Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar mensagens de auditoria e servidor syslog externo

Colaboradores

Pode configurar várias definições relacionadas com mensagens de auditoria. Você pode ajustar o número de mensagens de auditoria registradas; definir quaisquer cabeçalhos de solicitação HTTP que você deseja incluir em mensagens de auditoria de leitura e gravação de cliente; configurar um servidor syslog externo; e especificar onde os logs de auditoria, logs de eventos de segurança e logs de software do StorageGRID são enviados.

Mensagens de auditoria e logs Registram atividades do sistema e eventos de segurança, e são ferramentas essenciais para monitoramento e solução de problemas. Todos os nós do StorageGRID geram mensagens de auditoria e logs para rastrear a atividade e os eventos do sistema.

Opcionalmente, você pode configurar um servidor syslog externo para salvar informações de auditoria remotamente. O uso de um servidor externo minimiza o impactos no desempenho do Registro de mensagens de auditoria sem reduzir a integridade dos dados de auditoria. Um servidor syslog externo é especialmente útil se você tiver uma grade grande, usar vários tipos de aplicativos S3 ou quiser reter todos os dados de auditoria. "Configurar mensagens de auditoria e servidor syslog externo"Consulte para obter detalhes.

Antes de começar

Alterar os níveis de mensagens de auditoria

Você pode definir um nível de auditoria diferente para cada uma das seguintes categorias de mensagens no log de auditoria:

Categoria de auditoria Predefinição Mais informações

Sistema

Normal

Armazenamento

Erro

Gerenciamento

Normal

O cliente lê

Normal

O cliente escreve

Normal

ILM

Normal

Replicação entre grade

Erro

Observação Esses padrões se aplicam se você instalou inicialmente o StorageGRID usando a versão 10,3 ou posterior. Se você usou inicialmente uma versão anterior do StorageGRID, o padrão para todas as categorias é definido como normal.
Observação Durante as atualizações, as configurações de nível de auditoria não entrarão em vigor imediatamente.
Passos
  1. Selecione CONFIGURATION > Monitoring > Audit and syslog Server.

  2. Para cada categoria de mensagem de auditoria, selecione um nível de auditoria na lista suspensa:

    Nível de auditoria Descrição

    Desligado

    Nenhuma mensagem de auditoria da categoria é registrada.

    Erro

    Somente mensagens de erro são registradas - mensagens de auditoria para as quais o código de resultado não foi "bem-sucedido" (SUCS).

    Normal

    As mensagens transacionais padrão são registradas - as mensagens listadas nestas instruções para a categoria.

    Depurar

    Obsoleto. Este nível comporta-se da mesma forma que o nível normal de auditoria.

    As mensagens incluídas para qualquer nível particular incluem aquelas que seriam registradas nos níveis mais altos. Por exemplo, o nível normal inclui todas as mensagens de erro.

    Observação Se você não precisar de um Registro detalhado das operações de leitura de cliente para seus aplicativos S3, altere opcionalmente a configuração leitura de cliente para erro para diminuir o número de mensagens de auditoria registradas no log de auditoria.
  3. Selecione Guardar.

    Um banner verde indica que sua configuração foi salva.

Definir cabeçalhos de solicitação HTTP

Opcionalmente, você pode definir qualquer cabeçalho de solicitação HTTP que deseja incluir nas mensagens de auditoria de leitura e gravação de cliente. Estes cabeçalhos de protocolo aplicam-se apenas a pedidos S3.

Passos
  1. Na seção cabeçalhos de protocolo de auditoria, defina os cabeçalhos de solicitação HTTP que você deseja incluir nas mensagens de auditoria de leitura e gravação do cliente.

    Use um asterisco () como curinga para corresponder a zero ou mais carateres. Use a sequência de escape () para corresponder a um asterisco literal.

  2. Selecione Adicionar outro cabeçalho para criar cabeçalhos adicionais, se necessário.

    Quando cabeçalhos HTTP são encontrados em uma solicitação, eles são incluídos na mensagem de auditoria sob o campo HTRH.

    Observação Os cabeçalhos de solicitação de protocolo de auditoria são registrados somente se o nível de auditoria para leitura do cliente ou gravações do cliente não for desativado.
  3. Selecione Guardar

    Um banner verde indica que sua configuração foi salva.

