Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Dateizugriff prüfen
Amazon FSx for NetApp ONTAP unterstützt die Prüfung von Endbenutzerzugriffen auf Dateien und Verzeichnisse in einer virtuellen Speichermaschine (SVM).
**Topics**
+ [Übersicht über die Prüfung des Dateizugriffs](#auditing-overview)
+ [Überblick über die Aufgaben zur Einrichtung der Dateizugriffsüberwachung](#auditing-tasks)
## Übersicht über die Prüfung des Dateizugriffs
Mit der Dateizugriffsüberwachung können Sie die Zugriffe von Endbenutzern auf einzelne Dateien und Verzeichnisse auf der Grundlage der von Ihnen definierten Überwachungsrichtlinien aufzeichnen. Die Dateizugriffsüberwachung kann Ihnen helfen, die Sicherheit Ihres Systems zu verbessern und das Risiko eines unbefugten Zugriffs auf Ihre Systemdaten zu verringern. Die Dateizugriffsprüfung hilft Ihrem Unternehmen dabei, die Datenschutzanforderungen einzuhalten, potenzielle Bedrohungen frühzeitig zu erkennen und das Risiko einer Datenschutzverletzung zu verringern.
Bei allen Datei- und Verzeichniszugriffen FSx unterstützt Amazon die Protokollierung erfolgreicher Versuche (z. B. wenn ein Benutzer mit ausreichenden Berechtigungen erfolgreich auf eine Datei zugreift), fehlgeschlagener Versuche oder beides. Sie können die Dateizugriffsüberwachung auch jederzeit deaktivieren.
Standardmäßig werden Prüfereignisprotokolle im `EVTX` Dateiformat gespeichert, sodass Sie sie mit der Microsoft Event Viewer anzeigen können.
### SMB-Zugriffsereignisse, die überwacht werden können
In der folgenden Tabelle sind die SMB-Datei- und Ordnerzugriffsereignisse aufgeführt, die überwacht werden können.
****
| Ereignis-ID (EVT/EVTX) | Ereignis | Beschreibung | Kategorie |
| --- | --- | --- | --- |
| 560/4656 | Objekt öffnen/Objekt erstellen | OBJEKTZUGRIFF: Objekt (Datei oder Verzeichnis) geöffnet | Dateizugriff |
| 563/4659 | Objekt mit der Absicht öffnen, es zu löschen | OBJEKTZUGRIFF: Ein Handle für ein Objekt (Datei oder Verzeichnis) wurde mit der Absicht angefordert, es zu löschen | Dateizugriff |
| 564/4660 | Objekt löschen | OBJEKTZUGRIFF: Objekt löschen (Datei oder Verzeichnis). ONTAP generiert dieses Ereignis, wenn ein Windows-Client versucht, das Objekt (Datei oder Verzeichnis) zu löschen | Dateizugriff |
| 567/4663 | Objektattribute lesen Object/Write Object/Get Object Attributes/Set | OBJEKTZUGRIFF: Versuch, auf ein Objekt zuzugreifen (lesen, schreiben, Attribut abrufen, Attribut setzen). Für dieses Ereignis prüft ONTAP nur den ersten SMB-Lese- und den ersten SMB-Schreibvorgang (Erfolg oder Misserfolg) an einem Objekt. Dadurch wird verhindert, dass ONTAP zu viele Protokolleinträge erstellt, wenn ein einzelner Client ein Objekt öffnet und viele aufeinanderfolgende Lese- oder Schreiboperationen für dasselbe Objekt ausführt. | Dateizugriff |
| N/A/4664 | Harter Link | OBJEKTZUGRIFF: Es wurde versucht, einen Hardlink zu erstellen | Dateizugriff |
| N/A/N/A ONTAP-Ereignis-ID 9999 | Objekt umbenennen | OBJEKTZUGRIFF: Objekt wurde umbenannt. Dies ist ein ONTAP-Ereignis. Es wird derzeit von Windows nicht als einzelnes Ereignis unterstützt. | Dateizugriff |
| N/A/N/A ONTAP-Ereignis-ID 9998 | Objektverknüpfung aufheben | OBJEKTZUGRIFF: Objekt ist nicht verknüpft. Dies ist ein ONTAP-Ereignis. Es wird derzeit von Windows nicht als einzelnes Ereignis unterstützt. | Dateizugriff |
### NFS-Zugriffsereignisse, die überwacht werden können
Die folgenden NFS-Datei- und Ordnerzugriffsereignisse können überwacht werden.
