本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon FSx for NetApp ONTAP 支援稽核最終使用者對儲存虛擬機器 (SVM) 中檔案和目錄的存取。
檔案存取稽核概觀
檔案存取稽核可讓您根據您定義的稽核政策,記錄個別檔案和目錄的最終使用者存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織持續符合資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。
在檔案和目錄存取中,Amazon FSx 支援記錄成功的嘗試 (例如具有足夠許可的使用者成功存取檔案)、失敗的嘗試,或兩者。您也可以隨時關閉檔案存取稽核。
根據預設,稽核事件日誌會以 EVTX 檔案格式存放,可讓您使用 Microsoft 事件檢視器來檢視它們。
可稽核的 SMB 存取事件
下表列出可稽核的 SMB 檔案和資料夾存取事件。
| 事件 ID (EVT/EVTX) | 事件 | 描述 | 類別 |
|---|---|---|---|
|
560/4656 |
開啟物件/建立物件 |
OBJECT ACCESS:物件 (檔案或目錄) 開啟 |
檔案存取 |
|
563/4659 |
具有要刪除意圖的開放物件 |
OBJECT ACCESS:使用刪除意圖請求物件 (檔案或目錄) 的控制代碼 |
檔案存取 |
|
564/4660 |
刪除物件 |
OBJECT ACCESS:刪除物件 (檔案或目錄)。當 Windows 用戶端嘗試刪除物件 (檔案或目錄) 時,ONTAP 會產生此事件 |
檔案存取 |
|
567/4663 |
讀取物件/寫入物件/取得物件屬性/設定物件屬性 |
OBJECT ACCESS:物件存取嘗試 (讀取、寫入、取得屬性、設定屬性)。 注意在此事件中,ONTAP 只會稽核物件上的第一個 SMB 讀取和第一個 SMB 寫入操作 (成功或失敗)。這可防止 ONTAP 在單一用戶端開啟物件並對相同物件執行許多連續的讀取或寫入操作時,建立過多的日誌項目。 |
檔案存取 |
|
N/A/4664 |
硬連結 |
OBJECT ACCESS:嘗試建立硬連結 |
檔案存取 |
|
N/A/N/A ONTAP 事件 ID 9999 |
重新命名物件 |
OBJECT ACCESS:物件已重新命名。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。 |
檔案存取 |
|
N/A/N/A ONTAP 事件 ID 9998 |
取消連結物件 |
物件存取:物件未連結。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。 |
檔案存取 |
可稽核的 NFS 存取事件
您可以稽核下列 NFS 檔案和資料夾存取事件。
READ
OPEN
CLOSE
READDIR
WRITE
SETATTR
CREATE
連結
OPENATTR
移除
GETATTR
驗證
NVERIFY
RENAME
設定檔案存取稽核的任務概觀
為檔案存取稽核設定 FSx for ONTAP 涉及下列高階任務:
下列程序提供任務詳細資訊。
對要啟用檔案存取稽核的檔案系統上的任何其他 SVM 重複任務。
稽核需求
在 SVM 上設定和啟用稽核之前,您應該注意下列要求和考量事項。
NFS 稽核支援指定為類型 的稽核存取控制項目 (ACEs)
u,當物件上嘗試存取時,會產生稽核日誌項目。對於 NFS 稽核,模式位元和稽核 ACEs 之間沒有映射。將 ACLs 轉換為模式位元時,會略過稽核 ACEs。將模式位元轉換為 ACLs 時,不會產生稽核 ACEs。稽核取決於預備磁碟區中有可用的空間。(預備磁碟區是由 ONTAP 建立的專用磁碟區,用於存放預備檔案,這些檔案是個別節點上的中繼二進位檔案,稽核記錄會在轉換為 EVTX 或 XML 檔案格式之前存放。) 您必須確保在包含稽核磁碟區的彙總中,預備磁碟區有足夠的空間。
稽核取決於磁碟區中有可用的空間,其中包含存放轉換後稽核事件日誌的目錄。您必須確保用於存放事件日誌的磁碟區中有足夠的空間。您可以在建立稽核組態時使用
-rotate-limit參數,指定要在稽核目錄中保留的稽核日誌數目,這有助於確保磁碟區中有足夠的可用空間可供稽核日誌使用。
在 SVMs 上建立稽核組態
您必須先在儲存虛擬機器 (SVM) 上建立稽核組態,才能開始稽核檔案和目錄事件。建立稽核組態之後,您必須在 SVM 上啟用它。
使用 vserver audit create命令建立稽核組態之前,請確定您已建立要做為日誌目的地的目錄,且該目錄沒有符號連結。您可以使用 -destination 參數指定目的地目錄。
