감사 메시지 및 외부 syslog 서버 구성
변경 제안
PDF
감사 메시지와 관련된 다양한 설정을 구성할 수 있습니다. 기록되는 감사 메시지의 수를 조정할 수 있고, 클라이언트 읽기 및 쓰기 감사 메시지에 포함할 HTTP 요청 헤더를 정의할 수 있으며, 외부 시스템 로그 서버를 구성할 수 있고, 감사 로그, 보안 이벤트 로그 및 StorageGRID 소프트웨어 로그가 전송되는 위치를 지정할 수 있습니다.
감사 메시지와 로그는 시스템 활동과 보안 이벤트를 기록하며, 모니터링과 문제 해결을 위한 필수적인 도구입니다. 모든 StorageGRID 노드는 시스템 활동과 이벤트를 추적하기 위해 감사 메시지와 로그를 생성합니다.
선택적으로, 감사 정보를 원격으로 저장하기 위해 외부 시스템 로그 서버를 구성할 수 있습니다. 외부 서버를 사용하면 감사 데이터의 완전성을 떨어뜨리지 않고도 감사 메시지 로깅의 성능 영향을 최소화할 수 있습니다. 대규모 그리드가 있거나 여러 유형의 S3 애플리케이션을 사용하거나 모든 감사 데이터를 보관하려는 경우 외부 시스템 로그 서버가 특히 유용합니다. 보다"감사 메시지 및 외부 syslog 서버 구성" 자세한 내용은.
-
다음을 사용하여 Grid Manager에 로그인했습니다."지원되는 웹 브라우저" .
-
당신은 가지고있다"유지 관리 또는 루트 액세스 권한" .
-
외부 syslog 서버를 구성하려는 경우 다음을 검토해야 합니다."외부 syslog 서버 사용 시 고려 사항" 그리고 서버가 로그 파일을 수신하고 저장할 수 있는 충분한 용량을 가지고 있는지 확인했습니다.
-
TLS 또는 RELP/TLS 프로토콜을 사용하여 외부 시스템 로그 서버를 구성하려는 경우 필요한 서버 CA 및 클라이언트 인증서와 클라이언트 개인 키가 있습니다.
감사 메시지 수준 변경
감사 로그에서 다음 각 메시지 범주에 대해 다른 감사 수준을 설정할 수 있습니다.
| 감사 범주 | 기본 설정 | 더 많은 정보 |
|---|---|---|
체계 |
정상 |
|
스토리지 |
오류 |
|
관리 |
정상 |
|
클라이언트가 읽습니다 |
정상 |
|
클라이언트가 작성합니다 |
정상 |
|
일엠엠 |
정상 |
|
크로스 그리드 복제 |
오류 |
|
이러한 기본값은 처음에 StorageGRID 10.3 이상을 사용하여 설치한 경우에 적용됩니다. 처음에 StorageGRID 의 이전 버전을 사용한 경우 모든 범주의 기본값은 일반으로 설정됩니다. |
|
|
업그레이드 중에는 감사 수준 구성이 즉시 적용되지 않습니다. |
-
구성 > 모니터링 > *감사 및 시스템 로그 서버*를 선택합니다.
-
감사 메시지의 각 범주에 대해 드롭다운 목록에서 감사 수준을 선택합니다.
감사 수준 설명 끄다
해당 카테고리의 감사 메시지는 기록되지 않습니다.
오류
오류 메시지만 기록됩니다. 결과 코드가 "성공"하지 않은(SUCS) 감사 메시지입니다.
정상
표준 거래 메시지가 기록됩니다. 즉, 해당 범주에 대한 이 지침에 나열된 메시지가 기록됩니다.
디버그
더 이상 사용되지 않음. 이 수준은 일반 감사 수준과 동일하게 동작합니다.
특정 수준에 포함된 메시지에는 상위 수준에서 기록되는 메시지도 포함됩니다. 예를 들어, 정상 수준에는 모든 오류 메시지가 포함됩니다.
S3 애플리케이션의 클라이언트 읽기 작업에 대한 자세한 기록이 필요하지 않은 경우 선택적으로 클라이언트 읽기 설정을 *오류*로 변경하여 감사 로그에 기록되는 감사 메시지 수를 줄일 수 있습니다. -
*저장*을 선택하세요.
녹색 배너는 구성이 저장되었음을 나타냅니다.
HTTP 요청 헤더 정의
클라이언트 읽기 및 쓰기 감사 메시지에 포함할 HTTP 요청 헤더를 선택적으로 정의할 수 있습니다. 이러한 프로토콜 헤더는 S3 요청에만 적용됩니다.
-
감사 프로토콜 헤더 섹션에서 클라이언트 읽기 및 쓰기 감사 메시지에 포함할 HTTP 요청 헤더를 정의합니다.
