Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i messaggi di controllo e il server syslog esterno

Collaboratori

È possibile configurare una serie di impostazioni relative ai messaggi di controllo. È possibile regolare il numero di messaggi di controllo registrati, definire eventuali intestazioni di richiesta HTTP che si desidera includere nei messaggi di controllo di lettura e scrittura del client, configurare un server syslog esterno e specificare dove vengono inviati i registri di controllo, i registri degli eventi di protezione e i registri del software StorageGRID.

I messaggi e i registri di audit registrano le attività del sistema e gli eventi di sicurezza e sono strumenti essenziali per il monitoraggio e la risoluzione dei problemi. Tutti i nodi StorageGRID generano messaggi di audit e registri per tenere traccia dell'attività e degli eventi del sistema.

In alternativa, è possibile configurare un server syslog esterno per salvare le informazioni di revisione in remoto. L'utilizzo di un server esterno riduce al minimo l'impatto delle prestazioni della registrazione dei messaggi di controllo senza ridurre la completezza dei dati di controllo. Un server syslog esterno è particolarmente utile se si dispone di un grid di grandi dimensioni, se si utilizzano più tipi di applicazioni S3 o se si desidera mantenere tutti i dati di revisione. Per ulteriori informazioni, vedere "Configurare i messaggi di controllo e il server syslog esterno" .

Prima di iniziare

Modificare i livelli dei messaggi di controllo

È possibile impostare un livello di audit diverso per ciascuna delle seguenti categorie di messaggi nel registro di audit:

Categoria di audit Impostazione predefinita Ulteriori informazioni

Sistema

Normale

Storage

Errore

Gestione

Normale

Letture del client

Normale

Il client scrive

Normale

ILM

Normale

Replica cross-grid

Errore

Nota Queste impostazioni predefinite si applicano se StorageGRID è stato installato inizialmente utilizzando la versione 10.3 o successiva. Se inizialmente è stata utilizzata una versione precedente di StorageGRID, l'impostazione predefinita per tutte le categorie è normale.
Nota Durante gli aggiornamenti, le configurazioni a livello di audit non saranno effettive immediatamente.
Fasi
  1. Selezionare CONFIGURATION > Monitoring > Audit and syslog server.

  2. Per ciascuna categoria di messaggi di audit, selezionare un livello di audit dall'elenco a discesa:

    Livello di audit Descrizione

    Spento

    Non vengono registrati messaggi di audit della categoria.

    Errore

    Vengono registrati solo messaggi di errore - messaggi di audit per i quali il codice risultato non è stato "riuscito" (SUCS).

    Normale

    Vengono registrati i messaggi transazionali standard, ovvero i messaggi elencati in queste istruzioni per la categoria.

    Debug

    Obsoleto. Questo livello si comporta come il livello di audit normale.

    I messaggi inclusi per qualsiasi livello specifico includono quelli che verrebbero registrati ai livelli superiori. Ad esempio, il livello normale include tutti i messaggi di errore.

    Nota Se non si richiede un record dettagliato delle operazioni di lettura del client per le applicazioni S3, modificare l'impostazione letture del client su errore per ridurre il numero di messaggi di audit registrati nel registro di audit.
  3. Selezionare Salva.

    Un banner verde indica che la configurazione è stata salvata.

Definire le intestazioni delle richieste HTTP

Facoltativamente, è possibile definire qualsiasi intestazione di richiesta HTTP che si desidera includere nei messaggi di controllo di lettura e scrittura del client. Queste intestazioni di protocollo si applicano solo alle richieste S3.

Fasi
  1. Nella sezione Audit Protocol headers, definire le intestazioni di richiesta HTTP che si desidera includere nei messaggi di controllo di lettura e scrittura del client.

    Utilizzare un asterisco () come carattere jolly per far corrispondere zero o più caratteri. Utilizzare la sequenza escape () per far corrispondere un asterisco letterale.

  2. Selezionare Add another header (Aggiungi un'altra intestazione) per creare altre intestazioni, se necessario.

    Quando le intestazioni HTTP vengono trovate in una richiesta, vengono incluse nel messaggio di audit nel campo HTRH.

    Nota Le intestazioni delle richieste del protocollo di audit vengono registrate solo se il livello di audit per letture client o scritture client non è disattivato.
  3. Selezionare Salva

    Un banner verde indica che la configurazione è stata salvata.

