创建审核日志
建议更改
PDF
如果您使用的是ONTAP 9.9.1或更早版本、则必须先创建SnapLock聚合、然后再创建受SnapLock保护的审核日志、最后才能以特权方式执行删除或SnapLock卷移动。审核日志记录 SnapLock 管理员帐户的创建和删除,对日志卷的修改,是否启用了特权删除,特权删除操作以及 SnapLock 卷移动操作。
从ONTAP 9.10.1开始、您将不再创建SnapLock聚合。您必须"显式创建SnapLock卷"通过指定合规性或企业作为SnapLock类型来使用SnapLock类型选项。
如果您使用的是ONTAP 9.9.1或更早版本、则必须是集群管理员才能创建SnapLock聚合。
只有在日志文件保留期限已过之后,才能删除审核日志。即使保留期限已过,您也无法修改审核日志。无论是SnapLock 合规模式还是企业模式、都是如此。
|
在 ONTAP 9.4 及更早版本中,不能使用 SnapLock 企业卷进行审核日志记录。您必须使用 SnapLock Compliance 卷。在 ONTAP 9.5 及更高版本中,您可以使用 SnapLock 企业卷或 SnapLock 合规卷进行审核日志记录。无论哪种情况、审核日志卷都必须挂载在接合路径上 |
您可以在中找到SnapLock审核日志 /snaplock_log 目录、位于审核日志卷的根目录下、位于名为的子目录中 privdel_log (特权删除操作)和 system_log (其他所有内容)。审核日志文件名包含第一个已记录操作的时间戳,便于按执行操作的大致时间搜索记录。
-
您可以使用
snaplock log file show命令以查看审核日志卷上的日志文件。 -
您可以使用
snaplock log file archive命令、用于归档当前日志文件并创建新日志文件、此命令在需要将审核日志信息记录到单独文件中的情况下非常有用。
有关详细信息,请参见命令的手册页。
|
|
数据保护卷不能用作 SnapLock 审核日志卷。 |
-
创建 SnapLock 聚合。
-
在要配置审核日志记录的 SVM 上,创建 SnapLock 卷。
-
配置 SVM 以进行审核日志记录:
snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-log-size size -retention-period default_retention_period
审核日志文件的最小默认保留期限为六个月。如果受影响文件的保留期限超过审核日志的保留期限,则日志的保留期限将继承文件的保留期限。因此,如果使用特权删除功能删除的文件的保留期限为 10 个月,而审核日志的保留期限为 8 个月,则日志的保留期限将延长至 10 个月。有关保留时间和默认保留期限"设置保留时间"的详细信息,请参见。
以下命令用于配置
SVM1用于使用SnapLock卷进行审核日志记录logVol。审核日志的最大大小为 20 GB ,并保留 8 个月。SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-log-size 20GB -retention-period 8months
-
在为审核日志记录配置的SVM上、将SnapLock卷挂载到接合路径
/snaplock_audit_log。