创建审计日志

在执行特权删除之前,您必须创建 SnapLock 保护的审核日志。审核日志记录 SnapLock 管理员帐户的创建和删除、日志卷的修改、是否启用了特权删除以及特权删除操作。

开始之前

您必须是集群管理员才能创建 SnapLock 聚合。

关于本任务

在日志文件保留期已过之前,您无法删除审计日志。即使在保留期已过之后,您也无法修改审计日志。

重要:在 ONTAP 9.4 及更早版本中、您不能使用 SnapLock Enterprise 卷进行审计日志记录。必须使用 SnapLock Compliance 卷。在 ONTAP 9.5 和更高版本中、您可以使用 SnapLock Enterprise 卷或 SnapLock Compliance 卷进行审计日志记录。

在所有情况下,必须在连接路径上挂载审计日志卷/snaplock_audit_log。任何其他卷都不能使用此连接路径。

您可以在/snaplock_log审计日志卷根下的目录中、名为privdel_log(特权删除操作)的子目录中以及system_log(其他所有内容)找到 SnapLock 审计日志。审计日志文件名包含第一个记录操作的时间戳,因此可以按执行操作的大概时间轻松搜索记录。

For more information, see the man pages for the commands.

注:数据保护卷不能用作 SnapLock 审核日志卷。

步骤

  1. 创建 SnapLock 聚合。
  2. SVM要为审核日志记录配置的 SVM 上,创建 SnapLock 卷。
  3. 配置SVM 以进行审计日志记录: snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-file-size size -retention-period default_retention_period
    注:审计日志文件的最小默认保留期为六个月。如果受影响文件的保留期长于审计日志的保留期,则日志的保留期将继承文件的保留期。因此,如果使用特权删除删除删除的文件的保留期为 10 个月、而审计日志的保留期为 8 个月、则日志的保留期将延长到 10 个月。
    示例
    以下命令使用SVM SnapLock 卷 logvol 配置 SVM SVM1 以进行审核日志记录。审核日志的最大大小为 20 GB ,保留 8 个月。
    SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-file-size 20GB -retention-period 8months
  4. SVM为审核日志记录配置的 SVM 上、在连接路径上挂载 SnapLock 卷/snaplock_audit_log