0개 이상의 문자와 일치하려면 별표(*)를 와일드카드로 사용합니다. 문자 그대로의 별표와 일치하려면 이스케이프 시퀀스(\*)를 사용합니다.
-
필요한 경우 추가 헤더를 만들려면 *다른 헤더 추가*를 선택하세요.
요청에서 HTTP 헤더가 발견되면 해당 헤더는 HTRH 필드 아래의 감사 메시지에 포함됩니다.
감사 프로토콜 요청 헤더는 클라이언트 읽기 또는 *클라이언트 쓰기*에 대한 감사 수준이 *끄기*가 아닌 경우에만 기록됩니다. -
*저장*을 선택하세요
녹색 배너는 구성이 저장되었음을 나타냅니다.
외부 syslog 서버 사용
선택적으로 외부 syslog 서버를 구성하여 감사 로그, 애플리케이션 로그, 보안 이벤트 로그를 그리드 외부의 위치에 저장할 수 있습니다.
|
|
외부 syslog 서버를 사용하지 않으려면 이 단계를 건너뛰고 다음으로 이동하세요.감사 정보 대상 선택 . |
|
이 절차에서 사용 가능한 구성 옵션이 요구 사항을 충족할 만큼 유연하지 않은 경우 다음을 사용하여 추가 구성 옵션을 적용할 수 있습니다. audit-destinations 개인 API 섹션에 있는 엔드포인트"그리드 관리 API" . 예를 들어, 서로 다른 노드 그룹에 대해 서로 다른 syslog 서버를 사용하려는 경우 API를 사용할 수 있습니다.
|
Syslog 정보 입력
외부 syslog 서버 구성 마법사에 액세스하여 StorageGRID 외부 syslog 서버에 액세스하는 데 필요한 정보를 제공합니다.
-
감사 및 시스템 로그 서버 페이지에서 *외부 시스템 로그 서버 구성*을 선택합니다. 또는 이전에 외부 시스템 로그 서버를 구성한 경우 *외부 시스템 로그 서버 편집*을 선택합니다.
외부 syslog 서버 구성 마법사가 나타납니다.
-
마법사의 Syslog 정보 입력 단계에서는 호스트 필드에 외부 Syslog 서버의 유효한 정규화된 도메인 이름이나 IPv4 또는 IPv6 주소를 입력합니다.
-
외부 syslog 서버의 대상 포트를 입력하세요(1~65535 사이의 정수여야 함). 기본 포트는 514입니다.
-
감사 정보를 외부 syslog 서버로 전송하는 데 사용되는 프로토콜을 선택합니다.
TLS 또는 *RELP/TLS*를 사용하는 것이 좋습니다. 이러한 옵션을 사용하려면 서버 인증서를 업로드해야 합니다. 인증서를 사용하면 그리드와 외부 시스템 로그 서버 간의 연결을 보호하는 데 도움이 됩니다. 자세한 내용은 다음을 참조하세요. "보안 인증서 관리" .
모든 프로토콜 옵션에는 외부 syslog 서버의 지원과 구성이 필요합니다. 외부 syslog 서버와 호환되는 옵션을 선택해야 합니다.
RELP(Reliable Event Logging Protocol)는 syslog 프로토콜의 기능을 확장하여 이벤트 메시지를 안정적으로 전달합니다. RELP를 사용하면 외부 시스템 로그 서버를 다시 시작해야 하는 경우 감사 정보 손실을 방지하는 데 도움이 될 수 있습니다. -
*계속*을 선택하세요.
-
TLS 또는 RELP/TLS를 선택한 경우 서버 CA 인증서, 클라이언트 인증서 및 클라이언트 개인 키를 업로드하세요.
-
사용할 인증서나 키를 찾으려면 *찾아보기*를 선택하세요.
-
인증서 또는 키 파일을 선택하세요.
-
*열기*를 선택하여 파일을 업로드합니다.
인증서 또는 키 파일 이름 옆에 녹색 확인 표시가 나타나 해당 파일이 성공적으로 업로드되었음을 알려줍니다.
-
-
*계속*을 선택하세요.
시스템 로그 콘텐츠 관리
외부 syslog 서버로 전송할 정보를 선택할 수 있습니다.
-
마법사의 Syslog 콘텐츠 관리 단계에서는 외부 Syslog 서버로 전송하려는 각 유형의 감사 정보를 선택합니다.
-
감사 로그 보내기: StorageGRID 이벤트 및 시스템 활동을 보냅니다.
-
보안 이벤트 보내기: 권한이 없는 사용자가 로그인을 시도하거나 사용자가 루트로 로그인하는 경우와 같은 보안 이벤트를 보냅니다.
-
애플리케이션 로그 보내기: 전송"StorageGRID 소프트웨어 로그 파일" 다음을 포함한 문제 해결에 유용합니다.
