파일 액세스 감사 - ONTAP용 FSx
파일 액세스 감사 개요파일 액세스 감사 설정 작업 개요

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

파일 액세스 감사

Amazon FSx for NetApp ONTAP 는 스토리지 가상 머신 () 의 파일 및 디렉터리에 대한 최종 사용자 액세스 감사를 지원합니다. SVM

파일 액세스 감사 개요

파일 액세스 감사를 사용하면 정의한 감사 정책을 기반으로 개별 파일 및 디렉터리에 대한 최종 사용자 액세스를 기록할 수 있습니다. 파일 액세스 감사는 시스템 보안을 개선하고 시스템 데이터에 대한 무단 액세스 위험을 줄이는 데 도움이 될 수 있습니다. 파일 액세스 감사를 통해 조직은 데이터 보호 요구 사항을 지속적으로 준수하고 잠재적 위협을 조기에 식별하며 데이터 침해 위험을 줄일 수 있습니다.

파일 및 디렉터리 액세스 전반에 걸쳐 Amazon은 성공한 시도 (예: 파일에 성공적으로 액세스할 수 있는 충분한 권한을 가진 사용자), 실패한 시도 또는 두 가지 모두에 대한 로깅을 FSx 지원합니다. 파일 액세스 감사를 언제든지 비활성화할 수도 있습니다.

기본적으로 감사 이벤트 로그는 Microsoft Event Viewer를 사용하여 볼 수 있는 EVTX 파일 형식으로 저장됩니다.

SMB감사할 수 있는 액세스 이벤트

다음 표에는 감사할 수 있는 SMB 파일 및 폴더 액세스 이벤트가 나열되어 있습니다.

이벤트 ID (EVT/EVTX) 이벤트 설명 범주

560/4656

객체 열기/객체 생성

OBJECTACCESS: 개체 (파일 또는 디렉터리) 열기

파일 액세스

563/4659

삭제할 의도로 객체 열기

OBJECTACCESS: 삭제 의도와 함께 객체 (파일 또는 디렉토리) 에 대한 핸들이 요청되었습니다.

파일 액세스

564/4660

객체 삭제

OBJECTACCESS: 개체 (파일 또는 디렉터리) 를 삭제합니다. ONTAPWindows 클라이언트가 개체 (파일 또는 디렉터리) 를 삭제하려고 할 때 이 이벤트를 생성합니다.

파일 액세스

567/4663

객체 읽기/객체 쓰기/객체 속성 가져오기/객체 속성 설정

OBJECTACCESS: 개체 액세스 시도 (읽기, 쓰기, 속성 가져오기, 속성 설정)

참고

이 이벤트의 경우 객체의 첫 번째 SMB 읽기 및 첫 SMB 쓰기 작업 (성공 또는 실패) 만 ONTAP 감사합니다. 이렇게 하면 단일 클라이언트가 개체를 열고 동일한 개체에 대해 여러 번 연속적으로 읽기 또는 쓰기 작업을 수행할 때 과도한 로그 항목이 생성되는 것을 ONTAP 방지할 수 있습니다.

파일 액세스

해당 사항 없음/4664

하드 링크

OBJECTACCESS: 하드 링크를 만들려고 했습니다.

파일 액세스

N/A/N/A ONTAP 이벤트 ID 9999

객체 이름 변경

OBJECTACCESS: 개체 이름이 변경되었습니다. ONTAP이벤트입니다. 현재 Windows에서는 단일 이벤트로 지원되지 않습니다.

파일 액세스

N/A/N/A ONTAP 이벤트 ID 9998

객체 연결 해제

OBJECTACCESS: 개체가 연결 해제되었습니다. ONTAP이벤트입니다. 현재 Windows에서는 단일 이벤트로 지원되지 않습니다.

파일 액세스

NFS감사할 수 있는 이벤트에 액세스하십시오.

감사할 수 있는 NFS 파일 및 폴더 액세스 이벤트는 다음과 같습니다.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

파일 액세스 감사 설정 작업 개요

파일 액세스 감사 FSx 설정에는 다음과 같은 고급 작업이 포함됩니다. ONTAP

  1. 파일 액세스 감사 요구 사항 및 고려 사항을 숙지합니다.

  2. 특정 항목에 대한 감사 구성을 생성하십시오. SVM

  3. 해당 항목에 대한 감사를 활성화하십시오. SVM

  4. 파일 및 디렉터리에 감사 정책을 구성합니다.

  5. for가 내보낸 후 감사 이벤트 로그를 FSx 확인하십시오ONTAP.

작업 세부 정보는 다음 절차에 나와 있습니다.

파일 액세스 감사를 활성화하려는 파일 시스템의 다른 SVM 모든 파일에 대해 작업을 반복합니다.

