Configure los mensajes de auditoría y el servidor de syslog externo
Sugerir cambios
PDF
Puede configurar una serie de valores relacionados con los mensajes de auditoría. Puede ajustar el número de mensajes de auditoría registrados; definir los encabezados de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente; configurar un servidor de syslog externo; y especificar dónde se envían los registros de auditoría, los registros de eventos de seguridad y los registros de software de StorageGRID.
Los mensajes de auditoría y los registros registran las actividades del sistema y los eventos de seguridad, y son herramientas esenciales para la supervisión y solución de problemas. Todos los nodos de StorageGRID generan mensajes y registros de auditoría para realizar un seguimiento de la actividad y los eventos del sistema.
De manera opcional, se puede configurar un servidor de syslog externo para guardar la información de auditoría de forma remota. El uso de un servidor externo minimiza el impacto en el rendimiento del registro de mensajes de auditoría sin reducir la integridad de los datos de auditoría. Un servidor syslog externo es especialmente útil si tiene un grid grande, utiliza varios tipos de aplicaciones S3 o desea conservar todos los datos de auditoría. Consulte "Configure los mensajes de auditoría y el servidor de syslog externo" para obtener más información.
-
Ha iniciado sesión en Grid Manager mediante una "navegador web compatible".
-
Usted tiene el "Permiso de mantenimiento o acceso raíz".
-
Si planea configurar un servidor de syslog externo, ha revisado el "consideraciones que tener en cuenta sobre el uso de un servidor de syslog externo" y se ha asegurado de que el servidor tenga la capacidad suficiente para recibir y almacenar los archivos de registro.
-
Si planea configurar un servidor de syslog externo con el protocolo TLS o RELP/TLS, tendrá los certificados de CA de servidor y de cliente requeridos, así como la clave privada de cliente.
Cambiar los niveles de mensajes de auditoría
Se puede establecer un nivel de auditoría diferente para cada una de las siguientes categorías de mensajes en el registro de auditoría:
| Categoría de auditoría | Configuración predeterminada | Más información |
|---|---|---|
Sistema |
Normal |
|
Reducida |
Error |
|
Gestión |
Normal |
|
El cliente lee |
Normal |
|
Escrituras del cliente |
Normal |
|
ILM |
Normal |
|
Replicación entre grid |
Error |
|
Estos valores predeterminados se aplican si instaló inicialmente StorageGRID con la versión 10.3 o posterior. Si utilizó inicialmente una versión anterior de StorageGRID, el valor predeterminado para todas las categorías se establece en Normal. |
|
|
Durante las actualizaciones, las configuraciones a nivel de auditoría no serán efectivas inmediatamente. |
-
Seleccione CONFIGURACIÓN > Supervisión > servidor de auditoría y syslog.
-
Para cada categoría de mensaje de auditoría, seleccione un nivel de auditoría de la lista desplegable:
Nivel de auditoría Descripción Apagado
No se registran mensajes de auditoría de la categoría.
Error
Sólo se registran los mensajes de error: Los mensajes de auditoría para los que el código de resultado no fue "correcto" (SUCS).
Normal
Se registran los mensajes transaccionales estándar: Los mensajes que aparecen en estas instrucciones para la categoría.
Depurar
Obsoleto. Este nivel se comporta como el nivel de auditoría normal.
Los mensajes incluidos para cualquier nivel particular incluyen los que se registrarán en los niveles superiores. Por ejemplo, el nivel normal incluye todos los mensajes de error.
Si no necesita un registro detallado de las operaciones de lectura del cliente para sus aplicaciones S3, cambie opcionalmente la configuración Lecturas del cliente a Error para disminuir el número de mensajes de auditoría registrados en el registro de auditoría. -
Seleccione Guardar.
Un banner verde indica que la configuración se ha guardado.
Definir cabeceras de solicitud HTTP
Opcionalmente, puede definir cualquier cabecera de solicitud HTTP que desee incluir en los mensajes de auditoría de lectura y escritura del cliente. Estos encabezados de protocolo se aplican únicamente a las solicitudes S3.
-
En la sección Cabeceras de protocolo de auditoría, defina los encabezados de solicitud HTTP que desea incluir en los mensajes de auditoría de lectura y escritura del cliente.
