Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer la gestion des journaux

Contributeurs netapp-lhalbert netapp-perveilerk netapp-pcarriga
PDF

Selon les besoins, configurez les niveaux d’audit, les en-têtes de protocole et l’emplacement des messages et des journaux d’audit.

Tous les nœuds StorageGRID génèrent des messages d’audit et des journaux pour suivre l’activité et les événements du système. Les messages d’audit et les journaux sont des outils essentiels pour la surveillance et le dépannage.

En option, vous pouvez"configurer un serveur syslog externe" pour enregistrer les informations d'audit à distance. L’utilisation d’un serveur externe minimise l’impact sur les performances de la journalisation des messages d’audit sans réduire l’exhaustivité des données d’audit. Un serveur syslog externe est particulièrement utile si vous disposez d'une grande grille, utilisez plusieurs types d'applications S3 ou souhaitez conserver toutes les données d'audit.

Avant de commencer

Modifier les niveaux des messages d'audit

Vous pouvez définir un niveau d'audit différent pour chacune des catégories de messages suivantes dans le journal d'audit :

Catégorie de vérification Paramètre par défaut Plus d'informations

Système

Normale

"Messages d'audit système"

Stockage

Erreur

"Messages d'audit du stockage objet"

Gestion

Normale

"Message d'audit de gestion"

Lectures du client

Normale

"Messages d'audit de lecture du client"

Écritures des clients

Normale

"Écrire des messages d'audit client"

ILM

Normale

"Messages d'audit ILM"

Réplication entre plusieurs grilles

Erreur

"CGRR : demande de réplication croisée"
Remarque Lors des mises à niveau, les configurations de niveau d'audit ne seront pas effectives immédiatement.
Étapes

  1. Sélectionnez Configuration > Surveillance > Gestion des journaux.

  2. Pour chaque catégorie de message d'audit, sélectionnez un niveau d'audit dans la liste déroulante :

    Niveau d'audit Description

    Arrêt

    Aucun message d'audit de la catégorie n'est enregistré.

    Erreur

    Seuls les messages d'erreur sont enregistrés : les messages d'audit pour lesquels le code de résultat n'était pas « réussi » (SUCS).

    Normale

    Les messages transactionnels standard sont consignés—​les messages répertoriés dans ces instructions pour la catégorie.

    Débogage

    Obsolète. Ce niveau se comporte de la même manière que le niveau d'audit normal.

    Les messages inclus pour tout niveau particulier incluent ceux qui seraient consignés aux niveaux supérieurs. Par exemple, le niveau Normal inclut tous les messages d'erreur.

    Remarque Si vous n'avez pas besoin d'un enregistrement détaillé des opérations de lecture client pour vos applications S3, vous pouvez éventuellement modifier le paramètre Lectures client sur Erreur pour réduire le nombre de messages d'audit enregistrés dans le journal d'audit.

  3. Sélectionnez Enregistrer.

Définissez les en-têtes de requête HTTP

Vous pouvez éventuellement définir les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit de lecture et d'écriture du client.

Étapes

  1. Dans la section en-têtes de protocole d'audit, définissez les en-têtes de requête HTTP que vous souhaitez inclure dans les messages d'audit de lecture et d'écriture du client.

    Utilisez un astérisque (*) comme caractère générique pour qu'il corresponde à zéro ou à plusieurs caractères. Utilisez la séquence d'échappement (\*) pour faire correspondre un astérisque littéral.

  2. Sélectionnez Ajouter un autre en-tête pour créer des en-têtes supplémentaires, si nécessaire.

    Lorsque des en-têtes HTTP sont trouvés dans une requête, ils sont inclus dans le message d'audit sous le champ HTRH.

    Remarque Les en-têtes de demande du protocole d'audit sont enregistrés uniquement si le niveau d'audit pour Lectures client ou Écritures client n'est pas Désactivé.

