM bernama p1 ke namavs0.

vserver security file-directory apply -vserver vs0 -policy-name p1

Kebijakan audit pada UNIX file dan direktori bergaya keamanan

Anda mengonfigurasi audit untuk file dan direktori UNIX gaya keamanan dengan menambahkan audit ACEs (ekspresi kontrol akses) ke NFS ACLs v4.x (daftar kontrol akses). Ini memungkinkan Anda untuk memantau peristiwa akses NFS file dan direktori tertentu untuk tujuan keamanan.

catatan

Untuk NFS v4.x, baik diskresioner dan sistem disimpan dalam hal ACEs yang sama. ACL Oleh karena itu, Anda harus berhati-hati saat menambahkan audit ACEs ke yang sudah ada ACL untuk menghindari penimpaan dan kehilangan yang sudah adaACL. Urutan di mana Anda menambahkan audit ACEs ke yang sudah ada ACL tidak masalah.

  1. Ambil yang ada ACL untuk file atau direktori dengan menggunakan nfs4_getfacl atau perintah yang setara.

  2. Tambahkan audit ACEs yang diinginkan.

  3. Terapkan yang diperbarui ACL ke file atau direktori dengan menggunakan perintah nfs4_setfacl atau setara.

    Contoh ini menggunakan -a opsi untuk memberikan izin baca pengguna (bernamatestuser) ke file bernamafile1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Melihat log peristiwa audit

Anda dapat melihat log peristiwa audit yang disimpan dalam format XML file EVTX atau.

  • EVTXformat file - Anda dapat membuka log peristiwa EVTX audit yang dikonversi sebagai file yang disimpan menggunakan Microsoft Event Viewer.

    Ada dua opsi yang dapat Anda gunakan saat melihat log peristiwa menggunakan Event Viewer:

    • Tampilan umum: Informasi yang umum untuk semua peristiwa ditampilkan untuk catatan acara. Data khusus peristiwa untuk catatan peristiwa tidak ditampilkan. Anda dapat menggunakan tampilan detail untuk menampilkan data khusus acara.

    • Tampilan detail: Tampilan ramah dan XML tampilan tersedia. Tampilan ramah dan XML tampilan menampilkan informasi yang umum untuk semua peristiwa dan data khusus peristiwa untuk catatan peristiwa.

  • XMLformat file - Anda dapat melihat dan memproses log peristiwa XML audit pada aplikasi pihak ketiga yang mendukung format XML file. XMLalat tampilan dapat digunakan untuk melihat log audit asalkan Anda memiliki XML skema dan informasi tentang definisi untuk XML bidang.