Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von Audit-Meldungen und externem Syslog-Server

Beitragende
PDFs

Sie können eine Reihe von Einstellungen für Überwachungsmeldungen konfigurieren. Sie können die Anzahl der aufgezeichneten Überwachungsmeldungen anpassen, HTTP-Anforderungsheader definieren, die Sie in die Audit-Nachrichten des Clients einbeziehen möchten, einen externen Syslog-Server konfigurieren und angeben, wo Überwachungsprotokolle, Sicherheitsereignisprotokolle und StorageGRID-Softwareprotokolle gesendet werden.

Audit-Meldungen und -Protokolle zeichnen Systemaktivitäten und Sicherheitsereignisse auf und sind wichtige Tools für das Monitoring und die Fehlerbehebung. Alle StorageGRID Nodes generieren Audit-Meldungen und -Protokolle, um die Systemaktivität und -Ereignisse nachzuverfolgen.

Optional können Sie einen externen Syslog-Server konfigurieren, um Audit-Informationen Remote zu speichern. Durch die Verwendung eines externen Servers werden die Auswirkungen der Protokollierung von Audit-Nachrichten auf die Performance minimiert, ohne dass die Vollständigkeit der Audit-Daten reduziert wird. Ein externer Syslog-Server ist besonders nützlich, wenn Sie ein großes Grid haben, mehrere Arten von S3 Applikationen verwenden oder alle Audit-Daten aufbewahren möchten. Weitere Informationen finden Sie unter "Konfigurieren von Audit-Meldungen und externem Syslog-Server" .

Bevor Sie beginnen

Meldungsebenen ändern

Sie können für jede der folgenden Meldungskategorien im Prüfprotokoll eine andere Überwachungsstufe festlegen:

Audit-Kategorie Standardeinstellung Weitere Informationen

System

Normal

"Systemaudits Meldungen"

Storage

Fehler

"Audit-Meldungen zu Objekt-Storage"

Vereinfachtes

Normal

"Management-Audit-Nachricht"

Client-Lesevorgänge

Normal

"Client liest Audit-Meldungen"

Client-Schreibvorgänge

Normal

"Audit-Meldungen des Clients schreiben"

ILM

Normal

"ILM-Prüfmeldungen"

Grid-übergreifende Replizierung

Fehler

"CGRR: Grid-übergreifende Replikationsanforderung"
Hinweis Diese Standardeinstellungen gelten, wenn Sie StorageGRID ursprünglich mit Version 10.3 oder höher installiert haben. Wenn Sie zunächst eine frühere Version von StorageGRID verwendet haben, wird der Standardwert für alle Kategorien auf Normal gesetzt.
Hinweis Bei Upgrades sind Audit-Level-Konfigurationen nicht sofort wirksam.
Schritte

  1. Wählen Sie CONFIGURATION > Monitoring > Audit und Syslog-Server.

  2. Wählen Sie für jede Kategorie der Überwachungsmeldung eine Überwachungsstufe aus der Dropdown-Liste aus:

    Audit-Level Beschreibung

    Aus

    Es werden keine Überwachungsmeldungen aus der Kategorie protokolliert.

    Fehler

    Nur Fehlermeldungen sind protokollierte - Audit-Meldungen, für die der Ergebniscode nicht „erfolgreich“ (SUCS) war.

    Normal

    Standardtransaktionsmeldungen werden protokolliert – die in diesen Anweisungen für die Kategorie aufgeführten Nachrichten.

    Debuggen

    Veraltet. Dieser Level verhält sich mit dem normalen Prüfstand.

    Die Meldungen, die für eine bestimmte Ebene enthalten sind, enthalten diejenigen, die auf den höheren Ebenen protokolliert werden würden. Die normale Ebene umfasst beispielsweise alle Fehlermeldungen.

    Hinweis Wenn Sie für Ihre S3-Anwendungen keine detaillierte Aufzeichnung der Client-Leseoperationen benötigen, ändern Sie optional die Einstellung Client-Lesevorgänge auf Fehler, um die Anzahl der im Audit-Protokoll aufgezeichneten Audit-Meldungen zu verringern.

  3. Wählen Sie Speichern.

    Ein grünes Banner zeigt an, dass Ihre Konfiguration gespeichert wurde.

