As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Auditar acesso a arquivos
O Amazon FSx para NetApp ONTAP oferece suporte à auditoria de acessos do usuário final a arquivos e diretórios em uma máquina virtual de armazenamento (SVM).
**Topics**
+ [Visão geral da auditoria de acesso a arquivos](#auditing-overview)
+ [Visão geral das tarefas para configurar a auditoria de acesso a arquivos](#auditing-tasks)
## Visão geral da auditoria de acesso a arquivos
A auditoria de acesso a arquivos permite que você registre os acessos do usuário final a arquivos e diretórios individuais com base nas políticas de auditoria que você define. A auditoria de acesso a arquivos ajuda a melhorar a segurança do sistema e reduzir o risco de acesso não autorizado aos dados do sistema. A auditoria de acesso a arquivos ajuda as organizações a permanecerem em conformidade com os requisitos de proteção de dados, identificarem ameaças potenciais com antecedência e reduzirem o risco de uma violação de dados.
Em todos os acessos a arquivos e diretórios, o Amazon FSx oferece suporte ao registro em log das tentativas com êxito (como um usuário com permissões suficientes acessando com êxito um arquivo), tentativas malsucedidas ou ambas. Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.
Por padrão, os logs de eventos de auditoria são armazenados no formato de arquivo `EVTX`, o que permite visualizá-los usando o Microsoft Event Viewer.
### Eventos de acesso SMB que podem ser auditados
A tabela a seguir lista os eventos de acesso a arquivos e pastas SMB que podem ser auditados.
****
| ID do evento (EVT/EVTX) | Event | Descrição | Categoria |
| --- | --- | --- | --- |
| 560/4656 | Abrir objeto/Criar objeto | ACESSO AO OBJETO: objeto (arquivo ou diretório) aberto | Acesso a arquivos |
| 563/4659 | Abrir objeto com a intenção de exclusão | ACESSO AO OBJETO: um identificador para um objeto (arquivo ou diretório) foi solicitado com a intenção de exclusão | Acesso a arquivos |
| 564/4660 | Excluir objeto | ACESSO AO OBJETO: excluir objeto (arquivo ou diretório) O ONTAP gera esse evento quando um cliente Windows tenta excluir o objeto (arquivo ou diretório) | Acesso a arquivos |
| 567/4663 | Ler objeto/Gravar objeto/Obter atributos do objeto/Definir atributos do objeto | ACESSO AO OBJETO: tentativa de acesso ao objeto (leitura, gravação, obtenção do atributo, definição do atributo). Para esse evento, o ONTAP audita somente a primeira operação de leitura e gravação SMB (êxito ou falha) em um objeto. Isso impede que o ONTAP crie entradas de logs excessivas quando um único cliente abre um objeto e executa várias operações sucessivas de leitura ou gravação no mesmo objeto. | Acesso a arquivos |
| N/A/4664 | Links físicos | ACESSO AO OBJETO: Foi feita uma tentativa de criar um link físico | Acesso a arquivos |
| ID 9999 do evento N/A/N/A do ONTAP | Renomear objeto | ACESSO AO OBJETO: objeto renomeado. Este é um evento do ONTAP. No momento, o Windows não oferece suporte como evento único. | Acesso a arquivos |
| ID 9998 do evento N/A/N/A do ONTAP | Desvincular objeto | ACESSO AO OBJETO: objeto desvinculado. Este é um evento do ONTAP. No momento, o Windows não oferece suporte como evento único. | Acesso a arquivos |
### Eventos de acesso ao NFS que podem ser auditados
Os eventos de acesso a arquivos e pastas NFS a seguir que podem ser auditados.
+ READ
+ OPEN
+ CLOSE
+ READDIR
+ WRITE
+ SETATTR
+ CREATE
+ LINK
+ OPENATTR
+ REMOVE
+ GETATTR
+ VERIFY
+ NVERIFY
+ RENAME
## Visão geral das tarefas para configurar a auditoria de acesso a arquivos
A configuração do FSx para ONTAP para auditoria de acesso a arquivos envolve as seguintes tarefas de alto nível:
1. [Familiarize-se](#auditing-requirements) com os requisitos e considerações sobre auditoria de acesso a arquivos.
1. [Crie uma configuração de auditoria](#create-audit-config) em uma SVM específica.
1. [Ative a auditoria](#enable-auditing) nessa SVM.
