Configurar mensagens de auditoria e servidor syslog externo
Você pode configurar uma série de configurações relacionadas às mensagens de auditoria. Você pode ajustar o número de mensagens de auditoria registradas; definir quaisquer cabeçalhos de solicitação HTTP que deseja incluir nas mensagens de auditoria de leitura e gravação do cliente; configurar um servidor syslog externo; e especificar para onde os logs de auditoria, logs de eventos de segurança e logs de software StorageGRID são enviados.
Mensagens e logs de auditoria registram atividades do sistema e eventos de segurança e são ferramentas essenciais para monitoramento e solução de problemas. Todos os nós do StorageGRID geram mensagens de auditoria e logs para rastrear atividades e eventos do sistema.
Opcionalmente, você pode configurar um servidor syslog externo para salvar informações de auditoria remotamente. Usar um servidor externo minimiza o impacto no desempenho do registro de mensagens de auditoria sem reduzir a integridade dos dados de auditoria. Um servidor syslog externo é especialmente útil se você tiver uma grade grande, usar vários tipos de aplicativos S3 ou quiser reter todos os dados de auditoria. Ver"Configurar mensagens de auditoria e servidor syslog externo" para mais detalhes.
-
Você está conectado ao Grid Manager usando um"navegador da web compatível" .
-
Você tem o"Permissão de acesso de manutenção ou root" .
-
Se você planeja configurar um servidor syslog externo, você revisou o"considerações para usar um servidor syslog externo" e garantiu que o servidor tenha capacidade suficiente para receber e armazenar os arquivos de log.
-
Se você planeja configurar um servidor syslog externo usando o protocolo TLS ou RELP/TLS, você tem a CA do servidor e os certificados de cliente necessários e a chave privada do cliente.
Alterar níveis de mensagens de auditoria
Você pode definir um nível de auditoria diferente para cada uma das seguintes categorias de mensagens no log de auditoria:
Categoria de auditoria | Configuração padrão | Mais informações |
---|---|---|
Sistema |
Normal |
|
Armazenar |
Erro |
|
Gerenciamento |
Normal |
|
O cliente lê |
Normal |
|
O cliente escreve |
Normal |
|
ILM |
Normal |
|
Replicação entre grades |
Erro |
|
Esses padrões se aplicam se você instalou inicialmente o StorageGRID usando a versão 10.3 ou posterior. Se você usou inicialmente uma versão anterior do StorageGRID, o padrão para todas as categorias é definido como Normal. |
|
Durante as atualizações, as configurações de nível de auditoria não entrarão em vigor imediatamente. |
-
Selecione CONFIGURAÇÃO > Monitoramento > Servidor de auditoria e syslog.
-
Para cada categoria de mensagem de auditoria, selecione um nível de auditoria na lista suspensa:
Nível de auditoria Descrição Desligado
Nenhuma mensagem de auditoria da categoria é registrada.
Erro
Somente mensagens de erro são registradas — mensagens de auditoria para as quais o código de resultado não foi "bem-sucedido" (SUCS).
Normal
Mensagens transacionais padrão são registradas — as mensagens listadas nestas instruções para a categoria.
Depurar
Obsoleto. Este nível se comporta da mesma forma que o nível de auditoria Normal.
As mensagens incluídas para qualquer nível específico incluem aquelas que seriam registradas nos níveis mais altos. Por exemplo, o nível Normal inclui todas as mensagens de erro.
Se você não precisar de um registro detalhado das operações de leitura do cliente para seus aplicativos S3, opcionalmente, altere a configuração Leituras do cliente para Erro para diminuir o número de mensagens de auditoria registradas no log de auditoria. -
Selecione Salvar.
Um banner verde indica que sua configuração foi salva.
Definir cabeçalhos de solicitação HTTP
Opcionalmente, você pode definir quaisquer cabeçalhos de solicitação HTTP que deseja incluir nas mensagens de auditoria de leitura e gravação do cliente. Esses cabeçalhos de protocolo se aplicam somente a solicitações S3.
-
Na seção Cabeçalhos do protocolo de auditoria, defina os cabeçalhos de solicitação HTTP que você deseja incluir nas mensagens de auditoria de leitura e gravação do cliente.