Definieren Sie HTTP-Anforderungsheader

Sie können optional alle HTTP-Anforderungsheader definieren, die Sie in die Audit-Nachrichten des Clients aufnehmen möchten. Diese Protokoll-Header gelten nur für S3-Anforderungen.

Schritte

  1. Definieren Sie im Abschnitt Audit Protocol headers die HTTP-Anforderungsheader, die Sie in die Audit-Nachrichten des Clients aufnehmen möchten.

    Verwenden Sie ein Sternchen (*) als Platzhalter, um Null oder mehr Zeichen zu entsprechen. Verwenden Sie die Escape-Sequenz (\*), um mit einem wortwörtliche Sternchen überein.

  2. Wählen Sie Einen anderen Header hinzufügen aus, um ggf. zusätzliche Header zu erstellen.

    Wenn HTTP-Header in einer Anfrage gefunden werden, sind sie in der Überwachungsmeldung unter dem Feld HTRH enthalten.

    Hinweis Header für Auditprotokoll-Anfragen werden nur protokolliert, wenn die Audit-Ebene für Client oder Client-Schreibvorgänge nicht aus ist.

  3. Wählen Sie Speichern

    Ein grünes Banner zeigt an, dass Ihre Konfiguration gespeichert wurde.

Verwenden Sie einen externen syslog-Server

Optional können Sie einen externen Syslog-Server konfigurieren, um Audit-Protokolle, Anwendungsprotokolle und Sicherheitsereignisprotokolle an einem Ort außerhalb des Grids zu speichern.

Hinweis Wenn Sie keinen externen Syslog-Server verwenden möchten, überspringen Sie diesen Schritt und gehen Sie zu Wählen Sie Ziele für Audit-Informationen aus.
Tipp Wenn die in diesem Verfahren verfügbaren Konfigurationsoptionen nicht flexibel genug sind, um Ihre Anforderungen zu erfüllen, können zusätzliche Konfigurationsoptionen über die Endpunkte angewendet werden audit-destinations, die sich im Abschnitt Private API des befinden"Grid Management API". Sie können beispielsweise die API verwenden, wenn Sie unterschiedliche Syslog-Server für verschiedene Knotengruppen verwenden möchten.

Geben Sie Syslog-Informationen ein

Greifen Sie auf den Assistenten zum Konfigurieren des externen Syslog-Servers zu und geben Sie die Informationen an, die StorageGRID für den Zugriff auf den externen Syslog-Server benötigt.

Schritte

  1. Wählen Sie auf der Seite Audit- und Syslog-Server die Option externen Syslog-Server konfigurieren aus. Wenn Sie zuvor einen externen Syslog-Server konfiguriert haben, wählen Sie externen Syslog-Server bearbeiten aus.

    Der Assistent zum Konfigurieren des externen Syslog-Servers wird angezeigt.

  2. Geben Sie für den Schritt Enter syslog info des Assistenten einen gültigen vollständig qualifizierten Domänennamen oder eine IPv4- oder IPv6-Adresse für den externen Syslog-Server in das Feld Host ein.

  3. Geben Sie den Zielport auf dem externen Syslog-Server ein (muss eine Ganzzahl zwischen 1 und 65535 sein). Der Standardport ist 514.

  4. Wählen Sie das Protokoll aus, das zum Senden von Audit-Informationen an den externen Syslog-Server verwendet wird.

    Die Verwendung von TLS oder RELP/TLS wird empfohlen. Sie müssen ein Serverzertifikat hochladen, um eine dieser Optionen verwenden zu können. Mithilfe von Zertifikaten lassen sich die Verbindungen zwischen dem Grid und dem externen Syslog-Server sichern. Weitere Informationen finden Sie unter "Verwalten von Sicherheitszertifikaten".

    Für alle Protokolloptionen muss der externe Syslog-Server unterstützt und konfiguriert werden. Sie müssen eine Option wählen, die mit dem externen Syslog-Server kompatibel ist.

    Hinweis Reliable Event Logging Protocol (RELP) erweitert die Funktionalität des Syslog-Protokolls für eine zuverlässige Bereitstellung von Ereignismeldungen. Mithilfe von RELP können Sie den Verlust von Audit-Informationen verhindern, wenn Ihr externer Syslog-Server neu gestartet werden muss.