+ READ
+ OPEN
+ CLOSE
+ READDIR
+ WRITE
+ SETATTR
+ CREATE
+ VERKNÜPFUNG
+ ÖFFNENATTR
+ REMOVE
+ GETATTR
+ VERIFIZIEREN
+ UNVERIFIZIEREN
+ RENAME
## Überblick über die Aufgaben zur Einrichtung der Dateizugriffsüberwachung
Die Einrichtung FSx von ONTAP für die Dateizugriffsprüfung umfasst die folgenden allgemeinen Aufgaben:
1. [Machen Sie sich](#auditing-requirements) mit den Anforderungen und Überlegungen zur Dateizugriffsprüfung vertraut.
1. [Erstellen Sie eine Überwachungskonfiguration](#create-audit-config) auf einer bestimmten SVM.
1. [Aktivieren Sie die Überwachung](#enable-auditing) auf dieser SVM.
1. [Konfigurieren Sie Überwachungsrichtlinien für](#file-audit-policies) Ihre Dateien und Verzeichnisse.
1. [Sehen Sie sich die Audit-Ereignisprotokolle](#view-audit-logs) an, nachdem sie von FSx FOR ONTAP ausgegeben wurden.
Einzelheiten zu den Aufgaben finden Sie in den folgenden Verfahren.
Wiederholen Sie die Aufgaben für alle anderen SVMs in Ihrem Dateisystem, für die Sie die Dateizugriffsüberwachung aktivieren möchten.
### Anforderungen an die Überwachung
Bevor Sie die Überwachung auf einer SVM konfigurieren und aktivieren, sollten Sie sich der folgenden Anforderungen und Überlegungen bewusst sein.
+ Die NFS-Überwachung unterstützt die Prüfung der als Typ eingegebenen Zugriffssteuerungseinträge (ACEs)`u`, die beim Versuch, auf das Objekt zuzugreifen, einen Auditprotokolleintrag generieren. Bei der NFS-Überwachung gibt es keine Zuordnung zwischen Modusbits und Audit. ACEs Bei der Konvertierung in ACLs Modus-Bits werden Audits ACEs übersprungen. Bei der Konvertierung von Modus-Bits in ACLs, ACEs werden keine Audits generiert.
+ Die Überwachung hängt davon ab, ob in den Staging-Volumes Speicherplatz verfügbar ist. (Ein Staging-Volume ist ein spezielles Volume, das von ONTAP zum Speichern von Staging-Dateien erstellt wurde. Dabei handelt es sich um binäre Zwischendateien auf einzelnen Knoten, auf denen Prüfdatensätze vor der Konvertierung in ein EVTX- oder XML-Dateiformat gespeichert werden.) Sie müssen sicherstellen, dass in Aggregaten, die geprüfte Volumes enthalten, ausreichend Speicherplatz für die Staging-Volumes vorhanden ist.
+ Die Überwachung hängt davon ab, ob auf dem Volume, das das Verzeichnis enthält, in dem die konvertierten Audit-Ereignisprotokolle gespeichert werden, Speicherplatz verfügbar ist. Sie müssen sicherstellen, dass auf den Volumes, die zum Speichern von Ereignisprotokollen verwendet werden, ausreichend Speicherplatz vorhanden ist. Sie können die Anzahl der Audit-Logs angeben, die im Audit-Verzeichnis aufbewahrt werden sollen, indem Sie den `-rotate-limit` Parameter bei der Erstellung einer Audit-Konfiguration verwenden. So können Sie sicherstellen, dass auf dem Volume ausreichend Speicherplatz für die Audit-Logs vorhanden ist.
### Überwachungskonfigurationen werden erstellt auf SVMs
Bevor Sie mit der Überwachung von Datei- und Verzeichnisereignissen beginnen können, müssen Sie eine Überwachungskonfiguration auf der virtuellen Speichermaschine (SVM) erstellen. Nachdem Sie die Überwachungskonfiguration erstellt haben, müssen Sie sie auf der SVM aktivieren.
Bevor Sie den `vserver audit create` Befehl zur Erstellung der Auditing-Konfiguration verwenden, stellen Sie sicher, dass Sie ein Verzeichnis erstellt haben, das als Ziel für Logs verwendet werden soll, und dass das Verzeichnis keine symbolischen Links enthält. Sie geben das Zielverzeichnis mit dem `-destination` Parameter an.
