Konfigurieren von Überwachungsmeldungen und Protokollzielen
Audit-Meldungen und -Protokolle zeichnen Systemaktivitäten und Sicherheitsereignisse auf und sind wichtige Tools für das Monitoring und die Fehlerbehebung. Sie können die Audiorelevel anpassen, um die Art und Anzahl der aufgezeichneten Audit-Meldungen zu erhöhen oder zu verringern. Optional können Sie alle HTTP-Anforderungs-Header definieren, die Sie in Client-Audit-Nachrichten lesen und schreiben möchten. Sie können auch einen externen Syslog-Server konfigurieren und das Ziel der Audit-Informationen ändern.
Weitere Informationen zu Überwachungsmeldungen finden Sie unter "Prüfung von Audit-Protokollen".
-
Sie sind mit einem bei Grid Manager angemeldet "Unterstützter Webbrowser".
-
Sie verfügen über Wartungs- oder Root-Zugriffsberechtigungen.
Alle StorageGRID Nodes generieren Audit-Meldungen und -Protokolle, um die Systemaktivität und -Ereignisse nachzuverfolgen. Standardmäßig werden Audit-Informationen an das Audit-Protokoll auf Admin-Knoten gesendet. Sie können die Überwachungsstufen anpassen, um die Art und Anzahl der im Audit-Protokoll aufgezeichneten Audit-Meldungen zu erhöhen oder zu verringern. Optional können Sie die Audit-Informationen so konfigurieren, dass sie vorübergehend auf den ursprünglichen Knoten für die manuelle Erfassung gespeichert werden.
Wenn Sie über ein großes Grid verfügen, mehrere Arten von S3-Applikationen verwenden oder alle Audit-Daten behalten möchten, konfigurieren Sie einen externen Syslog-Server und speichern Sie Audit-Informationen Remote. Durch die Verwendung eines externen Servers werden die Auswirkungen der Protokollierung von Audit-Nachrichten auf die Performance minimiert, ohne dass die Vollständigkeit der Audit-Daten reduziert wird. Siehe "Überlegungen für externen Syslog-Server" Entsprechende Details. |
Ändern Sie die Meldungsebenen im Auditprotokoll
Sie können für jede der folgenden Meldungskategorien im Prüfprotokoll eine andere Überwachungsstufe festlegen:
Audit-Kategorie | Beschreibung |
---|---|
System |
Standardmäßig ist diese Ebene auf „Normal“ eingestellt. Siehe "Systemaudits Meldungen". |
Storage |
Diese Ebene ist standardmäßig auf Fehler festgelegt. Siehe "Audit-Meldungen zu Objekt-Storage". |
Vereinfachtes |
Standardmäßig ist diese Ebene auf „Normal“ eingestellt. Siehe "Management-Audit-Nachricht". |
Client-Lesevorgänge |
Standardmäßig ist diese Ebene auf „Normal“ eingestellt. Siehe "Client liest Audit-Meldungen". |
Client-Schreibvorgänge |
Standardmäßig ist diese Ebene auf „Normal“ eingestellt. Siehe "Audit-Meldungen des Clients schreiben". |
ILM-Betrieb |
Standardmäßig ist diese Ebene auf „Normal“ eingestellt. Siehe "Prüfmeldungen für den ILM-Betrieb". |
Diese Standardeinstellungen gelten, wenn Sie StorageGRID ursprünglich mit Version 10.3 oder höher installiert haben. Wenn Sie ein Upgrade von einer früheren Version von StorageGRID durchgeführt haben, ist die Standardeinstellung für alle Kategorien auf „Normal“ gesetzt. |
Bei Upgrades sind Audit-Level-Konfigurationen nicht sofort wirksam. |
-
Wählen Sie CONFIGURATION > Monitoring > Audit und Syslog-Server.
-
Wählen Sie für jede Kategorie der Überwachungsmeldung eine Überwachungsstufe aus der Dropdown-Liste aus:
Audit-Level Beschreibung Aus
Es werden keine Überwachungsmeldungen aus der Kategorie protokolliert.
Fehler
Nur Fehlermeldungen sind protokollierte - Audit-Meldungen, für die der Ergebniscode nicht „erfolgreich“ (SUCS) war.
Normal
Standardtransaktionsmeldungen werden protokolliert – die in diesen Anweisungen für die Kategorie aufgeführten Nachrichten.
Debuggen
Veraltet. Dieser Level verhält sich mit dem normalen Prüfstand.
Die Meldungen, die für eine bestimmte Ebene enthalten sind, enthalten diejenigen, die auf den höheren Ebenen protokolliert werden würden. Die normale Ebene umfasst beispielsweise alle Fehlermeldungen.
