Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

監査メッセージと外部syslogサーバの設定

共同作成者
PDF

監査メッセージに関連するいくつかの設定を行うことができます。記録する監査メッセージの数の調整、クライアントの読み取り/書き込み監査メッセージに含めるHTTP要求ヘッダーの定義、外部syslogサーバの設定、監査ログ、セキュリティイベントログ、およびStorageGRIDソフトウェアログの送信先の指定を行うことができます。

監査メッセージとログには、システムのアクティビティとセキュリティイベントが記録され、監視とトラブルシューティングに不可欠なツールです。すべての StorageGRID ノードで監査メッセージとログが生成され、システムアクティビティとイベントが追跡されます。

必要に応じて、監査情報をリモートで保存するように外部syslogサーバを設定できます。外部サーバを使用すると、監査データの完全性を損なうことなく、監査メッセージロギングによるパフォーマンスへの影響を最小限に抑えることができます。外部のsyslogサーバは、大規模なグリッドを使用する場合、複数のタイプのS3アプリケーションを使用する場合、またはすべての監査データを保持する場合に特に役立ちます。を参照してください "外部 syslog サーバに関する考慮事項" を参照してください。

作業を開始する前に

監査メッセージレベルの変更

監査ログでは、次のカテゴリのメッセージごとに異なる監査レベルを設定できます。

監査カテゴリ デフォルト設定です 詳細情報

システム

正常

"システム監査メッセージ"

ストレージ

エラー

"オブジェクトストレージ監査メッセージ"

管理

正常

"管理監査メッセージ"

クライアント読み取り

正常

"クライアント読み取り監査メッセージ"

クライアントからの書き込み

正常

"クライアント書き込み監査メッセージ"

ILM

正常

"ILM監査メッセージ"

グリッド間レプリケーション

エラー

"CGRR:クロスグリッドレプリケーション要求"
メモ これらのデフォルト値は、 StorageGRID 10.3 以降を最初にインストールした場合に適用されます。以前のバージョンのStorageGRIDを最初に使用した場合、すべてのカテゴリのデフォルトは[標準]に設定されます。
メモ アップグレード中は、監査レベルの設定はすぐには有効になりません。
手順

  1. * configuration * > * Monitoring * > * Audit and syslog server * を選択します。

  2. 監査メッセージのカテゴリごとに、ドロップダウンリストから監査レベルを選択します。

    監査レベル 説明

    オフ

    このカテゴリの監査メッセージはログに記録されません。

    エラー

    エラーメッセージのみがログに記録されます — 結果コードが「成功」( SUCS )以外の監査メッセージ。

    正常

    標準のトランザクション・メッセージはログに記録されますこのメッセージは ' カテゴリに関する次の手順に記載されています

    デバッグ

    非推奨。このレベルの動作は Normal 監査レベルと同じです。

    特定のレベルに含まれるメッセージには、上位レベルでロギングされるメッセージも含まれます。たとえば、 Normal レベルには Error レベルのメッセージがすべて含まれます。

    メモ S3アプリケーションに対するクライアント読み取り処理の詳細なレコードを確認する必要がない場合は、必要に応じて* Client Reads 設定を Error *に変更して、監査ログに記録される監査メッセージの数を減らします。

  3. [ 保存( Save ) ] を選択します。

    緑色のバナーは、設定が保存されたことを示します。

HTTP要求ヘッダーの定義

必要に応じて、クライアントの読み取り/書き込み監査メッセージに含めるHTTP要求ヘッダーを定義できます。これらのプロトコルヘッダーは、S3要求とSwift要求にのみ適用されます。

手順

  1. [Audit protocol headers]セクションで、クライアントの読み取り/書き込み監査メッセージに含めるHTTP要求ヘッダーを定義します。

    0 個以上の文字に一致させるには、ワイルドカードとしてアスタリスク( \* )を使用します。リテラルアスタリスクに一致させるには、エスケープシーケンス( \ * )を使用します。

