了解ONTAP审核日志记录实施
建议更改
PDF
审计日志中记录的管理活动包含在标准AutoSupport报告中,某些日志记录活动包含在 EMS 消息中。您还可以将审计日志转发到指定的目标位置,并可以使用ONTAP CLI 或 Web 浏览器显示审计日志文件。
从ONTAP 9.11.1开始、您可以使用System Manager显示审核日志内容。
从ONTAP 9.12.1开始、ONTAP可为审核日志提供篡改警报。ONTAP会运行每日后台作业来检查audit.log文件是否被篡改、如果发现任何已更改或篡改的日志文件、则会发送EMS警报。
从ONTAP 9.17.1 开始,以及从ONTAP 9.16.1 P4 和更高版本的 9.16.1 修补程序版本开始, "还可以记录使用跨集群操作从对等集群发起的远程管理活动" 。这些活动包括用户驱动的和源自另一个集群的内部操作。
ONTAP记录在集群上执行的管理活动,例如发出了什么请求、触发请求的用户、用户的访问方式以及请求的时间。
管理活动可以是以下类型之一:
-
SET 请求:
-
这些请求通常适用于非显示命令或操作。
-
运行时会发出这些请求
create,modify`或 `delete命令、例如。 -
默认情况下会记录 SET 请求。
-
-
GET 请求:
-
这些请求检索信息并将其显示在管理界面中。
-
运行时会发出这些请求
show命令、例如。 -
默认情况下不记录 GET 请求,但您可以控制是否从ONTAP CLI 发送 GET 请求(
-cliget),来自ONTAP API (-ontapiget),或者通过ONTAP REST API (-httpget) 记录在文件中。
-
ONTAP记录管理活动 `/mroot/etc/log/mlog/audit.log`节点的文件。CLI命令(clustershell、nodeshell 和非交互式 systemshell)以及 API 命令均记录在此处。交互式 systemshell 命令不记录。审计日志包含时间戳,用于显示集群中所有节点是否同步。
。 audit.log AutoSupport工具会将文件发送给指定的收件人。您还可以将内容安全地转发到指定的外部目标,例如 Splunk 或系统日志服务器。
。 audit.log 文件每天轮换。当大小达到 100 MB 时,也会进行轮换,并保留前 48 个副本(最多总共 49 个文件)。当审核文件执行每日轮换时,不会生成 EMS 消息。如果审核文件因超过其文件大小限制而发生轮换,则会生成一条 EMS 消息。
启用 GET 审计时,请考虑配置日志转发,以避免因日志快速轮换而导致数据丢失。有关更多信息,请参阅以下知识库文章: "启用审计日志转发" 。