Use um asterisco (*) como curinga para corresponder a zero ou mais caracteres. Use a sequência de escape (\*) para corresponder a um asterisco literal.
-
Selecione Adicionar outro cabeçalho para criar cabeçalhos adicionais, se necessário.
Quando cabeçalhos HTTP são encontrados em uma solicitação, eles são incluídos na mensagem de auditoria no campo HTRH.
Os cabeçalhos de solicitação do protocolo de auditoria serão registrados somente se o nível de auditoria para Leituras do cliente ou Gravações do cliente não for Desativado. -
Selecione Salvar
Um banner verde indica que sua configuração foi salva.
Use um servidor syslog externo
Opcionalmente, você pode configurar um servidor syslog externo para salvar logs de auditoria, logs de aplicativos e logs de eventos de segurança em um local fora da sua grade.
|
Se você não quiser usar um servidor syslog externo, pule esta etapa e vá paraSelecione destinos de informações de auditoria . |
|
Se as opções de configuração disponíveis neste procedimento não forem flexíveis o suficiente para atender às suas necessidades, opções de configuração adicionais podem ser aplicadas usando o audit-destinations endpoints, que estão na seção de API privada do"API de gerenciamento de grade" . Por exemplo, você pode usar a API se quiser usar diferentes servidores syslog para diferentes grupos de nós.
|
Insira as informações do syslog
Acesse o assistente Configurar servidor syslog externo e forneça as informações que o StorageGRID precisa para acessar o servidor syslog externo.
-
Na página Auditoria e servidor syslog, selecione Configurar servidor syslog externo. Ou, se você configurou anteriormente um servidor syslog externo, selecione Editar servidor syslog externo.
O assistente Configurar servidor syslog externo é exibido.
-
Para a etapa Inserir informações do syslog do assistente, insira um nome de domínio totalmente qualificado válido ou um endereço IPv4 ou IPv6 para o servidor syslog externo no campo Host.
-
Insira a porta de destino no servidor syslog externo (deve ser um número inteiro entre 1 e 65535). A porta padrão é 514.
-
Selecione o protocolo usado para enviar informações de auditoria para o servidor syslog externo.
É recomendado usar TLS ou RELP/TLS. Você deve carregar um certificado de servidor para usar qualquer uma dessas opções. O uso de certificados ajuda a proteger as conexões entre sua grade e o servidor syslog externo. Para obter mais informações, consulte "Gerenciar certificados de segurança" .
Todas as opções de protocolo exigem suporte e configuração do servidor syslog externo. Você deve escolher uma opção compatível com o servidor syslog externo.
O Reliable Event Logging Protocol (RELP) estende a funcionalidade do protocolo syslog para fornecer entrega confiável de mensagens de eventos. Usar o RELP pode ajudar a evitar a perda de informações de auditoria caso seu servidor syslog externo precise reiniciar. -
Selecione Continuar.
-
Se você selecionou TLS ou RELP/TLS, carregue os certificados da CA do servidor, o certificado do cliente e a chave privada do cliente.
-
Selecione Procurar para o certificado ou chave que você deseja usar.
-
Selecione o certificado ou arquivo de chave.
-
Selecione Abrir para carregar o arquivo.
Uma marca de verificação verde aparece ao lado do nome do certificado ou do arquivo de chave, notificando que ele foi carregado com sucesso.
-
-
Selecione Continuar.
Gerenciar conteúdo do syslog
Você pode selecionar quais informações enviar para o servidor syslog externo.
-
Para a etapa Gerenciar conteúdo do syslog do assistente, selecione cada tipo de informação de auditoria que deseja enviar ao servidor syslog externo.
-
Enviar logs de auditoria: Envia eventos do StorageGRID e atividades do sistema
-
Enviar eventos de segurança: Envia eventos de segurança, como quando um usuário não autorizado tenta fazer login ou um usuário faz login como root
-
Enviar logs de aplicação: Envia"Arquivos de log do software StorageGRID" útil para solução de problemas, incluindo:
-
bycast-err.log
-
bycast.log
-
jaeger.log
-
nms.log
(Somente nós de administração) -
prometheus.log
-
raft.log
-
hagroups.log
-
-
Enviar logs de acesso: Envia logs de acesso HTTP para solicitações externas ao Grid Manager, Tenant Manager, endpoints de balanceador de carga configurados e solicitações de federação de grade de sistemas remotos.