Usa un server syslog esterno

In alternativa, è possibile configurare un server syslog esterno per salvare registri di controllo, registri delle applicazioni e registri di eventi di sicurezza in una posizione esterna alla griglia.

Nota Se non si desidera utilizzare un server syslog esterno, ignorare questo passaggio e andare a Selezionare le destinazioni delle informazioni di audit.
Suggerimento Se le opzioni di configurazione disponibili in questa procedura non sono sufficientemente flessibili da soddisfare i requisiti, è possibile applicare ulteriori opzioni di configurazione utilizzando gli audit-destinations endpoint, che si trovano nella sezione API privata di "API di Grid Management". Ad esempio, è possibile utilizzare l'API se si desidera utilizzare server syslog diversi per diversi gruppi di nodi.

Inserire le informazioni di syslog

Accedere alla procedura guidata Configura server syslog esterno e fornire le informazioni di cui StorageGRID ha bisogno per accedere al server syslog esterno.

Fasi
  1. Dalla pagina Audit and syslog server (controllo e server syslog), selezionare Configure external syslog server (Configura server syslog esterno Oppure, se è stato precedentemente configurato un server syslog esterno, selezionare Modifica server syslog esterno.

    Viene visualizzata la procedura guidata Configura server syslog esterno.

  2. Per la fase inserire le informazioni syslog della procedura guidata, immettere un nome di dominio completo valido o un indirizzo IPv4 o IPv6 per il server syslog esterno nel campo host.

  3. Inserire la porta di destinazione sul server syslog esterno (deve essere un numero intero compreso tra 1 e 65535). La porta predefinita è 514.

  4. Selezionare il protocollo utilizzato per inviare le informazioni di audit al server syslog esterno.

    Si consiglia di utilizzare TLS o RELP/TLS. Per utilizzare una di queste opzioni, è necessario caricare un certificato del server. L'utilizzo dei certificati consente di proteggere le connessioni tra la griglia e il server syslog esterno. Per ulteriori informazioni, vedere "Gestire i certificati di sicurezza".

    Tutte le opzioni del protocollo richiedono il supporto e la configurazione del server syslog esterno. È necessario scegliere un'opzione compatibile con il server syslog esterno.

    Nota Il protocollo RELP (Reliable Event Logging Protocol) estende le funzionalità del protocollo syslog per fornire un'erogazione affidabile dei messaggi di evento. L'utilizzo di RELP può contribuire a prevenire la perdita di informazioni di controllo nel caso in cui il server syslog esterno debba essere riavviato.
  5. Selezionare continua.

  6. se si seleziona TLS o RELP/TLS, caricare i certificati CA del server, il certificato client e la chiave privata del client.

    1. Selezionare Sfoglia per il certificato o la chiave che si desidera utilizzare.

    2. Selezionare il certificato o il file della chiave.

    3. Selezionare Open per caricare il file.

      Accanto al nome del certificato o del file della chiave viene visualizzato un segno di spunta verde che indica che il caricamento è stato eseguito correttamente.

  7. Selezionare continua.

Gestire il contenuto syslog

È possibile selezionare le informazioni da inviare al server syslog esterno.

Fasi
  1. Per la fase Gestisci contenuto syslog della procedura guidata, selezionare ogni tipo di informazione di audit che si desidera inviare al server syslog esterno.

    • Invia log di audit: Invia eventi StorageGRID e attività di sistema

    • Invia eventi di sicurezza: Invia eventi di sicurezza, ad esempio quando un utente non autorizzato tenta di effettuare l'accesso o un utente accede come root

    • Invia registri applicazione: Consente di inviare messaggi "File di log del software StorageGRID" utili per la risoluzione dei problemi, tra cui:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (Solo nodi amministrativi)

      • prometheus.log

      • raft.log

      • hagroups.log

    • Invia log di accesso: Invia log di accesso HTTP per le richieste esterne a Grid Manager, Tenant Manager, endpoint di bilanciamento del carico configurati e richieste di federazione griglia da sistemi remoti.

  2. Utilizzare i menu a discesa per selezionare la gravità e la struttura (tipo di messaggio) per ciascuna categoria di informazioni di controllo che si desidera inviare.

    L'impostazione dei valori di gravità e struttura consente di aggregare i registri in modo personalizzabile per semplificare l'analisi.

