ONTAP 如何实施审核日志记录
审核日志中记录的管理活动包括在标准 AutoSupport 报告中,某些日志记录活动包括在 EMS 消息中。此外,您还可以将审核日志转发到指定的目标,并可使用命令行界面或 Web 浏览器显示审核日志文件。
从ONTAP 9.11.1开始、您可以使用System Manager显示审核日志内容。
从ONTAP 9.12.1开始、ONTAP可为审核日志提供篡改警报。ONTAP会运行每日后台作业来检查audit.log文件是否被篡改、如果发现任何已更改或篡改的日志文件、则会发送EMS警报。
ONTAP 会记录在集群上执行的管理活动,例如发出了什么请求,触发了该请求的用户,用户的访问方法以及发出请求的时间。
管理活动可以是以下类型之一:
-
设置请求、通常适用于非显示命令或操作:
-
运行时会发出这些请求
create
,modify`或 `delete
命令、例如。 -
默认情况下,系统会记录设置请求。
-
-
获取请求、用于检索信息并将其显示在管理界面中:
-
运行时会发出这些请求
show
命令、例如。 -
默认情况下、不会记录获取请求、但您可以控制是否从ONTAP命令行界面发送获取请求 (
-cliget`ONTAP) (
-ontapiget`)或REST API (-httpget
)将记录在文件中。
-
ONTAP会在中记录管理活动 /mroot/etc/log/mlog/audit.log
节点的文件。此处会记录三个 shell 中用于 CLI 命令的命令— clustershell , nodeshell 和非交互式 systemshell (交互式 systemshell 命令不会记录)—以及 API 命令。审核日志包含时间戳,用于显示集群中的所有节点是否都进行了时间同步。
。 audit.log
AutoSupport工具会将文件发送给指定的收件人。您还可以将内容安全地转发到指定的外部目标,例如 Splunk 或系统日志服务器。
。 audit.log
文件每天轮换。当大小达到 100 MB 时,也会进行轮换,并保留前 48 个副本(最多总共 49 个文件)。当审核文件执行每日轮换时,不会生成 EMS 消息。如果审核文件因超过其文件大小限制而发生轮换,则会生成一条 EMS 消息。