Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Audit de l'accès aux fichiers
Amazon FSx for NetApp ONTAP prend en charge l'audit des accès des utilisateurs finaux aux fichiers et aux répertoires d'une machine virtuelle de stockage (SVM).
**Topics**
+ [Présentation de l'audit d'accès aux fichiers](#auditing-overview)
+ [Vue d'ensemble des tâches de configuration de l'audit d'accès aux fichiers](#auditing-tasks)
## Présentation de l'audit d'accès aux fichiers
L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers et répertoires individuels en fonction des politiques d'audit que vous définissez. L'audit de l'accès aux fichiers peut vous aider à améliorer la sécurité de votre système et à réduire le risque d'accès non autorisé aux données de votre système. L'audit de l'accès aux fichiers aide vos entreprises à rester en conformité avec les exigences de protection des données, à identifier rapidement les menaces potentielles et à réduire le risque de violation de données.
Pour les accès aux fichiers et aux répertoires, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier avec succès), des tentatives infructueuses, ou les deux. Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.
Par défaut, les journaux des événements d'audit sont stockés au format de `EVTX` fichier, ce qui vous permet de les consulter à l'aide de Microsoft Event Viewer.
### Événements d'accès aux PME qui peuvent être audités
Le tableau suivant répertorie les événements d'accès aux fichiers et aux dossiers SMB qui peuvent être audités.
****
| ID d'événement (EVT/EVTX) | Événement | Description | Catégorie |
| --- | --- | --- | --- |
| 560/4656 | Ouvrir un objet/Créer un objet | ACCÈS À L'OBJET : Objet (fichier ou répertoire) ouvert | Accès aux fichiers |
| 563/4659 | Ouvrir un objet dans l'intention de le supprimer | ACCÈS À L'OBJET : Un descripteur d'un objet (fichier ou répertoire) a été demandé dans le but de le supprimer | Accès aux fichiers |
| 564/4660 | Suppression d’objet | ACCÈS À L'OBJET : Supprimer l'objet (fichier ou répertoire). ONTAP génère cet événement lorsqu'un client Windows tente de supprimer l'objet (fichier ou répertoire) | Accès aux fichiers |
| 567/4663 | Lire les attributs de Object/Write Object/Get Object Attributes/Set l'objet | ACCÈS À UN OBJET : tentative d'accès à un objet (lecture, écriture, obtention d'un attribut, définition d'un attribut).Pour cet événement, ONTAP n'audite que la première opération de lecture SMB et la première opération d'écriture SMB (réussite ou échec) sur un objet. Cela empêche ONTAP de créer des entrées de journal excessives lorsqu'un seul client ouvre un objet et effectue de nombreuses opérations de lecture ou d'écriture successives sur le même objet. | Accès aux fichiers |
| N/A/4664 | Lien dur | ACCÈS AUX OBJETS : Une tentative a été faite pour créer un lien physique | Accès aux fichiers |
| N/A/N/A Numéro d'événement ONTAP 9999 | Renommer l'objet | ACCÈS À L'OBJET : Objet renommé. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique. | Accès aux fichiers |
| N/A/N/A Numéro d'événement ONTAP 9998 | Dissocier un objet | ACCÈS À L'OBJET : Objet non lié. Il s'agit d'un événement ONTAP. Il n'est actuellement pas pris en charge par Windows en tant qu'événement unique. | Accès aux fichiers |
### Événements d'accès NFS pouvant être audités
Les événements d'accès aux fichiers et dossiers NFS suivants peuvent être audités.
+ READ
+ OPEN
+ CLOSE
+ READDIR
+ WRITE
+ SETATTR
+ CREATE
+ LIEN
+ OPENATTR
+ SUPPRIMER
+ GETATTR
+ VÉRIFIER
+ NVÉRIFIER
+ RENAME
## Vue d'ensemble des tâches de configuration de l'audit d'accès aux fichiers
La configuration d'ONTAP FSx pour l'audit de l'accès aux fichiers implique les tâches de haut niveau suivantes :
1. [Familiarisez-vous](#auditing-requirements) avec les exigences et les considérations relatives à l'audit de l'accès aux fichiers.
1. [Créez une configuration d'audit](#create-audit-config) sur une SVM spécifique.
1. [Activez l'audit](#enable-auditing) sur cette SVM.
1. [Configurez des politiques d'audit](#file-audit-policies) sur vos fichiers et répertoires.
1. [Consultez les journaux des événements d'audit](#view-audit-logs) une fois que FSx for ONTAP les aura émis.
Les détails des tâches sont fournis dans les procédures suivantes.
Répétez les tâches pour toutes les autres SVM de votre système de fichiers pour lesquelles vous souhaitez activer l'audit d'accès aux fichiers.
