ファイルサーバで、誰かがエクスプローラーの誤操作で変なところにファイルを移動させてしまうことがある。
その時に、アクセス監査ログから誰が移動(削除)操作を行ったかなどを特定できないか、ということで、NetAppのStorage VMに対するアクセス監査の設定を行った。
CIFSアクセスとNFS v4アクセスで利用できる。
公式ドキュメント:SVMでのNASイベントの監査
まずは監査ログの出力先ディレクトリを作成する。これは設定するStorage VM配下のボリュームのどこかに作成する。
今回はvolume:testvolの中に「audit」というディレクトリを作成した。
Storage VMへの監査有効化は「vserver audit create -vserver SVM名 -destination /出力先ディレクトリ」で行う。
ontap98::> vserver audit show
This table is currently empty.
ontap98::> vserver audit create -vserver share225 -destination /testvol/audit
ontap98::>
設定されたことを確認する。
ontap98::> vserver audit show
Vserver State Event Types Log Format Target Directory
----------- ------ ------------------ ---------- ----------------------------
share225 false file-ops, evtx /testvol/audit
cifs-logon-logoff,
audit-policy-
change
ontap98::> vserver audit show -ins
Vserver: share225
Auditing State: false
Log Destination Path: /testvol/audit
Categories of Events to Audit: file-ops, cifs-logon-logoff,
audit-policy-change
Log Format: evtx
Log File Size Limit: 100MB
Log Rotation Schedule: Month: -
Log Rotation Schedule: Day of Week: -
Log Rotation Schedule: Day: -
Log Rotation Schedule: Hour: -
Log Rotation Schedule: Minute: -
Rotation Schedules: -
Log Files Rotation Limit: 0
Log Retention Duration: 0s
ontap98::>
次にディレクトリに監査を設定する。
CIFSの場合
volume:testvolの中にある「test1」というディレクトリに設定を行うため、プロパティから「詳細設定」を選択
「監査」タブで設定を行う
今回はファイルやディレクトリの削除について記録したいので、「プリンシパル」を「Everyone」と指定し、「高度なアクセス許可」で「サブフォルダーとファイルの削除」と「削除」で設定します。
下記のような表示になります。
これで設定は完了です。
該当するファイルアクセスを行うと、指定したディレクトリ内に「audit_<vserver名>_last.evtx」というファイルにログが出力されていきます。
上記は毎日2:00にファイルをローテートする設定を追加しているので複数のファイルが存在しています。
ちなみに設定は下記の様に行いました。(-rotate-limit 3で設定しているのでファイルが日時入りのファイルが3つある)
ontap98::> vserver audit modify -vserver share225 -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 2 -rotate-schedule-minute 0 -rotate-limit 3 -rotate-size 1M
ontap98::> vserver audit show -ins
Vserver: share225
Auditing State: true
Log Destination Path: /testvol/audit
Categories of Events to Audit: file-ops
Log Format: evtx
Log File Size Limit: 1MB
Log Rotation Schedule: Month: January-December
Log Rotation Schedule: Day of Week: Sunday-Saturday
Log Rotation Schedule: Day: -
Log Rotation Schedule: Hour: 2
Log Rotation Schedule: Minute: 0
Rotation Schedules: @2:00
Log Files Rotation Limit: 3
Log Retention Duration: 0s
ontap98::>
(1回設定した値を消すには 「-rotate-schedule-dayofweek -」などを行う)
で、どんなログが出るか、というあたりですが、ファイルを削除した場合には、イベントID:4656とイベントID:9999が出力されました。
イベントIDの詳細については「監査できるSMBイベント」を参照のこと…ただ、載ってないのもあるんですよね…
NFSv4の場合
NFS v4の場合はLinux上から nfs4_getfacl, nfs4_setfaclコマンドを使って設定する。
NFS v4でマウントして、「test3」というディレクトリのACLを確認
[root@linux mnt]# nfs4_getfacl test3/
# file: test3/
A::OWNER@:rwaDxtTnNcCy
A:g:GROUP@:rxtncy
A::EVERYONE@:rxtncy
[root@linux mnt]#
上記には「U:」で始まるものがありません。
ファイルとディレクトリに関して成功した操作→「fdS」
対象は全ユーザ→「EVERYONE@」
ACLの変更と削除に関して記録→「Cd」
ということを行いたい場合は「nfs4_setfacl -R -a U:fdS:EVERYONE@:Cd 対象ディレクトリ」と実行します。
[root@linux mnt]# nfs4_setfacl -R -a U:fdS:EVERYONE@:Cd test3
[root@linux mnt]# nfs4_getfacl test3/
# file: test3/
A::OWNER@:rwaDxtTnNcCy
A:g:GROUP@:rxtncy
A::EVERYONE@:rxtncy
U:fdS:EVERYONE@:dC
[root@linux mnt]#
で、ファイルを削除した場合、イベントID:4663 とイベントID:4658 が記録されました。
NFSで監査できるイベントについては「監査できるNFSファイルおよびディレクトリのアクセス イベント」に記載があるのですが、evtx出力した時にどういうイベントIDになるのか、という対応表はないようです。
また、どちらの場合でも、下記の様なエラーっぽいものが表示されています。この説明が見つかりませんは仕様で回避方法は無いようです。
ソース "NetApp-Security-Auditing" からのイベント ID 4658 の説明が見つかりません。このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが壊れています。ローカル コンピューターにコンポーネントをインストールするか、コンポーネントを修復してください。
イベントが別のコンピューターから発生している場合、イベントと共に表示情報を保存する必要があります。
イベントには次の情報が含まれています:
172.17.44.87
EV_RenderedValue_2.00
false
Not Present
Not Present
Security
File
00000000000406;00;0000064f;046d016e
(nfsshare);/test3/test2.txt
メッセージ リソースは存在しますが、メッセージがメッセージ テーブルに見つかりませんでした。
The description for Event ID 4658 from source NetApp-Security-Auditing cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
172.17.44.87
EV_RenderedValue_2.00
false
Not Present
Not Present
Security
File
00000000000406;00;0000064f;046d016e
(nfsshare);/test3/test2.txt
日本語メッセージリソースがないことが原因なのかと考え、英語UIに替えてみても表示は同じでした。
NetApp KB「The description for Event ID cannot be found in the EVTX logs generated by clustered Data ONTAP」があるので解決できるのかと思ったのですが、無理そうです。