  5. Wählen Sie Weiter.

  6. Wenn Sie TLS oder RELP/TLS ausgewählt haben, laden Sie die Server-CA-Zertifikate, das Client-Zertifikat und den privaten Client-Schlüssel hoch.

    1. Wählen Sie Durchsuchen für das Zertifikat oder den Schlüssel, das Sie verwenden möchten.

    2. Wählen Sie das Zertifikat oder die Schlüsseldatei aus.

    3. Wählen Sie Öffnen, um die Datei hochzuladen.

      Neben dem Zertifikat- oder Schlüsseldateinamen wird eine grüne Prüfung angezeigt, die Sie darüber informiert, dass das Zertifikat erfolgreich hochgeladen wurde.

  7. Wählen Sie Weiter.

Syslog-Inhalte managen

Sie können auswählen, welche Informationen an den externen Syslog-Server gesendet werden sollen.

Schritte

  1. Wählen Sie für den Schritt syslog-Inhalt verwalten des Assistenten jeden Typ von Audit-Informationen aus, die Sie an den externen syslog-Server senden möchten.

    • Audit-Protokolle senden: Sendet StorageGRID-Ereignisse und Systemaktivitäten

    • Sicherheitsereignisse senden: Sendet Sicherheitsereignisse, z. B. wenn ein nicht autorisierter Benutzer versucht sich anzumelden oder sich ein Benutzer als root anmeldet

    • Senden von Anwendungsprotokollen: Sendet "Protokolldateien der StorageGRID Software" nützliche Informationen für die Fehlersuche, einschließlich:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (Nur Admin-Nodes)

      • prometheus.log

      • raft.log

      • hagroups.log

    • Zugriffsprotokolle senden: Sendet HTTP-Zugriffsprotokolle für externe Anfragen an Grid Manager, Tenant Manager, konfigurierte Load Balancer-Endpunkte und Grid Federation-Anfragen von Remote-Systemen.

  2. Verwenden Sie die Dropdown-Menüs, um den Schweregrad und die Einrichtung (Meldungstyp) für jede zu sendende Kategorie von Audit-Informationen auszuwählen.

    Durch das Festlegen von Schweregraden und Einrichtungswerten können Sie die Protokolle auf anpassbare Weise für eine einfachere Analyse zusammenfassen.

    1. Wählen Sie für Severity Passthrough aus, oder wählen Sie einen Schweregrad zwischen 0 und 7 aus.

      Wenn Sie einen Wert auswählen, wird der ausgewählte Wert auf alle Nachrichten dieses Typs angewendet. Informationen über verschiedene Schweregrade gehen verloren, wenn Sie den Schweregrad mit einem festen Wert überschreiben.

      Schweregrad Beschreibung

      Passthrough

      Jede an das externe Syslog gesendete Nachricht hat denselben Schweregrad wie bei der lokalen Anmeldung am Knoten:

      • Für Prüfprotokolle lautet der Schweregrad „Info“.

      • Bei Sicherheitsereignissen werden die Schweregrade von der Linux-Distribution auf den Knoten generiert.

      • Bei Anwendungsprotokollen variieren die Schweregrade zwischen „Info“ und „Hinweis“, je nachdem, was das Problem ist. Wenn beispielsweise ein NTP-Server hinzugefügt und eine HA-Gruppe konfiguriert wird, wird der Wert „Info“ angezeigt, während der SSM- oder RSM-Service absichtlich angehalten wird, wird der Wert „Hinweis“ angezeigt.

      • Für Zugriffsprotokolle lautet der Schweregrad „Info“.

      0

      Notfall: System ist unbrauchbar

      1

      Warnung: Maßnahmen müssen sofort ergriffen werden

      2

      Kritisch: Kritische Bedingungen

      3

      Fehler: Fehlerbedingungen

      4

      Warnung: Warnbedingungen

      5

      Hinweis: Normaler, aber bedeutender Zustand

      6

      Information: Informationsmeldungen

      7

      Debug: Debug-Level-Meldungen

    2. Wählen Sie für Facilty Passthrough aus, oder wählen Sie einen Wert zwischen 0 und 23 aus.

      Wenn Sie einen Wert auswählen, wird dieser auf alle Nachrichten dieses Typs angewendet. Informationen zu verschiedenen Einrichtungen gehen verloren, wenn Sie die Einrichtung mit einem festen Wert überschreiben.

