共用方式為

管理 Azure NetApp Files 中的檔案存取記錄

檔案存取記錄提供個別磁碟區的檔案存取記錄,擷取所選磁碟區的文件系統作業。 記錄會擷取標準檔案作業。 檔案存取記錄提供 Azure 活動記錄中所擷取的平台記錄以外的深入解析。

考慮事項

這很重要

只有SMB3、NFSv4.1和雙通訊協定磁碟區才支援檔案存取記錄功能。 NFSv3 磁碟區不支援它。

  • 在磁碟區上啟用檔案存取記錄之後,最多可能需要 75 分鐘的時間才會顯示。
  • 每個日誌條目會耗用大約 1 KB 的空間。
  • 檔案存取紀錄偶爾會產生重複的記錄項目,這些項目必須手動篩選。
  • 刪除為 ANFFileAccess 設定的診斷設定將導致具有該設定的磁碟區的檔案存取記錄被停用。 如需詳細資訊,請參閱 診斷設定組態
  • 在磁碟區上啟用檔案存取記錄之前,必須在檔案或目錄上設定 存取控制清單(ACL) 或稽核存取控制條目(ACE)。 掛載磁碟區之後,您必須設定 ACL 或稽核 ACE。

    這很重要

    針對使用 NTFS 安全性樣式的雙通訊協定磁碟區,您必須從 Windows 電腦設定稽核 ACL。 針對使用 UNIX 安全性模式的雙通道協定磁碟區,必須從 Linux 設備上設定稽核 ACL。

  • Azure NetApp Files 檔案存取記錄提供有關記憶體服務成功和失敗要求的詳細資訊。 此資訊可用來監視個別要求,以及診斷檔案存取問題。 要求會在盡力的基礎上進行記錄,這表示大多數要求都會生成記錄檔,但檔案存取紀錄的完整性和及時性無法保證。 Azure NetApp Files 檔案存取記錄功能不會針對稽核和合規性目的提供明確或隱含的期望或保證。

效能考量

  • 所有檔案存取記錄檔的事件都會對效能產生影響。

    • 檔案/資料夾建立或刪除等事件是要記錄的重要事件。
    • 系統存取控制清單 (SACL) 的記錄設定應謹慎使用。 頻繁的作業(例如 READ 或 GET)可能會對效能造成重大影響,但記錄值有限。 建議 SACL 設定不會記錄這些頻繁的作業,以節省效能。
    • 檔案存取記錄目前不支援 SACL 原則新增。

  • 對於 READ/WRITE 這類的聯合事件,為了減少事件記錄的頻率,只會擷取每個檔案讀取或寫入的少數作業。 

  • 檔案存取記錄支援 記錄產生速率計量

    如果檔案存取事件產生速率超過 64 MiB/分鐘, 活動記錄 會傳送訊息,指出檔案存取記錄產生速率超過限制。 如果日誌生成超過限制,日誌事件可能會延遲或被捨棄。 如果您即將達到此限制,請停用非關鍵稽核 ACL 以減少事件產生率。 作為預防措施,您可以為此事件 建立警示

  • 在移轉或robocopy作業期間,停用檔案存取記錄以減少記錄產生。

  • 建議您避免在超過 450 個 ACE 的檔案上啟用檔案存取記錄,以避免發生效能問題。

公認事件

檔案存取記錄中擷取的事件取決於您磁碟區的通訊協定。

記錄的 NFS 事件

  • 關閉
  • 建立
  • 取得屬性
  • 連結
  • Nverify
  • 開啟
  • 開啟屬性
  • 移除
  • 重新命名
  • 設定屬性
  • 驗證
  • 書寫

已記錄的 SMB 事件

  • 建立
  • 刪除
  • 取得屬性
  • 硬連結
  • 開啟物件
  • 開啟意圖刪除的物件
  • 參閱
  • 重新命名
  • 設定屬性
  • 取消連結
  • 書寫

支援的區域

檔案存取記錄的可用性僅限於下列區域:

  • 澳大利亞中部
  • 澳大利亞中部 2
  • 澳大利亞東部
  • 澳大利亞東南部
  • 巴西南部
  • 巴西東南部
  • 加拿大中部
  • 加拿大東部
  • 印度中部
  • 美國中部
  • 東亞
  • 美國東部
  • 美國東部 2
  • 法國中部
  • 德國北部
  • 日本東部
  • 日本西部
  • 南韓中部
  • 南韓南部
  • 紐西蘭北部
  • 北歐
  • 挪威東部
  • 挪威西部
  • 南非北部
  • 美國中南部
  • 東南亞
  • 印度南部
  • 瑞典中部
  • 瑞士北部
  • 瑞士西部
  • 阿拉伯聯合大公國中部
  • 阿拉伯聯合大公國北部
  • 英國南部
  • 英國西部
  • US Gov 亞利桑那州
  • US Gov 維吉尼亞州
  • 西歐
  • 美國西部
  • 美國西部 2
  • 美國西部 3

在檔案和目錄上設定 SCL 或稽核 ACE

您必須為 SMB 共用設定 SACL,或者為 NFSv4.1 導出設定 ACE,以進行稽核。

若要在個別檔案和目錄上啟用記錄存取,請在 Windows 系統管理主機上完成下列步驟。

備註

只選取您需要記錄的事件。 選取太多記錄選項可能會影響系統效能。

步驟

若要在個別檔案和目錄上啟用記錄存取,請在 Windows 系統管理主機上完成下列步驟。

  1. 選取要啟用記錄存取的檔案或目錄。
  2. 以滑鼠右鍵按下檔案或目錄,然後選取 [ 屬性]。
  3. 選取 [ 安全性] 索引標籤,然後選取 [ 進階]。
  4. 選取 [ 稽核] 索引 標籤。新增、編輯或移除您想要的稽核選項。

啟用檔案存取記錄

  1. 在 [ 磁碟區 ] 功能表中,選取您要啟用檔案存取記錄的磁碟區。
  2. 從左側窗格中選取 [診斷設定 ]。
  3. 選取 +新增診斷設定 Azure 診斷設定功能表的螢幕快照。
  4. 在 [ 診斷設定 ] 頁面中,提供診斷設定名稱。 在 [記錄 > 類別] 下,選取 [ANFFileAccess ],然後設定記錄的保留期間。 Azure 診斷設定功能表的螢幕快照,其中包含檔案存取診斷設定。
  5. 選取記錄的其中一個目的地選項:
    • 封存至儲存體帳戶
    • 串流至事件中樞
    • 傳送至 Log Analytics 工作場所
    • 傳送至合作夥伴解決方案
  6. 儲存設定。

停用檔案存取記錄

  1. 在 [ 磁碟區 ] 功能表中,選取您要停用檔案存取記錄的磁碟區。
  2. 從左側窗格中選取 [ 診斷設定 ] 功能表。
  3. 診斷設定頁面中,取消選取稽核。 這會自動取消選取 ANFFileAccess
  4. 選取 [儲存]。

備註

停用檔案存取記錄之後,您必須等待至少十分鐘,才能嘗試在任何磁碟區上啟用或重新啟用檔案存取記錄。

後續步驟

  • Last updated on