Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créer un journal d'audit protégé par ONTAP SnapLock

Contributeurs netapp-lenida netapp-aaron-holt netapp-dbagwell netapp-ahibbard netapp-aherbin
PDF

Si vous utilisez ONTAP 9.9.1 ou une version antérieure, vous devez d'abord créer un agrégat SnapLock, puis créer un journal d'audit protégé par SnapLock avant d'effectuer une suppression privilégiée ou un déplacement de volume SnapLock. Le journal d'audit enregistre la création et la suppression de comptes administrateur SnapLock, les modifications du volume du journal, si la suppression privilégiée est activée, les opérations de suppression privilégiée et les opérations de déplacement de volume SnapLock.

Depuis ONTAP 9.10.1, vous ne créez plus d'agrégat SnapLock. Vous devez utiliser l'option -SnapLock-type à "Créez un volume SnapLock de manière explicite" en spécifiant soit conformité soit entreprise comme type SnapLock.

Avant de commencer

Si vous utilisez ONTAP 9.9.1 ou une version antérieure, vous devez être administrateur du cluster pour créer un agrégat SnapLock.

Description de la tâche

Vous ne pouvez pas supprimer un journal d'audit tant que la période de conservation du fichier journal n'est pas écoulée. Vous ne pouvez pas modifier un journal d'audit même après la période de conservation écoulée. Ceci est vrai pour les modes SnapLock Compliance et Enterprise.

Remarque

Dans ONTAP 9.4 et versions antérieures, vous ne pouvez pas utiliser un volume SnapLock Enterprise pour la journalisation des audits. Vous devez utiliser un volume SnapLock Compliance. Dans ONTAP 9.5 et versions ultérieures, vous pouvez utiliser un volume SnapLock Enterprise ou un volume SnapLock Compliance pour la journalisation des audits. Dans tous les cas, le volume du journal d'audit doit être monté sur le Junction path /snaplock_audit_log. Aucun autre volume ne peut utiliser cette Junction path

Les journaux d'audit SnapLock sont disponibles dans le /snaplock_log répertoire sous la racine du volume du journal de vérification, dans les sous-répertoires nommés privdel_log (opérations de suppression privilégiée) et system_log (autres). Les noms des fichiers journaux d'audit contiennent l'horodatage de la première opération consignée, ce qui facilite la recherche des enregistrements en fonction de l'heure approximative d'exécution des opérations.

  • Vous pouvez utiliser le snaplock log file show commande pour afficher les fichiers journaux sur le volume du journal d'audit.

  • Vous pouvez utiliser le snaplock log file archive commande pour archiver le fichier journal actuel et en créer un nouveau, ce qui est utile dans les cas où vous devez enregistrer les informations du journal d'audit dans un fichier distinct.

Pour en savoir plus sur snaplock log file show et snaplock log file archive dans le "Référence de commande ONTAP".

Remarque

Un volume de protection des données ne peut pas être utilisé comme volume de journal d'audit SnapLock.
Étapes

  1. Créer un agrégat SnapLock.

    Créer un agrégat SnapLock

  2. Sur le SVM que vous voulez configurer pour la journalisation d'audit, créez un volume SnapLock.

    Créer un volume SnapLock

  3. Configuration du SVM pour la journalisation d'audit :

    snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-log-size size -retention-period default_retention_period

    Remarque

    La période de conservation minimale par défaut des fichiers journaux d'audit est de six mois. Si la période de conservation d'un fichier affecté est supérieure à la période de conservation du journal d'audit, la période de conservation du journal hérite de la période de conservation du fichier. Ainsi, si la période de conservation d'un fichier supprimé avec suppression privilégiée est de 10 mois et que la période de conservation du journal d'audit est de 8 mois, la période de conservation du journal est étendue à 10 mois. Pour plus d'informations sur la durée de conservation et la période de conservation par défaut, reportez-vous à la section "Définissez la durée de rétention".

    La commande suivante configure SVM1 Pour la journalisation des audits à l'aide du volume SnapLock logVol. Le journal d'audit a une taille maximale de 20 Go et est conservé pendant huit mois.

    SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-log-size 20GB -retention-period 8months

    Pour en savoir plus, snaplock log create consultez le "Référence de commande ONTAP".

  4. Sur le SVM que vous avez configuré pour la journalisation d'audit, montez le volume SnapLock sur la Junction path /snaplock_audit_log.

    Montez un volume SnapLock