简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

审核日志

01/18/2024 贡献者

PDF

审核日志是按时间顺序排列的事件集合、它会写入设备中的文件。审核日志文件在生成 /var/log/netapp/audit 位置和文件名遵循以下命名约定之一：

audit.log：正在使用的活动审核日志文件。
审核-%d｛yyyy-mm-dd-hH-mm-ss｝.log.gz：已回滚审核日志文件。文件名中的日期和时间表示文件的创建时间、例如：audit-20222-12-15-16-28-01.log.gz。

在选择控制阀插件用户界面中、您可以从查看和导出审核日志详细信息
"Dailard">"Settings">"Audit Logs"选项卡
您可以在审核日志中查看操作审核。审核日志随支持包一起下载。

如果配置了电子邮件设置、则在审核日志完整性验证失败时、SCV会发送电子邮件通知。如果其中一个文件被篡改或删除、则可能会发生审核日志完整性验证失败。

审核文件的默认配置为：

正在使用的审核日志文件最多可增长到10 MB
最多保留10个审核日志文件

要修改默认配置、请在/opt/netapp/scvservice/standalone aeg/etc/scbr/scbr.properties中添加一个密钥值对、然后重新启动scvservice。

审核日志文件的配置如下：

auditMaxROFiles=auditroFiles=rofiles=auditmaxROFiles=15 <xx> 、其中xx是已回滚的审核日志文件的最大数量。
auditLogSize=6MB <XX> 、其中xx是文件的大小(以MB为单位)、例如：auditLogSize=15MB。

系统会定期验证已回滚的审核日志的完整性。SCV提供了REST API来查看日志并验证其完整性。内置计划将触发并分配以下完整性状态之一。

Status

Description

已被篡改

审核日志文件内容已修改

正常

审核日志文件未修改

滚动删除

-审核日志文件将根据保留情况删除
-默认情况下，仅保留10个文件

意外删除

已删除审核日志文件

活动

-审核日志文件正在使用中
-仅适用于audit.log

事件分为三大类：

数据保护事件
维护控制台事件
管理控制台事件

数据保护事件

SCV中的资源包括：

存储系统
Resource Group
策略
备份

下表列出了可对每个资源执行的操作：

Resources

操作

存储系统

已创建、已修改、已删除

Resource Group

已创建、已修改、已删除、已暂停、已恢复

策略

已创建、已修改、已删除

备份

已创建、已重命名、已删除、已挂载、已卸载、已还原VMDK、已还原VM、连接VMDK、断开VMDK、子文件还原

维护控制台事件

系统将审核维护控制台中的管理操作。
可用的维护控制台选项包括：

启动/停止服务
更改用户名和密码
更改MySQL密码
配置MySQL备份
还原MySQL备份
更改 "maint" 用户密码
更改时区
更改NTP服务器
禁用SSH访问
增加Jail磁盘大小
升级
安装VMware Tools (我们正在努力将其替换为开放式VM工具)
更改 IP 地址设置
更改域名搜索设置
更改静态路由
访问诊断 Shell
启用远程诊断访问

管理控制台事件

将审核管理控制台UI中的以下操作：

设置
- 更改管理员凭据
- 更改时区
- 更改NTP服务器
- 更改IPv4/IPv6设置
Configuration
- 更改vCenter凭据
- 插件启用/禁用

配置系统日志服务器

审核日志存储在设备中、并定期验证其完整性。通过事件转发、您可以从源计算机或转发计算机获取事件、并将其存储在中央计算机(即系统日志服务器)中。数据在源和目标之间的传输过程中进行加密。

开始之前

您必须具有管理员权限。

关于此任务

此任务可帮助您配置系统日志服务器。

步骤

登录到适用于VMware vSphere的SnapCenter插件。
在左侧导航窗格中，选择*Settings*>*Audit Logs*>*Settings*。
在*Audit Log Settings*窗格中，选择*Send audit logs to Syslog server*
输入以下详细信息：
- 系统日志服务器IP
- 系统日志服务器端口
- RFC格式
- 系统日志服务器证书
单击*保存*以保存系统日志服务器设置。

更改审核日志设置

您可以更改日志设置的默认配置。