本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 稽核檔案存取
Amazon FSx for NetApp ONTAP 支援稽核最終使用者對儲存虛擬機器 (SVM) 中檔案和目錄的存取。
**Topics**
+ [檔案存取稽核概觀](#auditing-overview)
+ [設定檔案存取稽核的任務概觀](#auditing-tasks)
## 檔案存取稽核概觀
檔案存取稽核可讓您根據您定義的稽核政策,記錄個別檔案和目錄的最終使用者存取。檔案存取稽核可協助您改善系統的安全性,並降低未經授權存取系統資料的風險。檔案存取稽核可協助您的組織持續符合資料保護要求、及早識別潛在威脅,並降低資料外洩的風險。
在檔案和目錄存取中,Amazon FSx 支援記錄成功的嘗試 (例如具有足夠許可的使用者成功存取檔案)、失敗的嘗試或兩者。您也可以隨時關閉檔案存取稽核。
根據預設,稽核事件日誌會以 `EVTX`檔案格式存放,可讓您使用 Microsoft Event Viewer 檢視它們。
### 可稽核的 SMB 存取事件
下表列出可稽核的 SMB 檔案和資料夾存取事件。
****
| 事件 ID (EVT/EVTX) | 事件 | 描述 | 類別 |
| --- | --- | --- | --- |
| 560/4656 | 開啟物件/建立物件 | OBJECT ACCESS:開啟物件 (檔案或目錄) | 檔案存取 |
| 563/4659 | 具有要刪除意圖的開放物件 | OBJECT ACCESS:使用刪除意圖來請求物件 (檔案或目錄) 的控制代碼 | 檔案存取 |
| 564/4660 | 刪除物件 | OBJECT ACCESS:刪除物件 (檔案或目錄)。當 Windows 用戶端嘗試刪除物件 (檔案或目錄) 時,ONTAP 會產生此事件 | 檔案存取 |
| 567/4663 | 讀取物件/寫入物件/取得物件屬性/設定物件屬性 | OBJECT ACCESS:物件存取嘗試 (讀取、寫入、取得屬性、設定屬性)。在此事件中,ONTAP 只會稽核物件上的第一個 SMB 讀取和第一個 SMB 寫入操作 (成功或失敗)。這可防止 ONTAP 在單一用戶端開啟物件並對相同物件執行許多連續的讀取或寫入操作時建立過多的日誌項目。 | 檔案存取 |
| N/A/4664 | 硬連結 | OBJECT ACCESS:嘗試建立硬連結 | 檔案存取 |
| N/A/N/A ONTAP 事件 ID 9999 | 重新命名物件 | 物件存取:物件已重新命名。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。 | 檔案存取 |
| N/A/N/A ONTAP 事件 ID 9998 | 取消連結物件 | 物件存取:物件未連結。這是 ONTAP 事件。Windows 目前不支援它做為單一事件。 | 檔案存取 |
### 可稽核的 NFS 存取事件
可以稽核下列 NFS 檔案和資料夾存取事件。
+ READ
+ OPEN
+ CLOSE
+ READDIR
+ WRITE
+ SETATTR
+ CREATE
+ 連結
+ OPENATTR
+ 移除
+ GETATTR
+ 驗證
+ NVERIFY
+ RENAME
## 設定檔案存取稽核的任務概觀
為檔案存取稽核設定 FSx for ONTAP 涉及下列高階任務:
1. [熟悉](#auditing-requirements)檔案存取稽核要求和考量事項。
1. 在特定 SVM 上[建立稽核組態](#create-audit-config)。
1. 在該 SVM [上啟用稽核](#enable-auditing)。
1. 在檔案和目錄上[設定稽核政策](#file-audit-policies)。
1. [在 FSx for ONTAP 發出稽核事件日誌之後,檢視稽核事件日誌](#view-audit-logs)。 FSx
任務詳細資訊會在下列程序中提供。
針對您要啟用檔案存取稽核之檔案系統上的任何其他 SVM 重複任務。
### 稽核需求
在 SVM 上設定和啟用稽核之前,您應該注意下列要求和考量事項。
+ NFS 稽核支援稽核指定為類型 的存取控制項目 (ACEs)`u`,這會在物件上嘗試存取時產生稽核日誌項目。對於 NFS 稽核,模式位元和稽核 ACEs 之間沒有映射。將 ACLs轉換為模式位元時,會略過稽核 ACEs。將模式位元轉換為 ACLs 時,不會產生稽核 ACEs。
+ 稽核取決於預備磁碟區中的可用空間。(預備磁碟區是由 ONTAP 建立的專用磁碟區,用於存放預備檔案,這些檔案是在將稽核記錄轉換為 EVTX 或 XML 檔案格式之前存放於個別節點上的中繼二進位檔案。) 您必須確保在包含稽核磁碟區的彙總中,預備磁碟區有足夠的空間。
+ 稽核取決於磁碟區中的可用空間,其中包含存放轉換後稽核事件日誌的目錄。您必須確保用於存放事件日誌的磁碟區中有足夠的空間。您可以在建立稽核組態時使用 `-rotate-limit` 參數,指定要在稽核目錄中保留的稽核日誌數量,這有助於確保磁碟區中有足夠的可用空間供稽核日誌使用。
### 在 SVMs上建立稽核組態
您必須先在儲存虛擬機器 (SVM) 上建立稽核組態,才能開始稽核檔案和目錄事件。建立稽核組態之後,您必須在 SVM 上啟用它。
