Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

En savoir plus sur l'implémentation de la journalisation d'audit ONTAP

Contributeurs netapp-dbagwell netapp-lenida netapp-mwallis netapp-aherbin netapp-aaron-holt netapp-forry netapp-barbe
PDF

Les activités de gestion enregistrées dans le journal d'audit sont incluses dans les rapports AutoSupport standard, et certaines activités de journalisation sont incluses dans les messages EMS. Vous pouvez également transférer le journal d'audit vers les destinations de votre choix et afficher les fichiers journaux d'audit via l'interface de ligne de commande ONTAP ou un navigateur web.

Depuis ONTAP 9.11.1, vous pouvez afficher le contenu des journaux d'audit à l'aide de System Manager.

Depuis ONTAP 9.12.1, ONTAP fournit des alertes de falsification pour les journaux d'audit. ONTAP exécute une tâche d'arrière-plan quotidienne pour vérifier l'altération des fichiers audit.log et envoie une alerte EMS s'il trouve des fichiers journaux qui ont été modifiés ou falsifiés.

A partir d'ONTAP 9.17.1, et d'ONTAP 9.16.1 P4 et les versions ultérieures du correctif 9.16.1, "les activités de gestion à distance initiées à partir d'un cluster homologue à l'aide d'opérations inter-clusters peuvent également être enregistrées". Ces activités comprennent des opérations internes et pilotées par l’utilisateur qui proviennent d’un autre cluster

Activités de gestion enregistrées dans ONTAP

ONTAP enregistre les activités de gestion effectuées sur un cluster, telles que la demande émise, l'utilisateur qui a déclenché la demande, la méthode d'accès de l'utilisateur et l'heure de la demande.

Les activités de gestion peuvent être de l’un des types suivants :

  • Requêtes SET:

    • Ces demandes s’appliquent généralement aux commandes ou opérations sans affichage.

    • Ces demandes sont émises lorsque vous exécutez un create, modify, ou delete commande, par exemple.

    • Les requêtes SET sont enregistrées par défaut.

  • Requêtes GET:

    • Ces requêtes récupèrent des informations et les affichent dans l'interface de gestion.

    • Ces demandes sont émises lorsque vous exécutez un show commande, par exemple.

    • Les requêtes GET ne sont pas enregistrées par défaut, mais vous pouvez contrôler si les requêtes GET envoyées depuis l'interface de ligne de commande ONTAP (-cliget ), à partir de l'API ONTAP (-ontapiget ), ou depuis l'API REST ONTAP (-httpget ) sont enregistrés dans le fichier.

Enregistrement et rotation du journal d'audit

Activités de gestion des documents ONTAP dans le /mroot/etc/log/mlog/audit.log Fichier d'un nœud. Les commandes des trois shells CLI : clustershell, nodeshell et systemshell non interactif, ainsi que les commandes API, sont enregistrées ici. Les commandes systemshell interactives ne sont pas enregistrées. Les journaux d'audit incluent des horodatages indiquant si tous les nœuds d'un cluster sont synchronisés.

Le audit.log Le fichier est envoyé par l'outil AutoSupport aux destinataires spécifiés. Vous pouvez également transférer le contenu en toute sécurité vers des destinations externes que vous spécifiez (par exemple, un serveur Splunk ou syslog).

Le audit.log le fichier fait l'objet d'une rotation quotidienne. La rotation se produit également lorsqu'elle atteint 100 Mo et que les 48 copies précédentes sont conservées (avec un total maximum de 49 fichiers). Lorsque le fichier d'audit effectue sa rotation quotidienne, aucun message EMS n'est généré. Si le fichier d'audit tourne parce que sa taille limite de fichier est dépassée, un message EMS est généré.

Lors de l'activation de l'audit GET, pensez à configurer le transfert des journaux afin d'éviter toute perte de données due à une rotation rapide des journaux. Pour plus d'informations, consultez l'article suivant de la base de connaissances : "Activation du transfert du journal d'audit" .