Sie können eine Überwachungskonfiguration erstellen, bei der die Audit-Logs je nach Protokollgröße oder einem Zeitplan rotiert werden, und zwar wie folgt:
+ Verwenden Sie diesen Befehl, um Audit-Logs basierend auf der Protokollgröße zu rotieren:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]
```
Im folgenden Beispiel wird eine Überwachungskonfiguration für die SVM mit dem Namen erstellt`svm1`, die Dateioperationen und CIFS- (SMB) Anmelde- und Abmeldeereignisse (Standard) anhand der Größenänderung überwacht. Das Protokollformat ist `EVTX` (Standard). Die Protokolle werden im `/audit_log` Verzeichnis gespeichert, und Sie haben jeweils nur eine Protokolldatei (bis zu 200 MB groß).
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ Verwenden Sie diesen Befehl, um Audit-Logs nach einem Zeitplan zu rotieren:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
[-rotate-limit integer] [-rotate-schedule-month chron_month]
[-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
[-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]
```
Der `-rotate-schedule-minute` Parameter ist erforderlich, wenn Sie die zeitbasierte Rotation des Auditprotokolls konfigurieren.
Im folgenden Beispiel wird eine Auditing-Konfiguration für die SVM `svm2` mit zeitbasierter Rotation erstellt. Das Protokollformat ist `EVTX` (Standard), und die Audit-Logs werden monatlich, jeweils um 12:30 Uhr, an allen Wochentagen rotiert.
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
Sie können den `-format` Parameter verwenden, um anzugeben, ob die Audit-Logs im konvertierten `EVTX` Format (Standard) oder im `XML` Dateiformat erstellt werden. Das `EVTX` Format ermöglicht es Ihnen, die Protokolldateien mit Microsoft Event Viewer anzuzeigen.
Standardmäßig handelt es sich bei den zu überwachenden Ereigniskategorien um Dateizugriffsereignisse (sowohl SMB als auch NFS), CIFS-Anmelde- und Abmeldeereignisse (SMB) sowie Ereignisse zur Änderung der Autorisierungsrichtlinie. Mithilfe des `-events` Parameters, der das folgende Format hat, können Sie besser steuern, welche Ereignisse protokolliert werden sollen:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
Die Verwendung `-events file-share` ermöglicht beispielsweise die Überwachung von Dateifreigabeereignissen.
Weitere Informationen zu diesem `vserver audit create` Befehl finden Sie unter [Erstellen einer Überwachungskonfiguration](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html).
### Auditing auf einer SVM aktivieren
Nachdem Sie die Konfiguration für die Überwachung eingerichtet haben, müssen Sie die Überwachung auf der SVM aktivieren. Verwenden Sie dazu den folgenden Befehl:
```
vserver audit enable -vserver svm_name
```
Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachung auf der genannten `svm1` SVM zu aktivieren.
```
vserver audit enable -vserver svm1
```
Sie können die Zugriffsprüfung jederzeit deaktivieren. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachung auf der genannten `svm4` SVM zu deaktivieren.
```
vserver audit disable -vserver svm4
```
Wenn Sie das Auditing deaktivieren, wird die Audit-Konfiguration auf der SVM nicht gelöscht, was bedeutet, dass Sie das Auditing auf dieser SVM jederzeit wieder aktivieren können.
### Konfiguration von Überwachungsrichtlinien für Dateien und Ordner
Sie müssen Überwachungsrichtlinien für die Dateien und Ordner konfigurieren, die auf Benutzerzugriffsversuche überprüft werden sollen. Sie können Überwachungsrichtlinien so konfigurieren, dass sowohl erfolgreiche als auch fehlgeschlagene Zugriffsversuche überwacht werden.
Sie können sowohl SMB- als auch NFS-Überwachungsrichtlinien konfigurieren. Für SMB- und NFS-Überwachungsrichtlinien gelten je nach Sicherheitsstil des Volumes unterschiedliche Konfigurationsanforderungen und Prüffunktionen.
#### Überwachungsrichtlinien für Dateien und Verzeichnisse im NTFS-Sicherheitsstil
Sie können NTFS-Überwachungsrichtlinien mithilfe der Registerkarte Windows-Sicherheit oder der ONTAP CLI konfigurieren.