Utilice un asterisco (*) como comodín para que coincida con cero o más caracteres. Utilice la secuencia de escape (\*) para que coincida con un asterisco literal.
-
Seleccione Agregar otro encabezado para crear encabezados adicionales, si es necesario.
Cuando se encuentran encabezados HTTP en una solicitud, se incluyen en el mensaje de auditoría en el campo HTRH.
Los encabezados de la solicitud del protocolo de auditoría sólo se registran si el nivel de auditoría para Lecturas de cliente o Escrituras de cliente no es Desactivada. -
Seleccione Guardar
Un banner verde indica que la configuración se ha guardado.
Utilice un servidor syslog externo
De manera opcional, es posible configurar un servidor de syslog externo para guardar registros de auditoría, registros de aplicaciones y registros de eventos de seguridad en una ubicación fuera del grid.
|
|
Si no desea utilizar un servidor syslog externo, omita este paso y vaya a Seleccione destinos de información de auditoría. |
|
Si las opciones de configuración disponibles en este procedimiento no son lo suficientemente flexibles para satisfacer sus requisitos, se pueden aplicar opciones de configuración adicionales mediante los audit-destinations puntos finales, que se encuentran en la sección API privada de "API de gestión de grid". Por ejemplo, puede usar la API si desea usar diferentes servidores de syslog para diferentes grupos de nodos.
|
Introduzca la información de syslog
Acceda al asistente Configurar servidor de syslog externo y proporcione la información que StorageGRID necesita para acceder al servidor de syslog externo.
-
En la página servidor de auditoría y syslog, seleccione Configurar servidor de syslog externo. O bien, si ha configurado previamente un servidor syslog externo, seleccione Editar servidor syslog externo.
Aparece el asistente Configurar servidor de syslog externo.
-
Para el paso Enter syslog info del asistente, introduzca un nombre de dominio completo válido o una dirección IPv4 o IPv6 para el servidor syslog externo en el campo Host.
-
Introduzca el puerto de destino en el servidor de syslog externo (debe ser un entero entre 1 y 65535). El puerto predeterminado es 514.
-
Seleccione el protocolo utilizado para enviar información de auditoría al servidor de syslog externo.
Se recomienda usar TLS o RELP/TLS. Debe cargar un certificado de servidor para usar cualquiera de estas opciones. El uso de certificados ayuda a proteger las conexiones entre el grid y el servidor de syslog externo. Para obtener más información, consulte "Gestionar certificados de seguridad".
Todas las opciones de protocolo requieren compatibilidad con el servidor de syslog externo y su configuración. Debe elegir una opción que sea compatible con el servidor de syslog externo.
El protocolo de registro de eventos fiable (RELP) amplía la funcionalidad del protocolo syslog para proporcionar una entrega fiable de los mensajes de eventos. El uso de RELP puede ayudar a evitar la pérdida de información de auditoría si el servidor syslog externo tiene que reiniciarse. -
Seleccione continuar.
-
Si seleccionó TLS o RELP/TLS, cargue los certificados de CA del servidor, el certificado de cliente y la clave privada del cliente.
-
Seleccione Buscar para el certificado o la clave que desee utilizar.
-
Seleccione el certificado o el archivo de claves.
-
Seleccione Abrir para cargar el archivo.
Aparece una comprobación verde junto al certificado o el nombre del archivo de claves, notificándole que se ha cargado correctamente.
-
-
Seleccione continuar.
Permite gestionar el contenido de syslog
Puede seleccionar la información que desea enviar al servidor de syslog externo.
-
Para el paso Administrar contenido syslog del asistente, seleccione cada tipo de información de auditoría que desee enviar al servidor syslog externo.
-
Enviar registros de auditoría: Envía eventos StorageGRID y actividades del sistema
-
Enviar eventos de seguridad: Envía eventos de seguridad como cuando un usuario no autorizado intenta iniciar sesión o un usuario inicia sesión como root
-
Enviar registros de aplicaciones: Envía "Archivos de registro del software de StorageGRID" útiles para la solución de problemas, incluyendo:
-
bycast-err.log -
bycast.log -
jaeger.log -
nms.log(Solo nodos de administración) -
prometheus.log -
raft.log -
hagroups.log
-
-
Enviar registros de acceso: Envía registros de acceso HTTP para solicitudes externas a Grid Manager, Tenant Manager, endpoints de equilibrio de carga configurados y solicitudes de federación de grid desde sistemas remotos.
