Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP S3イベントの監査について学ぶ

共同作成者 netapp-forry netapp-aherbin netapp-bhouser johnlantz netapp-lenida netapp-ahibbard
PDF

ONTAP 9.10.1以降では、ONTAP S3環境のデータ イベントや管理イベントを監査できます。S3の監査機能は既存のNASの監査機能とほぼ同じであり、クラスタ内でS3とNASの監査を同時に使用できます。

SVMでS3の監査設定を作成して有効にすると、S3イベントがログ ファイルに記録されます。ログに記録できるイベントは次のとおりです。

リリース別のオブジェクト アクセス(データ)イベント

9.11.1:

  • ListBucketVersions

  • ListBucket(9.10.1のListObjectから名称変更)

  • ListAllMyBuckets(9.10.1のListBucketsから名称変更)

9.10.1:

  • HeadObject

  • GetObject

  • PutObject

  • DeleteObject

  • ListBuckets

  • ListObjects

  • MPUpload

  • MPUploadPart

  • MPComplete

  • MPAbort

  • GetObjectTagging

  • DeleteObjectTagging

  • PutObjectTagging

  • ListUploads

  • ListParts

リリース別の管理イベント

9.15.1:

  • GetBucketCORS

  • PutBucketCORS

  • DeleteBucketCORS

9.14.1:

  • GetObjectRetention

  • PutObjectRetention

  • PutBucketObjectLockConfiguration

  • GetBucketObjectLockConfiguration

9.13.1:

  • PutBucketLifecycle

  • DeleteBucketLifecycle

  • GetBucketLifecycle

9.12.1:

  • GetBucketPolicy

  • CopyObject

  • UploadPartCopy

  • PutBucketPolicy

  • DeleteBucketPolicy

9.11.1:

  • GetBucketVersioning

  • PutBucketVersioning

9.10.1:

  • HeadBucket

  • GetBucketAcl

  • GetObjectAcl

  • PutBucket

  • DeleteBucket

  • ModifyObjectTagging

  • GetBucketLocation

ログ形式はJavaScript Object Notation(JSON)です。

クラスタごとに監査可能なSVM数は、S3とNFSの監査設定を合わせて最大400個です。

次のライセンスが必要です。

  • ONTAP S3プロトコルおよびストレージ向けのONTAP ONE(以前はCore Bundleに付属)

詳細については、"ONTAP監査プロセスの仕組み"を参照してください。

監査の保証

デフォルトでは、S3とNASの監査はどちらも保証されます。ONTAPでは、あるノードが利用できない場合でも、監査可能なバケット アクセス イベントはすべて記録されます。要求されたバケット処理は、その処理の監査レコードが永続的ストレージのステージング ボリュームに保存されるまで完了できません。スペース不足またはその他の問題が原因で監査レコードをステージング ファイルにコミットできない場合、クライアント処理は拒否されます。

監査のスペース要件

ONTAPの監査システムでは、監査レコードは最初に個々のノードのバイナリ ステージング ファイルに格納されます。定期的に統合され、ユーザが読解可能なイベント ログに変換されて、SVMの監査イベント ログ ディレクトリに格納されます。

ステージング ファイルは専用のステージング ボリュームに格納されます。このボリュームは、監査設定の作成時にONTAPによって作成されます。各アグリゲートに1つのステージング ボリュームがあります。

監査設定を作成するにあたっては、以下の項目について十分な使用可能スペースを確保する必要があります。

  • 監査対象バケットを格納する、アグリゲート内のステージング ボリューム。

  • 変換後のイベント ログの格納先ディレクトリを含むボリューム。

S3の監査設定を作成する際には、次のどちらかの方法を使用して、イベント ログの数、そして結果的にボリューム内の使用可能スペースを制御できます。

  • 数値制限。 `-rotate-limit`パラメータは、保存する必要がある監査ファイルの最小数を制御します。

  • 時間制限。 `-retention-duration`パラメータは、ファイルを保存できる最大期間を制御します。

どちらのパラメータも、設定値を超えると古い監査ファイルが削除されて新しい監査ファイル用のスペースが確保されます。どちらのパラメータも、0を指定するとすべてのファイルが保持されます。したがって、十分なスペースを確保するためには、どちらかのパラメータをゼロ以外の値に設定することを推奨します。

監査の保証により、ローテーションの制限に達する前に監査データに使用できるスペースがなくなると、新しい監査データを作成できず、クライアントはデータにアクセスできなくなります。そのため、このパラメータに指定する値と監査に割り当てるスペースを慎重に決定し、監査システムからの使用可能なスペースに関する警告に適切に対処する必要があります。

詳細については、"監査の基本概念"を参照してください。