Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建审核日志

贡献者
PDF

如果您使用的是ONTAP 9.9.1或更早版本、则必须先创建SnapLock聚合、然后再创建受SnapLock保护的审核日志、最后才能以特权方式执行删除或SnapLock卷移动。审核日志记录 SnapLock 管理员帐户的创建和删除,对日志卷的修改,是否启用了特权删除,特权删除操作以及 SnapLock 卷移动操作。

从ONTAP 9.10.1开始、您将不再创建SnapLock聚合。您必须对使用-SnapLock-type选项 "显式创建SnapLock卷" 通过指定"Compliance (合规性)"或"Enterprise (企业)"作为SnapLock类型。

开始之前

如果您使用的是ONTAP 9.9.1或更早版本、则必须是集群管理员才能创建SnapLock聚合。

关于此任务

只有在日志文件保留期限已过之后,才能删除审核日志。即使保留期限已过,您也无法修改审核日志。无论是SnapLock 合规模式还是企业模式、都是如此。

备注

在 ONTAP 9.4 及更早版本中,不能使用 SnapLock 企业卷进行审核日志记录。您必须使用 SnapLock Compliance 卷。在 ONTAP 9.5 及更高版本中,您可以使用 SnapLock 企业卷或 SnapLock 合规卷进行审核日志记录。无论哪种情况、审核日志卷都必须挂载在接合路径上 /snaplock_audit_log。没有其他卷可以使用此接合路径。

您可以在中找到SnapLock审核日志 /snaplock_log 目录、位于审核日志卷的根目录下、位于名为的子目录中 privdel_log (特权删除操作)和 system_log (其他所有内容)。审核日志文件名包含第一个已记录操作的时间戳,便于按执行操作的大致时间搜索记录。

  • 您可以使用 snaplock log file show 命令以查看审核日志卷上的日志文件。

  • 您可以使用 snaplock log file archive 命令、用于归档当前日志文件并创建新日志文件、此命令在需要将审核日志信息记录到单独文件中的情况下非常有用。

有关详细信息,请参见命令的手册页。

备注

数据保护卷不能用作 SnapLock 审核日志卷。
步骤

  1. 创建 SnapLock 聚合。

    创建 SnapLock 聚合

  2. 在要配置审核日志记录的 SVM 上,创建 SnapLock 卷。

    创建 SnapLock 卷

  3. 配置 SVM 以进行审核日志记录:

    snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-log-size size -retention-period default_retention_period

    备注

    审核日志文件的最小默认保留期限为六个月。如果受影响文件的保留期限超过审核日志的保留期限,则日志的保留期限将继承文件的保留期限。因此,如果使用特权删除功能删除的文件的保留期限为 10 个月,而审核日志的保留期限为 8 个月,则日志的保留期限将延长至 10 个月。有关保留时间和默认保留期限的详细信息、请参见 "设置保留时间"

    以下命令用于配置 SVM1 用于使用SnapLock卷进行审核日志记录 logVol。审核日志的最大大小为 20 GB ,并保留 8 个月。

    SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-log-size 20GB -retention-period 8months

  4. 在为审核日志记录配置的SVM上、将SnapLock卷挂载到接合路径 /snaplock_audit_log

    挂载 SnapLock 卷