简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

基本审核概念

提供者

要了解 ONTAP 中的审核,您应了解一些基本的审核概念。

  • * 暂存文件 *

    整合和转换前存储审核记录的各个节点上的中间二进制文件。暂存文件包含在暂存卷中。

  • * 暂存卷 *

    ONTAP 创建的用于存储暂存文件的专用卷。每个聚合有一个暂存卷。暂存卷由所有启用了审核的 Storage Virtual Machine ( SVM )共享,用于存储该特定聚合中数据卷的数据访问审核记录。每个 SVM 的审核记录都存储在暂存卷中的一个单独目录中。

    集群管理员可以查看有关暂存卷的信息,但不允许执行大多数其他卷操作。只有 ONTAP 才能创建暂存卷。ONTAP 会自动为暂存卷分配一个名称。所有暂存卷名称均以 Mdv_aud_ 开头,后跟包含该暂存卷的聚合的 UUID (例如: mdv_aud_1d0131843d4811e296fc123478563412 )。

  • * 系统卷 *

    包含特殊元数据的 FlexVol 卷,例如文件服务审核日志的元数据。管理 SVM 拥有系统卷,这些卷可在集群中显示。暂存卷是一种系统卷。

  • * 整合任务 *

    启用审核时创建的任务。在每个 SVM 上运行的这一长时间任务会从 SVM 的成员节点上的暂存文件中获取审核记录。此任务将按时间顺序合并审核记录,然后将其转换为审核配置中指定的用户可读事件日志格式— evtx 或 XML 文件格式。转换后的事件日志存储在 SVM 审核配置中指定的审核事件日志目录中。