### Exigences en matière d'audit
Avant de configurer et d'activer l'audit sur une SVM, vous devez connaître les exigences et considérations suivantes.
+ L'audit NFS prend en charge les entrées de contrôle d'accès d'audit (ACEs) désignées par type`u`, qui génèrent une entrée dans le journal d'audit lorsque l'accès est tenté sur l'objet. Pour l'audit NFS, il n'existe aucun mappage entre les bits de mode et l'audit ACEs. Lors de la conversion ACLs en mode bits, ACEs les audits sont ignorés. Lors de la conversion des bits de mode en ACLs, aucun audit ACEs n'est généré.
+ L'audit dépend de l'espace disponible dans les volumes intermédiaires. (Un volume intermédiaire est un volume dédié créé par ONTAP pour stocker des fichiers intermédiaires, qui sont des fichiers binaires intermédiaires sur des nœuds individuels où les enregistrements d'audit sont stockés avant la conversion au format de fichier EVTX ou XML.) Vous devez vous assurer qu'il y a suffisamment d'espace pour les volumes intermédiaires dans les agrégats contenant des volumes audités.
+ L'audit dépend de l'espace disponible dans le volume contenant le répertoire dans lequel les journaux d'événements d'audit convertis sont stockés. Vous devez vous assurer qu'il y a suffisamment d'espace dans les volumes utilisés pour stocker les journaux d'événements. Vous pouvez spécifier le nombre de journaux d'audit à conserver dans le répertoire d'audit en utilisant le `-rotate-limit` paramètre lors de la création d'une configuration d'audit, ce qui permet de garantir qu'il y a suffisamment d'espace disponible pour les journaux d'audit dans le volume.
### Création de configurations d'audit sur SVMs
Avant de commencer à auditer les événements relatifs aux fichiers et aux répertoires, vous devez créer une configuration d'audit sur la machine virtuelle de stockage (SVM). Après avoir créé la configuration d'audit, vous devez l'activer sur la SVM.
Avant d'utiliser la `vserver audit create` commande pour créer la configuration d'audit, assurez-vous que vous avez créé un répertoire à utiliser comme destination pour les journaux et que le répertoire ne contient pas de liens symboliques. Vous spécifiez le répertoire de destination à l'aide du `-destination` paramètre.
Vous pouvez créer une configuration d'audit qui fait pivoter les journaux d'audit en fonction de leur taille ou d'un calendrier, comme suit :
+ Pour faire pivoter les journaux d'audit en fonction de leur taille, utilisez cette commande :
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}] [-rotate-limit {{integer}}] [-rotate-size {{{integer}}[KB|MB|GB|TB|PB]}]
```
L'exemple suivant crée une configuration d'audit pour la SVM nommée `svm1` qui analyse les opérations sur les fichiers et les événements d'ouverture et de fermeture de session CIFS (SMB) (par défaut) en utilisant une rotation basée sur la taille. Le format de journal est `EVTX` (par défaut), les journaux sont stockés dans le `/audit_log` répertoire et vous n'aurez qu'un seul fichier journal à la fois (d'une taille maximale de 200 Mo).
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ Pour faire pivoter les journaux d'audit selon un calendrier, utilisez cette commande :
```
vserver audit create -vserver {{svm_name}} -destination {{path}} [-format {xml|evtx}]
[-rotate-limit {{integer}}] [-rotate-schedule-month {{chron_month}}]
[-rotate-schedule-dayofweek {{chron_dayofweek}}] [-rotate-schedule-day {{chron_dayofmonth}}]
[-rotate-schedule-hour {{chron_hour}}] [-rotate-schedule-minute {{chron_minute}}]
```
Le `-rotate-schedule-minute` paramètre est obligatoire si vous configurez la rotation des journaux d'audit basée sur le temps.
L'exemple suivant crée une configuration d'audit pour la SVM nommée à l'`svm2`aide d'une rotation basée sur le temps. Le format des journaux est `EVTX` (par défaut) et les journaux d'audit font l'objet d'une rotation mensuelle, à 12 h 30, tous les jours de la semaine.
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
Vous pouvez utiliser le `-format` paramètre pour spécifier si les journaux d'audit sont créés dans le `EVTX` format converti (par défaut) ou dans le format de `XML` fichier. Le `EVTX` format vous permet d'afficher les fichiers journaux avec Microsoft Event Viewer.
Par défaut, les catégories d'événements à auditer sont les événements d'accès aux fichiers (SMB et NFS), les événements d'ouverture et de fermeture de session CIFS (SMB) et les événements de modification des politiques d'autorisation. Vous pouvez mieux contrôler les événements à consigner grâce au `-events` paramètre, dont le format est le suivant :
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
Par exemple, l'utilisation `-events file-share` permet d'auditer les événements de partage de fichiers.