  3. Sélectionnez Enregistrer

Configurer l'emplacement du journal

Par défaut, les messages d’audit et les journaux sont enregistrés sur les nœuds où ils sont générés. Ils sont périodiquement tournés et finalement supprimés pour éviter qu'ils ne consomment trop d'espace disque. Si vous souhaitez enregistrer les messages d’audit et un sous-ensemble de journaux en externe,utiliser un serveur syslog externe .

Si vous souhaitez enregistrer les fichiers journaux en interne, choisissez un locataire et un bucket pour le stockage des journaux et activez l'archivage des journaux.

utilisez un serveur syslog externe

Vous pouvez également configurer un serveur syslog externe pour enregistrer les journaux d'audit, les journaux d'application et les journaux d'événements de sécurité dans un emplacement en dehors de votre grille.

Remarque Si vous ne souhaitez pas utiliser un serveur syslog externe, ignorez cette étape et accédez àSélectionnez l'emplacement du journal .
Astuce Si les options de configuration disponibles dans cette procédure ne sont pas suffisamment flexibles pour répondre à vos besoins, des options de configuration supplémentaires peuvent être appliquées à l'aide des audit-destinations noeuds finaux, qui se trouvent dans la section API privée de la "API de gestion du grid". Par exemple, vous pouvez utiliser l'API si vous souhaitez utiliser différents serveurs syslog pour différents groupes de nœuds.

Entrez les informations syslog

Accédez à l'assistant configurer le serveur syslog externe et fournissez les informations dont StorageGRID a besoin pour accéder au serveur syslog externe.

Étapes

  1. Dans l’onglet Nœud local et serveur externe, sélectionnez Configurer le serveur syslog externe. Ou, si vous avez déjà configuré un serveur syslog externe, sélectionnez Modifier le serveur syslog externe.

    L'assistant configurer le serveur syslog externe s'affiche.

  2. Pour l'étape Entrez les informations syslog de l'assistant, entrez un nom de domaine complet valide ou une adresse IPv4 ou IPv6 pour le serveur syslog externe dans le champ Host.

  3. Entrez le port de destination sur le serveur syslog externe (doit être un entier compris entre 1 et 65535). Le port par défaut est 514.

  4. Sélectionnez le protocole utilisé pour envoyer les informations d'audit au serveur syslog externe.

    Il est recommandé d'utiliser TLS ou RELP/TLS. Vous devez télécharger un certificat de serveur pour utiliser l'une de ces options. L'utilisation de certificats permet de sécuriser les connexions entre votre grille et le serveur syslog externe. Pour plus d'informations, voir "Gérer les certificats de sécurité".

    Toutes les options de protocole requièrent la prise en charge par le serveur syslog externe ainsi que sa configuration. Vous devez choisir une option compatible avec le serveur syslog externe.

    Remarque Le protocole RELP (fiable Event Logging Protocol) étend la fonctionnalité du protocole syslog afin de fournir des messages d'événement fiables. L'utilisation de RELP peut aider à éviter la perte d'informations d'audit si votre serveur syslog externe doit redémarrer.

  5. Sélectionnez Continuer.

  6. si vous avez sélectionné TLS ou RELP/TLS, téléchargez les certificats de l'autorité de certification du serveur, le certificat du client et la clé privée du client.

    1. Sélectionnez Parcourir pour le certificat ou la clé que vous souhaitez utiliser.

    2. Sélectionnez le certificat ou le fichier de clé.

    3. Sélectionnez Ouvrir pour charger le fichier.

      Une coche verte s'affiche en regard du nom du fichier de certificat ou de clé, vous informant qu'il a été téléchargé avec succès.

  7. Sélectionnez Continuer.

Gérer le contenu du journal système

Vous pouvez sélectionner les informations à envoyer au serveur syslog externe.

Étapes

  1. Pour l'étape gérer le contenu syslog de l'assistant, sélectionnez chaque type d'informations d'audit que vous souhaitez envoyer au serveur syslog externe.