  2. 必要に応じて、「 * 別のヘッダーを追加」を選択して追加のヘッダーを作成します。

    要求に HTTP ヘッダーが含まれている場合、 HTTP ヘッダーは HTRH フィールドの下の監査メッセージに含まれます。

    メモ 監査プロトコル要求ヘッダーは、 * クライアント読み取り * または * クライアント書き込み * の監査レベルが * オフ * でない場合にのみ記録されます。

  3. [ 保存( Save ) ] を選択します

    緑色のバナーは、設定が保存されたことを示します。

[use-external-syslog-server]]外部syslogサーバを使用する

必要に応じて、監査ログ、アプリケーションログ、およびセキュリティイベントログをグリッドの外部の場所に保存するように外部のsyslogサーバを設定できます。

メモ 外部syslogサーバを使用しない場合は、この手順を省略して 監査情報の送信先を選択します
ヒント この手順で使用可能な構成オプションが要件を満たすのに十分な柔軟性を備えていない場合は、 audit-destinations エンドポイント(のプライベートAPIセクションにあります) "Grid 管理 API"。たとえば、ノードのグループごとに異なるsyslogサーバを使用する場合は、APIを使用できます。

syslog情報の入力

外部syslogサーバの設定ウィザードにアクセスし、StorageGRIDが外部syslogサーバにアクセスするために必要な情報を入力します。

手順

  1. 監査および syslog サーバページで、 * 外部 syslog サーバの設定 * を選択します。または、以前に外部syslogサーバを設定した場合は、*[外部syslogサーバの編集]*を選択します。

    Configure external syslog serverウィザードが表示されます。

  2. ウィザードの* syslog情報の入力*ステップで、* Host *フィールドに外部syslogサーバの有効な完全修飾ドメイン名またはIPv4またはIPv6アドレスを入力します。

  3. 外部 syslog サーバのデスティネーションポートを入力します( 1~65535 の整数で指定する必要があります)。デフォルトのポートは514です。

  4. 外部 syslog サーバへの監査情報の送信に使用するプロトコルを選択します。

    TLS または RELP/TLS *を使用することを推奨します。これらのいずれかのオプションを使用するには、サーバ証明書をアップロードする必要があります。証明書を使用して、グリッドと外部 syslog サーバの間の接続を保護できます。詳細については、を参照してください "セキュリティ証明書を管理する"

    すべてのプロトコルオプションで、外部 syslog サーバによるサポートおよび設定が必要です。外部 syslog サーバと互換性のあるオプションを選択する必要があります。

    メモ Reliable Event Logging Protocol (RELP) は、 syslog プロトコルの機能を拡張し、信頼性の高いイベントメッセージ配信を実現します。RELP を使用すると、外部 syslog サーバを再起動する必要がある場合に監査情報が失われないようにすることができます。

  5. 「 * Continue * 」を選択します。

  6. [[attach-certificate]* TLS または RELP/TLS *を選択した場合は、サーバCA証明書、クライアント証明書、およびクライアント秘密鍵をアップロードします。

    1. 使用する証明書またはキーの [* 参照 ] を選択します。

    2. 証明書またはキーファイルを選択します。

    3. ファイルをアップロードするには、 * 開く * を選択します。

      証明書またはキーファイル名の横に緑のチェックマークが表示され、正常にアップロードされたことを通知します。

  7. 「 * Continue * 」を選択します。

syslog の内容を管理します

外部syslogサーバに送信する情報を選択できます。

手順

  1. ウィザードの* syslogコンテンツの管理*ステップで、外部syslogサーバに送信する監査情報の種類をそれぞれ選択します。

    • 監査ログの送信:StorageGRID イベントとシステムアクティビティを送信します

    • セキュリティイベントの送信:許可されていないユーザーがサインインしようとしたときや、ユーザーがrootとしてサインインしようとしたときなど、セキュリティイベントを送信します

    • アプリケーションログを送信:次のようなトラブルシューティングに役立つログファイルを送信します。

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (管理ノードのみ)

