审核日志
审核日志是按时间顺序排列的事件集合、它会写入设备中的文件。审核日志文件在生成 /var/log/netapp/audit
位置和文件名遵循以下命名约定之一:
-
audit.log:正在使用的活动审核日志文件。
-
审核-%d{yyyy-mm-dd-hH-mm-ss}.log.gz:已回滚审核日志文件。文件名中的日期和时间表示文件的创建时间、例如:audit-20222-12-15-16-28-01.log.gz。
在选择控制阀插件用户界面中、您可以从查看和导出审核日志详细信息
"Dailard">"Settings">"Audit Logs"选项卡
您可以在审核日志中查看操作审核。审核日志随支持包一起下载。
如果配置了电子邮件设置、则在审核日志完整性验证失败时、SCV会发送电子邮件通知。如果其中一个文件被篡改或删除、则可能会发生审核日志完整性验证失败。
审核文件的默认配置为:
-
正在使用的审核日志文件最多可增长到10 MB
-
最多保留10个审核日志文件
要修改默认配置、请在/opt/netapp/scvservice/standalone aeg/etc/scbr/scbr.properties中添加一个密钥值对、然后重新启动scvservice。
审核日志文件的配置如下:
-
auditMaxROFiles=auditroFiles=rofiles=auditmaxROFiles=15 <xx> 、其中xx是已回滚的审核日志文件的最大数量。
-
auditLogSize=6MB <XX> 、其中xx是文件的大小(以MB为单位)、例如:auditLogSize=15MB。
系统会定期验证已回滚的审核日志的完整性。SCV提供了REST API来查看日志并验证其完整性。内置计划将触发并分配以下完整性状态之一。
Status |
Description |
已被篡改 |
审核日志文件内容已修改 |
正常 |
审核日志文件未修改 |
滚动删除 |
*审核日志文件将根据保留情况删除 |
意外删除 |
已删除审核日志文件 |
活动 |
*审核日志文件正在使用中 |
事件分为三大类:
-
数据保护事件
-
维护控制台事件
-
管理控制台事件
数据保护事件
SCV中的资源包括:
-
存储系统
-
Resource Group
-
策略
-
备份
下表列出了可对每个资源执行的操作:
Resources |
操作 |
存储系统 |
已创建、已修改、已删除 |
Resource Group |
已创建、已修改、已删除、已暂停、已恢复 |
策略 |
已创建、已修改、已删除 |
备份 |
已创建、已重命名、已删除、已挂载、已卸载、已还原VMDK、已还原VM、连接VMDK、断开VMDK、子文件还原 |
维护控制台事件
系统将审核维护控制台中的管理操作。
可用的维护控制台选项包括:
-
启动/停止服务
-
更改用户名和密码
-
更改MySQL密码
-
配置MySQL备份
-
还原MySQL备份
-
更改 "maint" 用户密码
-
更改时区
-
更改NTP服务器
-
禁用SSH访问
-
增加Jail磁盘大小
-
升级
-
安装VMware Tools (我们正在努力将其替换为开放式VM工具)
-
更改 IP 地址设置
-
更改域名搜索设置
-
更改静态路由
-
访问诊断 Shell
-
启用远程诊断访问
管理控制台事件
将审核管理控制台UI中的以下操作:
-
设置
-
更改管理员凭据
-
更改时区
-
更改NTP服务器
-
更改IPv4/IPv6设置
-
-
Configuration
-
更改vCenter凭据
-
插件启用/禁用
-