管理审核日志目标
建议更改
PDF
您最多可以将审核日志转发到10个目标。例如,您可以将日志转发到 Splunk 或系统日志服务器,以便进行监控,分析或备份。
要配置转发、您必须提供系统日志或Splunk主机的IP地址、其端口号、传输协议以及用于转发日志的系统日志工具。 "了解系统日志工具"。
您可以使用 `-protocol`参数选择以下传输值之一:
- UDP未加密
-
无安全性的用户数据报协议(默认)
- TCP未加密
-
传输控制协议无安全性
- TCP已加密
-
传输控制协议与传输层安全(Transport Layer Security、TLS)+ 选择TCP加密协议后,可使用*Verify server*选项。
UDP的默认端口为514、TCP的默认端口为6514、但您可以指定满足网络需求的任何端口。
您可以使用 `-message-format`命令选择以下消息格式之一:
- 原有NetApp
-
RFC-3164系统日志格式的变体(格式:<PRIVAL> T.IMESTAMP:MESG)
- RFC-5424
-
系统日志格式符合RFC-5424 (格式:<PRIVAL> S连接 时间戳:S不同)
您可以从ONTAP 命令行界面转发审核日志、并从ONTAP 9.11.1开始从System Manager转发审核日志。
-
要显示审核日志目标、请选择*集群>设置*。+日志目标计数显示在*通知管理区块*中。单击
以显示详细信息。 -
要添加、修改或删除审核日志目标、请选择*事件和作业>审核日志*、然后单击屏幕右上角的*管理审核目标*。+单击
,或单击 *主机地址*列以编辑或删除条目。
-
对于要将审核日志转发到的每个目标,请指定目标 IP 地址或主机名以及任何安全选项。
cluster1::> cluster log-forwarding create -destination 192.168.123.96 -port 514 -facility user cluster1::> cluster log-forwarding create -destination 192.168.123.98 -port 6514 -protocol tcp-encrypted -facility user
-
如果
cluster log-forwarding create命令无法对目标主机执行ping操作以验证连接、命令失败并显示错误。尽管不建议使用-force参数并使用命令可绕过连接验证。 -
设置时
-verify-server参数设置为true、日志转发目标的标识通过验证其证书进行验证。您可以将此值设置为true仅当您选择时tcp-encrypted中的值-protocol字段。
-
-
使用验证目标记录是否正确
cluster log-forwarding show命令:cluster1::> cluster log-forwarding show Verify Syslog Destination Host Port Protocol Server Facility ------------------------- ------ -------- ------ -------- 192.168.123.96 514 udp-unencrypted false user 192.168.123.98 6514 tcp-encrypted true user 2 entries were displayed.
有关详细信息、请参见 cluster log-forwarding create 手册页。