      • prometheus.log

      • raft.log

      • hagroups.log

    StorageGRIDソフトウェアログの詳細については、を参照してください。 "StorageGRID ソフトウェアのログ"

  2. ドロップダウンメニューを使用して、送信する監査情報のカテゴリごとに重大度とファシリティ(メッセージのタイプ)を選択します。

    重大度とファシリティの値を設定すると、ログをカスタマイズ可能な方法で集約して分析を容易にすることができます。

    1. では、[Passthrough]*を選択するか、重大度値を0~7で選択します。

      値を選択すると、選択した値がこのタイプのすべてのメッセージに適用されます。固定値で重大度を上書きすると、異なる重大度に関する情報が失われます。

      重大度 説明

      パススルー

      外部syslogに送信される各メッセージの重大度は、ノードにローカルにログインしたときと同じになります。

      • 監査ログの場合、重大度は「info」です。

      • セキュリティイベントの場合、重大度の値はノード上のLinuxディストリビューションによって生成されます。

      • アプリケーションログの重大度は、問題の内容に応じて「info」と「notice」の間で異なります。たとえば、NTPサーバを追加してHAグループを設定すると値が「info」になり、SSMサービスまたはRSMサービスを意図的に停止すると値が「notice」になります。

      0

      EMERGENCY :システムが使用できない

      1.

      ALERT :早急に対処が必要です

      2.

      Critical :クリティカルな状態です

      3.

      Error :エラー状態

      4.

      Warning :警告状態です

      5.

      通知:通常の状態だが重要な状態

      6.

      INFORMATIONAL :情報メッセージです

      7.

      DEBUG :デバッグレベルのメッセージ

    2. *Facilty*では、*Passthrough*を選択するか、0~23のファシリティ値を選択します。

      値を選択すると、このタイプのすべてのメッセージに適用されます。固定値でファシリティを上書きすると、さまざまなファシリティに関する情報が失われます。

    ファシリティ 説明

    パススルー

    外部syslogに送信される各メッセージのファシリティ値は、ノードにローカルにログインしたときと同じです。

    • 監査ログの場合、外部syslogサーバに送信されるファシリティは「local7」です。

    • セキュリティイベントの場合、ファシリティ値はノード上のLinuxディストリビューションによって生成されます。

    • アプリケーションログの場合、外部syslogサーバに送信されるアプリケーションログのファシリティ値は次のとおりです。

      • bycast.log:ユーザーまたはデーモン

      • bycast-err.log:user、daemon、local3、またはlocal4

      • jaeger.log:local2

      • nms.log: local3

      • prometheus.log:local4

      • raft.log: local5

      • hagroups.log:local6

    0

    kern (カーネルメッセージ)

    1.

    ユーザ(ユーザレベルのメッセージ)

    2.

    メール

    3.

    デーモン(システムデーモン)

    4.

    AUTH (セキュリティ / 認証メッセージ)

    5.

    syslog ( syslogd で内部的に生成されるメッセージ)

    6.

    LPR (ラインプリンタサブシステム)

    7.

    News (ネットワークニュースサブシステム)

    8

    UUCP

    9

    cron クロックデーモン

    10

    セキュリティ(セキュリティ / 認可メッセージ)

    11

    FTP

    12

    NTP

    13

    logaudit (ログ監査)

    14

    logalert (ログアラート)

    15

    clock ( clock デーモン)

    16

    ローカル0

    17

    ローカル1

    18

    ローカル2

    19

    ローカル 3

    20

    「 LOCAL4 」

    21.

