Concepts d'audit de base
Pour comprendre l'audit dans ONTAP, vous devez connaître certains concepts d'audit de base.
-
Fichiers de transfert
Les fichiers binaires intermédiaires sur les nœuds individuels où les enregistrements d'audit sont stockés avant la consolidation et la conversion. Les fichiers de staging sont contenus dans des volumes de staging.
-
Volume de transfert
Volume dédié créé par ONTAP pour stocker les fichiers de transfert. Il existe un volume intermédiaire par agrégat. Les volumes de sauvegarde sont partagés par toutes les machines virtuelles de stockage (SVM) activées par les audits, ce qui permet de stocker des enregistrements d'audit de l'accès aux données pour les volumes de données de cet agrégat particulier. Les enregistrements d'audit de chaque SVM sont stockés dans un répertoire distinct dans le volume intermédiaire.
Les administrateurs de cluster peuvent afficher des informations sur les volumes intermédiaires, mais la plupart des autres opérations de volume ne sont pas autorisées. Seul ONTAP peut créer des volumes intermédiaires. ONTAP attribue automatiquement un nom aux volumes intermédiaires. Tous les noms de volumes de staging commencent par
MDV_aud_
Suivi par l'UUID de l'agrégat contenant ce volume intermédiaire (par exemple :MDV_aud_1d0131843d4811e296fc123478563412
.) -
Volumes système
Un volume FlexVol qui contient des métadonnées spéciales, telles que les métadonnées pour les journaux d'audit des services de fichiers. Le SVM d'administration possède des volumes système qui sont visibles sur l'ensemble du cluster. Les volumes de staging sont un type de volume système.
-
Tâche de consolidation
Tâche créée lorsque l'audit est activé. Cette tâche longue durée sur chaque SVM enregistre les enregistrements d'audit dans des fichiers intermédiaires dans les nœuds membres de la SVM. Cette tâche fusionne les enregistrements d'audit dans un ordre chronologique trié, puis les convertit en un format de journal d'événements lisible par l'utilisateur spécifié dans la configuration d'audit, soit au format de fichier EVTX soit au format XML. Les journaux d'événements convertis sont stockés dans le répertoire du journal des événements d'audit spécifié dans la configuration d'audit du SVM.