Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaudit akses file
Amazon FSx untuk NetApp ONTAP mendukung audit akses pengguna akhir ke file dan direktori di mesin virtual penyimpanan (SVM).
**Topics**
+ [Gambaran umum audit akses file](#auditing-overview)
+ [Ikhtisar tugas untuk mengatur audit akses file](#auditing-tasks)
## Gambaran umum audit akses file
Audit akses file memungkinkan Anda merekam akses pengguna akhir dari masing-masing file dan direktori berdasarkan kebijakan audit yang Anda tentukan. Audit akses file dapat membantu Anda meningkatkan keamanan sistem Anda dan mengurangi risiko akses tidak sah ke data sistem Anda. Audit akses file membantu organisasi Anda tetap mematuhi persyaratan perlindungan data, mengidentifikasi potensi ancaman sejak dini, dan mengurangi risiko pelanggaran data.
Di seluruh akses file dan direktori, Amazon FSx mendukung pencatatan upaya yang berhasil (seperti pengguna dengan izin yang cukup berhasil mengakses file), upaya gagal, atau keduanya. Anda juga dapat menonaktifkan audit akses file kapan saja.
Secara default, log peristiwa audit disimpan dalam format `EVTX` file, yang memungkinkan Anda melihatnya menggunakan Microsoft Event Viewer.
### Acara akses SMB yang dapat diaudit
Tabel berikut mencantumkan file SMB dan peristiwa akses folder dapat diaudit.
****
| ID Acara (EVT/EVTX) | Peristiwa | Deskripsi | Kategori |
| --- | --- | --- | --- |
| 560/4656 | Buka Objek/Buat Objek | OBJECT ACCESS: Objek (file atau direktori) terbuka | Akses Berkas |
| 563/4659 | Buka Object dengan Intent to Delete | AKSES OBJEK: Pegangan ke objek (file atau direktori) diminta dengan Intent to Delete | Akses Berkas |
| 564/4660 | Hapus Objek | AKSES OBJEK: Hapus Objek (file atau direktori). ONTAP menghasilkan acara ini ketika klien Windows mencoba menghapus objek (file atau direktori) | Akses Berkas |
| 567/4663 | Baca Atribut Object/Write Object/Get Object Attributes/Set Objek | AKSES OBJEK: Upaya akses objek (baca, tulis, dapatkan atribut, atur atribut).Untuk acara ini, ONTAP hanya mengaudit operasi baca SMB pertama dan SMB tulis pertama (sukses atau gagal) pada suatu objek. Ini mencegah ONTAP membuat entri log yang berlebihan ketika satu klien membuka objek dan melakukan banyak operasi baca atau tulis berturut-turut ke objek yang sama. | Akses Berkas |
| N/A/4664 | Tautan keras | OBJECT ACCESS: Upaya dibuat untuk membuat hard link | Akses Berkas |
| ID Acara N/A/N/A ONTAP 9999 | Ganti Nama Objek | OBJECT ACCESS: Object berganti nama. Ini adalah acara ONTAP. Saat ini tidak didukung oleh Windows sebagai satu acara. | Akses Berkas |
| ID Acara N/A/N/A ONTAP 9998 | Putuskan Tautan Objek | OBJECT ACCESS: Objek tidak ditautkan. Ini adalah acara ONTAP. Saat ini tidak didukung oleh Windows sebagai satu acara. | Akses Berkas |
### Acara akses NFS yang dapat diaudit
Peristiwa akses file dan folder NFS berikut dapat diaudit.
+ MEMBACA
+ BUKA
+ TUTUP
+ READDIR
+ MENULIS
+ SETATTR
+ CREATE
+ PRANALA
+ OPENATTR
+ REMOVE (HAPUS)
+ GETATTR
+ MEMVERIFIKASI
+ NVERIFIKASI
+ GANTI NAMA
## Ikhtisar tugas untuk mengatur audit akses file
FSx Menyiapkan ONTAP untuk audit akses file melibatkan tugas-tugas tingkat tinggi berikut:
1. [Biasakan diri Anda](#auditing-requirements) dengan persyaratan dan pertimbangan audit akses file.
1. [Buat konfigurasi audit](#create-audit-config) pada SVM tertentu.
1. [Aktifkan audit](#enable-auditing) pada SVM itu.
1. [Konfigurasikan kebijakan audit](#file-audit-policies) pada file dan direktori Anda.
1. [Lihat log peristiwa audit](#view-audit-logs) setelah ONTAP FSx memancarkannya.
Rincian tugas disediakan dalam prosedur berikut.
Ulangi tugas untuk SVM lain di sistem file Anda yang ingin Anda aktifkan audit akses file.
