本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
审计文件访问
Amazon FSx for NetApp ONTAP 支持审计最终用户对存储虚拟机中文件和目录的访问权限 (SVM)。
文件访问审计概述
文件访问审计能让您根据您定义的审计策略记录最终用户对单个文件和目录的访问权限。文件访问审计可以帮助您提高系统的安全性,降低未经授权访问系统数据的风险。文件访问审计可帮助您的组织遵守数据保护要求,尽早发现潜在威胁,并降低数据泄露的风险。
在文件和目录访问中,Amazon FSx 支持记录成功尝试(例如拥有足够权限的用户成功访问文件)、失败的尝试或两者兼而有之。您还可以随时关闭文件访问审计。
默认情况下,审计事件日志以 EVTX 文件格式存储,允许您使用 Microsoft 事件查看器进行查看。
SMB访问可以审计的事件
下表列出了可以审计SMB的文件和文件夹访问事件。
| 事件 ID (EVT/EVTX) | 事件 | 描述 | 类别 |
|---|---|---|---|
|
560/4656 |
打开对象/创建对象 |
OBJECTACCESS: 对象(文件或目录)已打开 |
文件访问 |
|
563/4659 |
打开要删除的对象 |
OBJECTACCESS: 为了删除而请求了对象(文件或目录)的句柄 |
文件访问 |
|
564/4660 |
删除对象 |
OBJECTACCESS: 删除对象(文件或目录)。 ONTAP当 Windows 客户端尝试删除对象(文件或目录)时生成此事件 |
文件访问 |
|
567/4663 |
读取Object/Write Object/Get Object Attributes/Set对象属性 |
OBJECTACCESS: 对象访问尝试(读取、写入、获取属性、设置属性)。 注意对于此事件,仅ONTAP审计对象上的首次SMB读取和首次SMB写入操作(成功或失败)。这样可以ONTAP防止在单个客户端打开一个对象并对同一个对象执行多次连续的读取或写入操作时创建过多的日志条目。 |
文件访问 |
|
N/A/4664 |
硬链接 |
OBJECTACCESS: 有人试图创建硬链接 |
文件访问 |
|
N/A/N/A ONTAP 活动编号 9999 |
重命名对象 |
OBJECTACCESS: 已重命名对象。这是一个ONTAP事件。Windows 目前不支持将其作为单一事件。 |
文件访问 |
|
N/A/N/A ONTAP 活动编号 9998 |
取消关联对象 |
OBJECTACCESS: 对象已取消链接。这是一个ONTAP事件。Windows 目前不支持将其作为单一事件。 |
文件访问 |
NFS访问可以审计的事件
可以审计以下NFS文件和文件夹访问事件。
READ
OPEN
CLOSE
READDIR
WRITE
SETATTR
CREATE
LINK
OPENATTR
REMOVE
GETATTR
VERIFY
NVERIFY
RENAME
设置文件访问审计的任务概览
文件访问审计FSxONTAP的设置涉及以下高级任务:
熟悉文件访问审计要求和注意事项。
在特定上创建审计配置SVM。
启用对此的审计SVM。
对您的文件和目录配置审计策略。
任务详细信息可见于以下过程。
SVM对文件系统中要为其启用文件访问审核的任何其他任务重复执行这些任务。
审计要求
在上配置和启用审计之前SVM,应了解以下要求和注意事项。
NFSauditing 支持指定为类型的审计访问控制条目 (ACEs)
u,当尝试访问对象时,这些条目会生成审计日志条目。对于NFS审计,模式位和审计之间没有映射ACEs。ACLs转换为模式位时,ACEs会跳过审计。将模式位转换为时ACLs,不会生成审计ACEs。审计取决于暂存卷中的可用空间。(暂存卷是由ONTAP创建的用于存储暂存文件的专用卷,这些文件是单个节点上的中间二进制文件,审计记录在转换为EVTX或XML文件格式之前存储在这些节点上。) 您必须确保在包含已审计卷的聚合中有足够的空间容纳暂存卷。
审计取决于存储转换后审计事件日志的目录所在的卷中是否有可用空间。必须确保卷中有足够的空间用于存储事件日志。您可以在创建审计配置时使用
-rotate-limit参数来指定要在审计目录中保留的审计日志数量,这有助于确保卷中有足够的可用空间存放审计日志。
在上创建审计配置 SVMs
在开始审核文件和目录事件之前,必须先在存储虚拟机上创建审计配置(SVM)。创建审计配置后,必须在上将其启用SVM。
