审核 S3 事件
建议更改
PDF
从 ONTAP 9.10.1 开始,您可以审核 ONTAP S3 环境中的数据和管理事件。S3 审核功能与现有 NAS 审核功能类似, S3 和 NAS 审核可以同时位于集群中。
在 SVM 上创建和启用 S3 审核配置时, S3 事件会记录在日志文件中。您可以指定要记录的以下事件:
按版本列出的对象访问(数据)事件
9.11.1:
-
ListBucketVersions
-
ListBucket( ListObjects 9.10.1已重命名为此)
-
ListAllMyBuc桶(ListBuc桶9.10.1已重命名为此)
9.10.1:
-
HeadObject
-
GetObject
-
PutObject
-
DeleteObject
-
List桶
-
ListObjects
-
MPUpload
-
MPUploadPart
-
MP"完成"
-
MP中止
-
GetObjectTagging
-
DeleteObjectTagging
-
PutObjectTagging
-
ListUploads
-
ListParts
按版本列出的管理事件
9.15.1:
-
GetBucketCORS
-
PutBucketCORS
-
DeleteBucketCORS
9.14.1:
-
GetObject保留
-
PutObject保留
-
PutBucketObjectLockConfiguration
-
GetBucketObjectLockConfiguration
9.13.1:
-
PutBucketLifecycle
-
DeleteBucketLifecycle
-
GetBucketLifecycle
9.12.1:
-
GetBucketPolicy
-
CopyObject
-
上传PartCopy
-
PutBucketPolicy
-
DeleteBucketPolicy
9.11.1:
-
GetBucketVersioning
-
PutBucketVersioning
9.10.1:
-
HeadBucket
-
GetBucketAcl
-
GetObjectAcl
-
PutBucket
-
DeleteBucket
-
MOTIFYObjectTaging
-
GetBucketLocation
日志格式为 JavaScript 对象表示法( JSON )。
S3 和 NFS 审核配置的组合限制为每个集群 50 个 SVM 。
需要以下许可证:
-
ONTAP One、以前属于核心软件包、适用于ONTAP S3协议和存储
有关详细信息,请参见 "ONTAP 审核过程的工作原理"。
有保障的审核
默认情况下, S3 和 NAS 审核是有保证的。ONTAP 保证记录所有可审核的存储分段访问事件,即使节点不可用也是如此。在将请求的存储分段操作的审核记录保存到永久性存储上的暂存卷之前,无法完成该操作。如果由于空间不足或其他问题而无法在暂存文件中提交审核记录,则会拒绝客户端操作。
审核的空间要求
在 ONTAP 审核系统中,审核记录最初存储在各个节点上的二进制暂存文件中。它们会定期进行整合并转换为用户可读的事件日志,这些日志存储在 SVM 的审核事件日志目录中。
暂存文件存储在专用暂存卷中,此暂存卷由 ONTAP 在创建审核配置时创建。每个聚合有一个暂存卷。
您必须在审核配置中规划足够的可用空间:
-
用于包含已审核分段的聚合中的暂存卷。
-
对于包含已转换事件日志存储目录的卷。
在创建 S3 审核配置时,您可以使用以下两种方法之一来控制事件日志的数量,从而控制卷中的可用空间:
-
一个数字限制;
-rotate-limit参数用于控制必须保留的最小审核文件数。 -
时间限制;
-retention-duration参数用于控制可保留文件的最长期限。
在这两个参数中,一旦超过配置的值,就可以删除较旧的审核文件,以便为较新的审核文件腾出空间。对于这两个参数,此值均为 0 ,表示必须保留所有文件。因此,为了确保空间充足,最佳做法是将其中一个参数设置为非零值。
由于审核有保障,如果可用于审核数据的空间在轮换限制之前用尽,则无法创建较新的审核数据,从而导致客户端无法访问数据。因此,必须仔细选择此值以及分配给审核的空间,并且您必须对审核系统中有关可用空间的警告做出响应。
有关详细信息,请参见 "基本审核概念"。