Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

파일 액세스 이벤트 모니터링 및 관리

기여자

검사 중인 파일 중 하나에 액세스하거나 변경할 때마다 이벤트에 기록하도록 BlueXP 분류를 구성할 수 있습니다. 그런 다음 이 로그 파일(파일 액세스 감사 로그)의 내용을 보거나 다운로드하여 어떤 파일 변경이 발생했는지, 누가 변경했는지 확인할 수 있습니다.

예를 들어 중요한 직원 파일이나 급여 파일이 변경된 시기를 추적하려는 경우 이러한 파일이 있는 볼륨에서 이 기능을 사용하도록 설정할 수 있습니다. 그런 다음 파일 액세스 감사 로그를 보고 이러한 파일이 변경되었는지 확인할 수 있습니다. 변경 사항이 있는 경우 변경을 수행한 사람의 SID(보안 식별자)와 변경 시점을 확인할 수 있습니다.

ONTAP 소프트웨어를 실행하는 작업 환경의 중요 볼륨에서 이 기능을 활성화할 수 있습니다. 볼륨에서 활성화된 경우 볼륨의 모든 파일 및 디렉토리에 대해 파일 액세스 이벤트가 추적됩니다. 이 기능은 를 기반으로 합니다 "FPolicy 기능" ONTAP 시스템에서 BlueXP 분류 시스템을 FPolicy 서버로 사용하여 ONTAP의 알림 메시지(이벤트)를 수신합니다. BlueXP 분류는 ONTAP에서 초당 약 990개의 이벤트를 처리할 수 있습니다.

참고 2023년 12월(버전 1.26.6) 릴리즈에서는 감사 로그 수집을 활성화하는 옵션이 일시적으로 제거되었습니다.

BlueXP 분류는 현재 파일 및 디렉토리에 대해 다음 작업에 대한 이벤트를 캡처합니다.

  • 생성

  • 읽기

  • 쓰기

  • 이름 바꾸기

  • 삭제

  • 소유자/권한을 변경합니다

  • SACL/DACL(Access Control List) 변경 사항 변경

"계정 관리자" 또는 "작업 영역 관리자" 역할을 가진 BlueXP 사용자는 파일 액세스 감사 로깅을 위한 볼륨을 구성할 수 있으며 감사 로그를 보고 다운로드할 수 있습니다. "Compliance Viewer" 역할을 가진 사용자는 감사 로그만 보고 다운로드할 수 있습니다.

지원되는 데이터 소스

BlueXP 분류는 다음 데이터 소스의 ONTAP 볼륨에 있는 파일에 대한 파일 액세스 이벤트를 기록할 수 있습니다.

  • 온프레미스 ONTAP

  • Cloud Volumes ONTAP

  • NetApp ONTAP용 Amazon FSx

데이터 원본은 ONTAP 버전 9.11 이상의 소프트웨어를 실행해야 합니다.

파일 액세스 감사 로깅을 위한 볼륨을 구성합니다

개별 볼륨에서 파일 액세스 감사 로깅을 활성화하여 파일 및 디렉토리의 변경 사항을 추적할 수 있습니다.

팁 현재 각 데이터 소스에서 최대 8개의 볼륨에 대해 파일 액세스 감사를 구성할 수 있습니다.
시작하기 전에
  • BlueXP 분류에서 파일에 액세스한 사람의 ID를 나열할 수 있도록 데이터 원본에 대해 Active Directory를 구성해야 합니다.

  • BlueXP 분류 시스템에서 아웃바운드 액세스를 위해서는 포트 5018이 열려 있어야 합니다.

단계
  1. 데이터 원본에 대한 Scan Configuration 페이지에서 를 클릭합니다 추가 아이콘 볼륨에 대해 * 파일 액세스 감사 구성 * 을 선택합니다.

    파일 액세스 로깅을 활성화할 볼륨을 선택하는 스크린샷

  2. Configure File Access Audit_ 대화 상자에서 * Enable logging of file access events * 확인란을 클릭하고 * Save * 를 클릭합니다.

    이 때 모든 잠재적 로깅 작업은 기본적으로 선택되며 편집할 수 없습니다.

    볼륨에 대한 로깅을 설정 및 비활성화하고 기록할 작업을 선택하는 대화 상자의 스크린 샷

  3. 이제 해당 볼륨에 대해 파일 액세스 감사가 활성화되어 있음을 알 수 있습니다.

    특정 볼륨에 대해 파일 액세스 감사 로깅이 활성화되어 있음을 보여 주는 스크린샷

결과

활성화된 볼륨의 파일에 대해 생성된 모든 파일 액세스 이벤트가 로그 파일에 추가됩니다. 로그 파일을 가끔 확인하여 수신 중인 이벤트 유형을 확인합니다.

로그 파일 내용

파일 액세스 이벤트를 추적하도록 구성한 모든 볼륨에 대해 로그 파일이 생성됩니다. 로그 파일의 이름은 "<volume_name>_<volume_uuid>_.log"입니다. 예를 들어 "FPolicy_CIFS_838c1727-dd2d-11ed-a3ec-590ce4991.log"입니다. 감사 로그의 각 줄에는 다음 형식의 정보가 포함되어 있습니다.

