Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3イベントの監査

共同作成者
PDF

ONTAP 9 .10.1以降では、ONTAP S3環境でデータイベントと管理イベントを監査できます。S3の監査機能は既存のNASの監査機能と同様で、S3とNASの監査機能はクラスタ内に共存できます。

SVMでS3監査の設定を作成して有効にすると、S3イベントがログファイルに記録されます。ログに記録するイベントを指定できます。

リリース別のオブジェクトアクセス(データ)イベント

9.11.1:

  • ListBucketVersions

  • ListBucket(9.10.1のListObjectからこの名前に変更)

  • ListAllMyBuckets(9.10.1のListBucketsはこの名前に変更)

9.10.1:

  • ヘッドオブジェクト

  • GetObject

  • PutObject

  • deleteObject

  • ListBuckets

  • ListObjects

  • MPUpload

  • MPUploadPart

  • MPComplete

  • MPAbort

  • GetObjectTagging

  • DeleteObjectTagging

  • PutObjectTagging

  • リストアップロード

  • ListParts

リリース別の管理イベント

9.15.1:

  • GetBucketCORS

  • PutBucketCORS

  • DeleteBucketCORS

9.14.1:

  • GetObjectRetention

  • PutObjectRetention

  • PutBucketObjectLockConfiguration

  • GetBucketObjectLockConfiguration

9.13.1:

  • PutBucketLifecycle

  • DeleteBucketLifecycle

  • GetBucketLifecycle

9.12.1:

  • GetBucketPolicy

  • CopyObject

  • パーツコピーをアップロード

  • PutBucketPolicy

  • DeleteBucketPolicy

9.11.1:

  • GetBucketVersioning

  • PutBucketVersioning

9.10.1:

  • ヘッドバケット

  • GetBucketAcl

  • GetObjectAcl

  • PutBucket

  • DeleteBucket

  • ModifyObjectTagging

  • GetBucketLocation

ログの形式はJavaScript Object Notation(JSON)です。

S3とNFSの監査設定の合計数は、クラスタあたり50 SVMです。

次のライセンスが必要です。

  • ONTAP S3プロトコルおよびストレージ向けのONTAP ONE(旧Core Bundleに含まれていたもの)

詳細については、を参照してください "ONTAP監査プロセスの仕組み"

監査の保証

デフォルトでは、S3とNASの監査が保証されます。ONTAPでは、あるノードを使用できない場合でも、監査可能なバケットアクセスイベントがすべて記録されることが保証されます。要求されたバケット処理は、その処理の監査レコードが永続的ストレージのステージングボリュームに保存されるまで完了できません。スペース不足やその他の問題が原因で監査レコードをステージングファイルでコミットできない場合は、クライアント処理が拒否されます。

カンサヨウノスヘエスヨウケン

ONTAP監査システムでは、監査レコードは最初に個 々 のノード上のバイナリステージングファイルに格納されます。定期的に統合され、ユーザが読解可能なイベントログに変換されて、SVMの監査イベントログディレクトリに格納されます。

ステージングファイルは専用のステージングボリュームに格納されます。このボリュームは、監査設定の作成時にONTAPによって作成されます。各アグリゲートに1つのステージングボリュームがあります。

監査の設定に十分な使用可能スペースがあることを計画する必要があります。

  • 監査対象バケットを含むアグリゲート内のステージングボリューム。

  • (変換されたイベントログが格納されるディレクトリを含むボリューム)。

S3監査の設定を作成するときに次の2つの方法のいずれかを使用して、イベントログの数とボリュームの利用可能なスペースを制御できます。

  • 最大数値。パラメータは、 `-rotate-limit`保持する必要がある監査ファイルの最小数を制御します。

  • 時間制限。パラメータは、ファイルを保持できる最大期間を制御します。 -retention-duration

どちらのパラメータでも、構成済みの監査ファイルを超えると、古い監査ファイルを削除して新しい監査ファイル用のスペースを確保できます。両方のパラメータの値は0で、すべてのファイルを維持する必要があることを示します。したがって、十分なスペースを確保するためには、いずれかのパラメータをゼロ以外の値に設定することを推奨します。

監査が保証されるため、ローテーション制限の前に監査データに使用できるスペースがなくなると、新しい監査データを作成できなくなり、クライアントがデータにアクセスできなくなります。したがって、この値と監査に割り当てられるスペースは慎重に選択する必要があり、監査システムからの使用可能なスペースに関する警告に対応する必要があります。

詳細については、を参照してください "監査の基本概念"