Logs de auditoria
Log de auditoria é uma coleção de eventos em uma ordem cronológica, que é gravada em um arquivo dentro do dispositivo. Os arquivos de log de auditoria são gerados no /var/log/netapp/audit
local e os nomes de arquivo seguem uma das convenções de nomenclatura abaixo:
-
Audit.log: Arquivo de log de auditoria ativo que está em uso.
-
Audit-%d.log.gz: Rolado sobre o arquivo de log de auditoria. A data e a hora no nome do arquivo indicam quando o arquivo foi criado, por exemplo: Audit-2022-12-15-16-28-01.log.gz.
Na interface do usuário do plug-in SCV, você pode exibir e exportar os detalhes do log de auditoria de Painel > Configurações > Logs de auditoria guia você pode exibir a auditoria de operação nos logs de auditoria. Os logs de auditoria são baixados com o pacote suporte.
Se as configurações de e-mail estiverem configuradas, a SCV enviará uma notificação por e-mail no caso de uma falha na Verificação de integridade do Registro de auditoria. Uma falha na Verificação de integridade do Log de Auditoria pode ocorrer quando um dos arquivos é adulterado ou excluído.
As configurações padrão dos arquivos de auditoria são:
-
O arquivo de log de auditoria em uso pode crescer até um máximo de 10 MB
-
Um máximo de 10 arquivos de log de auditoria são mantidos
Para modificar as configurações padrão, adicione um par de valores de chave no /opt/NetApp/scvservice/standalone_Aegis/etc/scbr/scbr.properties e reinicie o scvservice.
As configurações para arquivos de log de auditoria são:
-
<xx>, onde xx é o número máximo de arquivos de log de auditoria rolados, por exemplo: AuditMaxROFiles.15.
-
<XX>, onde xx é o tamanho do arquivo em MB, por exemplo: AuditLogSize 15MB.
Os logs de auditoria rolados são verificados periodicamente quanto à integridade. O SCV fornece APIs REST para visualizar logs e verificar sua integridade. Uma programação integrada aciona e atribui um dos seguintes Estados de integridade.
Estado |
Descrição |
ADULTERADO |
O conteúdo do arquivo de log de auditoria foi modificado |
NORMAL |
O arquivo de log de auditoria não foi modificado |
ELIMINAÇÃO DE CAPOTAMENTO |
* O arquivo de log de auditoria é excluído com base na retenção * por padrão, apenas 10 arquivos são retidos |
ELIMINAÇÃO INESPERADA |
O arquivo de log de auditoria é excluído |
ATIVO |
* O ficheiro de registo de auditoria está a ser utilizado * apenas aplicável a audit.log |
Os eventos são categorizados em três categorias principais:
-
Eventos de proteção de dados
-
Eventos da consola de manutenção
-
Eventos do Admin Console
Eventos de proteção de dados
Os recursos na SCV são:
-
Sistema de storage
-
Grupo recursos
-
Política
-
Backup
A tabela a seguir lista as operações que podem ser executadas em cada recurso:
Recursos |
Operações |
Sistema de storage |
Criado, modificado, excluído |
Grupo recursos |
Criado, modificado, excluído, suspenso, retomado |
Política |
Criado, modificado, excluído |
Backup |
Criado, renomeado, excluído, montado, desmontado, restaurado VMDK, restaurado VM, anexar VMDK, desanexar VMDK, Guest File Restore |
Eventos da consola de manutenção
As operações administrativas no console de manutenção são auditadas. As opções disponíveis do console de manutenção são:
-
Iniciar / Parar serviços
-
Alterar nome de utilizador e palavra-passe
-
Altere a senha do MySQL
-
Configure o MySQL Backup
-
Restaure o MySQL Backup
-
Altere a palavra-passe do utilizador 'não'
-
Alterar fuso horário
-
Altere o servidor NTP
-
Desativar o acesso SSH
-
Aumente o tamanho do disco de cadeia
-
Atualização
-
Instalar o VMware Tools (estamos trabalhando para substituir isso por ferramentas Open-vm)
-
Altere as definições do endereço IP
-
Altere as configurações de pesquisa de nome de domínio
-
Alterar rotas estáticas
-
Aceder ao shell de diagnóstico
-
Ative o acesso de diagnóstico remoto
Eventos do Admin Console
As seguintes operações na IU do Admin Console são auditadas:
-
Definições
-
Alterar credenciais de administrador
-
Altere o fuso horário
-
Altere o servidor NTP
-
Altere as definições IPv4 / IPv6
-
-
Configuração
-
Altere as credenciais do vCenter
-
Ativação/desativação do plug-in
-