  • Timestamp - 이벤트의 날짜 및 시간입니다

  • 클라이언트 IP - 파일 작업이 수행된 인스턴스/PC/프록시의 IP 주소입니다

  • Volume Name - 볼륨의 이름입니다

  • 볼륨 UUID - 볼륨의 UUID입니다

  • 파일 형식 - 파일 형식 또는 DIR입니다

  • File Size - 파일 크기(바이트)입니다

  • Path - 영향을 받는 파일 또는 디렉토리의 전체 경로 및 이름입니다

  • Volume Type - 볼륨의 유형으로 SMB 또는 NFS입니다

  • 사용자 ID - 작업을 수행한 사람의 SID(보안 식별자)입니다

  • 파일 소유자 ID - 파일 소유자의 SID(보안 식별자)입니다

  • 이벤트 유형 - 만들기, 읽기, 쓰기, 이름 바꾸기, 삭제, 소유자/권한을 변경하거나 SACL/DACL을 변경합니다

  • 작업 세부 정보 - 수행한 작업: 작업에 따라 다릅니다

예를 들어, 로그 파일에서 다음 행은 볼륨 "FPolicy_CIFS"에서 "Create" 작업이 발생했다는 것을 나타냅니다. 즉, 볼륨에 새 파일 "F14"가 생성되었습니다.

 {"Timestamp": "2023-04-24 13:57", "Client_IP": "172.31.14.35", "Volume_Name": "fpolicy_cifs", "Volume_UUID": "838c1727-dd2d-11ed-a3ec-590ce4991", "File_Type": "FILE", "File_Size": 100, "Path": \\FPOLICY_CVO\fpolicy_cifs_share\dbs\f14, "Volume_Type": "SMB", "User_ID": "S-1-5-21-459977447-2546672318-3630509715-500", "File_Owner_ID": "S-1-5-32-544", "Event_Type": "CREATE", "Action_Details": {details}}
BlueXP 분류 조사 페이지를 사용하여 볼륨("저장소 저장소" 필터 사용) 또는 파일("파일/디렉터리 경로" 필터 사용)을 검색하여 영향을 받는 볼륨 및 파일에 대한 자세한 정보를 볼 수 있습니다.

파일 액세스 감사 로그 파일에 액세스합니다

파일 액세스 감사 로그 파일은 BlueXP 분류 시스템의 다음 위치에 있습니다. /opt/netapp/fpolicy/logs

각 파일은 기본적으로 최대 50,000개의 이벤트를 포함하도록 구성됩니다. 파일 액세스 감사 로그 구성 페이지에서 이 값을 사용자 지정할 수 있습니다. 이 최대값에 도달하면 로그 파일의 이전 항목을 덮어씁니다.

디렉토리의 모든 로그 파일의 총 크기는 기본적으로 최대 50GB로 설정됩니다. 파일 액세스 감사 로그 구성 페이지에서 이 값을 사용자 지정할 수 있습니다. 이 제한에 도달하면 새 로그 파일이 추가되면 가장 오래된 로그 파일이 삭제됩니다. 또한 14일이 지난 모든 로그 파일은 최대 보존 시간이므로 덮어쓰게 됩니다.

BlueXP 분류가 사내 Linux 시스템이나 클라우드에 배포한 Linux 시스템에 설치되어 있는 경우 로그 파일로 직접 이동할 수 있습니다.

BlueXP 분류를 클라우드에 배포하면 BlueXP 분류 인스턴스에 SSH를 사용해야 합니다. 사용자 및 암호를 입력하거나 BlueXP Connector 설치 중에 제공한 SSH 키를 사용하여 시스템에 SSH를 수행합니다. SSH 명령은 다음과 같습니다.

 ssh -i <path_to_the_ssh_key> <machine_user>@<datasense_ip>
* path_to_the_ssh_key> = ssh 인증 키의 위치입니다
* machine_user>:

+
AWS의 경우 <EC2-USER>를 사용합니다
Azure의 경우: BlueXP 인스턴스에 대해 생성한 사용자를 사용합니다
** GCP의 경우: BlueXP 인스턴스에 대해 생성한 사용자를 사용합니다

  • <datasense_ip> = BlueXP 분류 가상 머신 인스턴스의 IP 주소입니다

클라우드의 시스템에 액세스하려면 보안 그룹 인바운드 규칙을 수정해야 합니다. 자세한 내용은 다음을 참조하십시오.

파일 액세스 감사 로그 설정을 구성합니다

파일 액세스 감사 파일 로그에 대해 구성할 수 있는 세 가지 옵션이 있습니다. 이러한 설정은 이 BlueXP 분류 인스턴스에 대한 파일 액세스 감사 로깅을 구성한 모든 데이터 원본에 적용됩니다. 이러한 설정은 BlueXP classification_Configuration_페이지의 _ 파일 액세스 감사 로그_ 섹션에서 구성합니다.

BlueXP 분류 구성 페이지의 감사 로그에 대한 구성 설정을 보여 주는 스크린샷

감사 로그 옵션 설명

로그 파일 위치

현재 로그 파일을 쓸 수 있도록 위치가 하드코딩되어 있습니다 /opt/netapp/fpolicy/logs

감사 로그에 대한 최대 스토리지 할당

디렉토리에 있는 모든 로그 파일의 총 크기는 현재 50GB의 기본값으로 하드 코딩되어 있습니다. 이 제한에 도달하면 가장 오래된 로그 파일이 자동으로 삭제됩니다.

감사 파일당 최대 감사 이벤트 수입니다

각 파일은 현재 최대 50,000개의 이벤트를 포함하도록 하드코딩되어 있습니다. 이 최대값에 도달하면 새 이벤트가 추가되면서 이전 이벤트가 삭제됩니다.

이러한 설정은 현재 기본 설정으로 하드 코딩되어 있습니다. 변경할 수 없습니다.