### Persyaratan audit
Sebelum Anda mengonfigurasi dan mengaktifkan audit pada SVM, Anda harus mengetahui persyaratan dan pertimbangan berikut.
+ Audit NFS mendukung audit Access Control Entries (ACEs) yang ditetapkan sebagai tipe`u`, yang menghasilkan entri log audit saat akses dicoba pada objek. Untuk audit NFS, tidak ada pemetaan antara bit mode dan audit. ACEs Saat mengonversi ACLs ke bit mode, audit ACEs dilewati. Saat mengonversi bit mode ke ACLs, audit tidak ACEs dihasilkan.
+ Audit tergantung pada memiliki ruang yang tersedia dalam volume pementasan. (Volume pementasan adalah volume khusus yang dibuat oleh ONTAP untuk menyimpan file pementasan, yang merupakan file biner perantara pada node individu di mana catatan audit disimpan sebelum konversi ke format file EVTX atau XML.) Anda harus memastikan bahwa ada ruang yang cukup untuk volume pementasan dalam agregat yang berisi volume yang diaudit.
+ Audit tergantung pada memiliki ruang yang tersedia dalam volume yang berisi direktori tempat log peristiwa audit yang dikonversi disimpan. Anda harus memastikan bahwa ada cukup ruang dalam volume yang digunakan untuk menyimpan log peristiwa. Anda dapat menentukan jumlah log audit yang akan disimpan di direktori audit dengan menggunakan `-rotate-limit` parameter saat membuat konfigurasi audit, yang dapat membantu memastikan bahwa ada cukup ruang yang tersedia untuk log audit dalam volume.
### Membuat konfigurasi audit pada SVMs
Sebelum Anda dapat mulai mengaudit peristiwa file dan direktori, Anda harus membuat konfigurasi audit pada Storage Virtual Machine (SVM). Setelah Anda membuat konfigurasi audit, Anda harus mengaktifkannya di SVM.
Sebelum Anda menggunakan `vserver audit create` perintah untuk membuat konfigurasi audit, pastikan Anda telah membuat direktori untuk digunakan sebagai tujuan untuk log, dan direktori tidak memiliki symlink. Anda menentukan direktori tujuan dengan `-destination` parameter.
Anda dapat membuat konfigurasi audit yang memutar log audit berdasarkan ukuran log atau jadwal, sebagai berikut:
+ Untuk memutar log audit berdasarkan ukuran log, gunakan perintah ini:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}] [-rotate-limit {{integer}}] [-rotate-size {{{integer}}[KB|MB|GB|TB|PB]}]
```
Contoh berikut membuat konfigurasi audit untuk SVM bernama `svm1` yang mengaudit operasi file dan peristiwa logon dan logoff CIFS (SMB) (default) menggunakan rotasi berbasis ukuran. Format log adalah `EVTX` (default), log disimpan dalam `/audit_log` direktori, dan Anda akan memiliki satu file log pada satu waktu (hingga 200MB dalam ukuran).
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ Untuk memutar log audit berdasarkan jadwal, gunakan perintah ini:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}]
[-rotate-limit {{integer}}] [-rotate-schedule-month {{chron_month}}]
[-rotate-schedule-dayofweek {{chron_dayofweek}}] [-rotate-schedule-day {{chron_dayofmonth}}]
[-rotate-schedule-hour {{chron_hour}}] [-rotate-schedule-minute {{chron_minute}}]
```
`-rotate-schedule-minute`Parameter diperlukan jika Anda mengonfigurasi rotasi log audit berbasis waktu.
Contoh berikut membuat konfigurasi audit untuk SVM bernama `svm2` menggunakan rotasi berbasis waktu. Format log adalah `EVTX` (default) dan log audit diputar setiap bulan, pada pukul 12:30 pada semua hari dalam seminggu.
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
Anda dapat menggunakan `-format` parameter untuk menentukan apakah log audit dibuat dalam `EVTX` format yang dikonversi (default) atau dalam format `XML` file. `EVTX`Format ini memungkinkan Anda untuk melihat file log dengan Microsoft Event Viewer.
Secara default, kategori peristiwa yang akan diaudit adalah peristiwa akses file (baik SMB dan NFS), peristiwa logon dan logoff CIFS (SMB), dan peristiwa perubahan kebijakan otorisasi. Anda dapat memiliki kontrol yang lebih besar atas peristiwa mana yang akan dicatat oleh `-events` parameter, yang memiliki format berikut:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
Misalnya, menggunakan `-events file-share` mengaktifkan audit peristiwa berbagi file.
