帮助文档

EMC CIFS 服务器审计

Log360 Cloud 简化 EMC 服务器审计,帮助保障安全、合规和运营完整性。

审计事件

Log360 Cloud 审计以下文件活动的成功与失败尝试:

  • 创建
  • 读取
  • 修改
  • 写入
  • 删除
  • 更改文件权限

所需权限

为有效使用 Log360 Cloud 进行 EMC CIFS 服务器审计,域中配置的用户必须具备管理员权限,或授予以下最低权限:

  1. 对 EMC 注册表编辑器的读取和写入权限。
  2. 对 EMC 审计日志共享路径的读取权限。请参阅这些 步骤 更新共享路径。
  3. 读取和写入权限,以启用对指定共享的自动配置 SACL 审计。

在 Log360 Cloud 中配置 EMC 服务器审计

配置 Log360 Cloud 中的 EMC 服务器审计,请按照以下步骤操作:

  1. 导航至 设置 > 配置 > 文件完整性监控 > EMC 服务器.

    2. EMC CIFS 服务器审计

  2. 如果服务器已配置在域中,从发现的设备列表中选择 EMC 服务器;否则,选择手动配置选项并输入服务器名称。

    3. EMC CIFS 服务器审计

  3. 提供正确的凭据并选择合适的代理。

    4. EMC CIFS 服务器审计

  4. 验证所提供的凭据以启用位置浏览。确保对安全连接进行正确验证,以准确监控 EMC 位置内的文件活动。

    5. EMC CIFS 服务器审计

  5. 浏览目录,选择特定文件和文件夹进行监控。或者,手动输入所需文件/文件夹的路径。

    6. EMC CIFS 服务器审计

  6. 使用筛选器选择性地包含/排除特定文件类型,然后进一步通过排除主目录下的某些子位置或所有子位置细化。

    7. EMC CIFS 服务器审计

  7. 要启用 Log360 Cloud 对对象级审计的自动配置,请勾选“在选定共享上设置必要的对象级审计”复选框。

    8. EMC CIFS 服务器审计

  8. 点击“配置”按钮启动配置过程。

    9. EMC CIFS 服务器审计

配置审计策略

配置 EMC 存储设备的审计策略,请按照以下步骤操作:

  1. 安装 CIFS 管理 MMC 插件 在任意域服务器上并打开它。
  2. 右键点击 数据移动管理 并选择 数据移动器.
  3. 导航至 数据移动管理 > 数据移动安全设置 > 审计策略.
  4. 启用 审计对象访问 包含成功和失败事件。
  5. 点击 确定.

配置 EMC 服务器审计的事件日志设置

配置 EMC 服务器审计的事件日志设置涉及调整默认的 512KB 事件日志大小,以防止事件被覆盖。修改日志大小请执行以下步骤:

1. 创建共享文件夹:

  • 在 EMC 文件系统中创建一个新卷:导航至 存储 > 文件 > 文件系统标签 > 创建新文件系统.
  • 在该卷中建立隐藏共享:导航至 存储 > 文件 > SMB 共享 > 创建共享。复制其本地路径,可在 计算机管理控制台 > 系统工具 > 共享文件夹 > 共享 > 右键点击隐藏共享 > 属性 > 文件夹路径处获取.

2. 更新注册表中的事件日志位置:

  • 通过以下路径打开注册表编辑器: 运行 > regedit > 文件 > 连接网络注册表 > 输入 EMC CIFS 服务器名称。
  • 导航至 路径为 HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security.
  • 将隐藏共享的本地路径设置为 File > [审计日志的本地路径]下的键名。这将更新事件日志文件的默认位置。

3. 调整事件查看器设置:

  • 通过以下路径打开 事件查看器 运行 > eventvwr > 右键点击 事件查看器 > 连接到另一台计算机 > 输入目标 EMC CIFS 服务器名称。 安全日志 >
  • 导航至 属性 > 事件查看器 > 连接到另一台计算机 > 选择 不覆盖事件 4. 配置注册表中的归档设置:.

继续在注册表编辑器(输入目标 EMC CIFS 服务器名称)中设置以下归档参数:

  • AutoArchiveEnabled:1运行 > regedit > 文件 > 连接网络注册表 > AutoArchiveTriggerPolicySize:512MB
  • 导航至 路径为 HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security.
  • AutoArchiveRetentionPolicySize:10GB

    EMC 服务器审计的手动 SACL 配置

    执行 EMC 服务器审计的手动 SACL 配置,请执行以下步骤:

    右键点击目标共享并选择

属性

。导航至

  1. Right-click the target share and select Properties. Navigate to the 安全选项卡.
  2. 点击 高级 然后继续到 审计 选项卡。
  3. Everyone 组添加以下条目。
审计 主体 事件类型 访问 适用于
文件和文件夹更改 Everyone 成功和失败 创建文件 / 写入数据

创建文件夹 / 追加数据

写入属性

写入扩展属性

删除子文件夹和文件

删除

 此文件夹、子文件夹和文件
文件夹权限更改 Everyone 成功和失败 更改权限 此文件夹和子文件夹
文件读取 Everyone 成功和失败 列出文件夹 / 读取数据 仅文件
文件读取失败 Everyone 失败 列出文件夹 / 读取数据 此文件夹和子文件夹

EMC 服务器审计故障排除:

配置时未列出目标服务器

错误信息:未找到 EMC 服务器。

原因:服务器未添加到域中。

解决方案:

  1. 确保选择了正确的域。
  2. 点击“选择服务器”弹窗中的刷新选项以重新加载计算机对象。
  3. 验证 Active Directory 计算机对象的操作系统名称为 EMC。

凭据验证

错误信息:错误信息:由于凭据无效,连接到 {server name} 失败

原因:凭据错误。

解决方案:提供具有适当权限的凭据。

SyncSourceFiles 失败

错误信息 :系统找不到指定的文件

原因:无法找到注册表路径。

解决方案:检查 HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > Eventlog > Security > Security 中注册表路径的可用性。

© 2025 Zoho Corporation Pvt. Ltd. 版权所有。