##### So konfigurieren Sie NTFS-Überwachungsrichtlinien (Registerkarte „Windows-Sicherheit“)
Sie konfigurieren NTFS-Überwachungsrichtlinien, indem Sie NTFS-Einträge hinzufügen SACLs , die einer NTFS-Sicherheitsbeschreibung zugeordnet sind. Die Sicherheitsbeschreibung wird dann auf NTFS-Dateien und -Verzeichnisse angewendet. Diese Aufgaben werden automatisch von der Windows-GUI ausgeführt. Die Sicherheitsbeschreibung kann willkürliche Zugriffskontrolllisten (DACLs) für die Zuweisung von Datei- und Ordnerzugriffsberechtigungen, SACLs für die Datei- und Ordnerüberwachung oder beides SACLs und enthalten. DACLs
1. Wählen Sie im Windows Explorer im Menü **Tools** die Option **Netzlaufwerk zuordnen** aus.
1. Füllen Sie das Feld **Netzlaufwerk** zuordnen aus:
1. Wählen Sie einen **Laufwerksbuchstaben**.
1. Geben Sie im Feld **Ordner** den Namen des SMB-Servers (CIFS) ein, der die Freigabe enthält, in der sich die Daten befinden, die Sie überprüfen möchten, sowie den Namen der Freigabe.
1. Wählen Sie **Finish** (Abschließen).
Das von Ihnen ausgewählte Laufwerk ist bereitgestellt und bereit. Im Windows Explorer-Fenster werden die Dateien und Ordner angezeigt, die in der Freigabe enthalten sind.
1. Wählen Sie die Datei oder das Verzeichnis aus, für das Sie den Überwachungszugriff aktivieren möchten.
1. Klicken Sie mit der rechten Maustaste auf die Datei oder das Verzeichnis und wählen Sie dann **Eigenschaften**.
1. Wählen Sie die Registerkarte **Sicherheit** aus.
1. Klicken Sie auf **Erweitert**.
1. Wählen Sie die Registerkarte **Auditing**.
1. Führen Sie die gewünschten Aktionen aus:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/fsx/latest/ONTAPGuide/file-access-auditing.html)
Wenn Sie die Überwachung für einen Benutzer oder eine Gruppe einrichten oder die Überwachung für einen vorhandenen Benutzer oder eine bestehende Gruppe ändern, wird das *object* Feld **Überwachungseintrag für** geöffnet.
1. Wählen **Sie im Feld Anwenden für** aus, wie Sie diesen Überwachungseintrag anwenden möchten.
Wenn Sie die Überwachung für eine einzelne Datei einrichten, ist das Feld **Anwenden** auf nicht aktiv, da standardmäßig nur dieses Objekt angezeigt wird.
1. Wählen Sie im Feld **Zugriff** aus, was überwacht werden soll und ob Sie erfolgreiche Ereignisse, Fehlschläge oder beides überwachen möchten.
+ Um erfolgreiche Ereignisse zu überwachen, wählen Sie das Feld **Erfolg** aus.
+ Um Fehlerereignisse zu überprüfen, wählen Sie das Feld **Fehler** aus.
Wählen Sie die Aktionen aus, die Sie überwachen müssen, um Ihre Sicherheitsanforderungen zu erfüllen. Weitere Informationen zu diesen überprüfbaren Ereignissen finden Sie in Ihrer Windows-Dokumentation. Sie können die folgenden Ereignisse überwachen:
+ Volle Kontrolle
+ Ordner durchqueren/Datei ausführen
+ Ordner auflisten/Daten lesen
+ Attribute lesen
+ Lesen Sie erweiterte Attribute
+ Dateien erstellen/Daten schreiben
+ Ordner erstellen/Daten anhängen
+ Attribute schreiben
+ Schreiben Sie erweiterte Attribute
+ Löschen Sie Unterordner und Dateien
+ Löschen
+ Berechtigungen lesen
+ Berechtigungen ändern
+ Übernehmen Sie die Verantwortung
1. Wenn Sie nicht möchten, dass die Überwachungseinstellung auf nachfolgende Dateien und Ordner des ursprünglichen Containers übertragen wird, aktivieren Sie das Kontrollkästchen **Diese Überwachungseinträge nur auf Objekte und/oder Container innerhalb dieses Containers anwenden**.
1. Wählen Sie **Anwenden** aus.
1. Wenn Sie mit dem Hinzufügen, Entfernen oder Bearbeiten von Überwachungseinträgen fertig sind, wählen Sie **OK**.
Das *object* Feld **Auditing-Eintrag für** wird geschlossen.
1. Wählen Sie im Feld **Überwachung** die Vererbungseinstellungen für diesen Ordner aus. Wählen Sie nur die Mindeststufe aus, die die Überwachungsereignisse bereitstellt, die Ihren Sicherheitsanforderungen entsprechen.
Sie können eine der folgenden Optionen auswählen:
+ Wählen Sie das Feld **Vererbbare Überwachungseinträge aus dem übergeordneten Objekt einbeziehen**.
+ Wählen Sie das **Feld Alle vorhandenen vererbbaren Überwachungseinträge für alle untergeordneten Objekte durch vererbbare Überwachungseinträge aus diesem Objekt ersetzen**.