감사 요구 사항

에서 감사를 구성하고 활성화하기 전에 다음 요구 사항 SVM 및 고려 사항을 숙지해야 합니다.

  • NFS감사는 유형으로 u 지정된 감사 액세스 제어 항목 (ACEs) 을 지원합니다. 이 액세스 제어 항목 () 은 객체에 대한 액세스를 시도할 때 감사 로그 항목을 생성합니다. 감사의 경우 모드 비트와 NFS 감사 간에 매핑이 없습니다. ACEs 모드 비트로 ACLs 변환할 때는 감사가 ACEs 생략됩니다. 모드 비트를 로 변환할 ACLs 때는 감사가 ACEs 생성되지 않습니다.

  • 감사는 스테이징 볼륨에 사용 가능한 공간이 있는지에 따라 달라집니다. (스테이징 볼륨은 개별 노드에 중간 바이너리 파일을 ONTAP 저장하기 위해 만든 전용 볼륨으로, EVTX 또는 XML 파일 형식으로 변환하기 전에 감사 기록이 저장되는 스테이징 파일을 저장합니다.) 감사된 볼륨이 포함된 집계에 스테이징 볼륨을 위한 충분한 공간이 있는지 확인해야 합니다.

  • 감사는 변환된 감사 이벤트 로그가 저장되는 디렉터리가 포함된 볼륨에 사용 가능한 공간이 있는지에 따라 달라집니다. 이벤트 로그를 저장하는 데 사용되는 볼륨에 충분한 공간이 있는지 확인해야 합니다. 감사 구성을 만들 때 -rotate-limit 파라미터를 사용하여 감사 디렉터리에 유지할 감사 로그 수를 지정할 수 있으며, 이를 통해 볼륨에 감사 로그에 사용할 수 있는 공간이 충분하도록 할 수 있습니다.

에 대한 감사 구성 만들기 SVMs

파일 및 디렉터리 이벤트 감사를 시작하려면 먼저 스토리지 가상 시스템 () 에서 감사 구성을 생성해야 합니다. SVM 감사 구성을 생성한 후에는 에서 해당 구성을 활성화해야 합니다. SVM

vserver audit create 명령을 사용하여 감사 구성을 생성하기 전에 로그 대상으로 사용할 디렉터리를 생성하고 디렉터리에 심볼 링크가 없는지 확인합니다. -destination 파라미터를 사용하여 대상 디렉터리를 지정합니다.

다음과 같이 로그 크기나 일정에 따라 감사 로그를 로테이션시키는 감사 구성을 만들 수 있습니다.

  • 로그 크기에 따라 감사 로그를 로테이션하려면 다음 명령을 사용합니다.

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    다음 예제에서는 크기 기반 회전을 사용하여 파일 작업과 CIFS (SMB) 로그온 및 로그오프 이벤트 (기본값) 를 svm1 감사하는 SVM 명명된 사용자에 대한 감사 구성을 만듭니다. 로그 형식은 EVTX(기본값)이고 로그는 /audit_log 디렉터리에 저장되며 한 번에 하나의 로그 파일(최대 200MB의 크기)을 갖게 됩니다.

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 일정에 따라 감사 로그를 로테이션하려면 다음 명령을 사용합니다.

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    시간 기반 감사 로그 로테이션을 구성하는 경우 -rotate-schedule-minute 파라미터가 필요합니다.

    다음 예에서는 시간 기반 순환을 사용하여 명명된 이름에 대한 감사 구성을 만듭니다. SVM svm2 로그 형식은 EVTX(기본값)이며 감사 로그는 매월 모든 요일의 오후 12시 30분에 로테이션됩니다.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

-format 파라미터를 사용하여 감사 로그를 변환된 EVTX 형식(기본값)으로 생성할지 또는 XML 파일 형식으로 생성할지 지정할 수 있습니다. EVTX 형식을 사용하면 Microsoft 이벤트 뷰어로 로그 파일을 볼 수 있습니다.

기본적으로 감사할 이벤트의 범주는 파일 액세스 이벤트 (SMB및NFS), CIFS (SMB) 로그온 및 로그오프 이벤트, 권한 부여 정책 변경 이벤트입니다. 다음 형식의 -events 파라미터를 사용하여 로깅할 이벤트를 보다 잘 제어할 수 있습니다.

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

예를 들어 -events file-share를 사용하면 파일 공유 이벤트를 감사할 수 있습니다.

vserver audit create 명령에 대한 자세한 내용은 감사 구성 생성을 참조하세요.