Pour plus d'informations sur la `vserver audit create` commande, voir [Création d'une configuration d'audit](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html).
### Activation de l'audit sur une SVM
Après avoir configuré la configuration d'audit, vous devez activer l'audit sur la SVM. Pour ce faire, utilisez la commande suivante :
```
vserver audit enable -vserver {{svm_name}}
```
Par exemple, utilisez la commande suivante pour activer l'audit sur la SVM nommée`svm1`.
```
vserver audit enable -vserver svm1
```
Vous pouvez désactiver l'audit d'accès à tout moment. Par exemple, utilisez la commande suivante pour désactiver l'audit sur la SVM nommée`svm4`.
```
vserver audit disable -vserver svm4
```
Lorsque vous désactivez l'audit, la configuration d'audit n'est pas supprimée de la SVM, ce qui signifie que vous pouvez réactiver l'audit sur cette SVM à tout moment.
### Configuration des politiques d'audit des fichiers et des dossiers
Vous devez configurer des politiques d'audit sur les fichiers et dossiers que vous souhaitez auditer pour les tentatives d'accès des utilisateurs. Vous pouvez configurer des politiques d'audit pour surveiller les tentatives d'accès réussies et infructueuses.
Vous pouvez configurer les politiques d'audit SMB et NFS. Les politiques d'audit SMB et NFS ont des exigences de configuration et des capacités d'audit différentes en fonction du style de sécurité du volume.
#### Politiques d'audit sur les fichiers et répertoires de type sécurité NTFS
Vous pouvez configurer les politiques d'audit NTFS à l'aide de l'onglet Sécurité de Windows ou de la CLI ONTAP.
##### Pour configurer les politiques d'audit NTFS (onglet Sécurité Windows)
Vous configurez les politiques d'audit NTFS en ajoutant des entrées au système NTFS SACLs associées à un descripteur de sécurité NTFS. Le descripteur de sécurité est ensuite appliqué aux fichiers et répertoires NTFS. Ces tâches sont automatiquement gérées par l'interface graphique Windows. Le descripteur de sécurité peut contenir des listes de contrôle d'accès discrétionnaires (DACLs) pour appliquer des autorisations d'accès aux fichiers et aux dossiers, SACLs pour l'audit des fichiers et des dossiers, ou les deux SACLs et. DACLs
1. Dans le menu **Outils** de l'Explorateur Windows, sélectionnez **Cartographier le lecteur réseau**.
1. Complétez la case **Map Network Drive** :
1. Choisissez une lettre **Drive**.
1. Dans la zone **Dossier**, tapez le nom du serveur SMB (CIFS) qui contient le partage, contenant les données que vous souhaitez auditer et le nom du partage.
1. Choisissez **Finish** (Terminer).
Le lecteur que vous avez sélectionné est monté et prêt avec la fenêtre de l'Explorateur Windows affichant les fichiers et les dossiers contenus dans le partage.
1. Sélectionnez le fichier ou le répertoire pour lequel vous souhaitez activer l'accès aux audits.
1. Cliquez avec le bouton droit sur le fichier ou le répertoire, puis sélectionnez **Propriétés**.
1. Choisissez l’onglet **Security (Sécurité)**.
1. Cliquez sur **Avancé**.
1. Choisissez l'onglet **Audit**.
1. Effectuez les actions souhaitées :
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/file-access-auditing.html)
Si vous configurez l'audit sur un utilisateur ou un groupe ou si vous modifiez l'audit sur un utilisateur ou un groupe existant, la {{object}} zone **Entrée d'audit pour** s'ouvre.
1. Dans le champ **Appliquer à**, sélectionnez la manière dont vous souhaitez appliquer cette entrée d'audit.
Si vous configurez l'audit sur un seul fichier, la case **Appliquer à** n'est pas active, car la valeur par défaut est Cet objet uniquement.
1. Dans le champ **Accès**, sélectionnez ce que vous souhaitez auditer et si vous souhaitez auditer les événements réussis, les événements d'échec ou les deux.
+ Pour auditer les événements réussis, cochez la case **Réussite**.
+ Pour auditer les événements de défaillance, cochez la case **Défaillance**.
Choisissez les actions que vous devez surveiller pour répondre à vos exigences de sécurité. Pour plus d'informations sur ces événements vérifiables, consultez votre documentation Windows. Vous pouvez auditer les événements suivants :
+ Contrôle total
+ Traverse le dossier/exécuter le fichier
+ Répertorier les dossiers/lire les données
+ Lire les attributs
+ Lire les attributs étendus
+ Création de fichiers/écriture de données
+ Création de dossiers/ajout de données
+ Écrire des attributs
+ Écrire des attributs étendus
+ Supprimer des sous-dossiers et des fichiers
+ Suppression
+ Autorisations de lecture
+ Modifier les autorisations
+ Prenez possession
1. Si vous ne souhaitez pas que le paramètre d'audit se propage aux fichiers et dossiers suivants du conteneur d'origine, cochez la case **Appliquer ces entrées d'audit aux objets et/ou aux conteneurs de ce conteneur uniquement**.