-
-
Use os menus suspensos para selecionar a gravidade e a facilidade (tipo de mensagem) para cada categoria de informação de auditoria que você deseja enviar.
Definir valores de gravidade e facilidade pode ajudar você a agregar os logs de maneiras personalizáveis para facilitar a análise.
-
Para Gravidade, selecione Passagem ou selecione um valor de gravidade entre 0 e 7.
Se você selecionar um valor, o valor selecionado será aplicado a todas as mensagens deste tipo. Informações sobre diferentes gravidades serão perdidas se você substituir a gravidade por um valor fixo.
Gravidade Descrição Passagem
Cada mensagem enviada ao syslog externo deve ter o mesmo valor de gravidade de quando foi registrada localmente no nó:
-
Para logs de auditoria, a gravidade é "info".
-
Para eventos de segurança, os valores de gravidade são gerados pela distribuição Linux nos nós.
-
Para logs de aplicativos, as gravidades variam entre "info" e "notice", dependendo do problema. Por exemplo, adicionar um servidor NTP e configurar um grupo HA fornece um valor de "info", enquanto interromper intencionalmente o serviço SSM ou RSM fornece um valor de "notice".
-
Para logs de acesso, a gravidade é "info".
0
Emergência: O sistema está inutilizável
1
Alerta: Ação deve ser tomada imediatamente
2
Crítico: Condições críticas
3
Erro: Condições de erro
4
Aviso: Condições de aviso
5
Aviso: Condição normal, mas significativa
6
Informativo: Mensagens informativas
7
Depuração: mensagens de nível de depuração
-
-
Para Instalação, selecione Passthrough ou selecione um valor de instalação entre 0 e 23.
Se você selecionar um valor, ele será aplicado a todas as mensagens deste tipo. Informações sobre diferentes instalações serão perdidas se você substituir a instalação por um valor fixo.
Instalação Descrição Passagem
Cada mensagem enviada ao syslog externo deve ter o mesmo valor de recurso de quando foi registrada localmente no nó:
-
Para logs de auditoria, o recurso enviado ao servidor syslog externo é "local7".
-
Para eventos de segurança, os valores de facilidade são gerados pela distribuição Linux nos nós.
-
Para logs de aplicativos, os logs de aplicativos enviados ao servidor syslog externo têm os seguintes valores de facilidade:
-
bycast.log
: usuário ou daemon -
bycast-err.log
: usuário, daemon, local3 ou local4 -
jaeger.log
: local2 -
nms.log
: local3 -
prometheus.log
: local4 -
raft.log
: local5 -
hagroups.log
: local6
-
-
Para logs de acesso, o recurso enviado ao servidor syslog externo é "local0".
0
kern (mensagens do kernel)
1
usuário (mensagens em nível de usuário)
2
correspondência
3
daemon (daemons do sistema)
4
auth (mensagens de segurança/autorização)
5
syslog (mensagens geradas internamente pelo syslogd)
6
lpr (subsistema de impressora de linha)
7
notícias (subsistema de notícias da rede)
8
UUCP
9
cron (daemon do relógio)
10
segurança (mensagens de segurança/autorização)
11
FTP
12
NTP
13
logaudit (auditoria de log)
14
logalert (alerta de registro)
15
relógio (daemon do relógio)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
Selecione Continuar.
Enviar mensagens de teste
Antes de começar a usar um servidor syslog externo, você deve solicitar que todos os nós na sua grade enviem mensagens de teste para o servidor syslog externo. Você deve usar essas mensagens de teste para ajudar a validar toda a sua infraestrutura de coleta de logs antes de se comprometer a enviar dados para o servidor syslog externo.
|
Não use a configuração do servidor syslog externo até confirmar que o servidor syslog externo recebeu uma mensagem de teste de cada nó na sua grade e que a mensagem foi processada conforme o esperado. |
-
Se você não quiser enviar mensagens de teste porque tem certeza de que seu servidor syslog externo está configurado corretamente e pode receber informações de auditoria de todos os nós em sua grade, selecione Ignorar e concluir.
