Come ONTAP implementa la registrazione dell'audit
Le attività di gestione registrate nel registro di audit sono incluse nei report standard di AutoSupport e alcune attività di registrazione sono incluse nei messaggi EMS. È inoltre possibile inoltrare il registro di controllo alle destinazioni specificate e visualizzare i file di registro di controllo utilizzando la CLI o un browser Web.
A partire da ONTAP 9.11.1, è possibile visualizzare il contenuto del registro di controllo utilizzando Gestione di sistema.
A partire da ONTAP 9.12.1, ONTAP fornisce avvisi di manomissione per i registri di controllo. ONTAP esegue un lavoro giornaliero in background per verificare la presenza di manomissioni di file audit.log e invia un avviso EMS se trova file di registro modificati o manomessi.
ONTAP registra le attività di gestione eseguite sul cluster, ad esempio la richiesta emessa, l'utente che ha attivato la richiesta, il metodo di accesso dell'utente e l'ora della richiesta.
Le attività di gestione possono essere di uno dei seguenti tipi:
-
Richieste SET, che in genere si applicano a comandi o operazioni non di visualizzazione:
-
Queste richieste vengono emesse quando si esegue un
create
,modify
, o.delete
ad esempio. -
Le richieste di set vengono registrate per impostazione predefinita.
-
-
Richieste GET, che recuperano le informazioni e le visualizzano nell'interfaccia di gestione:
-
Queste richieste vengono emesse quando si esegue un
show
ad esempio. -
LE richieste GET non vengono registrate per impostazione predefinita, ma è possibile controllare se LE richieste GET inviate dall'interfaccia CLI ONTAP (
-cliget
), dall'API ONTAP (-ontapiget
) O dall'API REST (-httpget
) sono registrati nel file.
-
ONTAP registra le attività di gestione in /mroot/etc/log/mlog/audit.log
file di un nodo. I comandi delle tre shell per i comandi CLI—la clustershell, il nodeshell e la shell di sistema non interattiva (i comandi interattivi della shell di sistema non sono registrati)--così come i comandi API sono registrati qui. I registri di audit includono timestamp per mostrare se tutti i nodi di un cluster sono sincronizzati in base all'ora.
Il audit.log
Il file viene inviato dallo strumento AutoSupport ai destinatari specificati. È inoltre possibile inoltrare il contenuto in modo sicuro alle destinazioni esterne specificate, ad esempio un server Splunk o syslog.
Il audit.log
il file viene ruotato ogni giorno. La rotazione si verifica anche quando raggiunge 100 MB di dimensione e le precedenti 48 copie vengono conservate (con un totale massimo di 49 file). Quando il file di audit esegue la rotazione giornaliera, non viene generato alcun messaggio EMS. Se il file di audit ruota a causa del superamento del limite di dimensione del file, viene generato un messaggio EMS.