監査ログ
監査ログは時系列でイベントを集めたもので、アプライアンス内のファイルに書き込まれます。監査ログファイルは、 `/var/log/netapp/audit`場所、ファイル名は以下の命名規則のいずれかに従います。
-
audit.log: 使用中のアクティブな監査ログ ファイル。
-
audit-%d{yyyy-MM-dd-HH-mm-ss}.log.gz: ロールオーバーされた監査ログファイル。ファイル名の日時(例:audit-2022-12-15-16-28-01.log.gz)は、ファイルが作成された日時を示します。
SCV プラグインのユーザー インターフェイスでは、ダッシュボード > 設定 > 監査ログ タブから監査ログの詳細を表示およびエクスポートできます。監査ログで操作監査を表示できます。監査ログはサポート バンドルでダウンロードされます。
Eメールが設定されている場合、監査ログの整合性検証エラーが発生したときに、SCVからEメール通知が送信されます。監査ログの整合性検証エラーは、いずれかのファイルが改ざんまたは削除された場合に発生することがあります。
監査ファイルのデフォルト設定は次のとおりです。
-
使用中の監査ログ ファイルの最大サイズは10MB
-
最大10個の監査ログ ファイルが保持される
ロール オーバーされた監査ログは定期的に整合性が検証されます。SCVには、ログを表示したり整合性を検証したりするためのREST APIが用意されています。組み込みのスケジュールがトリガーされ、次の整合性ステータスのいずれかが割り当てられます。
ステータス |
説明 |
TAMPERED |
監査ログ ファイルの内容が変更されています |
NORMAL |
監査ログ ファイルは変更されていません |
ROLLOVER DELETE |
- 監査ログファイルは保存期間に基づいて削除されます - デフォルトでは10ファイルのみが保存されます |
UNEXPECTED DELETE |
監査ログ ファイルが削除されました |
ACTIVE |
- 監査ログファイルが使用中です - audit.log にのみ適用されます |
イベントは、主に次の3つのカテゴリに分類されます。
-
データ保護のイベント
-
メンテナンス コンソールのイベント
-
管理コンソールのイベント
データ保護のイベント
SCVのリソースは次のとおりです。
-
Storage System
-
Resource Group
-
Policy
-
バックアップ
-
Subscription
-
Account
次の表に、各リソースで実行できる処理を示します。
リソース |
操作 |
Storage System |
作成、変更、削除 |
Subscription |
作成、変更、削除 |
Account |
作成、変更、削除 |
Resource Group |
作成、変更、削除、中断、再開 |
Policy |
作成、変更、削除 |
バックアップ |
作成、名前変更、削除、マウント、アンマウント、リストア済みVMDK、リストア済みVM、VMDKの接続、VMDKの接続解除、ゲスト ファイルのリストア |
メンテナンス コンソールのイベント
メンテナンス コンソールでの管理処理が監査されます。メンテナンス コンソールで使用できるオプションは次のとおりです。
-
サービスの開始 / 停止
-
ユーザ名とパスワードの変更
-
MySQLのパスワードの変更
-
MySQLバックアップの設定
-
MySQLバックアップのリストア
-
「maint」ユーザーのパスワードを変更する
-
タイムゾーンを変更する
-
NTPサーバーの変更
-
SSHアクセスの無効化
-
jailディスク サイズの拡張
-
Upgrade
-
VMware Tools をインストールします (これを open-vm ツールに置き換える作業を進めています)
-
IPアドレス設定を変更する
-
ドメイン名検索設定を変更する
-
静的ルートを変更する
-
診断シェルにアクセスする
-
リモート診断アクセスを有効にする
管理コンソールのイベント
管理コンソールUIでは、次の処理が監査されます。
-
設定
-
adminクレデンシャルの変更
-
タイムゾーンの変更
-
NTPサーバーの変更
-
IPv4/IPv6アドレス設定を変更する
-
-
構成
-
vCenterクレデンシャルの変更
-
プラグインの有効化 / 無効化
-
syslogサーバの設定
監査ログはアプライアンス内に保存され、定期的に整合性が検証されます。イベント転送を使用すると、ソース コンピュータまたは転送元コンピュータからイベントを取得し、一元化されたコンピュータ(syslogサーバ)に保存できます。データは、ソースとデスティネーション間での転送時に暗号化されます。
管理者権限が必要です。
このタスクは、syslogサーバの設定に役立ちます。
-
SnapCenter Plug-in for VMware vSphereにログインします。
-
左側のナビゲーション ペインで、設定 > 監査ログ > 設定 を選択します。
-
*監査ログ設定*パネルで、*監査ログをSyslogサーバーに送信する*を選択します。
-
次の情報を入力します。
-
syslogサーバのIP
-
syslogサーバのポート
-
RFCタイプ
-
syslogサーバ証明書
-
-
Syslog サーバーの設定を保存するには、[保存] を選択します。
監査ログ設定の変更
ログ設定のデフォルトの設定を変更できます。
管理者権限が必要です。
このタスクは、デフォルトの監査ログ設定を変更するのに役立ちます。
-
SnapCenter Plug-in for VMware vSphereにログインします。
-
左側のナビゲーション ペインで、設定 > 監査ログ > 設定 を選択します。
-
監査ログ設定 ペインで、監査ログ ファイルの最大数と監査ログ ファイルのサイズ制限を入力します。
-
ログを Syslog サーバーに送信する場合は、監査ログを Syslog サーバーに送信する オプションを選択します。サーバの詳細を入力します。
-
設定を保存します。