+ Wählen Sie beide Felder aus.
+ Wählen Sie keines der beiden Felder aus.
Wenn Sie die Einstellung SACLs für eine einzelne Datei festlegen, ist das Feld **Alle vorhandenen vererbbaren Überwachungseinträge für alle abhängigen Objekte durch vererbbare Überwachungseinträge aus diesem Objekt ersetzen** nicht im Feld **Überwachung** vorhanden.
1. Wählen Sie **OK** aus.
##### So konfigurieren Sie NTFS-Überwachungsrichtlinien (ONTAP CLI)
Mithilfe der ONTAP CLI können Sie NTFS-Überwachungsrichtlinien konfigurieren, ohne über eine SMB-Freigabe auf einem Windows-Client eine Verbindung zu den Daten herstellen zu müssen.
+ Sie können NTFS-Überwachungsrichtlinien mithilfe der Befehlsfamilie ntfs sacl add im [vserver security file-directory](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description) konfigurieren.
Mit dem folgenden Befehl wird beispielsweise eine Sicherheitsrichtlinie erstellt, die nach der genannten SVM benannt ist. `p1` `vs0`
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
Anschließend wendet der folgende Befehl die `p1` Sicherheitsrichtlinie auf die `vs0` SVM an.
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### Überwachungsrichtlinien für Dateien und Verzeichnisse im UNIX-Sicherheitsstil
Sie konfigurieren die Überwachung für Dateien und Verzeichnisse im UNIX-Sicherheitsstil, indem Sie Audit ACEs (Zugriffskontrollausdrücke) zu NFS ACLs v4.x (Zugriffskontrolllisten) hinzufügen. Auf diese Weise können Sie aus Sicherheitsgründen bestimmte NFS-Datei- und Verzeichniszugriffsereignisse überwachen.
**Anmerkung**
Bei NFS v4.x werden sowohl diskretionäre Daten als auch Systemdaten in derselben ACEs ACL gespeichert. Daher müssen Sie vorsichtig sein, wenn Sie einer vorhandenen ACL eine Prüfung hinzufügen ACEs , um zu verhindern, dass eine bestehende ACL überschrieben und verloren geht. Die Reihenfolge, in der Sie das Audit ACEs zu einer vorhandenen ACL hinzufügen, spielt keine Rolle.
##### Um UNIX-Audit-Richtlinien zu konfigurieren
1. Rufen Sie die vorhandene ACL für die Datei oder das Verzeichnis mit dem `nfs4_getfacl` oder einem gleichwertigen Befehl ab.
1. Hängen Sie das gewünschte Audit ACEs an.
1. Wenden Sie die aktualisierte ACL mit dem oder einem gleichwertigen Befehl auf die Datei `nfs4_setfacl` oder das Verzeichnis an.
In diesem Beispiel wird die `-a` Option verwendet, um einem (benannten`testuser`) Benutzer Leseberechtigungen für die angegebene Datei zu erteilen`file1`.
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### Audit-Ereignisprotokolle anzeigen
Sie können Audit-Ereignisprotokolle anzeigen, die in den `XML` Dateiformaten `EVTX` oder gespeichert sind.
+ `EVTX`Dateiformat — Sie können die konvertierten `EVTX` Audit-Ereignisprotokolle mit der Microsoft Event Viewer als gespeicherte Dateien öffnen.
Es gibt zwei Optionen, die Sie beim Anzeigen von Ereignisprotokollen mit der Ereignisanzeige verwenden können:
+ **Allgemeine Ansicht**: Informationen, die allen Ereignissen gemeinsam sind, werden für den Ereignisdatensatz angezeigt. Die ereignisspezifischen Daten für den Ereignisdatensatz werden nicht angezeigt. Sie können die Detailansicht verwenden, um ereignisspezifische Daten anzuzeigen.
+ **Detailansicht**: Eine benutzerfreundliche Ansicht und eine XML-Ansicht sind verfügbar. In der benutzerfreundlichen Ansicht und in der XML-Ansicht werden sowohl die Informationen angezeigt, die allen Ereignissen gemeinsam sind, als auch die ereignisspezifischen Daten für den Ereignisdatensatz.
+ `XML`Dateiformat — Sie können XML-Audit-Ereignisprotokolle in Drittanbieteranwendungen, die das XML-Dateiformat unterstützen, anzeigen und verarbeiten. XML-Anzeigetools können zum Anzeigen der Auditprotokolle verwendet werden, sofern Sie über das XML-Schema und Informationen zu den Definitionen für die XML-Felder verfügen.