監査の基本概念

ONTAPの監査について理解するために、監査の基本概念を確認しておく必要があります。

ステージング ファイル
統合および変換の前に監査レコードが格納される、個々のノード上の中間バイナリ ファイル。ステージング ファイルはステージング ボリュームに格納されます。
ステージング ボリューム
ステージング ファイルを格納するためにONTAPによって作成される専用ボリューム。各アグリゲートに1つのステージング ボリュームがあります。ステージング ボリュームは、そのアグリゲート内のデータ ボリュームを対象としたデータ アクセスの監査レコードを格納するために、監査が有効なすべてのStorage Virtual Machine(SVM)で共有されます。各SVMの監査レコードは、ステージング ボリューム内の個別のディレクトリに格納されます。

クラスタ管理者はステージング ボリュームに関する情報を表示できますが、それ以外のほとんどのボリューム操作は実行できません。ステージング ボリュームを作成できるのはONTAPのみです。ステージング ボリュームにはONTAPによって自動的に名前が割り当てられます。すべてのステージング ボリューム名はMDV_aud_で始まり、そのあとにステージング ボリュームを格納するアグリゲートのUUIDが続きます(例:MDV_aud_1d0131843d4811e296fc123478563412)。

システム ボリューム
ファイル サービスや監査ログのメタデータなど、特別なメタデータを格納するFlexVolです。システム ボリュームの所有者は管理SVMであり、システム ボリュームはクラスタ全体で表示されます。ステージング ボリュームはシステム ボリュームの一種です。
統合タスク
監査が有効になった際に作成されるタスクです。各SVMで長時間にわたって実行されるこのタスクは、SVMのメンバー ノード全体のステージング ファイルから監査レコードを取得します。このタスクは、監査レコードを時間順にソートされた状態でマージしたうえで、これらのレコードを監査設定で指定されたユーザが読解可能なイベント ログ形式に変換します。変換されたイベント ログは、SVM監査設定で指定された監査イベント ログ ディレクトリに格納されます。