檔案存取稽核 - FSx for OnTAP
檔案存取稽核概觀設定檔案存取稽核的工作概觀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檔案存取稽核

適用於 NetApp ONTAP 的 Amazon FSx 支援稽核最終使用者對儲存虛擬機器 (SVM) 中檔案和目錄的存取。

檔案存取稽核概觀

檔案存取稽核可讓您根據您定義的稽核策略,記錄使用者對個別檔案和目錄的存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織遵循資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。

跨檔案和目錄存取,Amazon FSx 支援記錄成功嘗試 (例如具有足夠權限的成功存取檔案的使用者)、嘗試失敗,或兩者都支援記錄。您也可以隨時關閉檔案存取稽核。

依預設,稽核事件記錄會以EVTX檔案格式儲存,讓您可以使用 Microsoft 事件檢視器來檢視這些記錄檔。

可稽核的 SMB 存取事件

下表列出 SMB 檔案和資料夾存取事件可以稽核。

事件識別碼 (EVT) 事件 描述 類別

560/4656

開啟物件/建立物件

對象訪問:對象(文件或目錄)打開

檔案存取

563/4659

開啟具有刪除意圖的物件

對象訪問:刪除意圖請求對象(文件或目錄)的句柄

檔案存取

564/4660

刪除物件

對象訪問:刪除對象(文件或目錄)。當 Windows 用戶端嘗試刪除物件 (檔案或目錄) 時,ONTAP 會產生此事件

檔案存取

567/4663

讀取物件/寫入物件/取得物件屬性/設定物件屬性

對象訪問:對象訪問嘗試(讀取,寫入,獲取屬性,設置屬性)。

注意

對於此事件,ONTAP 只會稽核物件上的第一個 SMB 讀取和第一個 SMB 寫入作業 (成功或失敗)。這可防止 ONTAP 在單一用戶端開啟物件並對相同物件執行許多連續的讀取或寫入作業時,建立過多的記錄項目。

檔案存取

N/

硬鏈接

對象訪問:嘗試創建硬鏈接

檔案存取

N/A /N/A 安裝事件識別碼 9999

重命名物件

物件存取:已重新命名物件。這是一個 ONTAP 事件。Windows 目前不支援它做為單一事件。

檔案存取

N/A ONTAP 事件識別碼 9998

取消連結物件

物件存取:取消連結的物件。這是一個 ONTAP 事件。Windows 目前不支援它做為單一事件。

檔案存取

可稽核的 NFS 存取事件

可稽核下列 NFS 檔案和資料夾存取事件。

  • READ

  • OPEN

  • CLOSE

  • 讀取的

  • WRITE

  • 塞塔特爾

  • 製作

  • 連結

  • 开放亚特

  • 移除

  • 獲得者

  • 驗證

  • N 驗證

  • RENAME

設定檔案存取稽核的工作概觀

針對 ONTAP 設定 FSx 進行檔案存取稽核涉及下列高階工作:

  1. 熟悉檔案存取稽核需求和考量事項。

  2. 在特定 SVM 上建立稽核組態

  3. 在該 SVM 上啟用稽核

  4. 針對您的檔案和目錄設定稽核策略

  5. 檢視適用於 ONTAP 的 FSx 發出稽核事件記錄之後的稽核事件記錄。

作業詳細資訊在下列程序中提供。

針對檔案系統上您要啟用檔案存取稽核的任何其他 SVM 重複這些工作。

稽核要求

在 SVM 上設定並啟用下列列列列列列列列列列列列列列列列列列列列列列列列列列列列列列列列事項:

  • NFS 稽核支援指定為類型的稽核存取控制項目 (ACE)u,當嘗試存取物件時,會產生稽核記錄項目。對於 NFS 稽核,模式位元和稽核 ACE 之間沒有對應。將 ACL 轉換為模式位元時,會略過稽核 ACE。將模式位元轉換為 ACL 時,不會產生稽核 ACE。

  • 稽核取決於暫存磁碟區中的可用空間。(暫存磁碟區是 ONTAP 建立的專用磁碟區,用來儲存暫存檔案,這是個別節點上的中繼二進位檔案,其中稽核記錄會在轉換為 EVTX 或 XML 檔案格式之前儲存。) 您必須確定在包含稽核磁碟區的彙總中,有足夠的空間可供安裝磁碟區使用。

  • 稽核取決於包含儲存已轉換稽核事件記錄檔之目錄的磁碟區中有可用空間。您必須確定用來儲存事件記錄的磁碟區中有足夠的空間。您可以在建立稽核配置時使用-rotate-limit參數來指定要保留在稽核目錄中的稽核記錄數目,這有助於確保磁碟區中有足夠的可用空間供稽核記錄檔使用。