-
bycast-err.log -
bycast.log -
jaeger.log -
nms.log(관리 노드만 해당) -
prometheus.log -
raft.log -
hagroups.log
-
-
액세스 로그 보내기: Grid Manager, Tenant Manger, 구성된 로드 밸런서 엔드포인트, 원격 시스템의 그리드 페더레이션 요청에 대한 외부 요청에 대한 HTTP 액세스 로그를 보냅니다.
-
-
드롭다운 메뉴를 사용하여 보내려는 각 감사 정보 범주에 대한 심각도와 기능(메시지 유형)을 선택합니다.
심각도와 시설 값을 설정하면 사용자 정의 방식으로 로그를 집계하여 분석을 더 쉽게 할 수 있습니다.
-
*심각도*에서 *패스스루*를 선택하거나 0~7 사이의 심각도 값을 선택합니다.
값을 선택하면 선택한 값이 해당 유형의 모든 메시지에 적용됩니다. 고정된 값으로 심각도를 재정의하면 다양한 심각도에 대한 정보가 손실됩니다.
심각성 설명 패스스루
외부 syslog로 전송된 각 메시지는 노드에 로컬로 기록될 때와 동일한 심각도 값을 갖습니다.
-
감사 로그의 경우 심각도는 "정보"입니다.
-
보안 이벤트의 경우 심각도 값은 노드의 Linux 배포판에 의해 생성됩니다.
-
애플리케이션 로그의 경우, 문제의 내용에 따라 심각도가 "정보"에서 "알림"으로 달라집니다. 예를 들어, NTP 서버를 추가하고 HA 그룹을 구성하면 "정보" 값이 제공되고, 의도적으로 SSM 또는 RSM 서비스를 중지하면 "알림" 값이 제공됩니다.
-
액세스 로그의 경우 심각도는 "정보"입니다.
0
긴급 상황: 시스템을 사용할 수 없습니다.
1
경고: 즉시 조치를 취해야 합니다.
2
Critical: 중요한 조건
3
오류: 오류 조건
4
경고: 경고 조건
5
주의: 정상적이지만 심각한 상태
6
정보: 정보 메시지
7
디버그: 디버그 수준 메시지
-
-
*시설*에서 *패스스루*를 선택하거나 0~23 사이의 시설 값을 선택하세요.
값을 선택하면 해당 유형의 모든 메시지에 적용됩니다. 고정된 값으로 시설을 재정의하면 다양한 시설에 대한 정보가 손실됩니다.
시설 설명 패스스루
외부 syslog로 전송된 각 메시지는 노드에 로컬로 기록되었을 때와 동일한 기능 값을 갖습니다.
-
감사 로그의 경우 외부 syslog 서버로 전송되는 기능은 "local7"입니다.
-
보안 이벤트의 경우, 시설 값은 노드의 Linux 배포판에 의해 생성됩니다.
-
애플리케이션 로그의 경우 외부 syslog 서버로 전송되는 애플리케이션 로그에는 다음과 같은 기능 값이 있습니다.
-
bycast.log: 사용자 또는 데몬 -
bycast-err.log: 사용자, 데몬, local3 또는 local4 -
jaeger.log: 로컬2 -
nms.log: 로컬3 -
prometheus.log: 로컬4 -
raft.log: 로컬5 -
hagroups.log: 로컬6
-
-
액세스 로그의 경우 외부 syslog 서버로 전송되는 기능은 "local0"입니다.
0
커널(커널 메시지)
1
사용자(사용자 수준 메시지)
2
우편
3
데몬(시스템 데몬)
4
auth(보안/권한 부여 메시지)
5
syslog(syslogd에서 내부적으로 생성된 메시지)
6
lpr(라인 프린터 서브시스템)
7
뉴스(네트워크 뉴스 하위 시스템)
8
UUCP
9
cron(클럭 데몬)
10
보안(보안/권한 부여 메시지)
11
FTP
12
엔티피
13
logaudit(로그 감사)
14
logalert(로그 알림)
15
시계(시계 데몬)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
*계속*을 선택하세요.
테스트 메시지 보내기
외부 syslog 서버를 사용하기 전에 그리드의 모든 노드가 외부 syslog 서버로 테스트 메시지를 보내도록 요청해야 합니다. 외부 syslog 서버로 데이터를 보내기 전에 이러한 테스트 메시지를 사용하여 전체 로그 수집 인프라의 유효성을 검사해야 합니다.
|
그리드의 각 노드에서 테스트 메시지를 외부 syslog 서버가 수신하고 해당 메시지가 예상대로 처리되었는지 확인할 때까지 외부 syslog 서버 구성을 사용하지 마세요. |
-
외부 시스템 로그 서버가 올바르게 구성되었고 그리드의 모든 노드에서 감사 정보를 수신할 수 있다고 확신하여 테스트 메시지를 보내고 싶지 않은 경우 *건너뛰고 마치기*를 선택합니다.
