审核备用 NTFS 数据流时的注意事项
审核采用 NTFS 备用数据流的文件时,必须注意特定事项。
正在审核的对象的位置使用两个标记记录在事件记录中,即 ObjectName 标记(路径)和 HandleID 标记(句柄)。要正确识别正在记录哪些流请求,您必须了解 ONTAP 在这些字段中记录了 NTFS 备用数据流的哪些内容:
- EVTX 标识为 4656 的事件(open 和 create audit 事件)
- 备用数据流的路径记录在 ObjectName 标记中。
- 备用数据流的句柄记录在 HandleID 标记中。
- EVTX 标识为 4663 的事件(其他所有审核事件,如 read、write、getattr 等)
- 基本文件(非备用数据流)的路径记录在 ObjectName 标记中。
- 备用数据流的句柄记录在 HandleID 标记中。
示例
以下示例演示如何通过 HandleID 标记识别备用数据流的 EVTX 标识为 4663 的事件。即使 read 审核事件中记录的 ObjectName 标记(路径)是基本文件的路径,也可以使用 HandleID 标记将该事件标识为备用数据流的审核记录。
流文件名称采用的格式为 base_file_name:stream_name。在本示例中,dir1 目录中包含一个基本文件,而该文件的备用数据流具有以下路径:
/dir1/file1.txt
/dir1/file1.txt:stream1
注
如以下事件示例所示,输出已进行截断;此输出不显示事件的所有可用输出标记。
对于 EVTX 标识为 4656 的事件(open 审核事件),备用数据流的审核记录输出将备用数据流名称记录在 ObjectName 标记中:
- <Event>
- <System>
<Provider Name="Security-Auditing" />
<EventID>4656</EventID>
<EventName>Open Object</EventName>
[...]
</System>
- <EventData>
[...]
<strong className="ph b"><Data Name="ObjectType">Stream</Data>
<Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>
<Data Name="ObjectName">(data1);/dir1/file1.txt:stream1</Data> </strong>
[...]
</EventData>
</Event>
- <Event>
对于 EVTX 标识为 4663 的事件(read 审核事件),同一备用数据流的审核记录输出会将基本文件名称记录在 ObjectName 标记中;但是,HandleID 标记中的句柄是备用数据流的句柄,因此可用于将此事件与备用数据流关联起来:
- <Event>
- <System>
<Provider Name="Security-Auditing" />
<EventID>4663</EventID>
<EventName>Read Object</EventName>
[...]
</System>
- <EventData>
[...]
<strong className="ph b"><Data Name="ObjectType">Stream</Data>
<Data Name="HandleID">00000000000401;00;000001e4;00176767</Data>
<Data Name="ObjectName">(data1);/dir1/file1.txt</Data> </strong>
[...]
</EventData>
</Event>
- <Event>
提供反馈