-
-
Utilice los menús desplegables para seleccionar la gravedad y la utilidad (tipo de mensaje) para cada categoría de información de auditoría que desee enviar.
La definición de valores de gravedad y de utilidad puede ayudarle a agregar los registros de formas personalizables para facilitar el análisis.
-
Para Gravedad, selecciona Passthrough, o selecciona un valor de gravedad entre 0 y 7.
Si selecciona un valor, el valor seleccionado se aplicará a todos los mensajes de este tipo. La información sobre diferentes gravedades se perderá si se sustituye la gravedad por un valor fijo.
Gravedad Descripción Paso a través
Cada mensaje enviado al syslog externo para tener el mismo valor de gravedad que cuando se registró localmente en el nodo:
-
Para los registros de auditoría, la gravedad es «info».
-
Para eventos de seguridad, los valores de gravedad se generan en la distribución de Linux en los nodos.
-
Para los registros de aplicaciones, las gravedades varían entre “info” y “notice”, dependiendo de cuál sea el problema. Por ejemplo, agregar un servidor NTP y configurar un grupo de alta disponibilidad proporciona un valor de «info», mientras que detener intencionalmente el servicio SSM o RSM proporciona un valor de «notice».
-
Para los registros de acceso, la gravedad es «info».
0
Emergencia: El sistema no se puede utilizar
1
Alerta: La acción se debe realizar de inmediato
2
Crítico: Condiciones críticas
3
Error: Condiciones de error
4
Advertencia: Condiciones de aviso
5
Aviso: Condición normal pero significativa
6
Informativo: Mensajes informativos
7
Debug: Mensajes de nivel de depuración
-
-
Para Facilty, selecciona Passthrough, o selecciona un valor entre 0 y 23.
Si selecciona un valor, se aplicará a todos los mensajes de este tipo. La información sobre las diferentes instalaciones se perderá si se sustituye la instalación por un valor fijo.
Centro Descripción Paso a través
Cada mensaje enviado al syslog externo para tener el mismo valor de instalación que cuando se registró localmente en el nodo:
-
Para los registros de auditoría, la instalación enviada al servidor de syslog externo es «local7».
-
Para los eventos de seguridad, los valores de las instalaciones se generan mediante la distribución de linux en los nodos.
-
Para los registros de aplicaciones, los registros de aplicaciones enviados al servidor syslog externo tienen los siguientes valores de utilidad:
-
bycast.log: usuario o daemon -
bycast-err.log: usuario, daemon, local3 o local4 -
jaeger.log: local2 -
nms.log: local3 -
prometheus.log: local4 -
raft.log: local5 -
hagroups.log: local6
-
-
Para los registros de acceso, la instalación enviada al servidor syslog externo es “local0”.
0
kern (mensajes del núcleo)
1
usuario (mensajes de usuario)
2
correo
3
daemon (daemons del sistema)
4
auth (mensajes de seguridad/autorización)
5
syslog (mensajes generados internamente por syslogd)
6
lpr (subsistema de impresora de líneas)
7
noticias (subsistema de noticias de red)
8
UCP
9
cron (daemon de reloj)
10
seguridad (mensajes de seguridad/autorización)
11
FTP
12
NTP
13
auditoría de registro (auditoría de registros)
14
alerta de registro (alerta de registro)
15
reloj (daemon de reloj)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
Seleccione continuar.
Enviar mensajes de prueba
Antes de iniciar el uso de un servidor de syslog externo, debe solicitar que todos los nodos de la cuadrícula envíen mensajes de prueba al servidor de syslog externo. Se deben usar estos mensajes de prueba para ayudar a validar toda la infraestructura de recogida de registros antes de comprometerse a enviar datos al servidor de syslog externo.
|
No use la configuración del servidor de syslog externo hasta que confirme que el servidor de syslog externo recibió un mensaje de prueba de cada nodo del grid y que el mensaje se procesó como se esperaba. |
-
Si no desea enviar mensajes de prueba porque está seguro de que su servidor syslog externo está configurado correctamente y puede recibir información de auditoría de todos los nodos de la cuadrícula, seleccione Omitir y finalizar.