Wenn Sie für Ihre S3-Anwendungen keine detaillierte Aufzeichnung der Client-Leseoperationen benötigen, ändern Sie optional die Einstellung Client-Lesevorgänge auf Fehler, um die Anzahl der im Audit-Protokoll aufgezeichneten Audit-Meldungen zu verringern. -
Definieren Sie optional unter Prüfprotokoll-Header alle HTTP-Anforderungsheader, die Sie in die Lese- und Schreibnachrichten des Clients einbeziehen möchten. Verwenden Sie ein Sternchen (*) als Platzhalter, um Null oder mehr Zeichen zu entsprechen. Verwenden Sie die Escape-Sequenz (\*), um mit einem wortwörtliche Sternchen überein.
Header für Prüfprotokolle sind nur auf S3 und Swift Anfragen anwendbar. -
Wählen Sie Einen anderen Header hinzufügen aus, um ggf. zusätzliche Header zu erstellen.
Wenn HTTP-Header in einer Anfrage gefunden werden, sind sie in der Überwachungsmeldung unter dem Feld HTRH enthalten.
Header für Auditprotokoll-Anfragen werden nur protokolliert, wenn die Audit-Ebene für Client oder Client-Schreibvorgänge nicht aus ist. -
Wählen Sie Speichern
Ein grünes Banner zeigt an, dass Ihre Konfiguration erfolgreich gespeichert wurde.
Verwenden Sie einen externen Syslog-Server
Sie können einen externen Syslog-Server konfigurieren, wenn Sie Audit-Informationen Remote speichern möchten.
-
Wenn Sie Audit-Informationen auf einem externen Syslog-Server speichern möchten, gehen Sie zu "Konfigurieren Sie einen externen Syslog-Server".
-
Wenn Sie keinen externen Syslog-Server verwenden, gehen Sie zu Wählen Sie Ziele für Audit-Informationen aus.
Wählen Sie Ziele für Audit-Informationen aus
Sie können festlegen, wo Audit-Protokolle, Sicherheitsereignisprotokolle und Anwendungsprotokolle gesendet werden.
Einige Ziele sind nur verfügbar, wenn Sie einen externen Syslog-Server verwenden. Siehe "Konfigurieren Sie einen externen Syslog-Server" So konfigurieren Sie einen externen Syslog-Server: |
Weitere Informationen zu StorageGRID-Softwareprotokollen finden Sie unter "StorageGRID-Softwareprotokolle". |
-
Wählen Sie auf der Seite Audit- und Syslog-Server aus den aufgeführten Optionen das Ziel für Audit-Informationen aus:
Option Beschreibung Standard (Admin-Nodes/lokale Nodes)
Audit-Meldungen werden an das Audit-Protokoll gesendet (
audit.log
) Auf dem Admin-Knoten werden Sicherheitsereignisprotokolle und Anwendungsprotokolle auf den Knoten gespeichert, in denen sie erzeugt wurden (auch als "der lokale Knoten" bezeichnet).Externer Syslog-Server
Audit-Informationen werden an einen externen Syslog-Server gesendet und auf dem lokalen Knoten gespeichert. Die Art der gesendeten Informationen hängt davon ab, wie Sie den externen Syslog-Server konfiguriert haben. Diese Option ist erst aktiviert, nachdem Sie einen externen Syslog-Server konfiguriert haben.
Admin-Node und externer Syslog-Server
Audit-Meldungen werden an das Audit-Protokoll gesendet (
audit.log
) Auf dem Admin-Knoten und Audit-Informationen werden an den externen Syslog-Server gesendet und auf dem lokalen Knoten gespeichert. Die Art der gesendeten Informationen hängt davon ab, wie Sie den externen Syslog-Server konfiguriert haben. Diese Option ist erst aktiviert, nachdem Sie einen externen Syslog-Server konfiguriert haben.Nur lokale Nodes
Es werden keine Audit-Informationen an einen Admin-Node oder Remote-Syslog-Server gesendet. Audit-Informationen werden nur auf den generierten Nodes gespeichert.
Hinweis: StorageGRID entfernt regelmäßig diese lokalen Protokolle in einer Drehung, um Speicherplatz freizugeben. Wenn die Protokolldatei für einen Knoten 1 GB erreicht, wird die vorhandene Datei gespeichert und eine neue Protokolldatei gestartet. Die Rotationsgrenze für das Protokoll beträgt 21 Dateien. Wenn die 22. Version der Protokolldatei erstellt wird, wird die älteste Protokolldatei gelöscht. Auf jedem Node werden durchschnittlich etwa 20 GB an Protokolldaten gespeichert.
In werden Audit-Informationen, die für jeden lokalen Node generiert werden, gespeichert /var/local/log/localaudit.log
-
Wählen Sie Speichern.
Es wird eine Warnmeldung angezeigt.
-
Wählen Sie OK, um zu bestätigen, dass Sie das Ziel für die Audit-Informationen ändern möchten.
Ein grünes Banner wird angezeigt, um Sie darüber zu informieren, dass Ihre Überwachungskonfiguration gespeichert wurde.
Neue Protokolle werden an die ausgewählten Ziele gesendet. Vorhandene Protokolle verbleiben an ihrem aktuellen Speicherort.