稽核檔案存取 - FSx for OnTAP
檔案存取稽核概觀設定檔案存取稽核的任務概觀

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

稽核檔案存取

Amazon FSx for NetApp ONTAP 支援稽核最終使用者對儲存虛擬機器 (SVM) 中檔案和目錄的存取。

檔案存取稽核概觀

檔案存取稽核可讓您根據您定義的稽核政策,記錄個別檔案和目錄的最終使用者存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織持續符合資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。

在檔案和目錄存取中,Amazon FSx 支援記錄成功的嘗試 (例如具有足夠許可的使用者成功存取檔案)、失敗的嘗試,或兩者。您也可以隨時關閉檔案存取稽核。

根據預設,稽核事件日誌會以EVTX檔案格式存放,可讓您使用 Microsoft Event Viewer 檢視它們。

可稽核的 SMB 存取事件

下表列出可稽核的 SMB 檔案和資料夾存取事件。

事件 ID (EVT/EVTX) 事件 描述 類別

560/4656

開啟物件/建立物件

物件存取:物件 (檔案或目錄) 開啟

檔案存取

563/4659

具有要刪除意圖的開放物件

OBJECT ACCESS:使用刪除意圖來請求物件 (檔案或目錄) 的控制代碼

檔案存取

564/4660

刪除物件

物件存取:刪除物件 (檔案或目錄)。當 Windows 用戶端嘗試刪除物件 (檔案或目錄) 時,ONTAP 會產生此事件

檔案存取

567/4663

讀取物件/寫入物件/取得物件屬性/設定物件屬性

OBJECT ACCESS:物件存取嘗試 (讀取、寫入、取得屬性、設定屬性)。

注意

在此事件中,ONTAP 只會稽核物件上的第一個 SMB 讀取和第一個 SMB 寫入操作 (成功或失敗)。這可防止 ONTAP 在單一用戶端開啟物件並對相同物件執行許多連續讀取或寫入操作時,建立過多的日誌項目。

檔案存取

N/A/4664

硬連結

OBJECT ACCESS:嘗試建立硬連結

檔案存取

N/A/N/A ONTAP 事件 ID 9999

重新命名物件

物件存取:物件已重新命名。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。

檔案存取

N/A/N/A ONTAP 事件 ID 9998

取消連結物件

物件存取:物件未連結。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。

檔案存取

可稽核的 NFS 存取事件

可以稽核下列 NFS 檔案和資料夾存取事件。

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • 連結

  • OPENATTR

  • 移除

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

設定檔案存取稽核的任務概觀

為檔案存取稽核設定 FSx for ONTAP 涉及下列高階任務:

  1. 熟悉檔案存取稽核要求和考量事項。

  2. 在特定 SVM 上建立稽核組態

  3. 在該 SVM 上啟用稽核

  4. 在檔案和目錄中設定稽核政策

  5. 在 FSx for ONTAP 發出稽核事件日誌之後,檢視稽核事件日誌。 FSx

任務詳細資訊會在下列程序中提供。

針對您要啟用檔案存取稽核之檔案系統上的任何其他 SVM 重複任務。

稽核需求

在 SVM 上設定和啟用稽核之前,您應該注意下列需求和考量事項。

  • NFS 稽核支援指定為類型 的稽核存取控制項目 (ACEs)u,當物件上嘗試存取時,會產生稽核日誌項目。對於 NFS 稽核,模式位元和稽核 ACEs 之間沒有映射。將 ACLs轉換為模式位元時,會略過稽核 ACEs。將模式位元轉換為 ACLs 時,不會產生稽核 ACEs。

  • 稽核取決於預備磁碟區中的可用空間。(預備磁碟區是由 ONTAP 建立的專用磁碟區,用於存放預備檔案,這些檔案是個別節點上的中繼二進位檔案,在轉換為 EVTX 或 XML 檔案格式之前存放稽核記錄。) 您必須確保在包含稽核磁碟區的彙總中,預備磁碟區有足夠的空間。

  • 稽核取決於磁碟區中的可用空間,其中包含存放轉換後的稽核事件日誌的目錄。您必須確保用於存放事件日誌的磁碟區中有足夠的空間。您可以在建立稽核組態時使用 -rotate-limit 參數來指定要保留在稽核目錄中的稽核日誌數目,這有助於確保磁碟區中有足夠的可用空間供稽核日誌使用。

在 SVMs上建立稽核組態

您必須先在 Storage Virtual Machine (SVM) 上建立稽核組態,才能開始稽核檔案和目錄事件。建立稽核組態之後,您必須在 SVM 上啟用它。