    • Envoyer les journaux d'audit : envoie les événements StorageGRID et les activités système

    • Envoyer des événements de sécurité : envoie des événements de sécurité tels qu'une tentative d'ouverture de session par un utilisateur non autorisé ou une ouverture de session par un utilisateur en tant que root

    • Envoyer les journaux d'application : envoie des messages "Fichiers journaux du logiciel StorageGRID" utiles pour le dépannage, notamment :

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (Nœuds d'administration uniquement)

      • prometheus.log

      • raft.log

      • hagroups.log

    • Envoyer les journaux d'accès : envoie les journaux d'accès HTTP pour les demandes externes à Grid Manager, tenant Manager, les noeuds finaux configurés de l'équilibreur de charge et les demandes de fédération de grille à partir de systèmes distants.

  2. Utilisez les menus déroulants pour sélectionner la gravité et l'établissement (type de message) pour chaque catégorie d'informations d'audit que vous souhaitez envoyer.

    La définition de la gravité et des valeurs de l'établissement peut vous aider à regrouper les journaux de manière personnalisable pour une analyse plus facile.

    1. Pour gravité, sélectionnez passe-système ou sélectionnez une valeur de gravité comprise entre 0 et 7.

      Si vous sélectionnez une valeur, la valeur sélectionnée sera appliquée à tous les messages de ce type. Les informations sur les différentes gravité seront perdues si vous remplacez la gravité par une valeur fixe.

      Gravité Description

      Passe-système

      Chaque message envoyé au syslog externe a la même valeur de gravité que lorsqu'il a été connecté localement au nœud :

      • Pour les journaux d'audit, la gravité est « info ».

      • Pour les événements de sécurité, les valeurs de gravité sont générées par la distribution Linux sur les nœuds.

      • Pour les journaux d'application, les niveaux de gravité varient entre « info » et « avis », selon le problème. Par exemple, l'ajout d'un serveur NTP et la configuration d'un groupe HA donnent la valeur « INFO », tandis que l'arrêt délibéré du service SSM ou RSM donne la valeur « notification ».

      • Pour les journaux d'accès, la gravité est « info ».

      0

      Urgence : le système est inutilisable

      1

      Alerte : une action doit être effectuée immédiatement

      2

      Critique : conditions critiques

      3

      Erreur : conditions d'erreur

      4

      Avertissement : conditions d'avertissement

      5

      Remarque : condition normale mais significative

      6

      Information : messages d'information

      7

      Débogage : messages de niveau débogage

    2. Pour facilty, sélectionnez Passthrough ou sélectionnez une valeur d'installation comprise entre 0 et 23.

      Si vous sélectionnez une valeur, elle sera appliquée à tous les messages de ce type. Les informations concernant les différents sites seront perdues si vous remplacez l'établissement par une valeur fixe.

    Installation Description

    Passe-système

    Chaque message envoyé au syslog externe a la même valeur d'installation que lorsqu'il a été connecté localement au nœud :

    • Pour les journaux d'audit, la fonction envoyée au serveur syslog externe est « local7 ».

    • Pour les événements de sécurité, les valeurs d'installation sont générées par la distribution linux sur les nœuds.

    • Pour les journaux d'application, les journaux d'application envoyés au serveur syslog externe ont les valeurs suivantes :

      • bycast.log: utilisateur ou démon

      • bycast-err.log: utilisateur, démon, local3 ou local4

      • jaeger.log: local2

      • nms.log: local3

      • prometheus.log: local4

      • raft.log: local5

      • hagroups.log: local6

    • Pour les journaux d'accès, la fonction envoyée au serveur syslog externe est "local0".

