Configurez les messages d'audit et les destinations des journaux
Les messages d'audit et les journaux enregistrent les activités du système et les événements de sécurité. Ils constituent les outils essentiels de surveillance et de dépannage. Vous pouvez régler les niveaux d'audit pour augmenter ou diminuer le type et le nombre de messages d'audit enregistrés. Vous pouvez éventuellement définir les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit client en lecture et écriture. Vous pouvez également configurer un serveur syslog externe et modifier la destination des informations d'audit.
Pour plus d'informations sur les messages d'audit, reportez-vous à la section Examiner les journaux d'audit.
-
Vous êtes connecté au Grid Manager à l'aide d'un navigateur web pris en charge.
-
Vous disposez d'autorisations d'accès à la racine ou à la maintenance.
Tous les nœuds StorageGRID génèrent des messages d'audit et des journaux pour suivre l'activité et les événements du système. Par défaut, les informations d'audit sont envoyées au journal d'audit des nœuds d'administration. Vous pouvez régler les niveaux d'audit pour augmenter ou diminuer le type et le nombre de messages d'audit enregistrés dans le journal d'audit. Vous pouvez également configurer les informations d'audit à envoyer à un serveur syslog distant ou à stocker temporairement sur les nœuds d'origine pour une collecte manuelle.
Modifier les niveaux de messages d'audit dans le journal d'audit
Vous pouvez définir un niveau d'audit différent pour chacune des catégories de messages suivantes dans le journal d'audit :
Catégorie de vérification | Description |
---|---|
Système |
Par défaut, ce niveau est défini sur Normal. Voir Messages d'audit système. |
Stockage |
Par défaut, ce niveau est défini sur erreur. Voir Messages d'audit du stockage objet. |
Gestion |
Par défaut, ce niveau est défini sur Normal. Voir Message d'audit de gestion. |
Lectures du client |
Par défaut, ce niveau est défini sur Normal. Voir Messages d'audit de lecture du client. |
Écritures client |
Par défaut, ce niveau est défini sur Normal. Voir Écrire des messages d'audit client. |
Ces valeurs par défaut s'appliquent si vous avez installé StorageGRID à l'origine à l'aide de la version 10.3 ou ultérieure. Si vous avez mis à niveau à partir d'une version antérieure de StorageGRID, la valeur par défaut pour toutes les catégories est Normal. |
Durant les mises à niveau, les configurations des niveaux d'audit ne seront pas effectives immédiatement. |
-
Sélectionnez CONFIGURATION surveillance Audit et serveur syslog.
-
Pour chaque catégorie de message d'audit, sélectionnez un niveau d'audit dans la liste déroulante :
Niveau d'audit Description Éteint
Aucun message d'audit de la catégorie n'est enregistré.
Erreur
Seuls les messages d'erreur sont consignés—les messages d'audit pour lesquels le code de résultat n'a pas été « réussi » (CMC).
Normale
Les messages transactionnels standard sont consignés—les messages répertoriés dans ces instructions pour la catégorie.
Débogage
Obsolète. Ce niveau se comporte de la même manière que le niveau d'audit normal.
Les messages inclus pour tout niveau particulier incluent ceux qui seraient consignés aux niveaux supérieurs. Par exemple, le niveau Normal inclut tous les messages d'erreur.
-
Éventuellement, sous en-têtes de protocole d'audit, définissez les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit de lecture et d'écriture du client. Utilisez un astérisque (*) comme caractère générique pour qu'il corresponde à zéro ou à plusieurs caractères. Utilisez la séquence d'échappement (\*) pour faire correspondre un astérisque littéral.
Les en-têtes de protocole d'audit ne s'appliquent qu'aux demandes S3 et Swift. -
Sélectionnez Ajouter un autre en-tête pour créer des en-têtes supplémentaires, si nécessaire.
Lorsque des en-têtes HTTP sont trouvés dans une requête, ils sont inclus dans le message d'audit sous le champ HTRH.
Les en-têtes de requête de protocole d'audit ne sont consignés que si le niveau d'audit pour lecture client ou écriture client n'est pas off. -
Sélectionnez Enregistrer
Une bannière verte indique que votre configuration a été enregistrée avec succès.
Utiliser un serveur syslog externe
Vous pouvez configurer un serveur syslog externe si vous souhaitez enregistrer les informations d'audit à distance.
-
Pour enregistrer les informations d'audit sur un serveur syslog externe, accédez à Configurer un serveur syslog externe.
-
Si vous n'utilisez pas de serveur syslog externe, accédez à Sélectionnez les destinations des informations d'audit.
Sélectionnez les destinations des informations d'audit
Vous pouvez spécifier l'emplacement d'envoi des journaux d'audit, des journaux d'événements de sécurité et des journaux d'application.
Certaines destinations sont disponibles uniquement si vous utilisez un serveur syslog externe. Voir Configurer un serveur syslog externe pour configurer un serveur syslog externe. |
Pour plus d'informations sur les journaux du logiciel StorageGRID, consultez Journaux du logiciel StorageGRID. |
-
Sur la page Audit and syslog Server, sélectionnez la destination des informations d'audit dans les options répertoriées :
Option Description Par défaut (nœuds d'administration/nœuds locaux)
Les messages d'audit sont envoyés au journal d'audit (
audit.log
) Sur le nœud d'administration, les journaux d'événements de sécurité et les journaux d'applications sont stockés sur les nœuds où ils ont été générés (également appelés « nœud local »).Serveur syslog externe
Les informations d'audit sont envoyées à un serveur syslog externe et enregistrées sur le nœud local. Le type d'information envoyée dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoir configuré un serveur syslog externe.
Nœud d'administration et serveur syslog externe
Les messages d'audit sont envoyés au journal d'audit (
audit.log
) Sur le nœud d'administration, les informations d'audit sont envoyées au serveur syslog externe et enregistrées sur le nœud local. Le type d'information envoyée dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoir configuré un serveur syslog externe.Nœuds locaux uniquement
Aucune information d'audit n'est envoyée à un nœud d'administration ou à un serveur syslog distant. Les informations d'audit sont enregistrées uniquement sur les nœuds qui les ont générées.
Remarque: StorageGRID supprime périodiquement ces journaux locaux dans une rotation pour libérer de l'espace. Lorsque le fichier journal d'un nœud atteint 1 Go, le fichier existant est enregistré et un nouveau fichier journal est démarré. La limite de rotation du journal est de 21 fichiers. Lorsque la 22e version du fichier journal est créée, le fichier journal le plus ancien est supprimé. En moyenne, environ 20 Go de données de journalisation sont stockés sur chaque nœud.
Les informations d'audit générées sur chaque nœud local sont stockées dans /var/local/log/localaudit.log
|
-
Sélectionnez Enregistrer.
Un message d'avertissement s'affiche :
Modifier la destination du journal ? |
-
Confirmez que vous souhaitez modifier la destination des informations d'audit en sélectionnant OK.
Une bannière verte s'affiche pour vous informer que la configuration de votre audit a bien été enregistrée.
Les nouveaux journaux sont envoyés aux destinations que vous avez sélectionnées. Les journaux existants restent à leur emplacement actuel.