在使用 vserver audit create 命令创建审计配置之前,请确保已创建用作日志目标的目录,且该目录没有符号链接。您可以使用 -destination 参数指定目标目录。
您可以创建根据日志大小或计划轮换审计日志的审计配置,如下所示:
要根据日志大小轮换审计日志,请使用以下命令:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-size {integer[KB|MB|GB|TB|PB]}]以下示例使用基于大小的轮换为SVM被命名的用户创建审计配置
svm1,该配置用于审计文件操作以及 CIFS (SMB) 登录和注销事件(默认)。日志格式为EVTX(默认),日志存储在/audit_log目录中,每次只有一个日志文件(最大 200MB)。vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB要根据计划轮换审计日志,请使用以下命令:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-schedule-monthchron_month] [-rotate-schedule-dayofweekchron_dayofweek] [-rotate-schedule-daychron_dayofmonth] [-rotate-schedule-hourchron_hour] [-rotate-schedule-minutechron_minute]如果您要配置基于时间的审计日志轮换,则需要
-rotate-schedule-minute参数。以下示例
svm2使用基于时间的轮换为SVM命名者创建审计配置。日志格式为EVTX(默认),审计日志每月轮换,时间为每日中午 12:30。vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
您可以使用 -format 参数来指定审计日志是以转换后的 EVTX 格式(默认)还是以 XML 文件格式创建。EVTX 格式允许您使用 Microsoft 事件查看器查看日志文件。
默认情况下,要审计的事件类别为文件访问事件(同时SMB为NFS)、CIFS(SMB)登录和注销事件以及授权策略更改事件。您可以通过 -events 参数更好地控制要记录哪些事件,其格式如下:
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}例如,使用 -events file-share 可以对文件共享事件进行审计。
有关 vserver audit create 命令的更多信息,请参阅创建审计配置
在上启用审计 SVM
完成审计配置的设置后,必须对启用审计SVM。为此,请使用以下命令:
vserver audit enable -vserver svm_name例如,使用以下命令对SVM被命名者启用审计svm1。
vserver audit enable -vserver svm1
您可以随时禁用访问审计。例如,使用以下命令关闭对SVM命名的审计svm4。
vserver audit disable -vserver svm4
当您禁用审计时,不会删除上的审计配置SVM,这意味着您可以SVM随时重新启用审计。
配置文件和文件夹审计策略
您需要为要审计用户访问尝试的文件和文件夹配置审计策略。您可以配置审计策略来监控成功和失败的访问尝试。
您可以同时配置两者SMB以及NFS审计策略。 SMB而且,根据卷的安全风格,NFS审计策略具有不同的配置要求和审计功能。
对NTFS安全类文件和目录的审计策略
您可以使用 Windows 安全选项卡或配置NTFS审计策略ONTAPCLI。
您可以通过向其中添加与NTFS安全描述符关联NTFSSACLs的条目来配置NTFS审计策略。然后将安全描述符应用于NTFS文件和目录。这些任务由 Windows 自动处理GUI。安全描述符可以包含任意访问控制列表 (DACLs),用于应用文件和文件夹访问权限、文件和文件夹审计,或者两者兼SACLsSACLs而有之。DACLs
从 Windows 资源管理器的工具菜单中,选择映射网络驱动器。
填写映射网络驱动程序框:
-
选择驱动器号。
-
在 “文件夹” 框中,键入包含共享的 SMB (CIFS) 服务器名称,其中包含要审核的数据和共享的名称。