녹색 배너는 구성이 저장되었음을 나타냅니다.
-
그렇지 않은 경우 *테스트 메시지 보내기*를 선택하세요(권장).
테스트를 중지하기 전까지 테스트 결과는 페이지에 계속 나타납니다. 테스트가 진행되는 동안 감사 메시지는 이전에 구성한 대상으로 계속 전송됩니다.
-
시스템 로그 서버 구성 중이나 런타임 중에 오류가 발생하면 오류를 수정하고 *테스트 메시지 보내기*를 다시 선택하세요.
보다"외부 syslog 서버 문제 해결" 오류를 해결하는 데 도움이 됩니다.
-
모든 노드가 테스트를 통과했다는 것을 나타내는 녹색 배너가 나타날 때까지 기다리세요.
-
테스트 메시지가 예상대로 수신되고 처리되는지 확인하려면 시스템 로그 서버를 확인하세요.
UDP를 사용하는 경우 전체 로그 수집 인프라를 확인하세요. UDP 프로토콜은 다른 프로토콜만큼 엄격한 오류 감지를 허용하지 않습니다. -
*중지 및 종료*를 선택하세요.
감사 및 시스템 로그 서버 페이지로 돌아갑니다. 녹색 배너는 syslog 서버 구성이 저장되었음을 나타냅니다.
StorageGRID 감사 정보는 외부 syslog 서버를 포함하는 대상을 선택할 때까지 외부 syslog 서버로 전송되지 않습니다.
감사 정보 대상 선택
감사 로그, 보안 이벤트 로그 및"StorageGRID 소프트웨어 로그" 전송됩니다.
|
|
StorageGRID 기본적으로 로컬 노드 감사 대상을 지정하고 감사 정보를 저장합니다. 사용시 일부 대상은 외부 시스템 로그 서버를 구성한 경우에만 사용할 수 있습니다. |
-
감사 및 시스템 로그 서버 페이지에서 감사 정보의 대상을 선택합니다.
로컬 노드만 및 *외부 시스템 로그 서버*가 일반적으로 더 나은 성능을 제공합니다. 옵션 설명 로컬 노드만(기본값)
감사 메시지, 보안 이벤트 로그, 애플리케이션 로그는 관리 노드로 전송되지 않습니다. 대신, 해당 노드는 이를 생성한 노드("로컬 노드")에만 저장됩니다. 모든 로컬 노드에서 생성된 감사 정보는 다음에 저장됩니다.
/var/local/log/localaudit.log.참고: StorageGRID 공간을 확보하기 위해 주기적으로 로컬 로그를 순환하여 제거합니다. 노드의 로그 파일이 1GB에 도달하면 기존 파일은 저장되고 새로운 로그 파일이 시작됩니다. 로그의 회전 제한은 21개 파일입니다. 로그 파일의 22번째 버전이 생성되면 가장 오래된 로그 파일이 삭제됩니다. 평균적으로 각 노드에는 약 20GB의 로그 데이터가 저장됩니다.
관리 노드/로컬 노드
감사 메시지는 관리 노드의 감사 로그로 전송되고, 보안 이벤트 로그와 애플리케이션 로그는 이를 생성한 노드에 저장됩니다. 감사 정보는 다음 파일에 저장됩니다.
-
관리 노드(기본 및 비기본):
/var/local/audit/export/audit.log -
모든 노드:
/var/local/log/localaudit.log파일이 일반적으로 비어 있거나 없습니다. 여기에는 일부 메시지의 추가 사본과 같은 보조 정보가 포함될 수 있습니다.
외부 시스템 로그 서버
감사 정보는 외부 syslog 서버로 전송되고 로컬 노드에 저장됩니다.(
/var/local/log/localaudit.log). 전송되는 정보의 유형은 외부 syslog 서버를 구성한 방법에 따라 달라집니다. 이 옵션은 외부 syslog 서버를 구성한 후에만 활성화됩니다.관리 노드 및 외부 시스템 로그 서버
감사 메시지는 감사 로그로 전송됩니다.(
/var/local/audit/export/audit.log) 관리 노드에서 감사 정보가 외부 syslog 서버로 전송되고 로컬 노드에 저장됩니다.(/var/local/log/localaudit.log). 전송되는 정보의 유형은 외부 syslog 서버를 구성한 방법에 따라 달라집니다. 이 옵션은 외부 syslog 서버를 구성한 후에만 활성화됩니다. -
-
*저장*을 선택하세요.
경고 메시지가 나타납니다.
-
감사 정보의 대상을 변경하려면 *확인*을 선택하세요.
녹색 배너는 감사 구성이 저장되었음을 나타냅니다.
선택한 목적지로 새로운 로그가 전송됩니다. 기존 로그는 현재 위치에 그대로 남아 있습니다.