監査メッセージのフローと保持

audit.logファイルに含まれる情報の利用方法がわかるように、監査メッセージが生成される状況と監査メッセージの処理方法を理解しておく必要があります。

監査メッセージは、StorageGRID Webscaleのサービスがさまざまなアクティビティやプロセス イベントを実行したときに生成されます。監査メッセージによって、これらのアクティビティの記録が提示されます。監査メッセージは、管理ノードでホストされているAudit Management System(AMS)サービスによって処理され、テキスト ログ ファイルの形式で保存されます。

監査メッセージのフロー

すべてのStorageGRID Webscaleサービスは通常のシステム運用中に監査メッセージを生成します。生成されたメッセージは、各AMSサービスがシステム アクティビティの完全な記録を保持できるように、接続されているすべてのAMSサービスに送信されて処理および保存されます。

特定のサービスは、監査メッセージのリレー サービスとして指定されています。リレー サービスは収集ポイントとして機能するため、各サービスが、接続されているすべてのAMSサービスに監査メッセージを送信する必要がありません。監査メッセージのフロー図に示すように、個々のサービスがメッセージを送信するのは1つのリレー サービスだけです。各リレー サービスは、すべてのAMSサービス デスティネーションにメッセージを送信します。


リレー経由の監査メッセージ フローの概要図

StorageGRID Webscaleをインストールし、グリッド ノードを承認すると、各サイトの最初の3つのストレージ ノードに対して管理ドメイン コントローラ(ADC)サービスが自動的に有効になります。この3つのADCサービスが各サイトで監査メッセージ リレーとして機能します。

メッセージの保持

生成された監査メッセージは、接続されているすべてのAMSサービスまたは指定された監査リレー サービスにコミットされるまで、元のサービスのグリッド ノードに保存されます。メッセージを受け取ったリレーは、すべてのAMSサービスにコミットされるまでメッセージを保存します。このプロセスには、メッセージが失われないように、確認(確認応答)が含まれます。


AMSでの監査メッセージ受信の概略図

メッセージがAMSサービスに到着し、監査ログ ファイル(audit.log)への書き込み確認を待機するキューに格納されます。メッセージ到着の確認が送信元のサービス(または監査リレー)に送信され、送信元はメッセージのコピーの削除を許可されます。

メッセージは、AMSサービスでストレージにコミットされてからでないと、キューから削除できません。バックログが異常に大きくなった場合は、監査リレー サービス(ADC)とAMSサービスのローカル メッセージ バッファにそれぞれアラーム(AMQS)が関連付けられます。アクティビティのピーク時には、監査メッセージがAMSサービス上の監査リポジトリにリレーされる速度または監査ログ ファイルのストレージにコミットされる速度よりも、監査メッセージが到着する速度が速くなることがあります。そのため一時的にバックログが発生しますが、システム アクティビティが減少すると自動的に解消されます。

監査ログ ファイルは、管理ノードの/var/local/audit/exportディレクトリに保存されます。アクティブな監査ログ ファイルの名前は、audit.logです。

アクティブなaudit.logファイルは1日に1回保存され、新しいaudit.logファイルが開始されます。保存されたファイルの名前(yyyy-mm-dd.txtという形式)は、保存された日付を示しています。1日に複数の監査ログが作成された場合は、ファイル名として、ファイルが保存された日付に連番を振った名前(yyyy-mm-dd.txt.nの形式)が付けられます。たとえば、2018年4月15日に作成されて保存された1つ目のログ ファイルは2018-04-15.txt.1に、2つ目のログ ファイルは2018-04-15.txt.2になります。

1日後、保存されたファイルは圧縮されて、元の日付を残してyyyy-mm-dd.txt.gzという名前に変更されます。そのため、時間の経過とともに、管理ノード上の監査ログ用に割り当てられたストレージが消費されます。スクリプトによって監査ログのスペース消費が監視され、/var/local/audit/exportディレクトリ内のスペースを解放するために、必要に応じてログ ファイルが削除されます。監査ログは、作成日に基づいて、古い順に削除されます。スクリプトの処理は、manage-audit.logファイルで監視できます。

次の例は、アクティブなaudit.logファイル、前日のファイル(2018-04-15.txt)、およびその前の日の圧縮されたファイル(2018-04-14.txt.gz)を示しています。

audit.log
2018-04-15.txt
2018-04-14.txt.gz

重複メッセージ

監査メッセージはAMSサービスによって保存用にキューに登録されます。システム通信が中断された場合(サービスの障害やネットワークの中断など)、一部の監査メッセージの書き込みステータスが不確実になる可能性があります。この場合StorageGRID Webscaleシステムは、念のためにキューに登録されたすべての監査メッセージをAMSサービスに再送信します。その結果、監査ログにメッセージが重複して記録されることがあります。

重複メッセージが問題となる場合(監査ログが課金アプリケーションに使用されている場合など)、重複する監査メッセージを手動で検出して破棄する必要があります。重複する監査メッセージを検出するには、監査シーケンス カウント数(ASQN)を使用します。重複するメッセージはASQNが同じです。