監査メッセージのフローと保持

StorageGRID Webscaleの各サービスがさまざまなアクティビティやプロセス イベントを実行すると、このアクティビティを記録するために監査メッセージが生成されます。

監査メッセージは、管理ノードでホストされているAudit Management System(AMS)サービスによって処理され、テキスト ログ ファイルの形式で保存されます。

監査メッセージのフロー

監査メッセージは各サービスによって内部的に生成されます。すべてのサービスは通常のシステム動作中に監査メッセージを生成します。生成されたメッセージは、各AMSサービスでシステム アクティビティの完全な記録が保持されるよう、接続されているすべてのAMSサービスに送信されて処理および保存されます。

一部のサービスは、監査メッセージのリレー サービスとして指定できます。リレー サービスは収集ポイントとして機能するため、各サービスが接続されているすべてのAMSサービスに監査メッセージを送信する必要性が低減します。監査メッセージのフロー図に示すように、各リレー サービスはすべてのAMSサービスにメッセージを送信する必要がありますが、個々のサービスがメッセージを送信するのは1つのリレー サービスだけです。


リレー経由の監査メッセージ フローの概要図

リレー サービスは、StorageGRID Webscale環境のトポロジ設定時に指定します。StorageGRID Webscaleシステムでは、ADCサービスは監査メッセージのリレーとして指定されます。

メッセージの保持

生成された監査メッセージは、接続されているすべてのAMSサービスまたは指定された監査リレー サービスにコミットされるまで、元のサービスのグリッド ノードに保存されます。メッセージを受け取ったリレーは、すべてのAMSサービスにコミットされるまでメッセージを保存します。このプロセスには、メッセージが失われないように、確認(確認応答)が含まれます。


AMSでの監査メッセージ受信の概略図

メッセージがAMSサービスに到着し、監査ログ ファイル(audit.log)への書き込み確認を待機するキューに格納されます。メッセージ到着の確認が送信元のサービス(または監査リレー)に送信され、送信元はメッセージのコピーの削除を許可されます。

メッセージは、AMSサービスのストレージにコミットされた後にのみ、キューから削除できます。バックログが異常に大きくなった場合は、監査リレー サービス(ADC)とAMSサービスのローカル メッセージ バッファにそれぞれアラーム(AMQS)が関連付けられます。アクティビティのピーク時には、監査メッセージがAMSサービス上の監査リポジトリにリレーされる速度または監査ログ ファイルのストレージにコミットされる速度よりも、監査メッセージが到着する速度が速くなることがあります。そのため一時的にバックログが発生しますが、システム アクティビティが減少すると自動的に解消されます。

アクティブな監査ログは、1日に1回ファイルの保存日の名前が付いたファイル(YYYY-MM-DD.txtの形式)に保存され、新しい監査ログ ファイルが開始されます。1日に複数の監査ログが作成された場合、各ログには、ファイルが保存された日付に連番を振った名前(YYYY-MM-DD.txt.#の形式)が付けられます。たとえば、2010-04-23.txt.1となります。同じ日に生成された後続の監査メッセージは新しい監査ログに保存されます。この新しい監査ログは、同じ日付で保存されますが、付加される番号は1ずつ進みます。たとえば、2010-04-23.txt.2となります。

監査ログは1日後に圧縮され、名前がYYYY-MMDD.txt.gz(元の日付を保持)に変更されます。監査ログ ファイルは、管理ノードの/var/local/audit/exportディレクトリに保存されます。そのため、時間の経過とともに、管理ノード上の監査ログ用に割り当てられたストレージが消費されます。スクリプトによって監査ログのスペース消費が監視され、/var/local/audit/exportディレクトリ内のスペースを解放するために、必要に応じてログ ファイルが削除されます。監査ログは、作成日に基づいて、古い順に削除されます。スクリプトの処理は、manage-audit.logファイルで監視できます。

重複メッセージ

監査メッセージはAMSサービスによって保存用にキューに登録されます。システム通信が中断された場合(サービスの障害やネットワークの中断など)、一部の監査メッセージの書き込みステータスが不確実になる可能性があります。この場合StorageGRID Webscaleシステムは、念のためにキューに登録されたすべての監査メッセージをAMSサービスに再送信します。その結果、監査ログにメッセージが重複して記録されることがあります。

重複メッセージが問題となる場合(監査ログが課金アプリケーションに使用されている場合など)、重複する監査メッセージを手動で検出して破棄する必要があります。重複する監査メッセージを検出するには、監査シーケンス カウント数(ASQN)を使用します。重複するメッセージはASQNが同じです。