Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure los mensajes de auditoría y el servidor de syslog externo

Colaboradores
PDF

Puede configurar una serie de valores relacionados con los mensajes de auditoría. Puede ajustar el número de mensajes de auditoría registrados; definir los encabezados de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente; configurar un servidor de syslog externo; y especificar dónde se envían los registros de auditoría, los registros de eventos de seguridad y los registros de software de StorageGRID.

Los mensajes de auditoría y los registros registran las actividades del sistema y los eventos de seguridad, y son herramientas esenciales para la supervisión y solución de problemas. Todos los nodos de StorageGRID generan mensajes y registros de auditoría para realizar un seguimiento de la actividad y los eventos del sistema.

De manera opcional, se puede configurar un servidor de syslog externo para guardar la información de auditoría de forma remota. El uso de un servidor externo minimiza el impacto en el rendimiento del registro de mensajes de auditoría sin reducir la integridad de los datos de auditoría. Un servidor syslog externo es especialmente útil si tiene un grid grande, utiliza varios tipos de aplicaciones S3 o desea conservar todos los datos de auditoría. Consulte "Consideraciones sobre el servidor de syslog externo" para obtener más detalles.

Antes de empezar

Cambiar los niveles de mensajes de auditoría

Se puede establecer un nivel de auditoría diferente para cada una de las siguientes categorías de mensajes en el registro de auditoría:

Categoría de auditoría Configuración predeterminada Más información

Sistema

Normal

"Mensajes de auditoría del sistema"

Reducida

Error

"Mensajes de auditoría del almacenamiento de objetos"

Gestión

Normal

"Mensaje de auditoría de gestión"

El cliente lee

Normal

"El cliente lee los mensajes de auditoría"

Escrituras del cliente

Normal

"El cliente escribe mensajes de auditoría"

ILM

Normal

"Mensajes de auditoría de ILM"

Replicación entre grid

Error

"CGRR: Solicitud de Replicación de Cuadrícula Cruzada"
Nota Estos valores predeterminados se aplican si instaló inicialmente StorageGRID con la versión 10.3 o posterior. Si utilizó inicialmente una versión anterior de StorageGRID, el valor predeterminado para todas las categorías se establece en Normal.
Nota Durante las actualizaciones, las configuraciones a nivel de auditoría no serán efectivas inmediatamente.
Pasos

  1. Seleccione CONFIGURACIÓN > Supervisión > servidor de auditoría y syslog.

  2. Para cada categoría de mensaje de auditoría, seleccione un nivel de auditoría de la lista desplegable:

    Nivel de auditoría Descripción

    Apagado

    No se registran mensajes de auditoría de la categoría.

    Error

    Sólo se registran los mensajes de error: Los mensajes de auditoría para los que el código de resultado no fue "correcto" (SUCS).

    Normal

    Se registran los mensajes transaccionales estándar: Los mensajes que aparecen en estas instrucciones para la categoría.

    Depurar

    Obsoleto. Este nivel se comporta como el nivel de auditoría normal.

    Los mensajes incluidos para cualquier nivel particular incluyen los que se registrarán en los niveles superiores. Por ejemplo, el nivel normal incluye todos los mensajes de error.

    Nota Si no necesita un registro detallado de las operaciones de lectura del cliente para sus aplicaciones S3, cambie opcionalmente la configuración Lecturas del cliente a Error para disminuir el número de mensajes de auditoría registrados en el registro de auditoría.

  3. Seleccione Guardar.

    Un banner verde indica que la configuración se ha guardado.

Definir cabeceras de solicitud HTTP

Opcionalmente, puede definir cualquier cabecera de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente. Estos encabezados de protocolo se aplican solo a solicitudes S3 y Swift.

Pasos

  1. En la sección Cabeceras de protocolo de auditoría, defina los encabezados de solicitud HTTP que desea incluir en los mensajes de auditoría de lectura y escritura del cliente.

    Utilice un asterisco (*) como comodín para que coincida con cero o más caracteres. Utilice la secuencia de escape (\*) para que coincida con un asterisco literal.