에 대한 감사 활성화 SVM

감사 구성 설정을 완료한 후에는 에서 감사를 활성화해야 합니다. SVM 이렇게 하려면 다음 명령을 사용합니다.

vserver audit enable -vserver svm_name

예를 들어, 다음 명령을 사용하여 명명된 항목에 대한 감사를 활성화합니다. SVM svm1 

vserver audit enable -vserver svm1

액세스 감사는 언제든지 비활성화할 수 있습니다. 예를 들어, 다음 명령을 사용하여 명명된 항목에 대한 감사를 해제할 수 있습니다. SVM svm4 

vserver audit disable -vserver svm4

감사를 비활성화하면 에서 감사 구성이 삭제되지 않으므로 언제든지 해당 구성에 대한 감사를 다시 활성화할 수 있습니다. SVM SVM

파일 및 폴더 감사 정책 구성

사용자 액세스 시도에 대해 감사할 파일 및 폴더에 감사 정책을 구성해야 합니다. 성공한 액세스 시도 및 실패한 액세스 시도 모두 모니터링하도록 감사 정책을 구성할 수 있습니다.

및 감사 정책을 모두 구성할 수 있습니다. SMB NFS SMB그리고 NFS 감사 정책은 볼륨의 보안 스타일에 따라 구성 요구 사항과 감사 기능이 다릅니다.

NTFS보안 스타일 파일 및 디렉터리에 대한 감사 정책

Windows 보안 탭 또는 를 사용하여 NTFS 감사 정책을 구성할 수 있습니다. ONTAP CLI

NTFS보안 설명자와 관련된 항목을 추가하여 NTFS NTFS SACLs 감사 정책을 구성합니다. 그러면 보안 설명자가 NTFS 파일 및 디렉터리에 적용됩니다. 이러한 작업은 Windows에서 자동으로 처리됩니다. GUI 보안 설명자에는 파일 및 폴더 액세스 권한 적용, 파일 및 폴더 감사 또는 둘 다를 SACLs 위한 임의 액세스 제어 목록 (DACLs) 이 포함될 수 있습니다. SACLs DACLs

  1. Windows 탐색기의 도구 메뉴에서 네트워크 드라이브 연결을 선택합니다.

  2. 네트워크 드라이브 연결 상자에서 다음 작업을 수행합니다.

    1. 드라이브 문자를 선택합니다.

    2. 폴더 상자에 감사할 데이터가 들어 있는 공유가 포함된 SMB (CIFS) 서버 이름과 공유 이름을 입력합니다.

    3. 마침을 클릭합니다.

    선택한 드라이브가 마운트되고 바로 사용할 수 있으며 Windows 탐색기 창에 공유에 포함된 파일 및 폴더가 표시됩니다.

  3. 감사 액세스를 활성화할 파일 또는 디렉터리를 선택합니다.

  4. 파일 또는 디렉터리를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

  5. 보안 탭을 선택합니다.

  6. 고급을 클릭합니다.

  7. 감사 탭을 선택합니다.

  8. 원하는 작업을 수행합니다.

    다음을 수행하려는 경우 수행 방법

    새 사용자 또는 그룹에 대한 감사 설정

    1. 추가를 선택합니다.

    2. 선택할 객체 이름 입력 상자에서, 추가하려는 사용자 또는 그룹의 이름을 입력합니다.

    3. 확인을 선택합니다.

    사용자 또는 그룹에서 감사 제거

    1. 선택할 객체 이름 입력 상자에서, 제거하려는 사용자 또는 그룹을 선택합니다.

    2. 제거를 선택합니다.

    3. 확인을 선택합니다.

    4. 이 절차의 나머지 단계는 건너뜁니다.

    사용자 또는 그룹에 대한 감사 변경

    1. 선택할 객체 이름 입력 상자에서, 변경하려는 사용자 또는 그룹을 선택합니다.

    2. 편집을 선택합니다.

    3. 확인을 선택합니다.

    사용자 또는 그룹에 대한 감사를 설정하거나 기존 사용자 또는 그룹에 대한 감사를 변경하는 경우 감사 항목은 object상자가 열립니다.

  9. 적용 대상 상자에서, 이 감사 항목을 적용할 방법을 선택합니다.

    단일 파일에 감사를 설정하는 경우 이 객체로만 기본 설정되기 때문에 적용 대상 상자가 활성화되지 않습니다.

  10. 액세스 상자에서, 감사할 대상 및 성공한 이벤트, 실패한 이벤트 또는 둘 다를 감사할지 여부를 선택합니다.

    • 성공한 이벤트를 감사하려면 성공 상자를 선택합니다.

    • 실패한 이벤트를 감사하려면 실패 상자를 선택합니다.

    보안 요구 사항을 충족하기 위해 모니터링해야 하는 작업을 선택합니다. 이러한 감사 가능 이벤트에 대한 자세한 내용은 Windows 설명서를 참조하세요. 다음 이벤트를 감사할 수 있습니다.

