稽核檔案存取 - 適用於 ONTAP 的 FSx
檔案存取稽核概觀設定檔案存取稽核的任務概觀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

稽核檔案存取

Amazon FSx for NetApp ONTAP 支援稽核最終使用者對儲存虛擬機器 () 中檔案和目錄的存取SVM。

檔案存取稽核概觀

檔案存取稽核可讓您根據您定義的稽核政策,記錄個別檔案和目錄的最終使用者存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織持續符合資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。

在檔案和目錄存取之間,Amazon FSx支援記錄成功的嘗試 (例如具有足夠許可的使用者成功存取檔案)、失敗的嘗試,或兩者。您也可以隨時關閉檔案存取稽核。

根據預設,稽核事件日誌會以EVTX檔案格式存放,可讓您使用 Microsoft Event Viewer 檢視它們。

SMB 可稽核的存取事件

下表列出可稽核SMB的檔案和資料夾存取事件。

事件 ID (EVT/EVTX) 事件 描述 類別

560/4656

開啟物件/建立物件

OBJECT ACCESS:物件 (檔案或目錄) 開啟

檔案存取

563/4659

具有要刪除意圖的開放物件

OBJECT ACCESS:已請求物件 (檔案或目錄) 的控制代碼,並具有刪除意圖

檔案存取

564/4660

刪除物件

OBJECT ACCESS:刪除物件 (檔案或目錄)。當 Windows 用戶端嘗試刪除物件 (檔案或目錄) 時, ONTAP會產生此事件

檔案存取

567/4663

讀取Object/Write Object/Get Object Attributes/Set物件屬性

OBJECT ACCESS:物件存取嘗試 (讀取、寫入、取得屬性、設定屬性)。

注意

在此事件中, 只會ONTAP稽核物件上的第一個SMB讀取和第一個SMB寫入操作 (成功或失敗)。這ONTAP可防止在單一用戶端開啟物件並對相同物件執行許多連續的讀取或寫入操作時,建立過多的日誌項目。

檔案存取

N/A/4664

硬式連結

OBJECT ACCESS:嘗試建立硬連結

檔案存取

N/A/N/A ONTAP事件 ID 9999

重新命名物件

OBJECT ACCESS:物件已重新命名。這是 ONTAP事件。Windows 目前不支援它做為單一事件。

檔案存取

N/A/N/A ONTAP事件 ID 9998

取消連結物件

OBJECT ACCESS:物件未連結。這是 ONTAP事件。Windows 目前不支援它做為單一事件。

檔案存取

NFS 可稽核的存取事件

您可以稽核下列NFS檔案和資料夾存取事件。

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

設定檔案存取稽核的任務概觀

設定 FSx ONTAP 進行檔案存取稽核包含下列高階任務:

  1. 熟悉檔案存取稽核要求和考量事項。

  2. 在特定 上建立稽核組態SVM。

  3. 在該 上啟用稽核SVM。

  4. 在檔案和目錄中設定稽核政策

  5. 在 ONTAP 之後檢視 FSx 發出的稽核事件日誌

任務詳細資訊會在下列程序中提供。

在您要啟用檔案存取稽核SVM的檔案系統上,為任何其他 重複任務。

稽核需求

在 上設定和啟用稽核之前SVM,您應該注意下列需求和考量事項。

  • NFS 稽核支援稽核指定為類型 的存取控制項目 (ACEs)u,當物件上嘗試存取時,會產生稽核日誌項目。針對NFS稽核,模式位元和稽核 之間沒有映射ACEs。轉換為ACLs模式位元時,ACEs會略過稽核。將模式位元轉換為 時ACLs,ACEs不會產生稽核。

  • 稽核取決於預備磁碟區中的可用空間。(預備磁碟區是由 建立的專用磁碟區ONTAP,用於存放預備檔案,這些檔案是個別節點上的中繼二進位檔案,稽核記錄會在轉換為 EVTX或 XML檔案格式之前存放。) 您必須確保在包含稽核磁碟區的彙總中,預備磁碟區有足夠的空間。

  • 稽核取決於磁碟區中的可用空間,其中包含存放轉換後的稽核事件日誌的目錄。您必須確保用於存放事件日誌的磁碟區中有足夠的空間。您可以在建立稽核組態時使用 -rotate-limit 參數指定要保留在稽核目錄中的稽核日誌數量,這有助於確保磁碟區中有足夠的可用空間供稽核日誌使用。

