日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 監査プロセスの仕組み

寄稿者

ONTAP の監査プロセスは、 Microsoft の監査プロセスとは異なります。監査を設定する前に、 ONTAP の監査プロセスの仕組みについて理解しておく必要があります。

監査レコードは、最初に個々のノードのバイナリステージングファイルに格納されます。ある SVM で監査が有効になると、すべてのメンバーノードでその SVM のステージングファイルが保持されます。定期的に統合され、ユーザが読解可能なイベントログに変換されて、 SVM の監査イベントログディレクトリに格納されます。

ある SVM で監査が有効になっている場合の処理

監査は、 SVM でのみ有効にできます。ストレージ管理者が SVM で監査を有効にすると、監査サブシステムによってステージングボリュームが存在するかどうかが確認されます。ステージングボリュームは、 SVM に所有されているデータボリュームを含むアグリゲートごとに必要です。存在しない場合は、監査サブシステムによって必要なステージングボリュームが作成されます。

また、監査が有効になる前に、前提条件となるその他のタスクが実行されます。

  • 監査サブシステムによって、ログディレクトリのパスが使用可能でシンボリックリンクが含まれていないことが検証されます。

    ログディレクトリはすでに存在している必要があります。監査サブシステムは、デフォルトのログファイルの場所を割り当てません。監査の設定で指定されているログディレクトリのパスが有効なパスでない場合は、「指定されたパス」が SVM 「 Vserver_name 」に属するネームスペースに存在しないというエラーで、監査の設定の作成に失敗します。

    ディレクトリは存在するがシンボリックリンクが含まれている場合は、設定の作成に失敗します。

  • 監査によって統合タスクがスケジュールされます。

    このタスクがスケジュールされると、監査が有効になります。SVM の監査の設定とログファイルは、リブート後も、 NFS サーバまたは CIFS サーバが停止したり再起動したりした場合も維持されます。

イベントログの統合

ログの統合は、監査が無効になるまで定期的に実行されるスケジュール済みタスクです。監査が無効になると、統合タスクによって残りのすべてのログが統合されたことが検証されます。

監査の保証

デフォルトでは、監査が保証されています。ONTAP では、あるノードが利用できない場合でも、監査可能なファイルアクセスイベント(設定された監査ポリシーの ACL で指定されている)がすべて記録されることが保証されます。要求されたファイル操作は、その操作の監査レコードが永続的ストレージのステージングボリュームに保存されるまで完了できません。スペース不足またはその他の問題が原因で監査レコードをステージングファイルのディスクにコミットできない場合は、クライアント処理が拒否されます。

注記

管理者または権限レベルのアクセス権を持つアカウントユーザは、 NetApp Manageability SDK または REST API を使用してファイル監査ログ処理を省略できます。「 audit.log 」ファイルに格納されているコマンド履歴ログを確認すると、 NetApp Manageability SDK または REST API を使用してファイル操作が行われたかどうかを確認できます。

コマンド履歴監査ログの詳細については、の「管理アクティビティの監査ログの管理」セクションを参照してください "システム管理"

ノードが利用できない場合の統合プロセス

監査が有効になっている SVM に属するボリュームを含むノードが利用できない場合、監査の統合タスクの動作は、そのノードのストレージフェイルオーバー( SFO )パートナー( 2 ノードクラスタの場合は HA パートナー)が利用可能かどうかによって異なります。

  • ステージングボリュームが SFO パートナーを介して利用可能な場合は、ノードから最後に報告されたステージングボリュームがスキャンされ、統合が正常に行われます。

  • SFO パートナーが利用できない場合は、タスクによって部分的なログファイルが作成されます。

    あるノードにアクセスできない場合は、統合タスクによって、その SVM の利用可能な他のノードの監査レコードが統合されます。不完全であることを識別するために ' タスクは統合されたファイル名に接尾辞「 .partial 」を追加します

  • 利用できないノードが利用可能になったら、そのノードの監査レコードが、その時点における他のノードの監査レコードと統合されます。

  • 監査レコードはすべて維持されます。

イベントログのローテーション

監査イベントログファイルは、設定されたログサイズしきい値に達した場合、または設定されたスケジュールに従ってローテーションされます。イベントログファイルがローテーションされると、スケジュールされた統合タスクによって、まず、アクティブな変換済みファイルの名前がタイムスタンプのあるアーカイブファイルに変更され、そのあとで新しいアクティブな変換済みイベントログファイルが作成されます。

SVM で監査が無効になっている場合の処理

SVM で監査が無効になると、もう一度統合タスクがトリガーされます。未処理の記録済みの監査レコードはすべて、ユーザが読解可能な形式でログに記録されます。SVM で監査が無効になっても、イベントログディレクトリに格納されている既存のイベントログは削除されず、参照が可能です。

その SVM の既存のステージングファイルがすべて統合されたら、スケジュールから統合タスクが削除されます。SVM の監査の設定を無効にしても、監査の設定は削除されません。ストレージ管理者は、監査をいつでも再度有効にできます。

監査の統合ジョブは、監査が有効になったときに作成され、統合タスクを監視して、統合タスクがエラーによって終了した場合に統合タスクを再作成します。以前は、「 job delete 」のようなジョブマネージャコマンドを使用して、ユーザが監査の統合ジョブを削除することができました。ユーザは監査の統合ジョブを削除できなくなりました。