    0

    kern (messages du noyau)

    1

    utilisateur (messages de niveau utilisateur)

    2

    e-mail

    3

    démon (démons système)

    4

    auth (messages de sécurité/d'autorisation)

    5

    syslog (messages générés en interne par syslogd)

    6

    lpr (sous-système d'imprimante ligne)

    7

    news (sous-système d'informations réseau)

    8

    UCP

    9

    cron (démon d'horloge)

    10

    sécurité (messages de sécurité/d'autorisation)

    11

    FTP

    12

    NTP

    13

    audit journal (audit du journal)

    14

    alerte journal (alerte de journal)

    15

    horloge (démon d'horloge)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. Sélectionnez Continuer.

Envoyer des messages de test

Avant de commencer à utiliser un serveur syslog externe, vous devez demander à tous les nœuds de votre grille d'envoyer des messages de test au serveur syslog externe. Ces messages de test vous aideront à valider l'intégralité de votre infrastructure de collecte de journaux avant de vous engager à envoyer des données au serveur syslog externe.

Avertissement N'utilisez pas la configuration du serveur syslog externe tant que vous n'avez pas confirmé que le serveur syslog externe a reçu un message test de chaque nœud de votre grille et que le message a été traité comme prévu.
Étapes

  1. Si vous ne souhaitez pas envoyer de messages de test parce que vous êtes certain que votre serveur syslog externe est correctement configuré et peut recevoir des informations d'audit de tous les nœuds de votre grille, sélectionnez Ignorer et terminer.

    Une bannière verte indique que la configuration a été enregistrée.

  2. Sinon, sélectionnez Envoyer les messages de test (recommandé).

    Les résultats de test apparaissent en permanence sur la page jusqu'à ce que vous arrêiez le test. Pendant que le test est en cours, vos messages d'audit continuent d'être envoyés à vos destinations précédemment configurées.

  3. Si vous recevez des erreurs lors de la configuration du serveur Syslog ou lors de l'exécution, corrigez-les et sélectionnez à nouveau Envoyer des messages de test.

    Reportez-vous "Dépanner un serveur syslog externe" à pour résoudre les erreurs.

  4. Attendez qu'une bannière verte indique que tous les nœuds ont réussi le test.

  5. Vérifiez votre serveur syslog pour déterminer si les messages de test sont reçus et traités comme prévu.

    Remarque Si vous utilisez UDP, vérifiez l’ensemble de votre infrastructure de collecte de journaux. Le protocole UDP ne permet pas une détection d’erreur aussi rigoureuse que les autres protocoles.

  6. Sélectionnez Arrêter et Terminer.

    Vous revenez à la page Audit and syslog Server. Une bannière verte indique que la configuration du serveur syslog a été enregistrée.

    Remarque Les informations d'audit StorageGRID ne sont pas envoyées au serveur Syslog externe tant que vous n'avez pas sélectionné une destination incluant le serveur Syslog externe.

Sélectionnez l'emplacement du journal

Vous pouvez spécifier où se trouvent les journaux d'audit, les journaux d'événements de sécurité,"Journaux d'application StorageGRID" , et les journaux d'accès sont envoyés.

Remarque

StorageGRID utilise par défaut les destinations d'audit de nœud local et stocke les informations d'audit dans /var/local/log/localaudit.log.

Lors de l'utilisation de /var/local/log/localaudit.log, les entrées du journal d'audit Grid Manager et tenant Manager peuvent être envoyées à un nœud de stockage. Vous pouvez trouver le nœud qui contient les entrées les plus récentes à l'aide de la run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail" commande.

Certaines destinations ne sont disponibles que si vous avez configuré un serveur syslog externe.
Étapes

  1. Sélectionnez Emplacement du journal > Nœud local et serveur externe.

  2. Pour modifier l’emplacement du journal pour les types de journaux, sélectionnez une option différente.

    Astuce Les nœuds locaux uniquement et le serveur syslog externe fournissent généralement de meilleures performances.
    Option Description

    Nœuds locaux uniquement (par défaut)

    Les messages d’audit, les journaux d’événements de sécurité et les journaux d’application ne sont pas envoyés aux nœuds d’administration. Au lieu de cela, ils sont enregistrés uniquement sur les nœuds qui les ont générés (« le nœud local »). Les informations d’audit générées sur chaque nœud local sont stockées dans /var/local/log/localaudit.log .