    1. Per gravità, selezionare Passthrough oppure selezionare un valore di gravità compreso tra 0 e 7.

      Se si seleziona un valore, il valore selezionato verrà applicato a tutti i messaggi di questo tipo. Le informazioni sui diversi livelli di gravità andranno perse se si sovrascrive la gravità con un valore fisso.

      Severità Descrizione

      Passthrough

      Ogni messaggio inviato al syslog esterno per avere lo stesso valore di gravità di quando è stato registrato localmente sul nodo:

      • Per i registri di controllo, la gravità è "info".

      • Per gli eventi di sicurezza, i valori di gravità sono generati dalla distribuzione Linux sui nodi.

      • Per i registri delle applicazioni, i livelli di gravità variano tra "info" e "avviso", a seconda del problema. Ad esempio, aggiungendo un server NTP e configurando un gruppo ha si ottiene il valore "info", mentre arrestando intenzionalmente il servizio SSM o RSM si ottiene il valore "avviso".

      • Per i registri di accesso, la gravità è "info".

      0

      Emergenza: Il sistema non è utilizzabile

      1

      Attenzione: L'azione deve essere eseguita immediatamente

      2

      Critico: Condizioni critiche

      3

      Errore: Condizioni di errore

      4

      Avvertenza: Condizioni di avviso

      5

      Avviso: Condizione normale ma significativa

      6

      Informativo: Messaggi informativi

      7

      Debug: Messaggi a livello di debug

    2. Per Facilty, selezionare Passthrough o selezionare un valore di struttura compreso tra 0 e 23.

      Se si seleziona un valore, questo verrà applicato a tutti i messaggi di questo tipo. Le informazioni sulle diverse strutture andranno perse se si sostituisce la struttura con un valore fisso.

    Struttura Descrizione

    Passthrough

    Ogni messaggio inviato al syslog esterno per avere lo stesso valore di struttura di quando è stato collegato localmente al nodo:

    • Per i registri di controllo, la struttura inviata al server syslog esterno è "local7".

    • Per gli eventi di sicurezza, i valori della struttura vengono generati dalla distribuzione linux sui nodi.

    • Per i registri delle applicazioni, i registri delle applicazioni inviati al server syslog esterno presentano i seguenti valori di struttura:

      • bycast.log: utente o daemon

      • bycast-err.log: utente, daemon, local3 o local4

      • jaeger.log: local2

      • nms.log: local3

      • prometheus.log: local4

      • raft.log: local5

      • hagroups.log: local6

    • Per i registri di accesso, la struttura inviata al server syslog esterno è "local0".

    0

    kern (messaggi kernel)

    1

    utente (messaggi a livello utente)

    2

    mail

    3

    daemon (daemon di sistema)

    4

    auth (messaggi di sicurezza/autorizzazione)

    5

    syslog (messaggi generati internamente da syslogd)

    6

    lpr (sottosistema di stampanti di linea)

    7

    news (sottosistema notizie di rete)

    8

    UUCP

    9

    cron (daemon di clock)

    10

    sicurezza (messaggi di sicurezza/autorizzazione)

    11

    FTP

    12

    NTP

    13

    logaudit (audit del log)

    14

    logalert (avviso di log)

    15

    clock (daemon di clock)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. Selezionare continua.

Inviare messaggi di test

Prima di iniziare a utilizzare un server syslog esterno, è necessario richiedere a tutti i nodi della griglia di inviare messaggi di test al server syslog esterno. È necessario utilizzare questi messaggi di test per convalidare l'intera infrastruttura di raccolta dei log prima di inviare i dati al server syslog esterno.

Avvertenza Non utilizzare la configurazione del server syslog esterno fino a quando non si conferma che il server syslog esterno ha ricevuto un messaggio di test da ciascun nodo della griglia e che il messaggio è stato elaborato come previsto.
Fasi
  1. Se non si desidera inviare messaggi di test perché si è certi che il server syslog esterno sia configurato correttamente e che sia in grado di ricevere informazioni di controllo da tutti i nodi della griglia, selezionare Ignora e termina.

    Un banner verde indica che la configurazione è stata salvata.

  2. In caso contrario, selezionare Invia messaggi di prova (scelta consigliata).

    I risultati del test vengono visualizzati continuamente sulla pagina fino a quando non si interrompe il test. Mentre il test è in corso, i messaggi di controllo continuano a essere inviati alle destinazioni precedentemente configurate.