1. [Configure políticas de auditoria](#file-audit-policies) em seus arquivos e diretórios.
1. [Visualize os logs de eventos de auditoria](#view-audit-logs) após a emissão do FSx para ONTAP.
Os detalhes da tarefa são fornecidos nos procedimentos a seguir.
Repita as tarefas para qualquer outra SVM em seu sistema de arquivos para a qual você deseja habilitar a auditoria de acesso a arquivos.
### Requisitos de auditoria
Antes de configurar e habilitar a auditoria em uma SVM, você deve estar ciente dos requisitos e considerações a seguir.
+ A auditoria NFS oferece suporte a entradas de controle de acesso (ACEs) de auditoria designadas como tipo `u`, que geram uma entrada de log de auditoria quando há uma tentativa de acesso ao objeto. Para auditoria NFS, não há mapeamento entre bits de modo e ACEs de auditoria. Ao converter ACLs em bits de modo, as ACEs de auditoria são ignoradas. Ao converter bits de modo em ACLs, as ACEs de auditoria não são geradas.
+ A auditoria depende da disponibilidade de espaço nos volumes de preparação. (Um volume de preparação é um volume dedicado criado pelo ONTAP para armazenar arquivos de preparação, que são arquivos binários intermediários em nós individuais, nos quais os registros de auditoria são armazenados antes da conversão em um formato de arquivo EVTX ou XML.) Você deve garantir que haja espaço suficiente para os volumes de preparação nas agregações que contêm volumes auditados.
+ A auditoria depende de ter espaço disponível no volume que contém o diretório no qual os logs de eventos de auditoria convertidos são armazenados. Certifique-se de que haja espaço suficiente nos volumes usados para armazenar logs de eventos. Você pode especificar o número de logs de auditoria a serem retidos no diretório de auditoria usando o parâmetro `-rotate-limit` ao criar uma configuração de auditoria, o que pode ajudar a garantir que haja espaço disponível suficiente para os logs de auditoria no volume.
### Como criar configurações de auditoria nas SVMs
Antes de começar a auditar eventos de arquivos e diretórios, crie uma configuração de auditoria na máquina virtual de armazenamento (SVM). Depois de criar a configuração de auditoria, você deve habilitá-la na SVM.
Antes de usar o comando `vserver audit create` para criar a configuração de auditoria, certifique-se de ter criado um diretório para ser usado como destino dos logs e de que o diretório não tenha links simbólicos. Você especifica o diretório de destino com o parâmetro `-destination`.
Você pode criar uma configuração de auditoria que alterne os logs de auditoria com base no tamanho do log ou em uma programação, da seguinte maneira:
+ Para alternar os logs de auditoria com base no tamanho do registro, use este comando:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}] [-rotate-limit {{integer}}] [-rotate-size {{{integer}}[KB|MB|GB|TB|PB]}]
```
O exemplo a seguir cria uma configuração de auditoria para a SVM chamada `svm1` que audita operações de arquivo e eventos de logon e logoff do CIFS (SMB) (o padrão) usando rotação baseada em tamanho. O formato de log é `EVTX` (o padrão), os logs são armazenados no diretório `/audit_log` e você terá um único arquivo de log por vez (até 200 MB de tamanho).
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ Para alternar os logs de auditoria com base em uma programação, use este comando:
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}]
[-rotate-limit {{integer}}] [-rotate-schedule-month {{chron_month}}]
[-rotate-schedule-dayofweek {{chron_dayofweek}}] [-rotate-schedule-day {{chron_dayofmonth}}]
[-rotate-schedule-hour {{chron_hour}}] [-rotate-schedule-minute {{chron_minute}}]
```
O parâmetro `-rotate-schedule-minute` será obrigatório se você estiver configurando a rotação de logs de auditoria com base no tempo.
O exemplo a seguir cria uma configuração de auditoria para a SVM chamada `svm2` usando rotação baseada em tempo. O formato do log é `EVTX` (o padrão) e os logs de auditoria são alternados mensalmente, às 12h30, todos os dias da semana.
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
Você pode usar o parâmetro `-format` para especificar se os logs de auditoria são criados no formato `EVTX` convertido (o padrão) ou no formato de arquivo `XML`. O formato `EVTX` permite que você visualize os arquivos de log com o Microsoft Event Viewer.