  2. Seleccione Agregar otro encabezado para crear encabezados adicionales, si es necesario.

    Cuando se encuentran encabezados HTTP en una solicitud, se incluyen en el mensaje de auditoría en el campo HTRH.

    Nota Los encabezados de la solicitud del protocolo de auditoría sólo se registran si el nivel de auditoría para Lecturas de cliente o Escrituras de cliente no es Desactivada.

  3. Seleccione Guardar

    Un banner verde indica que la configuración se ha guardado.

Utilice un servidor syslog externo

De manera opcional, es posible configurar un servidor de syslog externo para guardar registros de auditoría, registros de aplicaciones y registros de eventos de seguridad en una ubicación fuera del grid.

Nota Si no desea usar un servidor de syslog externo, omita este paso y vaya a. Seleccione destinos de información de auditoría.
Consejo Si las opciones de configuración disponibles en este procedimiento no son lo suficientemente flexibles para satisfacer sus requisitos, se pueden aplicar opciones de configuración adicionales mediante el audit-destinations Endpoints, que se encuentran en la sección API privada de "API de gestión de grid". Por ejemplo, puede usar la API si desea usar diferentes servidores de syslog para diferentes grupos de nodos.

Introduzca la información de syslog

Acceda al asistente Configurar servidor de syslog externo y proporcione la información que StorageGRID necesita para acceder al servidor de syslog externo.

Pasos

  1. En la página servidor de auditoría y syslog, seleccione Configurar servidor de syslog externo. O bien, si ha configurado previamente un servidor syslog externo, seleccione Editar servidor syslog externo.

    Aparece el asistente Configurar servidor de syslog externo.

  2. Para el paso Enter syslog info del asistente, introduzca un nombre de dominio completo válido o una dirección IPv4 o IPv6 para el servidor syslog externo en el campo Host.

  3. Introduzca el puerto de destino en el servidor de syslog externo (debe ser un entero entre 1 y 65535). El puerto predeterminado es 514.

  4. Seleccione el protocolo utilizado para enviar información de auditoría al servidor de syslog externo.

    Se recomienda usar TLS o RELP/TLS. Debe cargar un certificado de servidor para usar cualquiera de estas opciones. El uso de certificados ayuda a proteger las conexiones entre el grid y el servidor de syslog externo. Para obtener más información, consulte "Gestionar certificados de seguridad".

    Todas las opciones de protocolo requieren compatibilidad con el servidor de syslog externo y su configuración. Debe elegir una opción que sea compatible con el servidor de syslog externo.

    Nota El protocolo de registro de eventos fiable (RELP) amplía la funcionalidad del protocolo syslog para proporcionar una entrega fiable de los mensajes de eventos. El uso de RELP puede ayudar a evitar la pérdida de información de auditoría si el servidor syslog externo tiene que reiniciarse.

  5. Seleccione continuar.

  6. Si seleccionó TLS o RELP/TLS, cargue los certificados de CA del servidor, el certificado de cliente y la clave privada del cliente.

    1. Seleccione Buscar para el certificado o la clave que desee utilizar.

    2. Seleccione el certificado o el archivo de claves.

    3. Seleccione Abrir para cargar el archivo.

      Aparece una comprobación verde junto al certificado o el nombre del archivo de claves, notificándole que se ha cargado correctamente.

  7. Seleccione continuar.

Permite gestionar el contenido de syslog

Puede seleccionar la información que desea enviar al servidor de syslog externo.

Pasos

  1. Para el paso Administrar contenido syslog del asistente, seleccione cada tipo de información de auditoría que desee enviar al servidor syslog externo.

    • Enviar registros de auditoría: Envía eventos StorageGRID y actividades del sistema

    • Enviar eventos de seguridad: Envía eventos de seguridad como cuando un usuario no autorizado intenta iniciar sesión o un usuario inicia sesión como root

    • Enviar registros de aplicaciones: Envía archivos de registro útiles para la solución de problemas, incluyendo:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (Solo nodos de administración)

      • prometheus.log

      • raft.log

      • hagroups.log

    Para obtener más información sobre los registros del software de StorageGRID, consulte "Registros del software StorageGRID".