-
选择完成。
您选择的驱动器已安装并准备就绪,Windows 资源管理器窗口显示共享中包含的文件和文件夹。
-
选择要为其启用审计访问的文件或目录。
右键单击文件或目录,然后选择属性。
选择安全性选项卡。
单击高级。
选择审计选项卡。
执行所需的操作:
如果要... 执行以下操作: 为新用户或组设置审计
选择添加。
在输入要选择的对象名称框中,键入要添加的用户或组的名称。
选择确定。
从用户或组中删除审计
在输入要选择的对象名称框中,选择要删除的用户或组。
选择删除。
选择确定。
跳过此过程中的其余步骤。
更改对用户或组的审计
在输入要选择的对象名称框中,选择要更改的用户或组。
选择编辑。
选择确定。
如果要对用户或组设置审计,或者要更改对现有用户或组的审计,则会打开 “审计条目
object” 框。在应用于框中,选择要如何应用此审计条目。
如果要对单个文件设置审计,则应用于框处于非活动状态,因为它默认为“仅限此对象”。
在访问权限框中,选择要审计的内容,以及是要审计成功的事件、失败的事件还是两者兼而有之。
要审计成功的事件,请选择成功框。
要审计失败的事件,请选择失败框。
选择需要监控的操作以满足您的安全要求。有关这些可审计事件的更多信息,请参阅 Windows 文档。您可以审计以下事件:
完全控制
遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
创建文件/写入数据
创建文件夹/追加数据
写入属性
写入扩展属性
删除子文件夹和文件
删除
读取权限
更改权限
获取所有权
如果您不希望将审计设置传播到原始容器的后续文件和文件夹,请选择仅将这些审计条目应用于此容器中的对象和/或容器框。
选择应用。
添加、删除或编辑审计条目后,选择确定。
“审计条目
object” 框关闭。在审计框中,选择此文件夹的继承设置。仅选择提供符合您安全要求的审计事件的最低级别。
您可以选择以下任一种密钥:
选择包括此对象父项中可继承的审计条目框。
选择用此对象中的可继承审计条目替换所有子代上的现有可继承审计条目框。
两个都选。
两个都不选。
如果您SACLs在单个文件上进行设置,则 “审计” 框中不会显示 “将所有后代上的所有现有可继承的审计条目替换为该对象的可继承审计条目” 复选框。
选择确定。
通过使用 ONTAPCLI,您可以配置NTFS审计策略,而无需在 Windows 客户端上使用SMB共享连接到数据。
您可以使用虚拟服务器安全文件目录
命令系列配置NTFS审计策略。
例如,以下命令将名为的安全策略应用p1于SVM指定的vs0。
vserver security file-directory apply -vserver vs0 -policy-name p1
对UNIX安全类文件和目录的审计策略
您可以通过向 NFS v4.xACLs(访问控制列表)中添加审计ACEs(访问控制表达式)来配置UNIX安全类文件和目录的审计。出于安全考虑,这允许您监控某些NFS文件和目录访问事件。
注意
对于 NFS v4.x,可自由支配资源和系统存储ACEs在同一个地方。ACL因此,在向现有审计中添加审计ACEs时必须小心,ACL以免覆盖和丢失现有ACL审计。将审计添加到现有审计ACEs的顺序ACL无关紧要。
使用或等效命令检索文件
nfs4_getfacl或目录的现有ACL内容。追加所需的审计ACEs。
-
使用或等效命令ACL将更新后的内容应用于文件
nfs4_setfacl或目录。此示例使用
-a选项授予用户(名为testuser)读取名为file1的文件的权限。nfs4_setfacl -a "A::testuser@example.com:R" file1
查看审计事件日志
您可以查看以 EVTX 或 XML 文件格式保存的审计事件日志。
EVTX文件格式 – 您可以使用 Microsoft 事件查看器将转换后的EVTX审计事件日志作为保存的文件打开。使用事件查看器查看事件日志时,有两个选项可供选择:
一般视图:显示事件记录中所有事件的通用信息。不显示事件记录中特定于事件的数据。您可以使用详细视图来显示特定事件的数据。
详细视图:提供友好XML视图和视图。友好视图和XML视图既显示所有事件的通用信息,也显示事件记录中特定于事件的数据。
XML文件格式-您可以查看和处理支持该XML文件格式的第三方应用程序上的XML审计事件日志。 XML查看工具可用于查看审计日志,前提是您拥有XML架构和有关XML字段定义的信息。