使用 `vserver audit create`命令建立稽核組態之前,請確定您已建立要做為日誌目的地的目錄,且該目錄沒有符號連結。您可以使用 `-destination` 參數指定目的地目錄。
您可以建立稽核組態,根據日誌大小或排程輪換稽核日誌,如下所示:
+ 若要根據日誌大小輪換稽核日誌,請使用下列命令:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}] [-rotate-limit {{integer}}] [-rotate-size {{{integer}}[KB|MB|GB|TB|PB]}]
```
下列範例會為名為 的 SVM 建立稽核組態`svm1`,以使用以大小為基礎的輪換來稽核檔案操作和 CIFS (SMB) 登入和登出事件 (預設)。日誌格式為 `EVTX`(預設值),日誌會存放在 `/audit_log`目錄中,而且您一次會有一個日誌檔案 (大小上限為 200MB)。
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ 若要根據排程輪換稽核日誌,請使用下列命令:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}]
[-rotate-limit {{integer}}] [-rotate-schedule-month {{chron_month}}]
[-rotate-schedule-dayofweek {{chron_dayofweek}}] [-rotate-schedule-day {{chron_dayofmonth}}]
[-rotate-schedule-hour {{chron_hour}}] [-rotate-schedule-minute {{chron_minute}}]
```
如果您要設定以時間為基礎的稽核日誌輪換,則需要 `-rotate-schedule-minute` 參數。
下列範例`svm2`會使用以時間為基礎的輪換,為名為 的 SVM 建立稽核組態。日誌格式為 `EVTX`(預設值),而稽核日誌會在一週內每天的中午 12:30 輪換。
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
您可以使用 `-format` 參數來指定是以轉換後的`EVTX`格式 (預設) 還是`XML`檔案格式建立稽核日誌。`EVTX` 格式可讓您使用 Microsoft Event Viewer 檢視日誌檔案。
根據預設,要稽核的事件類別為檔案存取事件 (SMB 和 NFS)、CIFS (SMB) 登入和登出事件,以及授權政策變更事件。您可以更好地控制 參數要記錄哪些事件`-events`,其格式如下:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
例如,使用 `-events file-share`可稽核檔案共享事件。
如需 `vserver audit create`命令的詳細資訊,請參閱[建立稽核組態](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html)。
### 在 SVM 上啟用稽核
完成稽核組態的設定後,您必須在 SVM 上啟用稽核。若要這麼做,請使用下列命令:
```
vserver audit enable -vserver {{svm_name}}
```
例如,使用下列命令在名為 的 SVM 上啟用稽核`svm1`。
```
vserver audit enable -vserver svm1
```
您可以隨時停用存取稽核。例如,使用下列命令來關閉名為 的 SVM 稽核`svm4`。
```
vserver audit disable -vserver svm4
```
當您停用稽核時,不會刪除 SVM 上的稽核組態,這表示您可以隨時對該 SVM 重新啟用稽核。
### 設定檔案和資料夾稽核政策
您需要針對要針對使用者存取嘗試進行稽核的檔案和資料夾設定稽核政策。您可以設定稽核政策來監控成功和失敗的存取嘗試。
您可以同時設定 SMB 和 NFS 稽核政策。根據磁碟區的安全樣式,SMB 和 NFS 稽核政策具有不同的組態要求和稽核功能。
#### NTFS 安全樣式檔案和目錄上的稽核政策
您可以使用 Windows 安全索引標籤或 ONTAP CLI 來設定 NTFS 稽核政策。
##### 設定 NTFS 稽核政策 (Windows 安全索引標籤)
您可以透過將項目新增至與 NTFS 安全描述項相關聯的 NTFS SACLs 來設定 NTFS 稽核政策。然後,安全描述項會套用至 NTFS 檔案和目錄。這些任務由 Windows GUI 自動處理。安全描述項可包含用於套用檔案和資料夾存取許可的選擇性存取控制清單 (DACLs)、用於檔案和資料夾稽核的 SACLs,或同時SACLs 和 DACLs。
1. 在 Windows Explorer ****的工具選單中,選取**映射網路磁碟機**。
1. 完成**映射網路磁碟機**方塊:
1. 選擇**磁碟機**代號。
1. 在**資料夾**方塊中,輸入包含共用的 SMB (CIFS) 伺服器名稱,保留您要稽核的資料和共用的名稱。
1. 選擇 **Finish** (完成)。