    Anlage Beschreibung

    Passthrough

    Jede Nachricht, die an das externe Syslog gesendet wird, hat denselben Einrichtungswert wie bei der lokalen Anmeldung am Knoten:

    • Für Audit-Protokolle lautet die an den externen Syslog-Server gesendete Einrichtung „local7“.

    • Bei Sicherheitsereignissen werden die Einrichtungswerte von der linux-Distribution auf den Knoten generiert.

    • Für Anwendungsprotokolle weisen die an den externen Syslog-Server gesendeten Anwendungsprotokolle die folgenden Einrichtungswerte auf:

      • bycast.log: Benutzer oder Daemon

      • bycast-err.log: Benutzer, Daemon, local3 oder local4

      • jaeger.log: Local2

      • nms.log: Local3

      • prometheus.log: Local4

      • raft.log: Local5

      • hagroups.log: Local6

    • Für Zugriffsprotokolle lautet die an den externen Syslog-Server gesendete Einrichtung „local0“.

    0

    kern (Kernelmeldungen)

    1

    Benutzer (Meldungen auf Benutzerebene)

    2

    E-Mail

    3

    Daemon (Systemdemonen)

    4

    Auth (Sicherheits-/Autorisierungsmeldungen)

    5

    Syslog (intern erzeugte Nachrichten durch syslogd)

    6

    lpr (Liniendrucker-Subsystem)

    7

    nachrichten (Netzwerk-News-Subsystem)

    8

    UUCP

    9

    Cron (Clock Daemon)

    10

    Sicherheit (Sicherheits-/Autorisierungsmeldungen)

    11

    FTP

    12

    NTP

    13

    Logaudit (Protokollaudit)

    14

    Logalert (Protokollwarnung)

    15

    Uhr (Uhrzeitdaemon)

    16

    Local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. Wählen Sie Weiter.

Versenden von Testmeldungen

Bevor Sie beginnen, einen externen Syslog-Server zu verwenden, sollten Sie anfordern, dass alle Knoten im Raster Testmeldungen an den externen Syslog-Server senden. Sie sollten diese Testmeldungen verwenden, um Sie bei der Validierung Ihrer gesamten Protokollierungs-Infrastruktur zu unterstützen, bevor Sie Daten an den externen Syslog-Server senden.

Achtung Verwenden Sie die Konfiguration des externen Syslog-Servers erst, wenn Sie bestätigen, dass der externe Syslog-Server von jedem Knoten in Ihrem Raster eine Testmeldung erhalten hat und dass die Nachricht erwartungsgemäß verarbeitet wurde.
Schritte

  1. Wenn Sie keine Testnachrichten senden möchten, weil Sie sicher sind, dass Ihr externer Syslog-Server korrekt konfiguriert ist und Audit-Informationen von allen Knoten in Ihrem Raster empfangen kann, wählen Sie Überspringen und Beenden.

    Ein grünes Banner zeigt an, dass die Konfiguration gespeichert wurde.

  2. Andernfalls wählen Sie Testmeldungen senden (empfohlen).

    Die Testergebnisse werden kontinuierlich auf der Seite angezeigt, bis Sie den Test beenden. Während der Test läuft, werden Ihre Audit-Meldungen weiterhin an Ihre zuvor konfigurierten Ziele gesendet.

  3. Wenn Sie Fehler erhalten, korrigieren Sie diese und wählen Sie Testmeldungen senden erneut.

    Weitere Informationen finden Sie unter, "Fehlerbehebung für einen externen Syslog-Server" um Sie bei der Behebung von Fehlern zu unterstützen.

  4. Warten Sie, bis ein grünes Banner angezeigt wird, dass alle Nodes die Tests bestanden haben.

  5. Überprüfen Sie den Syslog-Server, ob Testmeldungen empfangen und verarbeitet werden wie erwartet.

    Hinweis Wenn Sie UDP verwenden, überprüfen Sie Ihre gesamte Log-Collection-Infrastruktur. Das UDP-Protokoll ermöglicht keine so strenge Fehlererkennung wie die anderen Protokolle.

  6. Wählen Sie Stop and Finish.

    Sie gelangen zurück zur Seite Audit und Syslog Server. Ein grünes Banner zeigt an, dass die Syslog-Server-Konfiguration gespeichert wurde.

