ONTAPの監査ログの実装
変更を提案
PDF
監査ログに記録された管理アクティビティは標準のAutoSupportレポートに、特定のロギングアクティビティはEMSメッセージに含まれます。監査ログを指定した場所に転送したり、CLIまたはWebブラウザを使用して監査ログファイルを表示したりすることもできます。
ONTAP 9.11.1以降では、System Managerを使用して監査ログの内容を表示できます。
ONTAP 9.12.1以降には、監査ログの改ざんアラートが用意されています。audit.logファイルの改ざんをチェックするためのバックグラウンド ジョブが毎日実行され、変更または改ざんされたログ ファイルが見つかるとEMSアラートが送信されます。
ONTAPでは、クラスタで実行された管理アクティビティについて、発行された要求、要求を発行したユーザ、ユーザのアクセス方式、要求が発行された時間などの情報が記録されます。
管理アクティビティには次のタイプがあります。
-
set要求。通常、表示以外のコマンドや処理に適用されます。
-
これらの要求は、
modify`delete`などのコマンドを実行したときに発行され `create`ます。 -
デフォルトでは、set要求がログに記録されます。
-
-
get要求。情報を取得して管理インターフェイスに表示します。
-
これらの要求は、たとえばコマンドの実行時に発行され `show`ます。
-
GET要求はデフォルトではログに記録されませんが、ONTAP CLIから送信されるGET要求、(
-cliget`ONTAP APIから送信されるGET要求、(-ontapiget`またはREST APIから送信されるGET要求のいずれを(`-httpget`ログに記録するかを制御できます。
-
ONTAPは、管理アクティビティをノードのファイルに記録し `/mroot/etc/log/mlog/audit.log`ます。CLIコマンド用の3つのシェル(クラスタシェル、ノードシェル、非対話型システムシェル)のコマンドと、APIコマンドがここに記録されます。監査ログには、クラスタ内のすべてのノードの時刻が同期しているかどうかを示すタイムスタンプが含まれています。
`audit.log`ファイルは、AutoSupportツールによって指定された受信者に送信されます。また、Splunkやsyslogサーバなど、指定した外部の送信先にコンテンツを安全に転送することもできます。
`audit.log`ファイルは1日単位でローテーションされます。サイズが100MBに達したときにもローテーションが実行され、以前の48個のコピーが保持されます(最大合計ファイル数は49)。監査ファイルのローテーションが1日単位で実行される場合、EMSメッセージは生成されません。監査ファイルのサイズ制限を超えたためにローテーションが実行された場合は、EMSメッセージが生成されます。