您可以建立稽核組態,根據日誌大小或排程輪換稽核日誌,如下所示:
若要根據日誌大小輪換稽核日誌,請使用下列命令:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-size {integer[KB|MB|GB|TB|PB]}]下列範例會為名為 的 SVM 建立稽核組態
svm1,以使用以大小為基礎的輪換來稽核檔案操作和 CIFS (SMB) 登入和登出事件 (預設)。日誌格式為EVTX(預設值),日誌會存放在/audit_log目錄中,而且您一次會有一個日誌檔案 (大小上限為 200MB)。vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB若要根據排程輪換稽核日誌,請使用下列命令:
vserver audit create -vserversvm_name-destinationpath[-format {xml|evtx}] [-rotate-limitinteger] [-rotate-schedule-monthchron_month] [-rotate-schedule-dayofweekchron_dayofweek] [-rotate-schedule-daychron_dayofmonth] [-rotate-schedule-hourchron_hour] [-rotate-schedule-minutechron_minute]如果您要設定以時間為基礎的稽核日誌輪換,則需要
-rotate-schedule-minute參數。下列範例
svm2會使用以時間為基礎的輪換,為名為 的 SVM 建立稽核組態。日誌格式為EVTX(預設值),稽核日誌會在一週內每天的中午 12:30 輪換。vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
您可以使用 -format 參數來指定稽核日誌是以轉換EVTX格式 (預設) 還是XML檔案格式建立。EVTX 格式可讓您使用 Microsoft 事件檢視器檢視日誌檔案。
根據預設,要稽核的事件類別為檔案存取事件 (SMB 和 NFS)、CIFS (SMB) 登入和登出事件,以及授權政策變更事件。您可以更好地控制 -events 參數要記錄哪些事件,其格式如下:
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}例如,使用 -events file-share可稽核檔案共享事件。
如需 vserver audit create命令的詳細資訊,請參閱建立稽核組態
在 SVM 上啟用稽核
完成設定稽核組態後,您必須在 SVM 上啟用稽核。若要這麼做,請使用下列命令:
vserver audit enable -vserver svm_name例如,使用下列命令在名為 的 SVM 上啟用稽核svm1。
vserver audit enable -vserver svm1
您可以隨時停用存取稽核。例如,使用下列命令來關閉名為 的 SVM 稽核svm4。
vserver audit disable -vserver svm4
當您停用稽核時,不會刪除 SVM 上的稽核組態,這表示您可以隨時對該 SVM 重新啟用稽核。
設定檔案和資料夾稽核政策
您需要針對要針對使用者存取嘗試進行稽核的檔案和資料夾設定稽核政策。您可以設定稽核政策來監控成功和失敗的存取嘗試。
您可以同時設定 SMB 和 NFS 稽核政策。根據磁碟區的安全樣式,SMB 和 NFS 稽核政策具有不同的組態要求和稽核功能。
NTFS 安全樣式檔案和目錄的稽核政策
您可以使用 Windows 安全索引標籤或 ONTAP CLI 來設定 NTFS 稽核政策。
您可以透過將項目新增至與 NTFS 安全描述項相關聯的 NTFS SACLs 來設定 NTFS 稽核政策。然後,安全描述項會套用至 NTFS 檔案和目錄。這些任務由 Windows GUI 自動處理。安全描述項可以包含用於套用檔案和資料夾存取許可的選擇性存取控制清單 (DACLs)、用於檔案和資料夾稽核的 SACLs,或同時SACLs 和 DACLs。
在 Windows Explorer 的工具選單中,選取映射網路磁碟機。
完成映射網路磁碟機方塊:
-
選擇磁碟機代號。
-
在資料夾方塊中,輸入包含共用的 SMB (CIFS) 伺服器名稱,保留您要稽核的資料和共用的名稱。
-
選擇 Finish (完成)。
您選取的磁碟機已掛載,並準備好 Windows Explorer 視窗,其中顯示共用中包含的檔案和資料夾。
