可审核的 SMB 事件

ONTAP 可以审核特定 SMB 事件，包括特定文件和文件夹访问事件、特定登录和注销事件，以及中心访问策略暂存事件。在解读事件日志中的结果时，了解哪些访问事件是可审核的很有帮助。

在 ONTAP 9.5 及更低版本中，可以审核以下 SMB 事件：

事件标识（EVT/EVTX）	事件	描述	类别
4670	已更改对象权限	对象访问：权限已更改。	文件访问
4907	已更改对象审核设置	对象访问：审核设置已更改。	文件访问
4913	已更改对象中心访问策略	对象访问：CAP 已更改。	文件访问

在 ONTAP 9.5 及更高版本中，可审核以下 SMB 事件：

事件标识（EVT/EVTX）	事件	描述	类别
540/4624	帐户成功登录	登录/注销：网络（CIFS）登录。	登录和注销
529/4625	帐户无法登录	登录/注销：用户名未知或密码不正确。	登录和注销
530/4625	帐户无法登录	登录/注销：帐户登录时间限制。	登录和注销
531/4625	帐户无法登录	登录/注销：帐户当前已禁用。	登录和注销
532/4625	帐户无法登录	登录/注销：用户帐户已到期。	登录和注销
533/4625	帐户无法登录	登录/注销：用户无法登录这台计算机。	登录和注销
534/4625	帐户无法登录	登录/注销：未授权用户此登录类型。	登录和注销
535/4625	帐户无法登录	登录/注销：用户密码已到期。	登录和注销
537/4625	帐户无法登录	登录/注销：上述原因之外的原因导致登录失败。	登录和注销
539/4625	帐户无法登录	登录/注销：帐户锁定。	登录和注销
538/4634	帐户已注销	登录/注销：本地或网络用户注销。	登录和注销
560/4656	打开对象/创建对象	对象访问：对象（文件或目录）打开。	文件访问
563/4659	打开对象，旨在删除	对象访问：请求对象（文件或目录）的句柄，旨在删除。	文件访问
564/4660	删除对象	对象访问：删除对象（文件或目录）。Windows 客户端尝试删除对象（文件或目录）时，ONTAP 会生成此事件。	文件访问
567/4663	读取对象/写入对象/获取对象属性/设置对象属性	对象访问：尝试访问对象（读取、写入、获取属性、设置属性）。注对于此事件，ONTAP 仅审核对对象执行的首次 SMB 读取和首次 SMB 写入操作（成功或失败）。这样一来，当一个客户端打开一个对象，并对该对象执行多次连续的读写操作时，可防止 ONTAP 创建过多的日志条目。	文件访问
不适用/4664	硬链接	对象访问：尝试创建硬链接。	文件访问
不适用/4818	建议的中心访问策略并未授予与当前中心访问策略相同的访问权限	对象访问：中心访问策略暂存。	文件访问
不适用/不适用 Data ONTAP 事件标识 9999	对象重命名	对象访问：对象已重命名。这是 ONTAP 事件。Windows 当前不支持将它作为单个事件。	文件访问
不适用/不适用 Data ONTAP 事件标识 9998	取消对象链接	对象访问：对象已取消链接。这是 ONTAP 事件。Windows 当前不支持将它作为单个事件。	文件访问

有关事件 4656 的其他信息

审核 XML 事件中的 HandleID 标记包含所访问对象（文件或目录）的句柄。EVTX 4656 事件的 HandleID 标记可包含不同的信息，具体取决于打开事件是创建新对象还是打开现有对象：

如果打开事件是创建新对象（文件或目录）的打开请求，则审核 XML 事件中的 HandleID 标记将显示空的 HandleID（例如：<Data Name="HandleID">00000000000000;00;00000000;00000000</Data>）。
HandleID 为空的原因是 OPEN（用于创建新对象）请求已在实际创建对象之前得到审核，这时还没有句柄。同一对象的后续审核事件将在 HandleID 标记中具有正确的对象句柄。
如果打开事件是打开现有对象的打开请求，则审核事件将在 HandleID 标记中具有为该对象分配的句柄（例如：<Data Name="HandleID">00000000000401;00;000000ea;00123ed4</Data>）。

提供反馈

可审核的 SMB 事件

有关事件 4656 的其他信息​

有关事件 4656 的其他信息