Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez les messages d'audit et les destinations des journaux

Contributeurs

Les messages d'audit et les journaux enregistrent les activités du système et les événements de sécurité. Ils constituent les outils essentiels de surveillance et de dépannage. Vous pouvez régler les niveaux d'audit pour augmenter ou diminuer le type et le nombre de messages d'audit enregistrés. Vous pouvez éventuellement définir les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit client en lecture et écriture. Vous pouvez également configurer un serveur syslog externe et modifier la destination des informations d'audit.

Pour plus d'informations sur les messages d'audit, reportez-vous à la section Examiner les journaux d'audit.

Ce dont vous avez besoin
  • Vous êtes connecté au Grid Manager à l'aide d'un navigateur web pris en charge.

  • Vous disposez d'autorisations d'accès à la racine ou à la maintenance.

Description de la tâche

Tous les nœuds StorageGRID génèrent des messages d'audit et des journaux pour suivre l'activité et les événements du système. Par défaut, les informations d'audit sont envoyées au journal d'audit des nœuds d'administration. Vous pouvez régler les niveaux d'audit pour augmenter ou diminuer le type et le nombre de messages d'audit enregistrés dans le journal d'audit. Vous pouvez également configurer les informations d'audit à envoyer à un serveur syslog distant ou à stocker temporairement sur les nœuds d'origine pour une collecte manuelle.

Modifier les niveaux de messages d'audit dans le journal d'audit

Vous pouvez définir un niveau d'audit différent pour chacune des catégories de messages suivantes dans le journal d'audit :

Catégorie de vérification Description

Système

Par défaut, ce niveau est défini sur Normal. Voir Messages d'audit système.

Stockage

Par défaut, ce niveau est défini sur erreur. Voir Messages d'audit du stockage objet.

Gestion

Par défaut, ce niveau est défini sur Normal. Voir Message d'audit de gestion.

Lectures du client

Par défaut, ce niveau est défini sur Normal. Voir Messages d'audit de lecture du client.

Écritures client

Par défaut, ce niveau est défini sur Normal. Voir Écrire des messages d'audit client.

Remarque Ces valeurs par défaut s'appliquent si vous avez installé StorageGRID à l'origine à l'aide de la version 10.3 ou ultérieure. Si vous avez mis à niveau à partir d'une version antérieure de StorageGRID, la valeur par défaut pour toutes les catégories est Normal.
Remarque Durant les mises à niveau, les configurations des niveaux d'audit ne seront pas effectives immédiatement.
Étapes
  1. Sélectionnez CONFIGURATION surveillance Audit et serveur syslog.

    Page principale des messages d'audit
  2. Pour chaque catégorie de message d'audit, sélectionnez un niveau d'audit dans la liste déroulante :

    Niveau d'audit Description

    Éteint

    Aucun message d'audit de la catégorie n'est enregistré.

    Erreur

    Seuls les messages d'erreur sont consignés—​les messages d'audit pour lesquels le code de résultat n'a pas été « réussi » (CMC).

    Normale

    Les messages transactionnels standard sont consignés—​les messages répertoriés dans ces instructions pour la catégorie.

    Débogage

    Obsolète. Ce niveau se comporte de la même manière que le niveau d'audit normal.

    Les messages inclus pour tout niveau particulier incluent ceux qui seraient consignés aux niveaux supérieurs. Par exemple, le niveau Normal inclut tous les messages d'erreur.

  3. Éventuellement, sous en-têtes de protocole d'audit, définissez les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit de lecture et d'écriture du client. Utilisez un astérisque (*) comme caractère générique pour qu'il corresponde à zéro ou à plusieurs caractères. Utilisez la séquence d'échappement (\*) pour faire correspondre un astérisque littéral.

    Remarque Les en-têtes de protocole d'audit ne s'appliquent qu'aux demandes S3 et Swift.
  4. Sélectionnez Ajouter un autre en-tête pour créer des en-têtes supplémentaires, si nécessaire.

    Lorsque des en-têtes HTTP sont trouvés dans une requête, ils sont inclus dans le message d'audit sous le champ HTRH.

    Remarque Les en-têtes de requête de protocole d'audit ne sont consignés que si le niveau d'audit pour lecture client ou écriture client n'est pas off.
  5. Sélectionnez Enregistrer

    Une bannière verte indique que votre configuration a été enregistrée avec succès.

Utiliser un serveur syslog externe

Vous pouvez configurer un serveur syslog externe si vous souhaitez enregistrer les informations d'audit à distance.

Sélectionnez les destinations des informations d'audit

Vous pouvez spécifier l'emplacement d'envoi des journaux d'audit, des journaux d'événements de sécurité et des journaux d'application.

Remarque Certaines destinations sont disponibles uniquement si vous utilisez un serveur syslog externe. Voir Configurer un serveur syslog externe pour configurer un serveur syslog externe.
Remarque Pour plus d'informations sur les journaux du logiciel StorageGRID, consultez Journaux du logiciel StorageGRID.
  1. Sur la page Audit and syslog Server, sélectionnez la destination des informations d'audit dans les options répertoriées :

    Option Description

    Par défaut (nœuds d'administration/nœuds locaux)

    Les messages d'audit sont envoyés au journal d'audit (audit.log) Sur le nœud d'administration, les journaux d'événements de sécurité et les journaux d'applications sont stockés sur les nœuds où ils ont été générés (également appelés « nœud local »).

    Serveur syslog externe

    Les informations d'audit sont envoyées à un serveur syslog externe et enregistrées sur le nœud local. Le type d'information envoyée dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoir configuré un serveur syslog externe.

    Nœud d'administration et serveur syslog externe

    Les messages d'audit sont envoyés au journal d'audit (audit.log) Sur le nœud d'administration, les informations d'audit sont envoyées au serveur syslog externe et enregistrées sur le nœud local. Le type d'information envoyée dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoir configuré un serveur syslog externe.

    Nœuds locaux uniquement

    Aucune information d'audit n'est envoyée à un nœud d'administration ou à un serveur syslog distant. Les informations d'audit sont enregistrées uniquement sur les nœuds qui les ont générées.

    Remarque: StorageGRID supprime périodiquement ces journaux locaux dans une rotation pour libérer de l'espace. Lorsque le fichier journal d'un nœud atteint 1 Go, le fichier existant est enregistré et un nouveau fichier journal est démarré. La limite de rotation du journal est de 21 fichiers. Lorsque la 22e version du fichier journal est créée, le fichier journal le plus ancien est supprimé. En moyenne, environ 20 Go de données de journalisation sont stockés sur chaque nœud.

Remarque Les informations d'audit générées sur chaque nœud local sont stockées dans /var/local/log/localaudit.log
  1. Sélectionnez Enregistrer.

Un message d'avertissement s'affiche :

Avertissement Modifier la destination du journal ?
  1. Confirmez que vous souhaitez modifier la destination des informations d'audit en sélectionnant OK.

    Une bannière verte s'affiche pour vous informer que la configuration de votre audit a bien été enregistrée.

    Les nouveaux journaux sont envoyés aux destinations que vous avez sélectionnées. Les journaux existants restent à leur emplacement actuel.