    ローカル5

    22

    ローカル6

    23

    ローカル7

  3. 「 * Continue * 」を選択します。

テストメッセージを送信します

外部 syslog サーバの使用を開始する前に、グリッド内のすべてのノードが外部 syslog サーバにテストメッセージを送信するように要求する必要があります。外部 syslog サーバへのデータ送信にコミットする前に、これらのテストメッセージを使用してログ収集インフラ全体を検証する必要があります。

注意 外部syslogサーバがグリッド内の各ノードからテストメッセージを受信し、メッセージが想定どおりに処理されたことを確認するまでは、外部syslogサーバの設定を使用しないでください。
手順

  1. 外部syslogサーバが適切に設定され、グリッド内のすべてのノードから監査情報を受信できることが確実であるためにテストメッセージを送信しない場合は、*[スキップして終了]*を選択します。

    緑色のバナーは、設定が保存されたことを示します。

  2. それ以外の場合は、テストメッセージを送信(推奨)を選択します。

    テスト結果は、テストを停止するまでページに継続的に表示されます。テストの実行中も、以前に設定した送信先に監査メッセージが引き続き送信されます。

  3. エラーが発生した場合は、修正して、もう一度 [ テストメッセージを送信する *] を選択します。

    を参照してください "外部 syslog サーバのトラブルシューティングを行います" エラーの解決に役立ちます。

  4. すべてのノードがテストに合格したことを示す緑のバナーが表示されるまで待ちます。

  5. syslog サーバを調べて、テストメッセージが正常に受信および処理されているかどうかを確認します。

    メモ UDP を使用している場合は、ログ収集インフラストラクチャ全体を確認します。UDPプロトコルでは、他のプロトコルほど厳密なエラー検出は許可されていません。 プロトコル。

  6. 「 * ストップ & フィニッシュ * 」を選択します。

    監査および syslog サーバ * ページに戻ります。緑色のバナーは、syslogサーバの設定が保存されたことを示します。

    メモ 外部syslogサーバを含むデスティネーションを選択するまで、StorageGRID監査情報は外部syslogサーバに送信されません。

監査情報の送信先を選択します

監査ログ、セキュリティイベントログ、 "StorageGRID ソフトウェアのログ" が送信されます。

メモ 一部の送信先は、外部syslogサーバが設定されている場合にのみ使用できます。
手順

  1. [Audit and syslog server]ページで、監査情報の保存先を選択します。

    ヒント *ローカルノードのみ*および*外部syslogサーバ*の方が一般的にパフォーマンスが向上します。
    オプション 説明

    ローカルノードのみ

    監査メッセージ、セキュリティイベントログ、およびアプリケーションログは管理ノードに送信されません。代わりに、それらはそれらを生成したノード(「ローカルノード」)にのみ保存されます。すべてのローカルノードで生成された監査情報は、 /var/local/log/localaudit.log

    :StorageGRIDは定期的にローカルログをローテーションで削除し、スペースを解放します。ノードのログファイルが 1GB に達すると、既存のファイルが保存され、新しいログファイルが開始されます。ログのローテーションの上限は 21 ファイルです。ログファイルの 22 番目のバージョンが作成されると、最も古いログファイルが削除されます。各ノードには平均約 20GB のログデータが格納されます。

    管理ノード/ローカルノード

    監査メッセージが監査ログに送信されます (/var/local/log/audit.log)が管理ノードに格納され、セキュリティイベントログとアプリケーションログは、それらを生成したノードに格納されます。

    外部 syslog サーバ

    監査情報は外部syslogサーバに送信され、ローカルノードに保存されます。送信される情報の種類は、外部 syslog サーバの設定方法によって異なります。このオプションは、外部 syslog サーバを設定した場合にのみ有効になります。

    管理ノードと外部 syslog サーバ

    監査メッセージが監査ログに送信されます (/var/local/log/audit.log)が管理ノードに送信され、監査情報が外部syslogサーバに送信されてローカルノードに保存されます。送信される情報の種類は、外部 syslog サーバの設定方法によって異なります。このオプションは、外部 syslog サーバを設定した場合にのみ有効になります。

  2. [ 保存( Save ) ] を選択します。

    警告メッセージが表示されます。

  3. [OK]*を選択して、監査情報の保存先を変更することを確認します。

    緑色のバナーは、監査設定が保存されたことを示します。

    選択した送信先に新しいログが送信されます。既存のログは現在の場所に残ります。