Por padrão, as categorias de eventos a serem auditados são eventos de acesso a arquivos (SMB e NFS), eventos de logon e logoff do CIFS (SMB) e eventos de alteração da política de autorização. Você pode ter maior controle sobre quais eventos registrar pelo parâmetro `-events`, que tem o seguinte formato:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
Por exemplo, o uso de `-events file-share` permite a auditoria dos eventos de compartilhamento de arquivos.
Para obter mais informações sobre o comando `vserver audit create`, consulte [Criar uma configuração de auditoria](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html).
### Ativação da auditoria em uma SVM
Depois de concluir a definição da configuração de auditoria, você deve habilitá-la na SVM. Para fazer isso, use o seguinte comando:
```
vserver audit enable -vserver {{svm_name}}
```
Por exemplo, use o comando a seguir para habilitar a auditoria na SVM chamada `svm1`.
```
vserver audit enable -vserver svm1
```
Você pode desabilitar a auditoria de acesso a qualquer momento. Por exemplo, use o comando a seguir para desativar a auditoria na SVM chamada `svm4`.
```
vserver audit disable -vserver svm4
```
Quando você desabilita a auditoria, a configuração de auditoria não é excluída na SVM, o que significa que você pode reabilitar a auditoria nessa SVM a qualquer momento.
### Como configurar as políticas de auditoria de arquivos e pastas
Você precisa configurar as políticas de auditoria nos arquivos e pastas em que deseja auditar tentativas de acesso do usuário. Você pode configurar políticas de auditoria para monitorar as tentativas de acesso com êxito e falha.
É possível configurar as políticas de auditoria SMB e NFS. As políticas de auditoria SMB e NFS têm requisitos de configuração e recursos de auditoria diferentes com base no estilo de segurança do volume.
#### Políticas de auditoria em arquivos e diretórios no estilo de segurança NTFS
Você pode configurar políticas de auditoria NTFS usando a guia Segurança do Windows ou a CLI do ONTAP.
##### Para configurar políticas de auditoria NTFS (guia Segurança do Windows)
Configure políticas de auditoria NTFS adicionando entradas às SACLs do NTFS associadas a um descritor de segurança NTFS. O descritor de segurança é então aplicado aos arquivos e diretórios NTFS. Essas tarefas são gerenciadas automaticamente pela GUI do Windows. O descritor de segurança pode conter listas de controle de acesso (DACLs) discricionárias para aplicar permissões de acesso a arquivos e pastas, SACLs para auditoria de arquivos e pastas ou SACLs e DACLs.
1. No menu **Ferramentas** do Windows Explorer, selecione **Mapear unidade de rede**.
1. Preencha a caixa **Mapear unidade de rede**:
1. Escolha uma letra de **Unidade**.
1. Na caixa **Pasta**, digite o nome do servidor SMB (CIFS) que contém o compartilhamento, contendo os dados que você deseja auditar e o nome do compartilhamento.
1. Escolha **Terminar**.
A unidade selecionada está montada e pronta com a janela do Windows Explorer exibindo arquivos e pastas contidos no compartilhamento.
1. Selecione o arquivo ou diretório cujo acesso de auditoria você deseja habilitar.
1. Clique com o botão direito do mouse no arquivo ou diretório e escolha **Propriedades**.
1. Escolha a guia **Segurança**.
1. Clique em **Avançado**.
1. Escolha a guia **Auditoria**.
1. Execute as ações desejadas:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/fsx/latest/ONTAPGuide/file-access-auditing.html)
Se você estiver configurando a auditoria em um usuário ou grupo ou alterando a auditoria em um usuário ou grupo existente, a caixa **Entrada de auditoria para {{objeto}}** será aberta.
1. Na caixa **Aplicar a**, selecione como você deseja aplicar essa entrada de auditoria.
Se você estiver configurando a auditoria em um único arquivo, a caixa **Aplicar a** não estará ativa, pois o padrão é Somente este objeto.
1. Na caixa **Acesso**, selecione o que você deseja auditar e se deseja auditar eventos com êxito, eventos de falha ou ambos.
+ Para auditar eventos com êxito, escolha a caixa **Sucesso**.
+ Para auditar eventos de falha, escolha a caixa **Falha**.
