目次フレーム表示

監査できるSMBイベント

Data ONTAPは、ファイルおよびフォルダのアクセス イベント、ログオンおよびログオフ イベント、集約型アクセス ポリシーのステージング イベントなどのSMBイベントを監査できます。 どのようなアクセス イベントを監査できるか理解しておくと、イベント ログの結果を解釈するときに役立ちます。

監査できるSMBイベントは次のとおりです。

イベントID(EVT / EVTX) イベント 説明 カテゴリ
540 / 4624 アカウントがログオンに成功 ログオン / ログオフ:ネットワーク(CIFS)ログオン。 ログオンおよびログオフ
529 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:ユーザ名が不明またはパスワードが無効です。 ログオンおよびログオフ
530 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:アカウント ログオンの時間制限です。 ログオンおよびログオフ
531 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:アカウントは現在無効に設定されています。 ログオンおよびログオフ
532 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:ユーザ アカウントの有効期限が切れています。 ログオンおよびログオフ
533 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:ユーザはこのコンピュータにログオンできません。 ログオンおよびログオフ
534 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:ユーザはログオンを認められていません。 ログオンおよびログオフ
535 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:ユーザのパスワードが期限切れです。 ログオンおよびログオフ
537 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:上記の理由以外でログオンが失敗しました。 ログオンおよびログオフ
539 / 4625 アカウントがログオンに失敗 ログオン / ログオフ:アカウントのロック アウト。 ログオンおよびログオフ
538 / 4634 アカウントがログオフ ログオン / ログオフ:ローカルまたはネットワーク ユーザのログオフ。 ログオンおよびログオフ
560 / 4656 オブジェクトのオープン / オブジェクトの作成 オブジェクトへのアクセス: オブジェクト(ファイルまたはフォルダ)が開かれた。 ファイル アクセス
563 / 4659 削除するためのオブジェクトのオープン オブジェクトへのアクセス:削除するためにオブジェクト(ファイルまたはディレクトリ)へのハンドルが要求されました。 ‎ ファイル アクセス
564 / 4660 オブジェクトの削除 オブジェクトへのアクセス: オブジェクト(ファイルまたはフォルダ)の削除。Data ONTAPはWindowsクライアントがオブジェクト(ファイルまたはディレクトリ)の削除を試みるとこのイベントを生成します。‎ ファイル アクセス
567 / 4663 オブジェクトの読み取り / オブジェクトの書き込み / オブジェクトの属性の取得 / オブジェクトの属性の設定 オブジェクトへのアクセス: オブジェクトへのアクセスの試み(読み取り、書き込み、属性の取得、属性の設定)が行われた。
注: このイベントが発生した場合、Data ONTAPは、オブジェクトに対する最初のSMB読み取り操作とSMB書き込み操作(の成功または失敗)を監査します。 これにより、1 つのクライアントが、あるオブジェクトを開き、そのオブジェクトに対して連続的に多数の読み取りまたは書き込みを行っても、Data ONTAP が余計にログ エントリを書き込むことがなくなります。
ファイル アクセス
NA / 4664 ハード リンク オブジェクトへのアクセス:ハード リンクの作成が試みられた。 ファイル アクセス
NA / 4818 提案された集約型アクセス ポリシーで現在の集約型アクセス ポリシーと同じアクセス権限が許可されない オブジェクトへのアクセス:集約型アクセス ポリシーのステージング。 ファイル アクセス
NA / NA Data ONTAP イベントID 9999 オブジェクトの名前変更 オブジェクトへのアクセス:オブジェクトの名前が変更された。 これはData ONTAPのイベントです。 Windowsでは、現在シングル イベントとしてはサポートされていません。 ファイル アクセス
NA / NA Data ONTAP イベントID 9998 オブジェクトのリンク解除 オブジェクトへのアクセス:オブジェクトのリンクが解除された。 これはData ONTAPのイベントです。 Windowsでは、現在シングル イベントとしてはサポートされていません。 ファイル アクセス

イベント4656に関する補足情報

監査XMLイベント内のHandleIDタグには、アクセスされたオブジェクト(ファイルまたはディレクトリ)のハンドルが格納されています。 EVTX 4656イベントのHandleIDタグに格納される情報は、オープン イベントが新規オブジェクトを作成するためのものか、既存のオブジェクトを開くためのものかによって異なります。