  2. Utilice los menús desplegables para seleccionar la gravedad y la utilidad (tipo de mensaje) para cada categoría de información de auditoría que desee enviar.

    La definición de valores de gravedad y de utilidad puede ayudarle a agregar los registros de formas personalizables para facilitar el análisis.

    1. Para Gravedad, selecciona Passthrough, o selecciona un valor de gravedad entre 0 y 7.

      Si selecciona un valor, el valor seleccionado se aplicará a todos los mensajes de este tipo. La información sobre diferentes gravedades se perderá si se sustituye la gravedad por un valor fijo.

      Gravedad Descripción

      Paso a través

      Cada mensaje enviado al syslog externo para tener el mismo valor de gravedad que cuando se registró localmente en el nodo:

      • Para los registros de auditoría, la gravedad es «info».

      • Para eventos de seguridad, los valores de gravedad se generan en la distribución de Linux en los nodos.

      • Para los registros de aplicaciones, las gravedades varían entre “info” y “notice”, dependiendo de cuál sea el problema. Por ejemplo, agregar un servidor NTP y configurar un grupo de alta disponibilidad proporciona un valor de «info», mientras que detener intencionalmente el servicio SSM o RSM proporciona un valor de «notice».

      0

      Emergencia: El sistema no se puede utilizar

      1

      Alerta: La acción se debe realizar de inmediato

      2

      Crítico: Condiciones críticas

      3

      Error: Condiciones de error

      4

      Advertencia: Condiciones de aviso

      5

      Aviso: Condición normal pero significativa

      6

      Informativo: Mensajes informativos

      7

      Debug: Mensajes de nivel de depuración

    2. Para Facilty, selecciona Passthrough, o selecciona un valor entre 0 y 23.

      Si selecciona un valor, se aplicará a todos los mensajes de este tipo. La información sobre las diferentes instalaciones se perderá si se sustituye la instalación por un valor fijo.

    Centro Descripción

    Paso a través

    Cada mensaje enviado al syslog externo para tener el mismo valor de instalación que cuando se registró localmente en el nodo:

    • Para los registros de auditoría, la instalación enviada al servidor de syslog externo es «local7».

    • Para los eventos de seguridad, los valores de las instalaciones se generan mediante la distribución de linux en los nodos.

    • Para los registros de aplicaciones, los registros de aplicaciones enviados al servidor syslog externo tienen los siguientes valores de utilidad:

      • bycast.log: usuario o daemon

      • bycast-err.log: usuario, daemon, local3 o local4

      • jaeger.log: local2

      • nms.log: local3

      • prometheus.log: local4

      • raft.log: local5

      • hagroups.log: local6

    0

    kern (mensajes del núcleo)

    1

    usuario (mensajes de usuario)

    2

    correo

    3

    daemon (daemons del sistema)

    4

    auth (mensajes de seguridad/autorización)

    5

    syslog (mensajes generados internamente por syslogd)

    6

    lpr (subsistema de impresora de líneas)

    7

    noticias (subsistema de noticias de red)

    8

    UCP

    9

    cron (daemon de reloj)

    10

    seguridad (mensajes de seguridad/autorización)

    11

    FTP

    12

    NTP

    13

    auditoría de registro (auditoría de registros)

    14

    alerta de registro (alerta de registro)

    15

    reloj (daemon de reloj)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. Seleccione continuar.

Enviar mensajes de prueba

Antes de iniciar el uso de un servidor de syslog externo, debe solicitar que todos los nodos de la cuadrícula envíen mensajes de prueba al servidor de syslog externo. Se deben usar estos mensajes de prueba para ayudar a validar toda la infraestructura de recogida de registros antes de comprometerse a enviar datos al servidor de syslog externo.