    • 전체 제어

    • 폴더 트래버스/파일 실행

    • 폴더 나열/데이터 읽기

    • 속성 읽기

    • 확장 속성 읽기

    • 파일 생성/데이터 쓰기

    • 폴더 생성/데이터 추가

    • 속성 쓰기

    • 확장 속성 쓰기

    • 하위 폴더 및 파일 삭제

    • 삭제

    • 권한 읽기

    • 권한 변경

    • 소유권 취득

  11. 감사 설정이 원본 컨테이너의 후속 파일 및 폴더에 전파되지 않도록 하려면 이 감사 항목을 이 컨테이너 내의 객체 및/또는 컨테이너에만 적용 상자를 선택합니다.

  12. 적용을 선택합니다.

  13. 감사 항목을 추가, 제거, 편집한 후 확인을 선택합니다.

    감사 항목 형식 object상자가 닫힙니다.

  14. 감사 상자에서 이 폴더의 상속 설정을 선택합니다. 보안 요구 사항을 충족하는 감사 이벤트를 제공하는 최소 수준만 선택합니다.

    다음 중 하나를 선택할 수 있습니다.

    • 이 객체의 부모로부터 상속 가능한 감사 항목 포함 상자를 선택합니다.

    • 모든 하위 항목에 있는 기존의 상속 가능한 감사 항목을 모두 이 객체의 상속 가능한 감사 항목으로 바꾸기 상자를 선택합니다.

    • 두 상자를 모두 선택합니다.

    • 어느 상자도 선택하지 않습니다.

    단일 파일에 SACLs 대해 설정하는 경우 모든 하위 항목의 상속 가능한 기존 감사 항목을 모두 이 개체의 상속 가능한 감사 항목으로 바꾸기 상자가 감사 상자에 표시되지 않습니다.

  15. 확인을 선택합니다.

를 사용하면 Windows 클라이언트의 SMB 공유를 사용하여 데이터에 연결할 필요 없이 NTFS 감사 정책을 구성할 수 있습니다. ONTAP CLI

예를 들어, 다음 명령은 명명된 보안 정책을 p1 명명된 보안 정책에 적용합니다. SVM vs0 

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX보안 스타일 파일 및 디렉터리에 대한 감사 정책

v4.x (액세스 제어 목록) 에 감사 ACEs (액세스 제어 표현식) 를 추가하여 UNIX 보안 스타일 파일 및 디렉터리에 대한 감사를 구성합니다. NFS ACLs 이렇게 하면 보안을 위해 특정 NFS 파일 및 디렉터리 액세스 이벤트를 모니터링할 수 있습니다.

참고

NFSv4.x의 경우 임의 항목과 시스템 항목이 모두 동일한 ACEs 위치에 저장됩니다. ACL 따라서 기존 데이터에 감사를 ACEs 추가할 때는 기존 파일을 덮어쓰거나 손실되지 ACL 않도록 주의해야 합니다. ACL 기존 감사에 감사를 ACEs 추가하는 순서는 중요하지 ACL 않습니다.

  1. 또는 이에 상응하는 명령을 사용하여 기존 ACL 파일 nfs4_getfacl 또는 디렉터리를 검색합니다.

  2. 원하는 감사를 ACEs 추가합니다.

  3. 또는 이에 ACL 상응하는 명령을 사용하여 파일 또는 디렉터리에 업데이트를 적용합니다. nfs4_setfacl

    이 예제에서는 -a 옵션을 사용하여 testuser라는 사용자에게 file1이라는 파일에 대한 읽기 권한을 부여합니다.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

감사 이벤트 로그 보기

EVTX 또는 XML 파일 형식으로 저장된 감사 이벤트 로그를 볼 수 있습니다.

  • EVTX 파일 형식 - Microsoft 이벤트 뷰어를 사용하여 변환된 EVTX 감사 이벤트 로그를 저장된 파일로 열 수 있습니다.

    이벤트 뷰어를 사용하여 이벤트 로그를 볼 때 사용할 수 있는 두 가지 옵션은 다음과 같습니다.

    • 일반 보기: 모든 이벤트에 공통적인 정보가 이벤트 레코드에 표시됩니다. 이벤트 레코드의 이벤트별 데이터는 표시되지 않습니다. 세부 보기를 사용하여 이벤트별 데이터를 표시할 수 있습니다.

    • 상세 보기: 친숙한 보기와 XML 보기를 사용할 수 있습니다. 친숙한 보기와 XML 보기에는 모든 이벤트에 공통적인 정보와 이벤트 레코드의 이벤트별 데이터가 모두 표시됩니다.

  • XML파일 형식 - 해당 XML 파일 형식을 지원하는 타사 애플리케이션에서 XML 감사 이벤트 로그를 보고 처리할 수 있습니다. XMLXML필드 정의에 대한 XML 스키마와 정보가 있는 경우 보기 도구를 사용하여 감사 로그를 볼 수 있습니다.