Escolha as ações que você precisa monitorar para atender aos seus requisitos de segurança. Para obter mais informações sobre esses eventos auditáveis, consulte a documentação do Windows. Você pode auditar os seguintes eventos:
+ Controle total
+ Percorrer pasta/executar arquivo
+ Listar pasta//ler dados
+ Ler atributos
+ Ler atributos estendidos
+ Criar arquivos/gravar dados
+ Criar pastas/anexar dados
+ Gravar atributos
+ Gravar atributos estendidos
+ Excluir subpastas e arquivos
+ Excluir
+ Permissões de leitura
+ Alterar permissões.
+ Assumir a propriedade
1. Se você não quiser que a configuração de auditoria se propague para arquivos e pastas subsequentes do contêiner original, escolha a caixa **Aplicar estas entradas de auditoria somente a objetos e/ou contêineres dentro deste contêiner**.
1. Escolha **Aplicar**.
1. Ao terminar de adicionar, remover ou editar entradas de auditoria, escolha **OK**.
A caixa **Entrada de auditoria para {{objeto}}** é fechada.
1. Na caixa **Auditoria**, escolha as configurações de herança para essa pasta. Escolha somente o nível mínimo que forneça os eventos de auditoria que atendam aos seus requisitos de segurança.
Você pode escolher uma das seguintes opções:
+ Escolha a caixa **Incluir entradas de auditoria herdáveis na entrada principal deste objeto**.
+ Escolha a caixa **Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto**.
+ Escolha as duas caixas.
+ Escolha nenhuma das caixas.
Se você estiver definindo SACLs em um único arquivo, a caixa **Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto** não estará presente na caixa **Auditoria**.
1. Escolha **OK**.
##### Configurar políticas de auditoria do NTFS (CLI do ONTAP)
Usando a CLI do ONTAP, você pode configurar políticas de auditoria do NTFS sem precisar se conectar aos dados usando um compartilhamento de SMB em um cliente Windows.
+ Você pode configurar políticas de auditoria do NTFS usando a família de comandos [ vserver security file-directory ntfs sacl add](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description).
Por exemplo, o comando a seguir cria uma política de segurança chamada `p1` na SVM chamada `vs0`.
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
Em seguida, o comando a seguir aplica a política de segurança `p1` à SVM `vs0`.
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### Políticas de auditoria em arquivos e diretórios no estilo de segurança do UNIX
Configure a auditoria de arquivos e diretórios no estilo de segurança do UNIX adicionando ACEs de auditoria (expressões de controle de acesso) às ACLs (listas de controle de acesso) do NFS v4.x. Isso permite monitorar determinados eventos de acesso a arquivos e diretórios NFS para fins de segurança.
**nota**
No NFS v4.x, as ACEs discricionárias e as do sistema são armazenadas na mesma ACL. Portanto, tenha cuidado ao adicionar ACEs de auditoria a uma ACL existente para evitar sobrescrever e perder uma ACL existente. A ordem na qual você adiciona as ACEs de auditoria a uma ACL existente não importa.
##### Configurar políticas de auditoria do UNIX
1. Recupere a ACL existente para o arquivo ou diretório usando o comando `nfs4_getfacl` ou um equivalente.
1. Anexe as ACEs de auditoria desejadas.
1. Aplique a ACL atualizada ao arquivo ou diretório usando o comando `nfs4_setfacl` ou um equivalente.
Este exemplo usa a opção `-a` para dar a um usuário (chamado `testuser`) permissões de leitura para o arquivo chamado `file1`.
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### Visualização de logs de evento de auditoria
Você pode visualizar os logs de evento de auditoria salvos nos formatos de arquivo `EVTX` ou `XML`.
+ Formato de arquivo `EVTX`: você pode abrir os logs de evento de auditoria `EVTX` convertidos como arquivos salvos usando o Microsoft Event Viewer.
Há duas opções que você pode usar ao visualizar logs de eventos usando o visualizador de eventos:
+ **Visualização geral**: as informações comuns a todos os eventos são exibidas no registro do evento. Os dados específicos do evento para o registro do evento não são exibidos. Você pode usar a visualização detalhada para exibir dados específicos do evento.
+ **Visualização detalhada**: uma visualização amigável e uma visualização em XML estão disponíveis. As visualizações amigável e em XML exibem as informações que são comuns a todos os eventos e os dados específicos do evento para o registro de eventos.
+ Formato de arquivo `XML`: você pode visualizar e processar logs de evento de auditoria XML em aplicações de terceiros que aceitam o formato de arquivo XML. As ferramentas de visualização em XML podem ser usadas para visualizar os logs de auditoria, desde que você tenha o esquema XML e informações sobre as definições dos campos XML.