audit-explainツールの使用

audit-explainツールを使用すると、監査ログ内の監査メッセージをわかりやすい形式に変換できます。

開始する前に

タスク概要

audit-explainツールはプライマリ管理ノードで使用でき、監査ログ内の監査メッセージの簡単な概要を取得できます。

注意: audit-explainツールは、主にトラブルシューティング処理の際にテクニカル サポートが使用することを目的としたものです。audit-explainクエリの処理には大量のCPUパワーが消費される可能性があるため、StorageGRIDの処理に影響を及ぼすことがあります。
次の例は、audit-explainツールからの典型的な出力を示しています。4つのSPUT監査メッセージが、アカウントIDが92484777680322627870のS3テナントがS3 PUT要求を使用してbucket1という名前のバケットを作成し、バケットにオブジェクトを3つ追加したときに生成されました。
SPUT S3 PUT bucket bucket1 account:92484777680322627870 usec:124673
SPUT S3 PUT object bucket1/part1.txt tenant:92484777680322627870  cbid:9DCB157394F99FE5 usec:101485
SPUT S3 PUT object bucket1/part2.txt tenant:92484777680322627870  cbid:3CFBB07AB3D32CA9 usec:102804
SPUT S3 PUT object bucket1/part3.txt tenant:92484777680322627870  cbid:5373D73831ECC743 usec:93874

audit-explainツールは、プレーン形式または圧縮形式の監査ログを処理できます。次に例を示します。

audit-explain audit.log
audit-explain 2019-08-12.txt.gz

audit-explainツールは、複数のファイルを一度に処理することもできます。次に例を示します。

audit-explain audit.log 2019-08-12.txt.gz 2019-08-13.txt.gz
audit-explain /var/local/audit/export/*

最後に、audit-explainツールはパイプ入力を受け入れます。そのため、grepコマンドまたはその他の方法を使用して、入力をフィルタリングおよび前処理することができます。次に例を示します。

grep SPUT audit.log | audit-explain
grep bucket-name audit.log | audit-explain
監査ログは非常にサイズが大きく、解析に時間がかかる可能性があるため、ファイル全体ではなく調べたい部分だけを抽出してaudit-explainを実行することで、時間を節約することができます。
注: audit-explainツールは、圧縮ファイルをパイプ付き入力として受け入れません。圧縮ファイルを処理するには、ファイル名をコマンドライン引数として指定するか、zcatツールを使用して最初にファイルを解凍します。次に例を示します。
zcat audit.log.gz | audit-explain

使用可能なオプションを確認するには、help(-h)オプションを使用します。次に例を示します。

$ audit-explain -h

手順

  1. プライマリ管理ノードにログインします。
    1. 次のコマンドを入力します:ssh admin@primary_Admin_Node_IP
    2. Passwords.txtファイルに含まれているパスワードを入力します。
  2. 次のコマンドを入力します。 /var/local/audit/export/audit.logは、分析するファイルの名前と場所を表します。$ audit-explain /var/local/audit/export/audit.log
    audit-explainツールは、指定されたファイル内のすべてのメッセージを、判読可能な形式に変換して出力します。
    注: 各行を短く読みやすくするために、デフォルトではタイムスタンプは表示されません。タイムスタンプを表示するには、timestamp(-t)オプションを使用します。