1. Choisissez **Appliquer**.
1. Une fois que vous avez terminé d'ajouter, de supprimer ou de modifier des entrées d'audit, cliquez **sur OK**.
L'**entrée d'audit pour la {{object}}** boîte se ferme.
1. Dans la zone **Audit**, choisissez les paramètres d'héritage pour ce dossier. Choisissez uniquement le niveau minimal qui fournit les événements d'audit répondant à vos exigences de sécurité.
Vous pouvez choisir l'une des méthodes suivantes.
+ Choisissez la case **Inclure les entrées d'audit héritables dans la zone parent de cet objet**.
+ Choisissez la case **Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables dans cet objet**.
+ Choisissez les deux cases.
+ Ne choisissez aucune des deux cases.
Si vous définissez SACLs un seul fichier, la zone **Remplacer toutes les entrées d'audit héritables existantes sur tous les descendants par des entrées d'audit héritables de cet objet** n'est pas présente dans la zone **Audit**.
1. Choisissez **OK**.
##### Pour configurer les politiques d'audit NTFS (ONTAP CLI)
À l'aide de la CLI ONTAP, vous pouvez configurer les politiques d'audit NTFS sans avoir à vous connecter aux données à l'aide d'un partage SMB sur un client Windows.
+ Vous pouvez configurer les politiques d'audit NTFS à l'aide de la famille de [commandes vserver security file-directory ntfs](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description) sacl add.
Par exemple, la commande suivante crée une politique de sécurité nommée `p1` d'après la SVM nommée`vs0`.
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
La commande suivante applique ensuite la politique `p1` de sécurité à la `vs0` SVM.
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### Politiques d'audit sur les fichiers et répertoires de type sécurité UNIX
Vous configurez l'audit pour les fichiers et répertoires de type sécurité UNIX en ajoutant l'audit ACEs (expressions de contrôle d'accès) à NFS v4.x ACLs (listes de contrôle d'accès). Cela vous permet de surveiller certains événements d'accès aux fichiers et aux répertoires NFS pour des raisons de sécurité.
**Note**
Pour NFS v4.x, le système et le système ACEs sont stockés dans la même ACL. Par conséquent, vous devez être prudent lorsque vous ajoutez un audit ACEs à une ACL existante afin d'éviter de la remplacer et de perdre une ACL existante. L'ordre dans lequel vous ajoutez l'audit ACEs à une ACL existante n'a pas d'importance.
##### Pour configurer les politiques d'audit UNIX
1. Récupérez l'ACL existante pour le fichier ou le répertoire à l'aide de la commande `nfs4_getfacl` ou équivalente.
1. Ajoutez l'audit ACEs souhaité.
1. Appliquez l'ACL mise à jour au fichier ou au répertoire à l'aide de la commande `nfs4_setfacl` ou équivalente.
Cet exemple utilise l'`-a`option permettant d'accorder à un utilisateur (nommé`testuser`) des autorisations de lecture sur le fichier nommé`file1`.
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### Afficher les journaux des événements d'audit
Vous pouvez consulter les journaux des événements d'audit enregistrés au format `EVTX` ou au format de `XML` fichier.
+ `EVTX`format de fichier — Vous pouvez ouvrir les journaux `EVTX` d'événements d'audit convertis sous forme de fichiers enregistrés à l'aide de Microsoft Event Viewer.
Vous pouvez utiliser deux options lorsque vous consultez les journaux d'événements à l'aide de l'Observateur d'événements :
+ **Vue générale** : les informations communes à tous les événements sont affichées pour l'enregistrement de l'événement. Les données spécifiques à l'événement pour l'enregistrement de l'événement ne sont pas affichées. Vous pouvez utiliser la vue détaillée pour afficher des données spécifiques à un événement.
+ **Vue détaillée** : une vue conviviale et une vue XML sont disponibles. La vue conviviale et la vue XML affichent à la fois les informations communes à tous les événements et les données spécifiques à l'événement pour l'enregistrement de l'événement.
+ `XML`format de fichier — Vous pouvez afficher et traiter les journaux d'événements d'audit XML sur des applications tierces qui prennent en charge le format de fichier XML. Les outils de visualisation XML peuvent être utilisés pour consulter les journaux d'audit à condition que vous disposiez du schéma XML et des informations sur les définitions des champs XML.