Como o ONTAP implementa o log de auditoria
As atividades de gerenciamento registradas no log de auditoria são incluídas nos relatórios padrão do AutoSupport e certas atividades de Registro são incluídas nas mensagens do EMS. Você também pode encaminhar o log de auditoria para destinos especificados e exibir arquivos de log de auditoria usando a CLI ou um navegador da Web.
A partir do ONTAP 9.11,1, você pode exibir o conteúdo do log de auditoria usando o Gerenciador do sistema.
A partir do ONTAP 9.12,1, o ONTAP fornece alertas de adulteração para logs de auditoria. O ONTAP executa um trabalho de segundo plano diário para verificar se há adulteração de arquivos audit.log e envia um alerta EMS se ele encontrar arquivos de log que foram alterados ou adulterados.
O ONTAP Registra as atividades de gerenciamento que são executadas no cluster, por exemplo, qual solicitação foi emitida, o usuário que acionou a solicitação, o método de acesso do usuário e a hora da solicitação.
As atividades de gestão podem ser um dos seguintes tipos:
-
Definir solicitações, que normalmente se aplicam a comandos ou operações que não sejam exibidas:
-
Essas solicitações são emitidas quando você executa um
create
comando ,modify
, oudelete
, por exemplo. -
As solicitações de conjunto são registradas por padrão.
-
-
OBTENHA solicitações, que recuperam informações e exibem na interface de gerenciamento:
-
Essas solicitações são emitidas quando você executa um
show
comando, por exemplo. -
As SOLICITAÇÕES GET não são registradas por padrão, mas você pode controlar se as solicitações GET enviadas da CLI do ONTAP (
-cliget
), da API do ONTAP (-ontapiget
) ou da API REST (-httpget
) estão registradas no arquivo.
-
O ONTAP Registra atividades de gerenciamento /mroot/etc/log/mlog/audit.log
no arquivo de um nó. Comandos dos três shells para comandos CLI - o clustershell, o nodeshell e o systemshell não interativo (comandos do systemshell interativo não são registrados) - assim como os comandos API são registrados aqui. Os logs de auditoria incluem carimbos de data/hora para mostrar se todos os nós de um cluster estão sincronizados com a hora.
O audit.log
arquivo é enviado pela ferramenta AutoSupport para os destinatários especificados. Você também pode encaminhar o conteúdo de forma segura para destinos externos especificados por você; por exemplo, um Splunk ou um servidor syslog.
O audit.log
arquivo é girado diariamente. A rotação também ocorre quando atinge 100 MB de tamanho, e as 48 cópias anteriores são preservadas (com um total máximo de 49 arquivos). Quando o arquivo de auditoria executa sua rotação diária, nenhuma mensagem EMS é gerada. Se o arquivo de auditoria girar porque seu limite de tamanho de arquivo é excedido, uma mensagem EMS é gerada.