审核日志
建议更改
PDF
审核日志是按时间顺序排列的事件集合、它会写入设备中的文件。审核日志文件在位置生成 /var/log/netapp/audit 、文件名遵循以下命名约定之一:
-
audit.log:正在使用的活动审核日志文件。
-
审核-%d{yyyy-mm-dd-hH-mm-ss}.log.gz:已回滚审核日志文件。文件名中的日期和时间表示文件的创建时间、例如:audit-20222-12-15-16-28-01.log.gz。
在SCV插件用户界面中、您可以从*信息板*>*设置*>*审核日志*选项卡查看和导出审核日志详细信息。您可以在审核日志中查看操作审核。审核日志随支持包一起下载。
如果配置了电子邮件设置、则在审核日志完整性验证失败时、SCV会发送电子邮件通知。如果其中一个文件被篡改或删除、则可能会发生审核日志完整性验证失败。
审核文件的默认配置为:
-
正在使用的审核日志文件最多可增长到10 MB
-
最多保留10个审核日志文件
系统会定期验证已回滚的审核日志的完整性。SCV提供了REST API来查看日志并验证其完整性。内置计划将触发并分配以下完整性状态之一。
状态 |
说明 |
已被篡改 |
审核日志文件内容已修改 |
正常 |
审核日志文件未修改 |
滚动删除 |
-根据保留情况删除审核日志文件-默认情况下、仅保留10个文件 |
意外删除 |
已删除审核日志文件 |
活动 |
-审核日志文件正在使用中-仅适用于audit.log |
事件分为三大类:
-
数据保护事件
-
维护控制台事件
-
管理控制台事件
数据保护事件
SCV中的资源包括:
-
存储系统
-
Resource Group
-
策略
-
备份
-
订阅
-
帐户
下表列出了可对每个资源执行的操作:
* 资源 * |
* 操作 * |
存储系统 |
已创建、已修改、已删除 |
订阅 |
已创建、已修改、已删除 |
帐户 |
已创建、已修改、已删除 |
Resource Group |
已创建、已修改、已删除、已暂停、已恢复 |
策略 |
已创建、已修改、已删除 |
备份 |
已创建、已重命名、已删除、已挂载、已卸载、已还原VMDK、已还原VM、连接VMDK、断开VMDK、子文件还原 |
维护控制台事件
系统将审核维护控制台中的管理操作。可用的维护控制台选项包括:
-
启动/停止服务
-
更改用户名和密码
-
更改MySQL密码
-
配置MySQL备份
-
还原MySQL备份
-
更改 "maint" 用户密码
-
更改时区
-
更改NTP服务器
-
禁用SSH访问
-
增加Jail磁盘大小
-
升级
-
安装VMware Tools (我们正在努力将其替换为open-VM工具)
-
更改 IP 地址设置
-
更改域名搜索设置
-
更改静态路由
-
访问诊断 Shell
-
启用远程诊断访问
管理控制台事件
将审核管理控制台UI中的以下操作:
-
设置
-
更改管理员凭据
-
更改时区
-
更改NTP服务器
-
更改IPv4/IPv6设置
-
-
配置
-
更改vCenter凭据
-
插件启用/禁用
-
配置系统日志服务器
审核日志存储在设备中、并定期验证其完整性。通过事件转发、您可以从源计算机或转发计算机获取事件、并将其存储在中央计算机(即系统日志服务器)中。数据在源和目标之间的传输过程中进行加密。
您必须具有管理员权限。
此任务可帮助您配置系统日志服务器。
-
登录到适用于VMware vSphere的SnapCenter插件。
-
在左侧导航窗格中,选择*Settings*>*Audit Logs*>*Settings*。
-
在*Audit Log Settings*窗格中,选择*Send audit logs to Syslog server*
-
输入以下详细信息:
-
系统日志服务器IP
-
系统日志服务器端口
-
RFC格式
-
系统日志服务器证书
-
-
单击*保存*以保存系统日志服务器设置。
更改审核日志设置
您可以更改日志设置的默认配置。
您必须具有管理员权限。
此任务可帮助您更改默认审核日志设置。
-
登录到适用于VMware vSphere的SnapCenter插件。
-
在左侧导航窗格中,选择*Settings*>*Audit Logs*>*Settings*。
-
在*Audit Log Settings*(审核日志设置*)窗格中,输入审核日志文件的最大数量和审核日志文件大小限制。