Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

ONTAP 如何实施审核日志记录

贡献者

审核日志中记录的管理活动包括在标准 AutoSupport 报告中,某些日志记录活动包括在 EMS 消息中。此外,您还可以将审核日志转发到指定的目标,并可使用命令行界面或 Web 浏览器显示审核日志文件。

从ONTAP 9.11.1开始、您可以使用System Manager显示审核日志内容。

从ONTAP 9.12.1开始、ONTAP可为审核日志提供篡改警报。ONTAP会运行每日后台作业来检查audit.log文件是否被篡改、如果发现任何已更改或篡改的日志文件、则会发送EMS警报。

ONTAP 会记录在集群上执行的管理活动,例如发出了什么请求,触发了该请求的用户,用户的访问方法以及发出请求的时间。

管理活动可以是以下类型之一:

  • 设置请求、通常适用于非显示命令或操作:

    • 运行时会发出这些请求 createmodify`或 `delete 命令、例如。

    • 默认情况下,系统会记录设置请求。

  • 获取请求、用于检索信息并将其显示在管理界面中:

    • 运行时会发出这些请求 show 命令、例如。

    • 默认情况下、不会记录获取请求、但您可以控制是否从ONTAP命令行界面发送获取请求 (-cliget`ONTAP) (-ontapiget`)或REST API (-httpget)将记录在文件中。

ONTAP会在中记录管理活动 /mroot/etc/log/mlog/audit.log 节点的文件。此处会记录三个 shell 中用于 CLI 命令的命令— clustershell , nodeshell 和非交互式 systemshell (交互式 systemshell 命令不会记录)—以及 API 命令。审核日志包含时间戳,用于显示集群中的所有节点是否都进行了时间同步。

audit.log AutoSupport工具会将文件发送给指定的收件人。您还可以将内容安全地转发到指定的外部目标,例如 Splunk 或系统日志服务器。

audit.log 文件每天轮换。当大小达到 100 MB 时,也会进行轮换,并保留前 48 个副本(最多总共 49 个文件)。当审核文件执行每日轮换时,不会生成 EMS 消息。如果审核文件因超过其文件大小限制而发生轮换,则会生成一条 EMS 消息。