ONTAP監査ログの実装について学ぶ
変更を提案
PDF
監査ログに記録された管理アクティビティは標準AutoSupportレポートに含まれ、特定のログアクティビティはEMSメッセージに含まれます。また、監査ログを指定した宛先に転送したり、ONTAP CLIまたはWebブラウザを使用して監査ログファイルを表示したりすることもできます。
ONTAP 9.11.1以降では、System Managerを使用して監査ログの内容を表示できます。
ONTAP 9.12.1以降には、監査ログの改ざんアラートが用意されています。audit.logファイルの改ざんをチェックするためのバックグラウンド ジョブが毎日実行され、変更または改ざんされたログ ファイルが見つかるとEMSアラートが送信されます。
ONTAP 9.17.1以降、およびONTAP 9.16.1 P4以降の9.16.1パッチリリースでは、"ピアクラスタから開始されたクラスタ間操作によるリモート管理アクティビティも記録できます。"。これらのアクティビティには、別のクラスタから発生するユーザ主導の操作と内部操作が含まれます。
ONTAPは、発行された要求、要求をトリガーしたユーザー、ユーザーのアクセス方法、要求の時刻など、クラスターで実行された管理アクティビティをログに記録します。
管理アクティビティは次のいずれかのタイプになります:
-
SETリクエスト:
-
これらの要求は通常、非表示のコマンドまたは操作に適用されます。
-
これらの要求は、たとえば
create、modify、または `delete`コマンドを実行したときに発行されます。 -
SETリクエストはデフォルトでログに記録されます。
-
-
GETリクエスト:
-
これらのリクエストは情報を取得し、管理インターフェイスに表示します。
-
これらの要求は、たとえば `show`コマンドを実行するときに発行されます。
-
GETリクエストはデフォルトではログに記録されませんが、ONTAP CLIから送信されたGETリクエスト(
-cliget、ONTAP APIから送信されたGETリクエスト(-ontapiget、またはONTAP REST APIから送信されたGETリクエスト(`-httpget`をファイルに記録するかどうかを制御できます。
-
ONTAPは、ノードの `/mroot/etc/log/mlog/audit.log`ファイルに管理アクティビティを記録します。CLIコマンド用の3つのシェル(clustershell、nodeshell、非対話型systemshell)からのコマンドとAPIコマンドがここに記録されます。対話型systemshellコマンドは記録されません。監査ログにはタイムスタンプが含まれ、クラスタ内のすべてのノードが同期されているかどうかを示します。
`audit.log`ファイルはAutoSupportツールによって指定された受信者に送信されます。また、Splunkやsyslogサーバーなど、指定した外部の宛先にコンテンツを安全に転送することもできます。
`audit.log`ファイルは毎日ローテーションされます。サイズが100MBに達した時点でもローテーションが実行され、以前の48個のコピーが保持されます(最大49個のファイル)。監査ファイルが毎日ローテーションを実行する場合、EMSメッセージは生成されません。監査ファイルがファイルサイズ制限を超えたためにローテーションされた場合は、EMSメッセージが生成されます。
GET監査を有効にする際は、急速なログローテーションによるデータ損失を防ぐため、ログ転送の設定を検討してください。詳細については、以下のナレッジベースの記事をご覧ください:https://kb.netapp.com/on-prem/ontap/Ontap_OS/OS-KBs/Enabling_audit-log_forwarding["監査ログ転送を有効にする"^]