使用 vserver audit create命令建立稽核組態之前,請確定您已建立要做為日誌目的地的目錄,而且目錄沒有符號連結。您可以使用 -destination 參數指定目的地目錄。

您可以建立稽核組態,根據日誌大小或排程輪換稽核日誌,如下所示:

  • 若要根據日誌大小輪換稽核日誌,請使用下列命令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    下列範例會為名為 的 SVM 建立稽核組態svm1,以使用以大小為基礎的輪換來稽核檔案操作和 CIFS (SMB) 登入和登出事件 (預設)。日誌格式為 EVTX(預設),日誌存放在 /audit_log目錄中,您一次將有一個日誌檔案 (大小上限為 200MB)。

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 若要根據排程輪換稽核日誌,請使用下列命令:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    如果您要設定以時間為基礎的稽核日誌輪換,則需要 -rotate-schedule-minute 參數。

    下列範例svm2會使用以時間為基礎的輪換,為名為 的 SVM 建立稽核組態。日誌格式為 EVTX(預設),而稽核日誌會在一週內所有日期的中午 12:30 輪換。

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

您可以使用 -format 參數來指定稽核日誌是以轉換的EVTX格式 (預設) 還是以XML檔案格式建立。EVTX 格式可讓您使用 Microsoft Event Viewer 檢視日誌檔案。

根據預設,要稽核的事件類別為檔案存取事件 (SMB 和 NFS)、CIFS (SMB) 登入和登出事件,以及授權政策變更事件。您可以更好地控制 參數要記錄的事件-events,其格式如下:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

例如,使用 -events file-share可稽核檔案共用事件。

如需 vserver audit create命令的詳細資訊,請參閱建立稽核組態

在 SVM 上啟用稽核

完成設定稽核組態後,您必須在 SVM 上啟用稽核。若要這麼做,請使用下列命令:

vserver audit enable -vserver svm_name

例如,使用下列命令在名為 的 SVM 上啟用稽核svm1

vserver audit enable -vserver svm1

您可以隨時停用存取稽核。例如,使用下列命令來關閉名為 的 SVM 稽核svm4

vserver audit disable -vserver svm4

當您停用稽核時,不會刪除 SVM 上的稽核組態,這表示您可以隨時對該 SVM 重新啟用稽核。

設定檔案和資料夾稽核政策

您需要針對要稽核的使用者存取嘗試,在檔案和資料夾上設定稽核政策。您可以設定稽核政策來監控成功和失敗的存取嘗試。

您可以同時設定 SMB 和 NFS 稽核政策。根據磁碟區的安全樣式,SMB 和 NFS 稽核政策具有不同的組態要求和稽核功能。

NTFS 安全類型檔案和目錄的稽核政策

您可以使用 Windows 安全索引標籤或 ONTAP CLI 來設定 NTFS 稽核政策。

您可以透過將項目新增至與 NTFS 安全描述項相關聯的 NTFS SACLs 來設定 NTFS 稽核政策。然後,安全描述項會套用至 NTFS 檔案和目錄。這些任務由 Windows GUI 自動處理。安全描述項可以包含用於套用檔案和資料夾存取許可的選擇性存取控制清單 (DACLs)、用於檔案和資料夾稽核的 SACLs,或同時SACLs 和 DACLs。

  1. 從 Windows Explorer 中的工具選單中,選取映射網路磁碟機

  2. 完成映射網路磁碟機方塊:

    1. 選擇磁碟機代號。

    2. 資料夾方塊中,輸入包含共用的 SMB (CIFS) 伺服器名稱,保留您要稽核的資料和共用的名稱。

    3. 選擇 Finish (完成)。

    您選取的磁碟機已掛載,並準備好 Windows Explorer 視窗,顯示共用中包含的檔案和資料夾。

  3. 選取您要為其啟用稽核存取權的檔案或目錄。

  4. 在檔案或目錄上按一下滑鼠右鍵,然後選擇屬性

  5. 選擇 Security (安全) 標籤。

  6. 按一下進階

  7. 選擇稽核索引標籤。

  8. 執行所需的動作:

    如果您想要… 執行下列動作

    設定新使用者或群組的稽核

    1. 選擇新增

    2. 輸入要選取的物件名稱方塊中,輸入您要新增的使用者或群組名稱。

    3. 選擇確定

    從使用者或群組移除稽核

    1. 輸入要選取的物件名稱方塊中,選取要移除的使用者或群組。

    2. 選擇移除

    3. 選擇確定

    4. 略過此程序的其餘部分。

    變更使用者或群組的稽核

    1. 輸入要選取的物件名稱方塊中,選擇您要變更的使用者或群組。

    2. 選擇編輯

    3. 選擇確定

    如果您要在使用者或群組上設定稽核,或變更現有使用者或群組上的稽核,則會開啟物件的稽核項目方塊。

  9. 套用至方塊中,選取您要如何套用此稽核項目。

    如果您要在單一檔案上設定稽核,則套用至 方塊不會處於作用中狀態,因為它預設為僅此物件。

  10. 存取方塊中,選取您想要稽核的內容,以及您要稽核成功的事件、失敗事件,還是兩者。

    • 若要稽核成功事件,請選擇成功方塊。

    • 若要稽核失敗事件,請選擇失敗方塊。

    選擇您需要監控的動作,以符合您的安全需求。如需這些可稽核事件的詳細資訊,請參閱您的 Windows 文件。您可以稽核下列事件:

    • 完全控制

    • 周遊資料夾/執行檔案

    • 列出資料夾/讀取資料

    • 讀取屬性

    • 讀取延伸屬性

    • 建立檔案/寫入資料

    • 建立資料夾/附加資料

    • 寫入屬性

    • 寫入延伸屬性

    • 刪除子資料夾和檔案

    • Delete

    • 讀取許可

    • 變更許可

    • 取得所有權

  11. 如果您不希望稽核設定傳播到原始容器的後續檔案和資料夾,請選擇將這些稽核項目套用至僅限此容器內的物件和/或容器方塊。

  12. 選擇套用

  13. 完成新增、移除或編輯稽核項目後,請選擇確定

    物件方塊的稽核項目會關閉。

  14. 稽核方塊中,選擇此資料夾的繼承設定。僅選擇提供符合您安全需求的稽核事件的最低層級。

    您可以選擇下列其中之一:

    • 從此物件的父方塊中選擇包含可繼承的稽核項目

    • 選擇從此物件方塊中使用可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目

    • 選擇兩個方塊。

    • 選擇任一方塊。

    如果您要在單一檔案上設定 SACLs,則稽核方塊中不會顯示將所有子系上所有現有的可繼承稽核項目取代為此物件方塊中的可繼承稽核項目

  15. 選擇確定

透過使用 ONTAP CLI,您可以設定 NTFS 稽核政策,而無需在 Windows 用戶端上使用 SMB 共用連線到資料。

例如,下列命令會將名為 的安全政策套用至名為 p1的 SVMvs0

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX 安全樣式檔案和目錄上的稽核政策

您可以將稽核 ACEs(存取控制表達式) 新增至 NFS v4.x ACLs稽核。這可讓您監控特定 NFS 檔案和目錄存取事件,以維護安全。

注意

對於 NFS v4.x,可自由選擇和系統 ACEs 都存放在相同的 ACL 中。因此,在將稽核 ACEs 新增至現有 ACL 時必須小心,以避免覆寫和遺失現有 ACL。將稽核 ACEs 新增至現有 ACL 的順序並不重要。

  1. 使用 或同等命令擷取檔案nfs4_getfacl或目錄的現有 ACL。

  2. 附加所需的稽核 ACEs。

  3. 使用 或同等命令,將更新的 ACL 套用至檔案nfs4_setfacl或目錄。

    此範例使用 -a選項,將使用者 (名為 testuser) 的讀取許可授予名為 的檔案file1

    nfs4_setfacl -a "A::testuser@example.com:R" file1

檢視稽核事件日誌

您可以檢視以 EVTXXML 檔案格式儲存的稽核事件日誌。

  • EVTX 檔案格式 – 您可以使用 Microsoft Event Viewer 將轉換後的EVTX稽核事件日誌開啟為已儲存的檔案。

    使用事件檢視器檢視事件日誌時,您可以使用兩個選項:

    • 一般檢視:事件記錄會顯示所有事件通用的資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定資料。

    • 詳細檢視:提供易記檢視和 XML 檢視。易記檢視和 XML 檢視會顯示所有事件的常見資訊,以及事件記錄的事件特定資料。

  • XML 檔案格式 – 您可以在支援 XML 檔案格式的第三方應用程式上檢視和處理 XML 稽核事件日誌。只要您有 XML 結構描述和 XML 欄位定義的相關資訊,就可以使用 XML 檢視工具來檢視稽核日誌。