エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

監査できるSMBイベント - 概要

ONTAPは、ファイルおよびフォルダーのアクセス イベント、ログオンおよびログオフ イベント、集約型アクセス ポリシーのステージング イベントなどのSMBイベントを監査できます。どのようなアクセス イベントを監査できるか理解しておくと、イベント ログの結果を解釈するときに役立ちます。

次のSMBイベントが監査対象として追加されました。

イベントID(EVT / EVTX)

イベント

説明

カテゴリー

4670

オブジェクト権限の変更

オブジェクト アクセス:権限が変更されました。

ファイル アクセス

4907

オブジェクトの監査設定の変更

オブジェクト アクセス:監査設定が変更されました。

ファイル アクセス

4913

オブジェクトの集約型アクセス ポリシーの変更

オブジェクト アクセス:CAPが変更されました。

ファイル アクセス

次のSMBイベントを監査できます。

イベントID(EVT / EVTX)

イベント

説明

カテゴリー

540/4624

アカウントがログオンに成功

ログオン / ログオフ:ネットワーク(SMB)ログオン。

ログオンおよびログオフ

529/4625

アカウントがログオンに失敗

ログオン / ログオフ:ユーザー名が不明またはパスワードが無効です。

ログオンおよびログオフ

530/4625

アカウントがログオンに失敗

ログオン / ログオフ:アカウント ログオンの時間制限です。

ログオンおよびログオフ

531/4625

アカウントがログオンに失敗

ログオン / ログオフ:アカウントは現在無効です。

ログオンおよびログオフ

532/4625

アカウントがログオンに失敗

ログオン / ログオフ:ユーザー アカウントの有効期限が切れています。

ログオンおよびログオフ

533/4625

アカウントがログオンに失敗

ログオン / ログオフ:ユーザーはこのコンピューターにログオンできません。

ログオンおよびログオフ

534/4625

アカウントがログオンに失敗

ログオン / ログオフ:ユーザーはログオンを許可されていません。

ログオンおよびログオフ

535/4625

アカウントがログオンに失敗

ログオン / ログオフ:ユーザーのパスワードの有効期限が切れています。

ログオンおよびログオフ

537/4625

アカウントがログオンに失敗

ログオン / ログオフ:上記の理由以外でログオンが失敗しました。

ログオンおよびログオフ

539/4625

アカウントがログオンに失敗

ログオン / ログオフ:アカウントがロック アウトされました。

ログオンおよびログオフ

538/4634

アカウントがログオフ

ログオン / ログオフ:ローカルまたはネットワーク ユーザーのログオフ。

ログオンおよびログオフ

560/4656

オブジェクトのオープン / オブジェクトの作成

オブジェクト アクセス:オブジェクト(ファイルまたはディレクトリー)が開かれました。

ファイル アクセス

563/4659

削除するためのオブジェクトのオープン

オブジェクト アクセス:削除するためにオブジェクト(ファイルまたはディレクトリー)へのハンドルが要求されました。

ファイル アクセス

564/4660

オブジェクトの削除

オブジェクト アクセス:オブジェクト(ファイルまたはディレクトリー)が削除されました。ONTAPはWindowsクライアントがオブジェクト(ファイルまたはディレクトリー)の削除を試みるとこのイベントを生成します。

ファイル アクセス

567/4663

オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定

オブジェクト アクセス:オブジェクトへのアクセス(読み取り、書き込み、属性の取得、属性の設定)が試行されました。

: このイベントでは、ONTAPは、オブジェクトに対する最初のSMB読み取り操作とSMB書き込み操作(の成功または失敗)のみを監査します。これにより、同じクライアントがあるオブジェクトを開いて多数の読み取りまたは書き込み処理みを連続して行っても、大量のログ エントリが作成されることはありません。

ファイル アクセス

NA / 4664

ハード リンク

オブジェクト アクセス:ハード リンクの作成が試行されました。

ファイル アクセス

NA / 4818

提案された集約型アクセス ポリシーで現在の集約型アクセス ポリシーと同じアクセス権限が許可されない

オブジェクト アクセス:集約型アクセス ポリシーのステージング。

ファイル アクセス

NA / NA Data ONTAP イベントID 9999

オブジェクトの名前変更

オブジェクト アクセス:オブジェクトの名前が変更されました。これはONTAPのイベントです。Windowsでは、現在単一のイベントとしてはサポートされていません。

ファイル アクセス

NA / NA Data ONTAP イベントID 9998

オブジェクトのリンク解除

オブジェクト アクセス:オブジェクトのリンクが解除されました。これはONTAPのイベントです。Windowsでは、現在単一のイベントとしてはサポートされていません。

ファイル アクセス

イベント4656に関する補足情報

監査 XML イベント内の HandleID タグには、アクセスされたオブジェクト(ファイルまたはディレクトリー)のハンドルが格納されています。EVTX 4656イベントの HandleID タグに格納される情報は、オープン イベントが新規オブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって異なります。

  • オープン イベントが新規オブジェクト(ファイルまたはディレクトリー)を作成するためのオープン要求の場合、監査XMLイベント内の HandleID タグは空の HandleID を表示します(例:<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>)。

    HandleID が空になっているのは、(新規オブジェクト作成のための)オープン要求の監査は、実際のオブジェクト作成が行われる前、かつハンドルが存在する前に行われるからです。同じオブジェクトの以降の監査対象イベントでは、HandleID タグに適切なオブジェクト ハンドルが格納されます。

  • オープン イベントが既存のオブジェクトを開くためのオープン要求である場合、監査イベントでは、HandleID タグにそのオブジェクトの割り当て済みハンドルが格納されます(例:<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>)。

Top of Page