在 上建立稽核組態 SVMs

您必須先在 Storage Virtual Machine () 上建立稽核組態,才能開始稽核檔案和目錄事件SVM。建立稽核組態之後,您必須在 上啟用它SVM。

使用 vserver audit create命令建立稽核組態之前,請確定您已建立要做為日誌目的地的目錄,而且目錄沒有符號連結。您可以使用 -destination 參數指定目的地目錄。

您可以建立稽核組態,根據日誌大小或排程輪換稽核日誌,如下所示:

  • 若要根據日誌大小輪換稽核日誌,請使用下列命令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    下列範例會為SVM名為 的 建立稽核組態svm1,以使用以大小為基礎的輪換來稽核檔案操作和 CIFS(SMB) 登入和登出事件 (預設)。日誌格式為 EVTX(預設),日誌會存放在 /audit_log目錄中,您一次將有一個日誌檔案 (大小上限為 200MB)。

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 若要根據排程輪換稽核日誌,請使用下列命令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    如果您要設定以時間為基礎的稽核日誌輪換,則需要 -rotate-schedule-minute 參數。

    下列範例svm2會使用以時間為基礎的輪換,為SVM名為 的 建立稽核組態。日誌格式為 EVTX(預設),而稽核日誌會在每週所有日期的中午 12:30 輪換。

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

您可以使用 -format 參數來指定稽核日誌是以轉換EVTX格式 (預設) 還是XML檔案格式建立。EVTX 格式可讓您使用 Microsoft Event Viewer 檢視日誌檔案。

根據預設,要稽核的事件類別為檔案存取事件 ( SMB和 NFS)、 CIFS(SMB) 登入和登出事件,以及授權政策變更事件。您可以更好地控制 參數要記錄的事件-events,其格式如下:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

例如,使用 -events file-share可稽核檔案共用事件。

如需 vserver audit create命令的詳細資訊,請參閱建立稽核組態

在 上啟用稽核 SVM

完成稽核組態的設定後,您必須在 上啟用稽核SVM。若要這麼做,請使用下列命令:

vserver audit enable -vserver svm_name

例如,使用下列命令在SVM名為 的 上啟用稽核svm1

vserver audit enable -vserver svm1

您可以隨時停用存取稽核。例如,使用下列命令來關閉SVM名為 的稽核svm4

vserver audit disable -vserver svm4

當您停用稽核時,稽核組態不會在 上刪除SVM,這表示您可以隨時重新啟用該稽核SVM。

設定檔案和資料夾稽核政策

您需要在要針對使用者存取嘗試進行稽核的檔案和資料夾上設定稽核政策。您可以設定稽核政策來監控成功和失敗的存取嘗試。

您可以設定 SMB和 NFS 稽核政策。 SMB和 NFS 稽核政策根據磁碟區的安全樣式,具有不同的組態需求和稽核功能。

NTFS 安全樣式檔案和目錄的稽核政策

您可以使用 Windows 安全索引標籤或 ONTAP 來設定NTFS稽核政策CLI。

您可以將與NTFS安全描述項相關聯的項目新增至 NTFS SACLs ,以設定NTFS稽核政策。然後,安全描述項會套用至NTFS檔案和目錄。Windows 會自動處理這些任務GUI。安全描述項可以包含可套用檔案和資料夾存取許可、SACLs用於檔案和資料夾稽核,或同時包含 SACLs 和 的選擇性存取控制清單 (DACLs)DACLs。

  1. 在 Windows Explorer 的工具選單中,選取映射網路磁碟機

  2. 完成映射網路磁碟機方塊:

    1. 選擇磁碟機代號。

    2. 資料夾方塊中,輸入包含共用的 SMB(CIFS) 伺服器名稱,保留您要稽核的資料和共用的名稱。

    3. 選擇 Finish (完成)。

    您選取的磁碟機已掛載,並準備好與 Windows Explorer 視窗一起顯示共用中包含的檔案和資料夾。

  3. 選取您要啟用稽核存取權的檔案或目錄。

  4. 在檔案或目錄上按一下滑鼠右鍵,然後選擇屬性

  5. 選擇 Security (安全) 標籤。

  6. 按一下進階

  7. 選擇稽核索引標籤。

  8. 執行所需的動作:

