Erstellen eines Prüfprotokolls
Änderungen vorschlagen
PDFs
Bei Nutzung von ONTAP 9.9.1 oder einer älteren Version müssen Sie zunächst ein SnapLock Aggregat erstellen und anschließend ein SnapLock geschütztes Revisionsprotokoll erstellen, bevor Sie eine privilegierte Löschung oder SnapLock-Volume-Verschiebung durchführen. Das Revisionsprotokoll erfasst die Erstellung und Löschung von SnapLock-Administratorkonten, Änderungen an dem Protokoll-Volume, die Aktivierung und das Löschen privilegierter Vorgänge sowie die Verschiebung von SnapLock Volumes.
Ab ONTAP 9.10.1 erstellen Sie kein SnapLock Aggregat mehr. Sie müssen die Option -SnapLock-type für verwenden"Explizit ein SnapLock Volume erstellen", indem Sie entweder Compliance oder Enterprise als SnapLock-Typ angeben.
Wenn Sie ONTAP 9.9.1 oder eine frühere Version verwenden, müssen Sie zum Erstellen eines SnapLock Aggregats Cluster-Administrator sein.
Sie können ein Überwachungsprotokoll erst löschen, wenn der Aufbewahrungszeitraum für die Protokolldatei abgelaufen ist. Sie können ein Überwachungsprotokoll auch nach Ablauf des Aufbewahrungszeitraums nicht ändern. Dies gilt sowohl für SnapLock Compliance als auch für den Enterprise-Modus.
|
In ONTAP 9.4 und früher können Sie ein SnapLock Enterprise Volume nicht zur Audit-Protokollierung verwenden. Sie müssen ein SnapLock-Compliance-Volume verwenden. In ONTAP 9.5 und höher können Sie entweder ein SnapLock Enterprise Volume oder ein SnapLock Compliance Volume zur Audit-Protokollierung verwenden. In allen Fällen muss das Audit-Log-Volume am Verbindungspfad gemountet werden |
Sie finden die SnapLock-Prüfprotokolle im /snaplock_log Verzeichnis unter dem Stammverzeichnis des Audit-Log-Volumes, in Unterverzeichnissen mit den Namen privdel_log (privilegierte Löschvorgänge) und system_log (alles andere). Die Namen von Audit-Log-Dateien enthalten den Zeitstempel der ersten protokollierten Operation und erleichtern so die Suche nach Datensätzen bis zu dem Zeitpunkt, zu dem die Vorgänge durchgeführt wurden.
-
Sie können den
snaplock log file showBefehl verwenden, um die Protokolldateien auf dem Überwachungsprotokoll-Volume anzuzeigen. -
Sie können den
snaplock log file archiveBefehl verwenden, um die aktuelle Protokolldatei zu archivieren und eine neue zu erstellen, was in Fällen nützlich ist, in denen Sie Überwachungsprotokollinformationen in einer separaten Datei aufzeichnen müssen.
Weitere Informationen finden Sie auf den man-Pages für die Befehle.
|
|
Ein Datensicherungs-Volume kann nicht als SnapLock-Audit-Protokoll-Volume verwendet werden. |
-
Erstellen Sie ein SnapLock Aggregat.
-
Erstellen Sie für die SVM, die Sie für die Audit-Protokollierung konfigurieren möchten, ein SnapLock Volume.
-
SVM für Audit-Protokollierung konfigurieren:
snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-log-size size -retention-period default_retention_period
Die Mindestaufbewahrungsdauer für Audit-Log-Dateien beträgt sechs Monate. Wenn die Aufbewahrungsfrist einer betroffenen Datei länger als die Aufbewahrungsfrist des Prüfprotokolls ist, erbt die Aufbewahrungsfrist des Protokolls die Aufbewahrungsfrist der Datei. Wenn also die Aufbewahrungsfrist für eine mit privilegierter Löschung gelöschte Datei 10 Monate beträgt und die Aufbewahrungsdauer des Prüfprotokolls 8 Monate beträgt, verlängert sich die Aufbewahrungsfrist des Protokolls auf 10 Monate. Weitere Informationen zur Aufbewahrungszeit und zum Standardaufbewahrungszeitraum finden Sie unter "Aufbewahrungszeit einstellen".
Mit dem folgenden Befehl wird
SVM1die Audit-Protokollierung mit dem SnapLock-Volume konfiguriertlogVol. Das Prüfprotokoll hat eine maximale Größe von 20 GB und wird acht Monate lang aufbewahrt.SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-log-size 20GB -retention-period 8months
-
Mounten Sie auf der für die Audit-Protokollierung konfigurierten SVM das SnapLock-Volume im Verbindungspfad
/snaplock_audit_log.