Precaución No use la configuración del servidor de syslog externo hasta que confirme que el servidor de syslog externo recibió un mensaje de prueba de cada nodo del grid y que el mensaje se procesó como se esperaba.
Pasos

  1. Si no desea enviar mensajes de prueba porque está seguro de que su servidor syslog externo está configurado correctamente y puede recibir información de auditoría de todos los nodos de la cuadrícula, seleccione Omitir y finalizar.

    Un banner verde indica que se ha guardado la configuración.

  2. De lo contrario, seleccione Enviar mensajes de prueba (recomendado).

    Los resultados de la prueba aparecen continuamente en la página hasta que se detiene la prueba. Mientras la prueba está en curso, los mensajes de auditoría siguen enviarse a los destinos configurados anteriormente.

  3. Si recibe algún error, corríjalo y vuelva a seleccionar Enviar mensajes de prueba.

    Consulte "Solucione problemas de un servidor de syslog externo" para ayudarle a resolver errores.

  4. Espere hasta que vea un banner verde que indica que todos los nodos han superado la prueba.

  5. Compruebe el servidor de syslog para determinar si se reciben y procesan los mensajes de prueba según lo esperado.

    Nota Si está utilizando UDP, compruebe toda su infraestructura de recopilación de registros. El protocolo UDP no permite una detección de errores tan rigurosa como el otro protocolos.

  6. Seleccione Detener y finalizar.

    Volverá a la página Audit and syslog Server. Un banner de color verde indica que se guardó la configuración del servidor de syslog.

    Nota La información de auditoría de StorageGRID no se envía al servidor de syslog externo hasta que se seleccione un destino que incluya el servidor de syslog externo.

Seleccione destinos de información de auditoría

Es posible especificar dónde registros de auditoría, registros de eventos de seguridad y "Registros del software StorageGRID" se envían.

Nota Algunos destinos solo están disponibles si se configuró un servidor de syslog externo.
Pasos

  1. En la página Audit and syslog server, seleccione el destino para obtener información de auditoría.

    Consejo Solo nodos locales y Servidor syslog externo típicamente proporcionan un mejor rendimiento.
    Opción Descripción

    Solo nodos locales

    Los mensajes de auditoría, los registros de eventos de seguridad y los registros de aplicaciones no se envían a los nodos de administración. En su lugar, solo se guardan en los nodos que los han generado («el nodo local»). La información de auditoría generada en cada nodo local se almacena en /var/local/log/localaudit.log

    Nota: StorageGRID elimina periódicamente los registros locales en una rotación para liberar espacio. Cuando el archivo de registro de un nodo alcanza 1 GB, se guarda el archivo existente y se inicia un nuevo archivo de registro. El límite de rotación para el registro es de 21 archivos. Cuando se crea la versión 22ª del archivo de registro, se elimina el archivo de registro más antiguo. De media, se almacenan unos 20 GB de datos de registro en cada nodo.

    Nodos de administración/nodos locales

    Se envían mensajes de auditoría al registro de auditoría (/var/local/log/audit.log) En los nodos de administración, los registros de eventos de seguridad y los registros de aplicaciones se almacenan en los nodos que los han generado.

    Servidor de syslog externo

    La información de auditoría se envía a un servidor de syslog externo y se guarda en los nodos locales. El tipo de información enviada depende de la forma en que se configure el servidor de syslog externo. Esta opción solo se habilita después de configurar un servidor de syslog externo.

    Nodo de administrador y servidor de syslog externo

    Se envían mensajes de auditoría al registro de auditoría (/var/local/log/audit.log) En los nodos de administración, y la información de auditoría se envía al servidor de syslog externo y se guarda en el nodo local. El tipo de información enviada depende de la forma en que se configure el servidor de syslog externo. Esta opción solo se habilita después de configurar un servidor de syslog externo.

  2. Seleccione Guardar.

    Aparecerá un mensaje de advertencia.

  3. Seleccione OK para confirmar que desea cambiar el destino para la información de auditoría.

    Un banner verde indica que se guardó la configuración de auditoría.

    Los nuevos registros se envían a los destinos seleccionados. Los registros existentes permanecen en su ubicación actual.