Use um servidor syslog externo

Opcionalmente, você pode configurar um servidor syslog externo para salvar logs de auditoria, logs de aplicativos e logs de eventos de segurança em um local fora da grade.

Observação Se você não quiser usar um servidor syslog externo, pule esta etapa e vá para Selecione destinos de informações de auditoria.
Dica Se as opções de configuração disponíveis neste procedimento não forem flexíveis o suficiente para atender aos seus requisitos, opções de configuração adicionais podem ser aplicadas usando os audit-destinations endpoints, que estão na seção API privada do "API de gerenciamento de grade". Por exemplo, você pode usar a API se quiser usar diferentes servidores syslog para diferentes grupos de nós.

Insira as informações do syslog

Acesse o assistente Configurar servidor syslog externo e forneça as informações que o StorageGRID precisa para acessar o servidor syslog externo.

Passos
  1. Na página servidor de auditoria e syslog, selecione Configurar servidor syslog externo. Ou, se tiver configurado anteriormente um servidor syslog externo, selecione Editar servidor syslog externo.

    O assistente Configurar servidor syslog externo é exibido.

  2. Para a etapa Enter syslog info do assistente, insira um nome de domínio totalmente qualificado válido ou um endereço IPv4 ou IPv6 para o servidor syslog externo no campo Host.

  3. Insira a porta de destino no servidor syslog externo (deve ser um número inteiro entre 1 e 65535). A porta padrão é 514.

  4. Selecione o protocolo usado para enviar informações de auditoria para o servidor syslog externo.

    Recomenda-se a utilização de TLS ou RELP/TLS. Você deve carregar um certificado de servidor para usar qualquer uma dessas opções. O uso de certificados ajuda a proteger as conexões entre a grade e o servidor syslog externo. Para obter mais informações, "Gerenciar certificados de segurança"consulte .

    Todas as opções de protocolo exigem suporte e configuração do servidor syslog externo. Você deve escolher uma opção compatível com o servidor syslog externo.

    Observação O Protocolo de Registro de Eventos confiável (RELP) estende a funcionalidade do protocolo syslog para fornecer entrega confiável de mensagens de eventos. O uso do RELP pode ajudar a evitar a perda de informações de auditoria se o servidor syslog externo tiver que reiniciar.
  5. Selecione continuar.

  6. se você selecionou TLS ou RELP/TLS, carregue os certificados CA do servidor, o certificado de cliente e a chave privada do cliente.

    1. Selecione Procurar para o certificado ou chave que deseja usar.

    2. Selecione o arquivo de certificado ou chave.

    3. Selecione Open para carregar o ficheiro.

      Uma verificação verde é exibida ao lado do nome do arquivo do certificado ou chave, notificando que ele foi carregado com sucesso.

  7. Selecione continuar.

Gerenciar o conteúdo do syslog

Você pode selecionar quais informações enviar para o servidor syslog externo.

Passos
  1. Para a etapa Manage syslog Content do assistente, selecione cada tipo de informação de auditoria que deseja enviar para o servidor syslog externo.

    • * Enviar logs de auditoria*: Envia eventos do StorageGRID e atividades do sistema

    • * Enviar eventos de segurança*: Envia eventos de segurança, como quando um usuário não autorizado tenta entrar ou um usuário faz login como root

    • * Enviar logs de aplicativos*: Envia "Arquivos de log do software StorageGRID" úteis para solução de problemas, incluindo:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (Somente nós de administração)

      • prometheus.log

      • raft.log

      • hagroups.log

    • * Enviar logs de acesso*: Envia logs de acesso HTTP para solicitações externas ao Gerenciador de Grade, Gerenciamento do locatário, pontos de extremidade do balanceador de carga configurados e solicitações de federação de grade de sistemas remotos.

  2. Use os menus suspensos para selecionar a gravidade e a facilidade (tipo de mensagem) para cada categoria de informações de auditoria que você deseja enviar.

    Definir os valores de gravidade e facilidade pode ajudá-lo a agregar os logs de maneiras personalizáveis para facilitar a análise.