    如果您想要… 執行下列動作

    設定新使用者或群組的稽核

    1. 選擇新增

    2. 輸入要選取的物件名稱方塊中,輸入您要新增的使用者或群組名稱。

    3. 選擇確定

    從使用者或群組移除稽核

    1. 輸入要選取的物件名稱方塊中,選取要移除的使用者或群組。

    2. 選擇移除

    3. 選擇確定

    4. 略過此程序的其餘部分。

    變更使用者或群組的稽核

    1. 輸入要選取的物件名稱方塊中,選擇您要變更的使用者或群組。

    2. 選擇編輯

    3. 選擇確定

    如果您要在使用者或群組上設定稽核,或在現有使用者或群組上變更稽核,則會開啟 方塊的稽核項目object

  9. 套用至方塊中,選取您要如何套用此稽核項目。

    如果您要在單一檔案上設定稽核,則套用至方塊不會處於作用中狀態,因為它預設為僅此物件。

  10. 存取方塊中,選取您想要稽核的內容,以及您要稽核成功的事件、失敗事件或兩者。

    • 若要稽核成功事件,請選擇成功方塊。

    • 若要稽核失敗事件,請選擇失敗方塊。

    選擇您需要監控的動作,以符合您的安全需求。如需這些可稽核事件的詳細資訊,請參閱您的 Windows 文件。您可以稽核下列事件:

    • 完全控制

    • 周遊資料夾/執行檔案

    • 列出資料夾/讀取資料

    • 讀取屬性

    • 讀取延伸屬性

    • 建立檔案/寫入資料

    • 建立資料夾/附加資料

    • 寫入屬性

    • 寫入延伸屬性

    • 刪除子資料夾和檔案

    • Delete

    • 讀取許可

    • 變更許可

    • 取得所有權

  11. 如果您不希望稽核設定傳播到原始容器的後續檔案和資料夾,請選擇將這些稽核項目套用至僅限此容器內的物件和/或容器方塊。

  12. 選擇套用

  13. 完成新增、移除或編輯稽核項目後,請選擇確定

    方塊的稽核項目object會關閉。

  14. 稽核方塊中,選擇此資料夾的繼承設定。僅選擇提供符合您安全需求的稽核事件的最低層級。

    您可以選擇下列其中之一:

    • 從此物件的父方塊中選擇包含可繼承稽核項目

    • 選擇將所有子系上的所有現有可繼承稽核項目取代為此物件方塊中的可繼承稽核項目

    • 選擇兩個方塊。

    • 選擇任一方塊。

    如果您是在單一檔案SACLs上設定 ,則稽核方塊中不會出現使用來自此物件方塊的可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目

  15. 選擇確定

透過使用 ONTAP CLI,您可以設定NTFS稽核政策,而無需使用 Windows 用戶端上的SMB共用連線到資料。

例如,下列命令p1會將名為 的安全政策套用至SVM名為 的 vs0

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX 安全樣式檔案和目錄的稽核政策

您可以將稽核 ACEs(存取控制表達式) 新增至 NFS v4.x ACLs(存取控制清單),藉此設定UNIX安全類型檔案和目錄的稽核。這可讓您監控特定NFS檔案和目錄存取事件,以維護安全。

注意

對於 NFS v4.x,可自由裁量的 和 系統ACEs都存放在相同的 中。 ACL因此,在ACEs將稽核新增至現有的 時,您必須小心ACL,以避免覆寫和遺失現有的 ACL。您新增稽核ACEs至現有 的順序ACL並不重要。

  1. 使用 或同等命令擷取檔案nfs4_getfacl或目錄ACL的現有 。

  2. 附加所需的稽核 ACEs。

  3. 使用 或同等命令ACL,將更新的 套用至檔案nfs4_setfacl或目錄。

    此範例使用 -a選項,將使用者 (名為 testuser) 的讀取許可授予名為 的檔案file1

    nfs4_setfacl -a "A::testuser@example.com:R" file1

檢視稽核事件日誌

您可以檢視以 EVTXXML 檔案格式儲存的稽核事件日誌。

  • EVTX 檔案格式 – 您可以使用 Microsoft Event Viewer 將轉換後的EVTX稽核事件日誌開啟為已儲存的檔案。

    使用事件檢視器檢視事件日誌時,您可以使用兩個選項:

    • 一般檢視:事件記錄會顯示所有事件通用的資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定資料。

    • 詳細檢視:可使用易記檢視和XML檢視。易記檢視和XML檢視會顯示所有事件的常見資訊,以及事件記錄的事件特定資料。

  • XML 檔案格式 – 您可以在支援 XML檔案格式的第三方應用程式上檢視和處理XML稽核事件日誌。XML檢視工具可用來檢視稽核日誌,前提是您有XML欄位定義的XML結構描述和資訊。