  3. Se si ricevono errori, correggerli e selezionare di nuovo Invia messaggi di prova.

    Per informazioni sulla risoluzione di eventuali errori, consultare la sezione"Risolvere i problemi di un server syslog esterno".

  4. Attendere che venga visualizzato un banner verde che indica che tutti i nodi hanno superato il test.

  5. Controllare il server syslog per determinare se i messaggi di test vengono ricevuti ed elaborati come previsto.

    Nota Se si utilizza UDP, controllare l'intera infrastruttura di raccolta dei log. Il protocollo UDP non consente un rilevamento degli errori rigoroso come gli altri protocolli.
  6. Selezionare Stop and Finish (Interrompi e termina).

    Viene nuovamente visualizzata la pagina Audit and syslog server. Un banner verde indica che la configurazione del server syslog è stata salvata.

    Nota Le informazioni di audit StorageGRID non vengono inviate al server syslog esterno finché non si seleziona una destinazione che include il server syslog esterno.

Selezionare le destinazioni delle informazioni di audit

È possibile specificare dove vengono inviati i registri di controllo, i registri eventi di protezione e "Log del software StorageGRID".

Nota

StorageGRID utilizza per impostazione predefinita le destinazioni di controllo dei nodi locali e memorizza le informazioni di controllo in /var/local/log/localaudit.log.

Quando si utilizza /var/local/log/localaudit.log, le voci del registro di controllo di Grid Manager e Tenant Manager potrebbero essere inviate a un nodo di archiviazione. È possibile individuare il nodo con le voci più recenti utilizzando il run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail" comando.

Alcune destinazioni sono disponibili solo se è stato configurato un server syslog esterno.

Fasi
  1. Nella pagina Audit and syslog server (Server audit e syslog), selezionare la destinazione per le informazioni di audit.

    Suggerimento Solo nodi locali e Server syslog esterno in genere offrono prestazioni migliori.
    Opzione Descrizione

    Solo nodi locali (impostazione predefinita)

    I messaggi di controllo, i registri degli eventi di protezione e i registri delle applicazioni non vengono inviati ai nodi amministrativi. Vengono invece salvati solo sui nodi che li hanno generati ("nodo locale"). Le informazioni di controllo generate su ogni nodo locale sono memorizzate in /var/local/log/localaudit.log.

    Nota: StorageGRID rimuove periodicamente i log locali in una rotazione per liberare spazio. Quando il file di log di un nodo raggiunge 1 GB, il file esistente viene salvato e viene avviato un nuovo file di log. Il limite di rotazione per il log è di 21 file. Quando viene creata la ventiduesima versione del file di log, il file di log più vecchio viene cancellato. In media, su ciascun nodo vengono memorizzati circa 20 GB di dati di log.

    Nodi amministrativi/nodi locali

    I messaggi di controllo vengono inviati al registro di controllo sui nodi Admin, mentre i registri degli eventi di protezione e i registri delle applicazioni vengono memorizzati sui nodi che li hanno generati. Le informazioni di controllo sono memorizzate nei seguenti file:

    • Nodi amministrativi (primario e non primario): /var/local/audit/export/audit.log

    • Tutti i nodi: Il /var/local/log/localaudit.log file è in genere vuoto o mancante. Potrebbe contenere informazioni secondarie, ad esempio una copia aggiuntiva di alcuni messaggi.

    Server syslog esterno

    Le informazioni di controllo vengono inviate a un server syslog esterno e salvate sui nodi locali (/var/local/log/localaudit.log). Il tipo di informazioni inviate dipende dalla configurazione del server syslog esterno. Questa opzione viene attivata solo dopo aver configurato un server syslog esterno.

    Nodo di amministrazione e server syslog esterno

    I messaggi di controllo vengono inviati al registro di controllo (/var/local/audit/export/audit.log) sui nodi Admin e le informazioni di controllo vengono inviate al server syslog esterno e salvate sul nodo locale (/var/local/log/localaudit.log. Il tipo di informazioni inviate dipende dalla configurazione del server syslog esterno. Questa opzione viene attivata solo dopo aver configurato un server syslog esterno.

  2. Selezionare Salva.

    Viene visualizzato un messaggio di avviso.

  3. Selezionare OK per confermare che si desidera modificare la destinazione per le informazioni di controllo.

    Un banner verde indica che la configurazione di controllo è stata salvata.

    I nuovi registri vengono inviati alle destinazioni selezionate. I registri esistenti rimangono nella posizione corrente.