Untuk informasi selengkapnya tentang `vserver audit create` perintah, lihat [Membuat konfigurasi audit](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html).
### Mengaktifkan audit pada SVM
Setelah Anda selesai menyiapkan konfigurasi audit, Anda harus mengaktifkan audit pada SVM. Untuk melakukannya, gunakan perintah berikut:
```
vserver audit enable -vserver {{svm_name}}
```
Misalnya, gunakan perintah berikut untuk mengaktifkan audit pada SVM bernama. `svm1`
```
vserver audit enable -vserver svm1
```
Anda dapat menonaktifkan audit akses kapan saja. Misalnya, gunakan perintah berikut untuk mematikan audit pada SVM bernama. `svm4`
```
vserver audit disable -vserver svm4
```
Saat Anda menonaktifkan audit, konfigurasi audit tidak akan dihapus di SVM, yang berarti Anda dapat mengaktifkan kembali audit pada SVM tersebut kapan saja.
### Mengkonfigurasi kebijakan audit file dan folder
Anda perlu mengonfigurasi kebijakan audit pada file dan folder yang ingin diaudit untuk upaya akses pengguna. Anda dapat mengonfigurasi kebijakan audit untuk memantau upaya akses yang berhasil dan gagal.
Anda dapat mengonfigurasi kebijakan audit SMB dan NFS. Kebijakan audit SMB dan NFS memiliki persyaratan konfigurasi dan kemampuan audit yang berbeda berdasarkan gaya keamanan volume.
#### Kebijakan audit pada file dan direktori gaya keamanan NTFS
Anda dapat mengonfigurasi kebijakan audit NTFS dengan menggunakan tab Keamanan Windows atau CLI ONTAP.
##### Untuk mengkonfigurasi kebijakan audit NTFS (tab Keamanan Windows)
Anda mengonfigurasi kebijakan audit NTFS dengan menambahkan entri ke NTFS SACLs yang terkait dengan deskriptor keamanan NTFS. Deskriptor keamanan kemudian diterapkan ke file dan direktori NTFS. Tugas-tugas ini secara otomatis ditangani oleh GUI Windows. Deskriptor keamanan dapat berisi daftar kontrol akses diskresioner (DACLs) untuk menerapkan izin akses file dan folder, SACLs untuk audit file dan folder, atau keduanya dan. SACLs DACLs
1. Dari menu **Tools** di Windows Explorer, pilih **Map network drive**.
1. Lengkapi kotak **Map Network Drive**:
1. Pilih huruf **Drive**.
1. Di kotak **Folder**, ketik nama server SMB (CIFS) yang berisi share, memegang data yang ingin Anda audit dan nama share.
1. Pilih **Selesai**.
Drive yang Anda pilih sudah terpasang dan siap dengan jendela Windows Explorer yang menampilkan file dan folder yang terdapat dalam share.
1. Pilih file atau direktori yang ingin Anda aktifkan akses auditing.
1. Klik kanan file atau direktori, lalu pilih **Properties**.
1. Pilih tab **Security**.
1. Klik **Advanced**.
1. Pilih tab **Audit**.
1. Lakukan tindakan yang diinginkan:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/fsx/latest/ONTAPGuide/file-access-auditing.html)
Jika Anda menyiapkan audit pada pengguna atau grup atau mengubah audit pada pengguna atau grup yang ada, kotak **Entri Audit untuk {{object}} terbuka**.
1. Di kotak **Terapkan ke**, pilih cara Anda ingin menerapkan entri audit ini.
Jika Anda menyiapkan audit pada satu file, kotak **Terapkan ke** tidak aktif, karena defaultnya hanya untuk objek ini.
1. Di kotak **Akses**, pilih apa yang ingin diaudit dan apakah Anda ingin mengaudit peristiwa yang berhasil, peristiwa kegagalan, atau keduanya.
+ Untuk mengaudit peristiwa yang berhasil, pilih kotak **Sukses**.
+ Untuk mengaudit peristiwa kegagalan, pilih kotak **Kegagalan**.
Pilih tindakan yang perlu Anda pantau untuk memenuhi persyaratan keamanan Anda. Untuk informasi selengkapnya tentang peristiwa yang dapat diaudit ini, lihat dokumentasi Windows Anda. Anda dapat mengaudit peristiwa berikut:
+ Kontrol penuh
+ Melintasi folder/jalankan file
+ Daftar folder/baca data
+ Baca atribut
+ Baca atribut yang diperluas
+ Buat file/tulis data
+ Buat folder/tambahkan data
+ Tulis atribut
+ Tulis atribut yang diperluas
+ Hapus subfolder dan file
+ Hapus
+ Baca izin
+ Ubah izin
+ Ambil kepemilikan
1. Jika Anda tidak ingin setelan audit menyebar ke file dan folder berikutnya dari wadah asli, pilih kotak **Terapkan entri audit ini ke objek dan/atau wadah dalam wadah ini saja**.
