ONTAP監査ログ実装の詳細
監査ログに記録された管理アクティビティは標準のAutoSupportレポートに、特定のログ アクティビティはEMSメッセージに含まれています。指定した宛先に監査ログを転送したり、 ONTAP CLI または Web ブラウザを使用して監査ログ ファイルを表示したりすることもできます。
ONTAP 9.11.1以降では、System Managerを使用して監査ログの内容を表示できます。
ONTAP 9.12.1以降には、監査ログの改ざんアラートが用意されています。audit.logファイルの改ざんをチェックするためのバックグラウンド ジョブが毎日実行され、変更または改ざんされたログ ファイルが見つかるとEMSアラートが送信されます。
ONTAP9.17.1以降、およびONTAP9.16.1 P4以降の9.16.1パッチリリース、 "クラスタ間操作を使用してピアクラスタから開始されたリモート管理アクティビティも記録できます。"。ユーザー主導の操作と、別のクラスターから発生する内部操作が含まれます。
ONTAP は、発行された要求、要求をトリガーしたユーザー、ユーザーのアクセス方法、要求の時刻など、クラスターで実行された管理アクティビティをログに記録します。
管理アクティビティは次のいずれかの種類になります。
-
SETリクエスト:
-
これらの要求は通常、非表示のコマンドまたは操作に適用されます。
-
これらの要求は、
modify
`delete`などのコマンドを実行したときに発行され `create`ます。 -
SET リクエストはデフォルトでログに記録されます。
-
-
GETリクエスト:
-
これらのリクエストは情報を取得し、管理インターフェースに表示します。
-
これらの要求は、たとえばコマンドの実行時に発行され `show`ます。
-
GET要求はデフォルトではログに記録されませんが、 ONTAP CLIから送信されたGET要求をログに記録するかどうかを制御できます。 (
-cliget
)、 ONTAP APIから(-ontapiget
)、またはONTAP REST APIから(-httpget
) がファイルに記録されます。
-
ONTAPの記録管理アクティビティ `/mroot/etc/log/mlog/audit.log`ノードのファイル。CLIコマンド用の3つのシェル(クラスタシェル、ノードシェル、非対話型システムシェル)からのコマンドとAPIコマンドがここに記録されます。対話型システムシェルのコマンドは記録されません。監査ログには、クラスタ内のすべてのノードが同期されているかどうかを示すタイムスタンプが含まれます。
`audit.log`ファイルは、AutoSupportツールによって指定された受信者に送信されます。また、Splunkやsyslogサーバなど、指定した外部の送信先にコンテンツを安全に転送することもできます。
`audit.log`ファイルは1日単位でローテーションされます。サイズが100MBに達したときにもローテーションが実行され、以前の48個のコピーが保持されます(最大合計ファイル数は49)。監査ファイルのローテーションが1日単位で実行される場合、EMSメッセージは生成されません。監査ファイルのサイズ制限を超えたためにローテーションが実行された場合は、EMSメッセージが生成されます。
GET監査を有効にする際は、急速なログローテーションによるデータ損失を防ぐため、ログ転送の設定を検討してください。詳細については、以下のナレッジベースの記事をご覧ください。 "監査ログ転送を有効にする" 。