Registros de auditoría
Un registro de auditoría es una colección de eventos en orden cronológico, que se escribe en un archivo dentro del dispositivo. Los archivos de registro de auditoría se generan en /var/log/netapp/audit
ubicación y los nombres de los archivos siguen una de las siguientes convenciones de nomenclatura:
-
audit.log: archivo de registro de auditoría activo que está en uso.
-
audit-%d{aaaa-MM-dd-HH-mm-ss}.log.gz: Archivo de registro de auditoría revertido. La fecha y la hora en el nombre del archivo indican cuándo se creó el archivo, por ejemplo: audit-2022-12-15-16-28-01.log.gz.
En la interfaz de usuario del complemento SCV, puede ver y exportar los detalles del registro de auditoría desde Panel de control > Configuración > Pestaña Registros de auditoría Puede ver la auditoría de operaciones en los registros de auditoría. Los registros de auditoría se descargan con el paquete de soporte.
Si se configuran las configuraciones de correo electrónico, SCV envía una notificación por correo electrónico en caso de una falla en la verificación de integridad del registro de auditoría. Una falla en la verificación de integridad del registro de auditoría puede ocurrir cuando uno de los archivos se altera o se elimina.
Las configuraciones predeterminadas de los archivos de auditoría son:
-
El archivo de registro de auditoría en uso puede crecer hasta un máximo de 10 MB
-
Se conserva un máximo de 10 archivos de registro de auditoría
Los registros de auditoría transferidos se verifican periódicamente para comprobar su integridad. SCV proporciona API REST para ver registros y verificar su integridad. Un programa integrado activa y asigna uno de los siguientes estados de integridad.
Estado |
Descripción |
MANIPULADO |
Se modifica el contenido del archivo de registro de auditoría |
NORMAL |
El archivo de registro de auditoría no se ha modificado |
ELIMINACIÓN DE ROLLOVER |
- El archivo de registro de auditoría se elimina según la retención. De manera predeterminada, solo se conservan 10 archivos. |
ELIMINACIÓN INESPERADA |
Se elimina el archivo de registro de auditoría |
ACTIVO |
- El archivo de registro de auditoría está en uso. Solo se aplica a audit.log. |
Los eventos se clasifican en tres categorías principales:
-
Eventos de protección de datos
-
Eventos de la consola de mantenimiento
-
Eventos de la consola de administración
Eventos de protección de datos
Los recursos en SCV son:
-
Sistema de almacenamiento
-
Grupo de recursos
-
Política
-
Respaldo
-
Suscripción
-
Cuenta
La siguiente tabla enumera las operaciones que se pueden realizar en cada recurso:
Recursos |
Operaciones |
Sistema de almacenamiento |
Creado, modificado, eliminado |
Suscripción |
Creado, modificado, eliminado |
Cuenta |
Creado, modificado, eliminado |
Grupo de recursos |
Creado, modificado, eliminado, suspendido, reanudado |
Política |
Creado, modificado, eliminado |
Respaldo |
Creado, renombrado, eliminado, montado, desmontado, VMDK restaurado, VM restaurada, adjuntar VMDK, separar VMDK, restaurar archivo invitado |
Eventos de la consola de mantenimiento
Se auditan las operaciones administrativas en la consola de mantenimiento. Las opciones de consola de mantenimiento disponibles son:
-
Servicios de inicio/parada
-
Cambiar nombre de usuario y contraseña
-
Cambiar la contraseña de MySQL
-
Configurar la copia de seguridad de MySQL
-
Restaurar copia de seguridad de MySQL
-
Cambiar la contraseña del usuario 'maint'
-
Cambiar zona horaria
-
Cambiar el servidor NTP
-
Deshabilitar el acceso SSH
-
Aumentar el tamaño del disco de la cárcel
-
Mejora
-
Instalar VMware Tools (estamos trabajando para reemplazarlo con herramientas open-vm)
-
Cambiar la configuración de la dirección IP
-
Cambiar la configuración de búsqueda del nombre de dominio
-
Cambiar rutas estáticas
-
Acceso al shell de diagnóstico
-
Habilitar el acceso de diagnóstico remoto
Eventos de la consola de administración
Se auditan las siguientes operaciones en la interfaz de usuario de la Consola de administración:
-
Configuración
-
Cambiar las credenciales de administrador
-
Cambiar zona horaria
-
Cambiar el servidor NTP
-
Cambiar la configuración de direcciones IPv4/IPv6
-
-
Configuración
-
Cambiar las credenciales de vCenter
-
Habilitar/deshabilitar complementos
-
Configurar servidores syslog
Los registros de auditoría se almacenan dentro del dispositivo y se verifican periódicamente para garantizar su integridad. El reenvío de eventos le permite obtener eventos de la computadora de origen o reenvío y almacenarlos en una computadora centralizada, que es el servidor Syslog. Los datos se cifran durante el tránsito entre el origen y el destino.
Debe tener privilegios de administrador.
Esta tarea le ayuda a configurar el servidor syslog.
-
Inicie sesión en el SnapCenter Plug-in for VMware vSphere.
-
En el panel de navegación izquierdo, seleccione Configuración > Registros de auditoría > Configuración.
-
En el panel Configuración del registro de auditoría, seleccione Enviar registros de auditoría al servidor Syslog
-
Introduzca los siguientes datos:
-
IP del servidor Syslog
-
Puerto del servidor Syslog
-
Formato RFC
-
Certificado de servidor Syslog
-
-
Seleccione GUARDAR para guardar la configuración del servidor Syslog.
Cambiar la configuración del registro de auditoría
Puede cambiar las configuraciones predeterminadas de la configuración del registro.
Debe tener privilegios de administrador.
Esta tarea le ayuda a cambiar la configuración predeterminada del registro de auditoría.
-
Inicie sesión en el SnapCenter Plug-in for VMware vSphere.
-
En el panel de navegación izquierdo, seleccione Configuración > Registros de auditoría > Configuración.
-
En el panel Configuración del registro de auditoría, ingrese el Número máximo de archivos de registro de auditoría y el Límite de tamaño del archivo de registro de auditoría.
-
Seleccione la opción Enviar registros de auditoría al servidor Syslog si elige enviar los registros al servidor Syslog. Introduzca los detalles del servidor.
-
Guardar la configuración.