ONTAPクラスタ間監査を有効にする
変更を提案
PDF
ONTAP 9.17.1以降、およびONTAP 9.16.1 P4以降の9.16.1パッチリリースでは、ONTAPでクラスタ間監査を有効にして、ピアクラスタから開始された操作をログに記録できます。このリモート監査は、複数のONTAPクラスタが相互に連携する環境で特に有用であり、リモートアクションの追跡可能性とアカウンタビリティを実現します。
クラスタ間監査では、ユーザーが開始したGET(読み取り)操作とSET(作成/変更/削除)操作を区別できます。デフォルトでは、宛先クラスタではユーザーが開始したSET操作のみが監査対象となります。GETや `show`CLIコマンドなど、データを読み取るリクエストは、クラスタ間リクエストであるかどうかにかかわらず、デフォルトでは監査されません。
-
`advanced`レベルの権限が必要です
-
クラスタは別のクラスタとピアリングする必要があり、両方のクラスタでONTAP 9.16.1 P4以降が実行されている必要があります。
一部のノードのみが ONTAP 9.16.1 P4 以降にアップグレードされている環境では、監査ログはアップグレードされたバージョンを実行しているノードでのみ記録されます。監査動作の一貫性を確保するため、すべてのノードをサポート対象バージョンにアップグレードすることをお勧めします。
クラスタ間監査を有効または無効にする
-
`cluster-peer`パラメータを `on`または `off`に設定して、クラスター上のクラスター間監査を有効(または無効)にします:
security audit modify -cluster-peer {on|off} -
現在の監査状態を確認して、クラスタピア設定が有効になっているか無効になっているかを確認します:
security audit show
応答:
Audit Setting State ------------- ----- CLI GET: off HTTP GET: off ONTAPI GET: off Cluster Peer: on
GET監査を有効にした場合の影響
ONTAP 9.17.1以降では、ピアクラスタで "CLI、HTTP、ONTAPI GET監査を有効にする"を実行すると、クラスタ間のユーザ開始GET要求の監査も有効になります。以前のONTAPバージョンでは、GET監査はローカルクラスタ上の要求にのみ適用されていました。ONTAP 9.17.1では、 `cluster-peer`オプションを `on`に設定してGET監査を有効にすると、ローカルクラスタとクラスタ間の両方の要求が監査されます。