    Hinweis StorageGRID-Audit-Informationen werden erst dann an den externen Syslog-Server gesendet, wenn Sie ein Ziel auswählen, das den externen Syslog-Server enthält.

Wählen Sie Ziele für Audit-Informationen aus

Sie können festlegen, wo Überwachungsprotokolle, Sicherheitsereignisprotokolle und "StorageGRID-Softwareprotokolle"gesendet werden sollen.

Hinweis

StorageGRID verwendet standardmäßig lokale Überwachungsziele für Knoten und speichert die Audit-Informationen in /var/local/log/localaudit.log.

Bei Verwendung von /var/local/log/localaudit.log werden die Audit-Protokolleinträge für Grid Manager und Tenant Manager möglicherweise an einen Storage Node gesendet. Mit dem Befehl finden Sie den Node mit den neuesten Einträgen run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail".

Einige Ziele sind nur verfügbar, wenn Sie einen externen Syslog-Server konfiguriert haben.
Schritte

  1. Wählen Sie auf der Seite Audit and syslog Server das Ziel für Audit-Informationen aus.

    Tipp Nur lokale Knoten und externer Syslog-Server bieten normalerweise eine bessere Leistung.
    Option Beschreibung

    Nur lokale Knoten (Standard)

    Überwachungsmeldungen, Sicherheitsereignisprotokolle und Anwendungsprotokolle werden nicht an Admin-Nodes gesendet. Stattdessen werden sie nur auf den Knoten gespeichert, die sie generiert haben („der lokale Knoten“). Die auf jedem lokalen Knoten generierten Audit-Informationen werden in gespeichert /var/local/log/localaudit.log.

    Hinweis: StorageGRID entfernt periodisch lokale Protokolle in einer Rotation, um Speicherplatz freizugeben. Wenn die Protokolldatei für einen Knoten 1 GB erreicht, wird die vorhandene Datei gespeichert und eine neue Protokolldatei gestartet. Die Rotationsgrenze für das Protokoll beträgt 21 Dateien. Wenn die 22. Version der Protokolldatei erstellt wird, wird die älteste Protokolldatei gelöscht. Auf jedem Node werden durchschnittlich etwa 20 GB an Protokolldaten gespeichert.

    Admin-Nodes/lokale Nodes

    Audit-Meldungen werden an das Überwachungsprotokoll auf Admin-Nodes gesendet, Sicherheitsereignisprotokolle und Anwendungsprotokolle werden auf den Knoten gespeichert, die sie generiert haben. Die Audit-Informationen werden in folgenden Dateien gespeichert:

    • Admin-Nodes (primär und nicht primär): /var/local/audit/export/audit.log

    • Alle Knoten: Die /var/local/log/localaudit.log Datei ist normalerweise leer oder fehlt. Sie kann sekundäre Informationen enthalten, z. B. eine zusätzliche Kopie einiger Nachrichten.

    Externer Syslog-Server

    Audit-Informationen werden an einen externen Syslog-Server gesendet und auf den lokalen Knoten gespeichert (/var/local/log/localaudit.log). Die Art der gesendeten Informationen hängt davon ab, wie Sie den externen Syslog-Server konfiguriert haben. Diese Option ist erst aktiviert, nachdem Sie einen externen Syslog-Server konfiguriert haben.

    Admin-Node und externer Syslog-Server

    Audit-Meldungen werden an das Audit-Protokoll gesendet (/var/local/audit/export/audit.log) auf Admin-Knoten, und Audit-Informationen werden an den externen Syslog-Server gesendet und auf dem lokalen Knoten gespeichert (/var/local/log/localaudit.log). Die Art der gesendeten Informationen hängt davon ab, wie Sie den externen Syslog-Server konfiguriert haben. Diese Option ist erst aktiviert, nachdem Sie einen externen Syslog-Server konfiguriert haben.

  2. Wählen Sie Speichern.

    Es wird eine Warnmeldung angezeigt.

  3. Wählen Sie OK, um zu bestätigen, dass Sie das Ziel für die Audit-Informationen ändern möchten.

    Ein grünes Banner zeigt an, dass die Überwachungskonfiguration gespeichert wurde.

    Neue Protokolle werden an die ausgewählten Ziele gesendet. Vorhandene Protokolle verbleiben an ihrem aktuellen Speicherort.