1. Pilih **Terapkan**.
1. **Setelah selesai menambahkan, menghapus, atau mengedit entri audit, pilih OK.**
**Entri Audit untuk {{object}}** kotak ditutup.
1. Di kotak **Audit**, pilih pengaturan warisan untuk folder ini. Pilih hanya level minimal yang menyediakan acara audit yang memenuhi persyaratan keamanan Anda.
Anda dapat memilih salah satu dari yang berikut ini:
+ Pilih kotak **Sertakan entri audit yang dapat diwariskan dari kotak induk objek ini.**
+ Pilih kotak **Ganti semua entri audit warisan yang ada pada semua turunan dengan entri audit yang dapat diwariskan** dari objek ini.
+ Pilih kedua kotak.
+ Pilih kotak mana pun.
**Jika Anda menyetel SACLs pada satu file, kotak **Ganti semua entri audit warisan yang ada pada semua turunan dengan entri audit yang dapat diwariskan dari objek ini** tidak ada di kotak Audit.**
1. Pilih **OK**.
##### Untuk mengonfigurasi kebijakan audit NTFS (ONTAP CLI)
Dengan menggunakan CLI ONTAP, Anda dapat mengonfigurasi kebijakan audit NTFS tanpa perlu terhubung ke data menggunakan berbagi SMB pada klien Windows.
+ Anda dapat mengonfigurasi kebijakan audit NTFS dengan menggunakan keluarga perintah [direktori file keamanan vserver ntfs sacl add](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description).
Misalnya, perintah berikut membuat kebijakan keamanan yang `p1` dinamai SVM bernama`vs0`.
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
Kemudian, perintah berikut menerapkan kebijakan `p1` keamanan ke `vs0` SVM.
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### Kebijakan audit pada file dan direktori gaya keamanan UNIX
Anda mengonfigurasi audit untuk file dan direktori bergaya keamanan UNIX dengan menambahkan audit ACEs (ekspresi kontrol akses) ke NFS v4.x (daftar kontrol akses). ACLs Ini memungkinkan Anda untuk memantau peristiwa akses file dan direktori NFS tertentu untuk tujuan keamanan.
**catatan**
Untuk NFS v4.x, baik diskresioner dan sistem disimpan dalam ACL ACEs yang sama. Oleh karena itu, Anda harus berhati-hati saat menambahkan audit ACEs ke ACL yang ada untuk menghindari penimpaan dan kehilangan ACL yang ada. Urutan di mana Anda menambahkan audit ACEs ke ACL yang ada tidak masalah.
##### Untuk mengonfigurasi kebijakan audit UNIX
1. Ambil ACL yang ada untuk file atau direktori dengan menggunakan perintah `nfs4_getfacl` atau setara.
1. Tambahkan audit ACEs yang diinginkan.
1. Terapkan ACL yang diperbarui ke file atau direktori dengan menggunakan perintah `nfs4_setfacl` atau setara.
Contoh ini menggunakan `-a` opsi untuk memberikan izin baca pengguna (bernama`testuser`) ke file bernama`file1`.
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### Melihat log peristiwa audit
Anda dapat melihat log peristiwa audit yang disimpan dalam format `XML` file `EVTX` atau.
+ `EVTX`format file - Anda dapat membuka log peristiwa `EVTX` audit yang dikonversi sebagai file yang disimpan menggunakan Microsoft Event Viewer.
Ada dua opsi yang dapat Anda gunakan saat melihat log peristiwa menggunakan Event Viewer:
+ **Tampilan umum**: Informasi yang umum untuk semua peristiwa ditampilkan untuk catatan acara. Data khusus peristiwa untuk catatan peristiwa tidak ditampilkan. Anda dapat menggunakan tampilan detail untuk menampilkan data khusus acara.
+ **Tampilan detil**: Tampilan ramah dan tampilan XHTML tersedia. Tampilan ramah dan tampilan XHTML menampilkan informasi yang umum untuk semua peristiwa dan data khusus peristiwa untuk catatan peristiwa.
+ `XML`format file - Anda dapat melihat dan memproses log peristiwa audit XMLpada aplikasi pihak ketiga yang mendukung format file XML. Alat tampilan XHTML dapat digunakan untuk melihat log audit asalkan Anda memiliki skema XHTML dan informasi tentang definisi untuk bidang XHTML.