您選取的磁碟機已掛載,並準備好 Windows Explorer 視窗,其中顯示共用中包含的檔案和資料夾。
1. 選取您要啟用稽核存取權的檔案或目錄。
1. 在檔案或目錄上按一下滑鼠右鍵,然後選擇**屬性**。
1. 選擇 **Security (安全)** 標籤。
1. 按一下**進階**。
1. 選擇**稽核**索引標籤。
1. 執行所需的動作:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/file-access-auditing.html)
如果您要在使用者或群組上設定稽核,或在現有使用者或群組上變更稽核,則會開啟**{{物件}}的稽核項目**方塊。
1. 在**套用至**方塊中,選取您要如何套用此稽核項目。
如果您要在單一檔案上設定稽核,**則套用至**方塊不會處於作用中狀態,因為它預設為僅此物件。
1. 在**存取**方塊中,選取您想要稽核的內容,以及您要稽核成功的事件、失敗事件或兩者。
+ 若要稽核成功事件,請選擇**成功**方塊。
+ 若要稽核失敗事件,請選擇**失敗**方塊。
選擇您需要監控的動作,以符合您的安全需求。如需這些可稽核事件的詳細資訊,請參閱您的 Windows 文件。您可以稽核下列事件:
+ 完全控制
+ 周遊資料夾/執行檔案
+ 列出資料夾/讀取資料
+ 讀取屬性
+ 讀取延伸屬性
+ 建立檔案/寫入資料
+ 建立資料夾/附加資料
+ 寫入屬性
+ 寫入延伸屬性
+ 刪除子資料夾和檔案
+ Delete
+ 讀取許可
+ 變更許可
+ 取得所有權
1. 如果您不希望稽核設定傳播至原始容器的後續檔案和資料夾,請選擇**僅將這些稽核項目套用至此容器內的物件和/或容器**方塊。
1. 選擇**套用**。
1. 完成新增、移除或編輯稽核項目後,請選擇**確定**。
**{{物件}}的稽核項目**方塊會關閉。
1. 在**稽核**方塊中,選擇此資料夾的繼承設定。僅選擇提供符合您安全需求的稽核事件的最低層級。
您可以選擇下列其中之一:
+ **從此物件的父方塊中選擇包含可繼承稽核項目**。
+ 選擇**從此物件方塊中使用可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目**。
+ 選擇兩個方塊。
+ 選擇任一方塊。
如果您要在單一檔案上設定 SACLs,則稽核方塊中不會出現**使用來自此物件方塊的可繼承稽核項目取代所有子系上所有現有的可繼承稽核項目**。 ****
1. 選擇**確定**。
##### 設定 NTFS 稽核政策 (ONTAP CLI)
透過使用 ONTAP CLI,您可以設定 NTFS 稽核政策,而無需使用 Windows 用戶端上的 SMB 共用連線到資料。
+ 您可以使用 [ vserver 安全檔案目錄 ntfs sacl 新增](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description)命令系列來設定 NTFS 稽核政策。
例如,下列命令`p1`會為名為 的 SVM 建立名為 的安全政策`vs0`。
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
然後,以下命令會將`p1`安全政策套用至 `vs0` SVM。
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### UNIX 安全樣式檔案和目錄上的稽核政策
您可以將稽核 ACEs(存取控制表達式) 新增至 NFS v4.x ACLs稽核。這可讓您基於安全考量,監控特定 NFS 檔案和目錄存取事件。
**注意**
對於 NFS v4.x,可自由決定的 和系統 ACEs 都存放在相同的 ACL 中。因此,在將稽核 ACEs 新增至現有的 ACL 時必須小心,以避免覆寫和遺失現有的 ACL。將稽核 ACEs 新增至現有 ACL 的順序並不重要。
##### 設定 UNIX 稽核政策
1. 使用 或同等命令擷取檔案`nfs4_getfacl`或目錄的現有 ACL。
1. 附加所需的稽核 ACEs。
1. 使用 或同等命令,將更新的 ACL 套用至檔案`nfs4_setfacl`或目錄。
此範例使用 `-a`選項為使用者 (名為 `testuser`) 提供名為 的檔案讀取許可`file1`。
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### 檢視稽核事件日誌
您可以檢視以 `EVTX`或 `XML` 檔案格式儲存的稽核事件日誌。
+ `EVTX` 檔案格式 – 您可以使用 Microsoft Event Viewer 將轉換後的`EVTX`稽核事件日誌開啟為已儲存的檔案。
使用事件檢視器檢視事件日誌時,您可以使用兩個選項:
+ **一般檢視**:事件記錄會顯示所有事件的常見資訊。不會顯示事件記錄的事件特定資料。您可以使用詳細檢視來顯示事件特定資料。
+ **詳細檢視**:提供易記檢視和 XML 檢視。易記檢視和 XML 檢視會顯示所有事件的常見資訊,以及事件記錄的事件特定資料。
+ `XML` 檔案格式 – 您可以在支援 XML 檔案格式的第三方應用程式上檢視和處理 XML 稽核事件日誌。只要您有 XML 結構描述和 XML 欄位定義的相關資訊,就可以使用 XML 檢視工具來檢視稽核日誌。