    Remarque : StorageGRID supprime périodiquement les journaux locaux dans une rotation pour libérer de l'espace. Lorsque le fichier journal d'un nœud atteint 1 Go, le fichier existant est enregistré et un nouveau fichier journal est démarré. La limite de rotation du journal est de 21 fichiers. Lorsque la 22e version du fichier journal est créée, le fichier journal le plus ancien est supprimé. En moyenne, environ 20 Go de données de journal sont stockés sur chaque nœud. Pour stocker les journaux pendant une période prolongée,utiliser un locataire et un bucket pour le stockage des journaux .

    Nœuds d'administration/nœuds locaux

    Les messages d'audit sont envoyés au journal d'audit sur les nœuds d'administration, et les journaux d'événements de sécurité et d'applications sont stockés sur les nœuds qui les ont générés. Les informations d'audit sont stockées dans les fichiers suivants :

    • Nœuds d'administration (primaires et non principaux) : /var/local/audit/export/audit.log

    • Tous les nœuds : le /var/local/log/localaudit.log fichier est généralement vide ou manquant. Il peut contenir des informations secondaires, telles qu'une copie supplémentaire de certains messages.

    Serveur syslog externe

    Les informations d'audit sont envoyées à un serveur syslog externe et enregistrées sur les nœuds locaux(/var/local/log/localaudit.log ). Le type d’informations envoyées dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoirconfiguré un serveur syslog externe .

    Nœuds d'administration et serveur syslog externe

    Les messages d'audit sont envoyés au journal d'audit(/var/local/audit/export/audit.log ) sur les nœuds d'administration, et les informations d'audit sont envoyées au serveur syslog externe et enregistrées sur le nœud local(/var/local/log/localaudit.log ). Le type d’informations envoyées dépend de la façon dont vous avez configuré le serveur syslog externe. Cette option n'est activée qu'après avoirconfiguré un serveur syslog externe .

  3. Sélectionnez Enregistrer.

    Un message d'avertissement s'affiche.

  4. Sélectionnez OK pour confirmer que vous souhaitez modifier la destination des informations d'audit.

    Les nouveaux journaux sont envoyés aux destinations que vous avez sélectionnées. Les journaux existants restent à leur emplacement actuel.

Utiliser un seau

Les journaux sont périodiquement tournés. Utilisez un bucket S3 dans la même grille pour stocker les journaux pendant une période prolongée.

  1. Sélectionnez Emplacement du journal > Utiliser un bucket.

  2. Cochez la case Activer les journaux d'archive.

  3. Si le locataire et le bucket répertoriés ne sont pas ceux que vous souhaitez utiliser, sélectionnez Modifier le locataire et le bucket, puis sélectionnez Créer le locataire et le bucket ou Sélectionner le locataire et le bucket.

    Créer un locataire et un bucket

    1. Entrez un nouveau nom de locataire.

    2. Saisissez et confirmez un mot de passe pour le nouveau locataire.

    3. Entrez un nouveau nom de bucket.

    4. Sélectionnez Créer et activer.

    Sélectionnez locataire et compartiment

    1. Sélectionnez un nom de locataire dans le menu déroulant.

    2. Sélectionnez un bucket dans le menu déroulant.

    3. Sélectionnez Sélectionner et activer.

  4. Sélectionnez Enregistrer.

    Les journaux seront stockés dans le locataire et le bucket que vous avez spécifiés. Le nom de la clé d'objet pour les journaux est dans ce format :

    system-logs/{node_hostname}/{absolute_path_to_log_file_on_node}--{last_modified_time}.gz

    Par exemple :

    system-logs/DC1-SN1/var/local/log/localaudit.log--2025-05-12_13:41:44.gz