Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 イベントを監査します

共同作成者

ONTAP 9.10.1 以降の ONTAP S3 環境でデータイベントと管理イベントを監査できるようになりました。S3 監査機能は既存の NAS 監査機能とほぼ同じであり、 S3 および NAS の監査機能はクラスタ内で共存できます。

SVM で S3 監査の設定を作成して有効にすると、 S3 イベントがログファイルに記録されます。ログに記録するイベントは次のとおりです。

  • オブジェクトアクセス(データ)イベント

    GetObject 、 PutObject 、および DeleteObject

  • 管理イベント

    PutBucket および DeleteBucket

ログ形式は JavaScript Object Notation ( JSON )です。

S3 および NFS の監査の設定の合計は、クラスタあたり 50 個の SVM です。

次のライセンスバンドルが必要です。

  • ONTAP S3プロトコルおよびストレージ向けのCore Bundleです

詳細については、を参照してください "ONTAP 監査プロセスの仕組み"

監査の保証

デフォルトでは、 S3 および NAS の監査が保証されます。ONTAP では、あるノードが利用できない場合でも、監査可能なバケットアクセスイベントがすべて記録されることが保証されます。要求されたバケット処理は、その処理の監査レコードが永続的ストレージのステージングボリュームに保存されるまで完了できません。スペース不足またはその他の問題が原因で監査レコードをステージングファイルにコミットできない場合は、クライアント処理が拒否されます。

監査用のスペース要件

ONTAP 監査システムでは、最初に監査レコードが個々のノードのバイナリステージングファイルに格納されます。定期的に統合され、ユーザが読解可能なイベントログに変換されて、 SVM の監査イベントログディレクトリに格納されます。

ステージングファイルは専用のステージングボリュームに格納されます。ステージングボリュームは、監査の設定が作成されるときに ONTAP によって作成されます。各アグリゲートに 1 つのステージングボリュームがあります。

監査の設定に十分な利用可能スペースを計画する必要があります。

  • 監査対象バケットを含むアグリゲート内のステージングボリューム。

  • 変換されたイベントログの格納先ディレクトリを含むボリューム用。

S3 監査の設定を作成する際には、次の 2 つの方法のいずれかを使用して、イベントログの数とボリューム内の利用可能なスペースを制御できます。

  • 数値制限 -rotate-limit パラメータは、保持する監査ファイルの最小数を制御します。

  • 時間制限; -retention-duration パラメータは、ファイルを保持できる最大期間を制御します。

どちらのパラメータを使用しても、設定済みの値を超えると古い監査ファイルを削除して新しい監査ファイル用のスペースを確保できます。両方のパラメータの値が 0 の場合、すべてのファイルを保持する必要があることを示します。したがって、十分なスペースを確保するために、パラメータの 1 つをゼロ以外の値に設定することを推奨します。

監査が保証されるため、ローテーションの上限までに監査データに使用できるスペースが不足した場合、新しい監査データを作成することはできず、クライアントがデータにアクセスできなくなります。したがって、この値の選択と監査に割り当てるスペースは慎重に選択する必要があり、また、監査システムの使用可能なスペースに関する警告に対応する必要があります。

詳細については、を参照してください "監査の基本概念"