Skip to main content
Data Infrastructure Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

审核 Workload Security 事件

贡献者 netapp-alavoie
PDF

识别预期(用于跟踪)或意外(用于故障排除)的更改。查看 Workload Security 系统事件和用户活动的审计跟踪。

查看审计事件

要查看审核页面,请点击菜单中的 Admin > Audit。此时将显示审核页面,为每个审核条目提供以下详细信息:

  • 时间 - 事件或活动的日期和时间

  • 用户 - 发起活动的用户

  • 角色 - 用户在 Workload Security 中的角色(访客、用户、管理员)

  • IP - 与事件关联的 IP 地址

  • 操作 - 活动类型,例如 Login、Create、Update

  • 类别 - 活动的类别。

  • 详细信息 - 活动的详细信息

  • 应用程序类型 - 已审核应用程序的类型:Observability 或 Workload Security。仅用于筛选 Workload Security 审核。

受审核的 Workload Security 事件包括但不限于以下内容:

  • 工作负载安全策略的更改。

  • 创建新的数据源收集器 (DSC)。

  • DSC 的修改。

  • 创建代理。

  • 用户管理任务。

  • API 令牌任务。

显示审计条目

有多种不同的方法可以查看审计条目:

  • 您可以通过选择特定时间段(1 小时、24 小时、3 天等)来显示审计条目。

  • 您可以通过单击列标题中的箭头将条目的排序顺序更改为升序(向上箭头)或降序(向下箭头)。默认情况下,该表将按时间降序显示条目。

  • 您可以使用过滤字段来仅显示表中所需的条目。单击[+]按钮添加其他过滤器。

有关过滤的更多信息

您可以使用以下任意一种方法来优化过滤器:

筛选器

它的作用

示例

结果

*(星号)

让您搜索一切

沃尔*雷尔

返回以“vol”开头并以“rhel”结尾的所有资源

? (问号)

使您能够搜索特定数量的字符

BOS-PRD??-S12

返回 BOS-PRD12-S12、BOS-PRD23-S12 等

使您能够指定多个实体

FAS2240 或 CX600 或 FAS3270

返回 FAS2440、CX600 或 FAS3270 中的任意一个

不是

允许您从搜索结果中排除文本

非 EMC*

返回所有不以“EMC”开头的内容

在选定的任何字段中搜索空白/NULL/无

返回目标字段不为空的结果

不是 *

与上面的 None 相同,但您也可以使用此表单在纯文本字段中搜索 NULL 值

不是 *

返回目标字段不为空的结果。

""

搜索完全匹配

“NetApp*”

返回包含精确字符串 NetApp* 的结果

如果将过滤字符串括在双引号中,Insight 会将第一个引号和最后一个引号之间的所有内容视为完全匹配。引号内的任何特殊字符或运算符都将被视为文字。例如,过滤“*”将返回文字星号的结果;在这种情况下,星号不会被视为通配符。当运算符 OR 和 NOT 括在双引号中时,它们也将被视为文字字符串。

审计事件和操作

Workload Security 审核的事件和操作可分为以下几大类:

  • 用户账户:登录、注销、角色变更等。

  • Agent:创建、删除、升级、pin、unpin 等。

    示例:Agent Agent-Boston-1 已删除。 由批量操作启动的 Agent 升级到版本 1.760.0

  • 数据/用户目录 Collector:添加、删除、修改、升级、推迟/恢复、变更代理、重新启动等。

    示例:Data collector Collector-Boston1 removed, type ONTAP SVM Agent: Agent-Boston-1, Cluster IP 10.193.88.36, SVM demoGroupShares2 Collector ONTAP SVM upgrade to version 1.417.0 initiated by bulk operation

  • 自动响应策略:添加、更新、删除、启用、禁用等。

    示例:自动攻击策略 Policy-Boston1 已更新。属性设备已更新,旧值:[Device(name=svm_boston1, dataSourceId=39fb3b9c-9dd4-4961-bc27-23eb0b6f9ab7)],新值:[Device(name=demoGroupShares2, dataSourceId=5b9f5b74-4533-4852-909d-8886582a4359)]

  • 用户阻止/解除阻止:自动或手动用户阻止和解除阻止。

    示例:作为自动响应的一部分,为用户 Safwan Langley 启动阻止,持续时间为 2 小时

  • Apikey:添加、删除等。

    示例:Workload Security API 访问令牌 JPick-SWS 已创建

  • 通知:更改电子邮件等

    示例:Recipient ci-alerts-notifications-dl created

导出审计事件

您可以将审核显示的结果导出为 .CSV 文件,这将允许您分析数据或将其导入其他应用程序。步骤 1.在审核页面上,设置所需的时间范围和所需的任何过滤器。Workload Security 将仅导出与您设置的筛选和时间范围相匹配的审核条目。2.单击表格右上角的导出按钮。显示的审核事件将导出为 .CSV 文件,最多 10,000 行。

审计数据的保留

Workload Security 保留审核数据的时间长度基于您的订阅:

  • 试用环境:审计数据保留 30 天

  • 订阅环境:审计数据保留 1 年零 1 天

超过保留时间的审计条目将被自动清除。无需用户交互。