    1. Para severidade, selecione passagem ou selecione um valor de gravidade entre 0 e 7.

      Se selecionar um valor, o valor selecionado será aplicado a todas as mensagens deste tipo. As informações sobre diferentes gravidades serão perdidas se você substituir a gravidade com um valor fixo.

      Gravidade Descrição

      Passagem

      Cada mensagem enviada para o syslog externo para ter o mesmo valor de gravidade que quando foi registrada localmente no nó:

      • Para logs de auditoria, a gravidade é "info".

      • Para eventos de segurança, os valores de gravidade são gerados pela distribuição Linux nos nós.

      • Para logs de aplicativos, as severidades variam entre "info" e "notice", dependendo do problema. Por exemplo, adicionar um servidor NTP e configurar um grupo HA dá um valor de "info", enquanto parar intencionalmente o serviço SSM ou RSM dá um valor de "notice".

      • Para os logs de acesso, a gravidade é "INFO".

      0

      Emergência: O sistema não pode ser utilizado

      1

      Alerta: A ação deve ser tomada imediatamente

      2

      Crítico: Condições críticas

      3

      Erro: Condições de erro

      4

      Aviso: Condições de aviso

      5

      Aviso: Condição normal, mas significativa

      6

      Informativo: Mensagens informativas

      7

      Debug: Mensagens no nível de depuração

    2. Para Facilty, selecione Passthrough ou selecione um valor de instalação entre 0 e 23.

      Se você selecionar um valor, ele será aplicado a todas as mensagens desse tipo. Informações sobre diferentes instalações serão perdidas se você substituir as instalações com um valor fixo.

    Instalação Descrição

    Passagem

    Cada mensagem enviada para o syslog externo para ter o mesmo valor de instalação que quando foi registrada localmente no nó:

    • Para logs de auditoria, a instalação enviada para o servidor syslog externo é "local7".

    • Para eventos de segurança, os valores das instalações são gerados pela distribuição linux nos nós.

    • Para logs de aplicativos, os logs de aplicativos enviados para o servidor syslog externo têm os seguintes valores de instalação:

      • bycast.log: usuário ou daemon

      • bycast-err.log: usuário, daemon, local3 ou local4

      • jaeger.log: local2

      • nms.log: local3

      • prometheus.log: local4

      • raft.log: local5

      • hagroups.log: local6

    • Para logs de acesso, a instalação enviada para o servidor syslog externo é "local0".

    0

    kern (mensagens do kernel)

    1

    utilizador (mensagens no nível do utilizador)

    2

    e-mail

    3

    daemon (daemons do sistema)

    4

    auth (mensagens de segurança/autorização)

    5

    syslog (mensagens geradas internamente pelo syslogd)

    6

    lpr (subsistema de impressora de linha)

    7

    notícias (subsistema de notícias de rede)

    8

    UUCP

    9

    cron (daemon de relógio)

    10

    segurança (mensagens de segurança/autorização)

    11

    FTP

    12

    NTP

    13

    logaudit (auditoria de log)

    14

    alerta de registo (alerta de registo)

    15

    relógio (daemon de relógio)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. Selecione continuar.

Enviar mensagens de teste

Antes de começar a usar um servidor syslog externo, você deve solicitar que todos os nós da grade enviem mensagens de teste para o servidor syslog externo. Você deve usar essas mensagens de teste para ajudá-lo a validar toda a infraestrutura de coleta de logs antes de se comprometer a enviar dados para o servidor syslog externo.

Cuidado Não use a configuração do servidor syslog externo até confirmar que o servidor syslog externo recebeu uma mensagem de teste de cada nó na grade e que a mensagem foi processada conforme esperado.
Passos
  1. Se você não quiser enviar mensagens de teste porque você tem certeza de que seu servidor syslog externo está configurado corretamente e pode receber informações de auditoria de todos os nós em sua grade, selecione Skip and finish.

    Um banner verde indica que a configuração foi salva.

  2. Caso contrário, selecione Enviar mensagens de teste (recomendado).

    Os resultados do teste aparecem continuamente na página até que você pare o teste. Enquanto o teste estiver em andamento, suas mensagens de auditoria continuam sendo enviadas para os destinos configurados anteriormente.