-
選取您要啟用稽核存取權的檔案或目錄。
在檔案或目錄上按一下滑鼠右鍵,然後選擇屬性。
選擇 Security (安全) 標籤。
按一下進階。
選擇稽核索引標籤。
執行所需的動作:
如果您想要… 執行下列動作 設定新使用者或群組的稽核
選擇新增。
在輸入要選取的物件名稱方塊中,輸入您要新增的使用者或群組名稱。
選擇確定。
從使用者或群組移除稽核
在輸入要選取的物件名稱方塊中,選取要移除的使用者或群組。
選擇移除。
選擇確定。
略過此程序的其餘部分。
變更使用者或群組的稽核
在輸入要選取的物件名稱方塊中,選擇您要變更的使用者或群組。
選擇編輯。
選擇確定。
如果您要在使用者或群組上設定稽核,或在現有使用者或群組上變更稽核,則會開啟
物件的稽核項目方塊。在套用至方塊中,選取您要如何套用此稽核項目。
如果您要在單一檔案上設定稽核,則套用至方塊不會處於作用中狀態,因為它預設為僅此物件。
在存取方塊中,選取您想要稽核的內容,以及您要稽核成功事件、失敗事件或兩者。
若要稽核成功事件,請選擇成功方塊。
若要稽核失敗事件,請選擇失敗方塊。
選擇您需要監控的動作,以符合您的安全需求。如需這些可稽核事件的詳細資訊,請參閱您的 Windows 文件。您可以稽核下列事件:
完全控制
周遊資料夾/執行檔案
列出資料夾/讀取資料
讀取屬性
讀取延伸屬性
建立檔案/寫入資料
建立資料夾/附加資料
寫入屬性
寫入延伸屬性
刪除子資料夾和檔案
Delete
讀取許可
變更許可
取得所有權
如果您不希望稽核設定傳播至原始容器的後續檔案和資料夾,請選擇僅將這些稽核項目套用至此容器內的物件和/或容器方塊。
選擇套用。
完成新增、移除或編輯稽核項目後,請選擇確定。
物件的稽核項目方塊會關閉。在稽核方塊中,選擇此資料夾的繼承設定。僅選擇提供符合您安全需求的稽核事件的最低層級。
您可以選擇下列其中之一:
從此物件的父方塊中選擇包含可繼承稽核項目。
選擇從此物件方塊中使用可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目。
選擇兩個方塊。
選擇任一方塊。
如果您要在單一檔案上設定 SACLs,則稽核方塊中不會出現使用來自此物件方塊的可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目。
選擇確定。
透過使用 ONTAP CLI,您可以設定 NTFS 稽核政策,而不需要在 Windows 用戶端上使用 SMB 共用連線到資料。
您可以使用 vserver 安全檔案目錄 ntfs sacl 新增
命令系列來設定 NTFS 稽核政策。
例如,下列命令會將名為 的安全政策套用至名為 p1的 SVMvs0。
vserver security file-directory apply -vserver vs0 -policy-name p1
UNIX 安全樣式檔案和目錄的稽核政策
您可以將稽核 ACEs (存取控制表達式) 新增至 NFS v4.x ACLs稽核。這可讓您基於安全考量監控特定 NFS 檔案和目錄存取事件。
注意
對於 NFS v4.x,可自由決定和系統 ACEs 都存放在相同的 ACL 中。因此,在將稽核 ACEs 新增至現有 ACL 時必須小心,以避免覆寫和遺失現有 ACL。將稽核 ACEs 新增至現有 ACL 的順序並不重要。
使用 或同等命令擷取檔案
nfs4_getfacl或目錄的現有 ACL。附加所需的稽核 ACEs。
-
使用 或同等命令,將更新的 ACL 套用至檔案
nfs4_setfacl或目錄。此範例使用
-a選項為使用者 (名為testuser) 提供名為 的檔案讀取許可file1。nfs4_setfacl -a "A::testuser@example.com:R" file1
檢視稽核事件日誌
您可以檢視以 EVTX或 XML 檔案格式儲存的稽核事件日誌。
EVTX檔案格式 – 您可以使用 Microsoft Event Viewer 將轉換後的EVTX稽核事件日誌開啟為已儲存的檔案。使用事件檢視器檢視事件日誌時,您可以使用兩個選項:
一般檢視:事件記錄會顯示所有事件的常見資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定資料。
詳細檢視:可使用易記檢視和 XML 檢視。易記檢視和 XML 檢視會顯示所有事件的常見資訊,以及事件記錄的事件特定資料。
XML檔案格式 – 您可以在支援 XML 檔案格式的第三方應用程式上檢視和處理 XML 稽核事件日誌。只要您有 XML 結構描述和 XML 欄位定義的相關資訊,就可以使用 XML 檢視工具來檢視稽核日誌。