在 SVM 上建立稽核組態

您必須先在儲存區虛擬機器 (SVM) 上建立稽核組態,才能開始稽核檔案和目錄事件。建立稽核組態之後,您必須在 SVM 上將其加以啟用。

在您使用命vserver audit create令建立稽核組態之前,請確定您已建立一個用作記錄目的地的目錄,而且該目錄沒有符號連結。您可以使用-destination參數指定目標目錄。

您可以建立稽核配置,根據記錄檔大小或排程輪替稽核記錄,如下所示:

  • 若要根據記錄檔大小輪換稽核記錄,請使用以下指令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    下列範例會建立名為 SVM 的稽核組態,svm1以使用大小輪替來稽核檔案作業和 CIFS (SMB) 登入和登出事件 (預設值)。記錄檔格式為EVTX (預設值),記錄會儲存在/audit_log目錄中,而且您一次只會有一個記錄檔 (大小最大為 200MB)。

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 若要根據排程輪替稽核記錄,請使用以下指令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    如果您要設定以時間為基礎的稽核記錄輪替,則需要此-rotate-schedule-minute參數。

    下列範例會針對svm2使用以時間為基礎的循環命名的 SVM 建立稽核組態。記錄檔格式為EVTX (預設值),而且稽核記錄會在一週的所有日子每月 12:30 PM 進行輪換。

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

您可以使用-format參數來指定是以轉換的EVTX格式 (預設值) 還是以XML檔案格式建立稽核記錄。該EVTX格式允許您使用 Microsoft 事件查看器查看日誌文件。

根據預設,要稽核的事件類別包括檔案存取事件 (SMB 和 NFS)、CIFS (SMB) 登入和登出事件,以及授權原則變更事件。您可以透過參數更好地控制要記錄哪些事件,該-events參數具有下列格式:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

例如,使用-events file-share可啟用檔案共用事件的稽核功能。

如需有關vserver audit create命令的詳細資訊,請參閱建立稽核配置

在 SVM 上啟用稽核

完成設定稽核組態之後,您必須啟用 SVM 上的稽核功能。若要這麼做,請使用下列命令:

vserver audit enable -vserver svm_name

例如,使用下列命令,在名為的 SVM 上啟用下列命令svm1

vserver audit enable -vserver svm1

您可隨時停用存取稽核。例如,使用下列命令關閉名為的 SVM 上的稽核svm4

vserver audit disable -vserver svm4

當您停用稽核時,不會刪除 SVM 上的稽核設定,這表示您可以隨時在該 SVM 上重新啟用稽核。

設定檔案和資料夾稽核策略

您需要針對要稽核使用者存取嘗試進行稽核的檔案和資料夾設定稽核策略。您可以設定稽核策略來監控成功和失敗的存取嘗試。

您可以同時設定 SMB 和 NFS 稽核原則。SMB 和 NFS 稽核原則會根據磁碟區的安全性樣式,具有不同的組態需求和稽核功能。

NTFS 安全性樣式檔案和目錄的稽核策略

您可以使用視窗安全性索引標籤或 ONTAP CLI 來設定 NTFS 稽核原則。

您可以透過將項目新增至與 NTFS 安全性描述元相關聯的 NTFS SACL 來設定 NTFS 稽核策略。然後,安全性描述元會套用至 NTFS 檔案和目錄。這些工作會由視窗圖形用戶界面自動處理。安全性描述元可以包含用於套用檔案和資料夾存取權限的判別存取控制清單 (DACL)、檔案和資料夾稽核的 SACL,或同時包含 SACL 和 DACL。

  1. 從 Windows 檔案總管的「工具」功能表中,選取「對應網路磁碟機

  2. 完成「對應網路磁碟機」方塊:

    1. 選擇磁碟機代號。

    2. 在 [資料] 方塊中,輸入包含共用的 SMB (CIFS) 伺服器名稱,其中包含您要稽核的資料以及共用的名稱。

    3. 選擇 Finish (完成)。

    您選取的磁碟機會掛載並準備好 Windows 檔案總管視窗,顯示共用中包含的檔案和資料夾。

  3. 選取要為其啟用稽核存取的檔案或目錄。

  4. 以滑鼠右鍵按一下檔案或目錄,然後選擇 [內容]。

  5. 選擇 Security (安全) 標籤。

  6. 按一下進階

  7. 選擇 [稽核] 索引標籤。

  8. 執行所需的動作:

    如果您想要… 執行以下列操作

    為新使用者或群組設定稽核

    1. 選擇 Add (新增)。

    2. 在 [輸入要選取的物件名稱] 方塊中,輸入您要新增的使用者或群組的名稱。

    3. 選擇 OK (確定)。

    從使用者或群組移除稽核

    1. 在 [輸入要選取的物件名稱] 方塊中,選取您要移除的使用者或群組。

    2. 選擇 Remove (移除)。

    3. 選擇 OK (確定)。

    4. 略過此程序的剩餘部分。

    變更使用者或群組的稽核

    1. 在 [輸入要選取的物件名稱] 方塊中,選擇您要變更的使用者或群組。

    2. 選擇 編輯

    3. 選擇 OK (確定)。

    如果您要設定使用者或群組的稽核,或變更現有使用者或群組的稽核,則物件的稽核項目] 方塊會開啟。

  9. 在 [套用至] 方塊中,選取您要套用此稽核項目的方式。

    如果您要在單一檔案上設定稽核,則 [套用至] 方塊不會處於使用中狀態,因為它預設為 [僅此物件]。

  10. 在「存取」方塊中,選取您要稽核的項目,以及是否要稽核成功事件、失敗事件或兩者。

    • 若要稽核成功的事件,請選擇成方塊。

    • 若要稽核失敗事件,請選擇「失敗」方塊。

    選擇您需要監視的動作,以符合您的安全性需求。如需這些可稽核事件的詳細資訊,請參閱 Windows 文件。您可以稽核下列事件:

    • 完全控制

    • 遍歷文件夾/執行文件

    • 列表文件夾/讀取數據

    • 讀取屬性

    • 讀取擴充屬性

    • 建立檔案/寫入資料

    • 建立資料夾/附加資料

    • 寫入屬性

    • 寫入擴充屬性

    • 刪除子資料夾和檔案

    • Delete

    • 讀取許可

    • 變更權限

    • 取得所有權

  11. 如果您不想將稽核設定傳播到原始容器的後續檔案和資料夾,請選擇 [將這些稽核項目套用至僅限此容器內的物件和/或容器] 方塊。

  12. 選擇 Apply (套用)。

  13. 完成新增、移除或編輯稽核項目之後,請選擇 [確定]

    [物件的稽核項] 方塊隨即關閉。

  14. 在 [稽核] 方塊中,選擇此資料夾的繼承設定。請僅選擇提供符合安全性需求之稽核事件的最低層級。

    您可以選擇下列其中之一:

    • 選擇 [包含此物件父項中可繼承的稽核項目] 方塊。

    • 選擇 [以此物件的可繼承稽核項目取代所有子代上的所有現有可繼承稽核項目] 方塊。

    • 選擇這兩個方塊。

    • 兩個方塊都不選擇。

    如果您在單一檔案上設定 SACL,[稽核] 方塊中不會顯示 [使用此物件繼承的稽核項目取代所有子代上所有現有的可繼承稽核項目] 方塊。

  15. 選擇 OK (確定)。

透過使用 ONTAP CLI,您可以設定 NTFS 稽核原則,而不需要使用 Windows 用戶端上的 SMB 共用連線至資料。

例如,下列命令會將名為的安全性原則套用p1至名為的 SVMvs0

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX 安全性樣式檔案和目錄的稽核原則

您可以將稽核 ACE (存取控制運算式) 新增至 NFS v4.x ACL (存取控制清單),以設定 UNIX 安全性樣式檔案和目錄的稽核。這可讓您基於安全性目的監視特定 NFS 檔案和目錄存取事件。

注意

對於 NFS v4.x,選擇性和系統 ACE 都儲存在相同的 ACL 中。因此,在將稽核 ACE 新增至現有 ACL 時,您必須小心,以避免覆寫和遺失現有 ACL。將稽核 ACE 新增至現有 ACL 的順序無關緊要。

  1. 使用或等效指令擷取檔案或目錄的nfs4_getfacl現有 ACL。

  2. 附加所需的稽核 ACE。

  3. 使用或對等的指令,將更新的 ACL 套用至檔案nfs4_setfacl或目錄。

    此範例會使用此-a選項,將名為的檔案授予使用者 (名為testuser) 讀取權限file1

    nfs4_setfacl -a "A::testuser@example.com:R" file1

檢視稽核事件日誌

您可以檢視以EVTXXML檔案格式儲存的稽核事件記錄。

  • EVTX檔案格式 — 您可以使用 Microsoft 事件檢視器將轉換後的EVTX稽核事件記錄檔開啟為已儲存的檔案。

    使用事件檢視器檢視事件記錄檔時,您可以使用兩個選項:

    • 一般檢視:會針對事件記錄顯示所有事件共用的資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定的資料。

    • 詳細視圖:友好的視圖和 XML 視圖可用。易記檢視和 XML 檢視會同時顯示所有事件通用的資訊,以及事件記錄的事件特定資料。

  • XML檔案格式 — 您可以在支援 XML 檔案格式的協力廠商應用程式上檢視和處理 XML 稽核事件記錄。如果您擁有 XML 結構描述和 XML 欄位定義的相關資訊,XML 檢視工具可用來檢視稽核記錄。