Um banner verde indica que a configuração foi salva.
-
Caso contrário, selecione Enviar mensagens de teste (recomendado).
Os resultados dos testes aparecem continuamente na página até você interromper o teste. Enquanto o teste estiver em andamento, suas mensagens de auditoria continuarão sendo enviadas para os destinos configurados anteriormente.
-
Se você receber algum erro, corrija-o e selecione Enviar mensagens de teste novamente.
Ver"Solucionar problemas de um servidor syslog externo" para ajudar você a resolver quaisquer erros.
-
Aguarde até ver um banner verde indicando que todos os nós passaram no teste.
-
Verifique seu servidor syslog para determinar se as mensagens de teste estão sendo recebidas e processadas conforme o esperado.
Se você estiver usando UDP, verifique toda a sua infraestrutura de coleta de logs. O protocolo UDP não permite uma detecção de erros tão rigorosa quanto os outros protocolos. -
Selecione Parar e finalizar.
Você retornará à página Auditoria e servidor syslog. Um banner verde indica que a configuração do servidor syslog foi salva.
As informações de auditoria do StorageGRID não são enviadas ao servidor syslog externo até que você selecione um destino que inclua o servidor syslog externo.
Selecione destinos de informações de auditoria
Você pode especificar onde os logs de auditoria, logs de eventos de segurança e"Registros do software StorageGRID" são enviados.
|
O StorageGRID assume como padrão os destinos de auditoria de nós locais e armazena as informações de auditoria em Ao usar Alguns destinos só estarão disponíveis se você tiver configurado um servidor syslog externo. |
-
Na página Auditoria e servidor syslog, selecione o destino para as informações de auditoria.
Somente nós locais e servidor syslog externo geralmente oferecem melhor desempenho. Opção Descrição Somente nós locais (padrão)
Mensagens de auditoria, logs de eventos de segurança e logs de aplicativos não são enviados aos nós de administração. Em vez disso, eles são salvos apenas nos nós que os geraram ("o nó local"). As informações de auditoria geradas em cada nó local são armazenadas em
/var/local/log/localaudit.log
.Observação: O StorageGRID remove periodicamente logs locais em uma rotação para liberar espaço. Quando o arquivo de log de um nó atinge 1 GB, o arquivo existente é salvo e um novo arquivo de log é iniciado. O limite de rotação do log é de 21 arquivos. Quando a 22ª versão do arquivo de log é criada, o arquivo de log mais antigo é excluído. Em média, cerca de 20 GB de dados de log são armazenados em cada nó.
Nós de administração/nós locais
As mensagens de auditoria são enviadas para o log de auditoria nos nós de administração, e os logs de eventos de segurança e logs de aplicativos são armazenados nos nós que os geraram. As informações de auditoria são armazenadas nos seguintes arquivos:
-
Nós de administração (primários e não primários):
/var/local/audit/export/audit.log
-
Todos os nós: O
/var/local/log/localaudit.log
o arquivo normalmente está vazio ou ausente. Pode conter informações secundárias, como uma cópia adicional de algumas mensagens.
Servidor syslog externo
As informações de auditoria são enviadas para um servidor syslog externo e salvas nos nós locais(
/var/local/log/localaudit.log
). O tipo de informação enviada depende de como você configurou o servidor syslog externo. Esta opção é habilitada somente após você configurar um servidor syslog externo.Nó de administração e servidor syslog externo
As mensagens de auditoria são enviadas para o log de auditoria(
/var/local/audit/export/audit.log
) em nós de administração, e as informações de auditoria são enviadas ao servidor syslog externo e salvas no nó local(/var/local/log/localaudit.log
). O tipo de informação enviada depende de como você configurou o servidor syslog externo. Esta opção é habilitada somente após você configurar um servidor syslog externo. -
-
Selecione Salvar.
Uma mensagem de aviso é exibida.
-
Selecione OK para confirmar que deseja alterar o destino das informações de auditoria.
Um banner verde indica que a configuração de auditoria foi salva.
Novos logs são enviados para os destinos selecionados. Os registros existentes permanecem em seu local atual.