  3. Se você receber algum erro, corrija-o e selecione Enviar mensagens de teste novamente.

    "Solucionar problemas de um servidor syslog externo"Consulte para ajudá-lo a resolver quaisquer erros.

  4. Aguarde até que você veja um banner verde indicando que todos os nós passaram no teste.

  5. Verifique o servidor syslog para determinar se as mensagens de teste estão sendo recebidas e processadas conforme esperado.

    Observação Se você estiver usando UDP, verifique toda a sua infraestrutura de coleção de logs. O protocolo UDP não permite uma deteção de erros tão rigorosa como os outros protocolos.
  6. Selecione Parar e terminar.

    Você será devolvido à página servidor de auditoria e syslog. Um banner verde indica que a configuração do servidor syslog foi salva.

    Observação As informações de auditoria do StorageGRID não são enviadas para o servidor syslog externo até que você selecione um destino que inclua o servidor syslog externo.

Selecione destinos de informações de auditoria

Você pode especificar onde os logs de auditoria, logs de eventos de segurança e "Registos do software StorageGRID" são enviados.

Observação

O StorageGRID usa o padrão de destinos de auditoria de nó local e armazena as informações de auditoria no /var/local/log/localaudit.log.

Ao usar /var/local/log/localaudit.log`o , as entradas de log de auditoria do Gerenciador de Grade e do Gerenciador de locatário podem ser enviadas para um nó de armazenamento. Você pode encontrar qual nó tem as entradas mais recentes usando o `run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail" comando.

Alguns destinos só estão disponíveis se tiver configurado um servidor syslog externo.

Passos
  1. Na página servidor de auditoria e syslog, selecione o destino para informações de auditoria.

    Dica Somente nós locais e servidor syslog externo normalmente fornecem melhor desempenho.
    Opção Descrição

    Somente nós locais (padrão)

    As mensagens de auditoria, os logs de eventos de segurança e os logs de aplicativos não são enviados para os nós de administração. Em vez disso, eles são salvos apenas nos nós que os geraram ("o nó local"). As informações de auditoria geradas em cada nó local são armazenadas no /var/local/log/localaudit.log.

    Nota: O StorageGRID remove periodicamente logs locais em uma rotação para liberar espaço. Quando o arquivo de log de um nó atinge 1 GB, o arquivo existente é salvo e um novo arquivo de log é iniciado. O limite de rotação para o log é de 21 arquivos. Quando a versão 22nd do arquivo de log é criada, o arquivo de log mais antigo é excluído. Em média, cerca de 20 GB de dados de log são armazenados em cada nó.

    Nós de administração/nós locais

    As mensagens de auditoria são enviadas para o log de auditoria nos nós de administração, e os logs de eventos de segurança e de aplicativos são armazenados nos nós que as geraram. As informações de auditoria são armazenadas nos seguintes arquivos:

    • Nós de administração (primários e não primários): /var/local/audit/export/audit.log

    • Todos os nós: O /var/local/log/localaudit.log arquivo está normalmente vazio ou ausente. Ele pode conter informações secundárias, como uma cópia adicional de algumas mensagens.

    Servidor syslog externo

    As informações de auditoria são enviadas para um servidor syslog externo e salvas nos nós locais (/var/local/log/localaudit.log). O tipo de informação enviada depende de como você configurou o servidor syslog externo. Esta opção só é ativada depois de ter configurado um servidor syslog externo.

    Nó de administração e servidor syslog externo

    As mensagens de auditoria são enviadas para o log de auditoria (/var/local/audit/export/audit.log) em nós de administração e as informações de auditoria são enviadas para o servidor syslog externo e salvas no nó local (/var/local/log/localaudit.log). O tipo de informação enviada depende de como você configurou o servidor syslog externo. Esta opção só é ativada depois de ter configurado um servidor syslog externo.

  2. Selecione Guardar.

    É apresentada uma mensagem de aviso.

  3. Selecione OK para confirmar que deseja alterar o destino para informações de auditoria.

    Um banner verde indica que a configuração de auditoria foi salva.

    Os novos registos são enviados para os destinos selecionados. Os registos existentes permanecem na sua localização atual.