ONTAPクラスタ間監査を有効にする
変更を提案
PDF
ONTAP 9.17.1以降、およびONTAP 9.16.1 P4以降の9.16.1パッチリリースでは、 ONTAPでクラスタ間監査を有効にして、ピアクラスタから開始された操作をログに記録できます。このリモート監査は、複数のONTAPクラスタが相互に連携する環境で特に有用であり、リモートアクションの追跡可能性とアカウンタビリティを実現します。
クラスタ間監査では、ユーザーが開始したGET(読み取り)操作とSET(作成/変更/削除)操作を区別できます。デフォルトでは、宛先クラスタではユーザーが開始したSET操作のみが監査されます。GETやSETなどのデータ読み取りリクエストは、 show CLI のコマンドは、リクエストがクロス クラスタであるかどうかに関係なく、デフォルトでは監査されません。
-
あなたは持っている必要があります `advanced`レベルの権限
-
クラスタは別のクラスタとピアリングされている必要があり、両方のクラスタでONTAP 9.16.1 P4 以降が実行されている必要があります。
一部のノードのみがONTAP 9.16.1 P4以降にアップグレードされている環境では、アップグレードされたバージョンを実行しているノードでのみ監査ログが記録されます。監査動作の一貫性を確保するため、すべてのノードをサポート対象バージョンにアップグレードすることをお勧めします。
クラスタ間監査を有効または無効にする
-
クラスタ上でクラスタ間監査を有効(または無効)にするには、
cluster-peer`パラメータを `on`または `off:security audit modify -cluster-peer {on|off} -
現在の監査状態を確認して、クラスタ ピア設定が有効になっているか無効になっているかを確認します。
security audit show
応答:
Audit Setting State ------------- ----- CLI GET: off HTTP GET: off ONTAPI GET: off Cluster Peer: on
GET監査を有効にした場合の効果
ONTAP 9.17.1以降では、 "CLI、HTTP、ONTAPI GET監査を有効にする"ピアクラスタでGET監査を有効にすると、クラスタ間のユーザ開始GET要求の監査も有効になります。以前のONTAPバージョンでは、GET監査はローカルクラスタの要求にのみ適用されていました。ONTAPONTAPでは、 `cluster-peer`オプション設定 `on`ローカル クラスター要求とクラスター間要求の両方が監査されます。