Un banner verde indica que se ha guardado la configuración.
-
De lo contrario, seleccione Enviar mensajes de prueba (recomendado).
Los resultados de la prueba aparecen continuamente en la página hasta que se detiene la prueba. Mientras la prueba está en curso, los mensajes de auditoría siguen enviarse a los destinos configurados anteriormente.
-
Si recibe algún error, corríjalo y vuelva a seleccionar Enviar mensajes de prueba.
Consulte "Solucione problemas de un servidor de syslog externo" para ayudarle a resolver cualquier error.
-
Espere hasta que vea un banner verde que indica que todos los nodos han superado la prueba.
-
Compruebe el servidor de syslog para determinar si se reciben y procesan los mensajes de prueba según lo esperado.
Si está utilizando UDP, compruebe toda su infraestructura de recopilación de registros. El protocolo UDP no permite una detección de errores tan rigurosa como los demás protocolos. -
Seleccione Detener y finalizar.
Volverá a la página Audit and syslog Server. Un banner de color verde indica que se guardó la configuración del servidor de syslog.
La información de auditoría de StorageGRID no se envía al servidor de syslog externo hasta que se seleccione un destino que incluya el servidor de syslog externo.
Seleccione destinos de información de auditoría
Es posible especificar dónde se envían los registros de auditoría, los registros de eventos de seguridad y"Registros del software StorageGRID".
|
|
StorageGRID toma por defecto los destinos de auditoría de nodo local y almacena la información de auditoría en Al utilizar Algunos destinos solo están disponibles si se configuró un servidor de syslog externo. |
-
En la página Audit and syslog server, seleccione el destino para obtener información de auditoría.
Solo nodos locales y Servidor syslog externo típicamente proporcionan un mejor rendimiento. Opción Descripción Sólo Nodos Locales (valor por defecto)
Los mensajes de auditoría, los registros de eventos de seguridad y los registros de aplicaciones no se envían a los nodos de administración. En su lugar, solo se guardan en los nodos que los han generado («el nodo local»). La información de auditoría generada en cada nodo local se almacena en
/var/local/log/localaudit.log.Nota: StorageGRID elimina periódicamente los registros locales en una rotación para liberar espacio. Cuando el archivo de registro de un nodo alcanza 1 GB, se guarda el archivo existente y se inicia un nuevo archivo de registro. El límite de rotación para el registro es de 21 archivos. Cuando se crea la versión 22ª del archivo de registro, se elimina el archivo de registro más antiguo. De media, se almacenan unos 20 GB de datos de registro en cada nodo.
Nodos de administración/nodos locales
Los mensajes de auditoría se envían al registro de auditoría en los nodos de administración, y los registros de eventos de seguridad y los registros de aplicaciones se almacenan en los nodos que los generaron. La información de auditoría se almacena en los siguientes archivos:
-
Nodos de administración (primarios y no primarios):
/var/local/audit/export/audit.log -
Todos los nodos: El
/var/local/log/localaudit.logarchivo suele estar vacío o faltar. Puede contener información secundaria, como una copia adicional de algunos mensajes.
Servidor de syslog externo
La información de auditoría se envía a un servidor de syslog externo y se guarda en los nodos locales (
/var/local/log/localaudit.log). El tipo de información enviada depende de la forma en que se configure el servidor de syslog externo. Esta opción solo se habilita después de configurar un servidor de syslog externo.Nodo de administrador y servidor de syslog externo
Los mensajes de auditoría se envían al registro de auditoría (
/var/local/audit/export/audit.log) en los nodos de administración, y la información de auditoría se envía al servidor de syslog externo y se guarda en el nodo local (/var/local/log/localaudit.log). El tipo de información enviada depende de la forma en que se configure el servidor de syslog externo. Esta opción solo se habilita después de configurar un servidor de syslog externo. -
-
Seleccione Guardar.
Aparecerá un mensaje de advertencia.
-
Seleccione OK para confirmar que desea cambiar el destino para la información de auditoría.
Un banner verde indica que se guardó la configuración de auditoría.
Los nuevos registros se envían a los destinos seleccionados. Los registros existentes permanecen en su ubicación actual.