Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP監査プロセスの仕組み

共同作成者
PDF

ONTAPの監査プロセスは、Microsoftの監査プロセスとは異なります。監査を設定する前に、ONTAP監査プロセスの仕組みを理解しておく必要があります。

監査レコードは、最初に個 々 のノードのバイナリステージングファイルに格納されます。あるSVMで監査が有効になると、すべてのメンバーノードでそのSVMのステージングファイルが保持されます。定期的に統合され、ユーザが読解可能なイベントログに変換されて、SVMの監査イベントログディレクトリに格納されます。

あるSVMで監査が有効になっている場合の処理

監査はSVMでのみ有効にできます。ストレージ管理者がSVMで監査を有効にすると、監査サブシステムによってステージングボリュームが存在するかどうかが確認されます。ステージングボリュームは、SVMに所有されているデータボリュームを含むアグリゲートごとに必要です。存在しない場合は、監査サブシステムによって、必要なステージングボリュームが作成されます。

また、監査が有効になる前に、前提条件となるその他のタスクが実行されます。

  • 監査サブシステムによって、ログ ディレクトリのパスが使用可能でシンボリック リンクが含まれていないことが検証されます。

    ログ ディレクトリは、SVMのネームスペース内のパスとしてすでに存在している必要があります。監査ログ ファイルの保存用に新しいボリュームまたはqtreeを作成することを推奨します。監査サブシステムは、デフォルトのログ ファイルの場所を割り当てません。監査の設定で指定されているログディレクトリのパスが有効なパスでないと、エラーが表示されて監査の設定の作成に失敗します The specified path "/path" does not exist in the namespace belonging to Vserver "Vserver_name"

    ディレクトリは存在しているがシンボリックリンクが含まれている場合、設定の作成に失敗します。

  • 監査によって統合タスクがスケジュールされます。

    このタスクがスケジュールされたあと、監査が有効になります。SVMの監査設定とログ ファイルは、リブート後も、NFSサーバまたはSMBサーバが停止したり再起動したりした場合も維持されます。

イベント ログの統合

ログの統合は、監査が無効になるまで定期的に実行されるスケジュール済みタスクです。監査が無効になると、統合タスクによって残りのすべてのログが統合されたことが検証されます。

監査の保証

デフォルトでは、監査が保証されています。ONTAPでは、あるノードが利用できない場合でも、監査可能なファイル アクセス イベント(設定された監査ポリシーのACLで指定されている)はすべて記録されます。要求されたファイル処理は、その処理の監査レコードが永続的ストレージのステージング ボリュームに保存されるまで完了できません。スペース不足またはその他の問題が原因で監査レコードをディスクのステージング ファイルにコミットできない場合、クライアント処理は拒否されます。

メモ

管理者または特権レベルのアクセス権を持つアカウント ユーザは、NetApp Manageability SDKまたはREST APIを使用してファイル監査ログ処理をバイパスできます。NetApp Manageability SDKまたはREST APIを使用してファイル操作が実行されたかどうかを確認するには、ファイルに保存されているコマンド履歴ログを確認し `audit.log`ます。

コマンド履歴監査ログの詳細については、の「管理アクティビティの監査ログの管理」セクションを参照してください"システム管理"

ノードが使用できない場合の統合プロセス

監査が有効になっているSVMに属するボリュームを含むノードが利用できない場合、監査の統合タスクの動作は、そのノードのストレージフェイルオーバー(SFO)パートナー(2ノードクラスタの場合はHAパートナー)が利用可能かどうかによって異なります。

  • ステージングボリュームがSFOパートナー経由で使用可能な場合は、ノードから最後に報告されたステージングボリュームがスキャンされ、統合が正常に行われます。

  • SFOパートナーを使用できない場合は、部分的なログファイルが作成されます。

    あるノードにアクセスできない場合は、統合タスクによって、そのSVMの使用可能な他のノードの監査レコードが統合されます。完了していないことを識別するために、統合ファイル名にサフィックスが追加され `.partial`ます。

  • 利用できないノードが利用可能になったら、そのノードの監査レコードが、その時点における他のノードの監査レコードと統合されます。

  • 監査レコードはすべて維持されます。

イベント ログのローテーション

監査イベント ログ ファイルは、設定されたログ サイズしきい値に達した場合に、または設定されたスケジュールに従ってローテーションされます。イベント ログ ファイルがローテーションされると、スケジュールされた統合タスクによって、まず、アクティブな変換済みファイルの名前がタイムスタンプのあるアーカイブ ファイルに変更され、そのあとで新しいアクティブな変換済みイベント ログ ファイルが作成されます。

SVMで監査が無効になっている場合の処理

SVMで監査が無効になると、もう一度統合タスクがトリガーされます。未処理の記録済みの監査レコードはすべて、ユーザが読解可能な形式でログに記録されます。SVMで監査が無効になっても、イベント ログ ディレクトリに格納されている既存のイベント ログは削除されず、参照が可能です。

そのSVMの既存のステージング ファイルがすべて統合されたら、スケジュールから統合タスクが削除されます。SVMの監査設定を無効にしても、監査設定は削除されません。ストレージ管理者は、監査をいつでも再度有効にできます。

監査の統合ジョブは、監査が有効になったときに作成され、統合タスクを監視して、統合タスクがエラーによって終了した場合に統合タスクを再作成します。ユーザが監査の統合ジョブを削除することはできません。