审计日志
建议更改
PDF
审计日志是按时间顺序排列的事件集合,写入设备内的文件中。审计日志文件生成于 `/var/log/netapp/audit`位置,并且文件名遵循以下命名约定之一:
-
audit.log:正在使用的活动审计日志文件。
-
audit-%d{yyyy-MM-dd-HH-mm-ss}.log.gz:滚动审计日志文件。文件名中的日期和时间表示文件的创建时间,例如:audit-2022-12-15-16-28-01.log.gz。
在 SCV 插件用户界面中,您可以从 仪表板 > 设置 > *审计日志*选项卡查看和导出审计日志详细信息。您可以在审计日志中查看操作审计。审计日志随支持包一起下载。
如果配置了电子邮件设置,则在审计日志完整性验证失败时,SCV 会发送电子邮件通知。当其中一个文件被篡改或删除时,可能会发生审计日志完整性验证失败。
审计文件的默认配置为:
-
正在使用的审计日志文件最大可以增长到 10 MB
-
最多保留 10 个审计日志文件
定期验证已滚动审核的日志的完整性。 SCV 提供 REST API 来查看日志并验证其完整性。内置计划触发并分配以下完整性状态之一。
状态 |
描述 |
被篡改 |
审计日志文件内容被修改 |
正常 |
审计日志文件未被修改 |
滚动删除 |
- 根据保留时间删除审计日志文件 - 默认情况下,仅保留 10 个文件 |
意外删除 |
审计日志文件已删除 |
积极的 |
- 审计日志文件正在使用中 - 仅适用于 audit.log |
事件分为三大类:
-
数据保护事件
-
维护控制台事件
-
管理控制台事件
数据保护事件
SCV 中的资源有:
-
存储系统
-
资源组
-
策略
-
备份
-
订阅
-
帐户
下表列出了可以对每个资源执行的操作:
资源 |
运营 |
存储系统 |
创建、修改、删除 |
订阅 |
创建、修改、删除 |
帐户 |
创建、修改、删除 |
资源组 |
已创建、已修改、已删除、已暂停、已恢复 |
策略 |
创建、修改、删除 |
备份 |
已创建、已重命名、已删除、已挂载、已卸载、已还原 VMDK、已还原 VM、连接 VMDK、分离 VMDK、来宾文件还原 |
维护控制台事件
维护控制台中的管理操作受到审核。可用的维护控制台选项有:
-
启动/停止服务
-
更改用户名和密码
-
更改 MySQL 密码
-
配置 MySQL 备份
-
恢复 MySQL 备份
-
更改“maint”用户密码
-
更改时区
-
更改 NTP 服务器
-
禁用 SSH 访问
-
增加监狱磁盘大小
-
升级
-
安装 VMware Tools(我们正在努力用 open-vm 工具替换它)
-
更改 IP 地址设置
-
更改域名搜索设置
-
更改静态路由
-
访问诊断外壳
-
启用远程诊断访问
管理控制台事件
管理控制台 UI 中的以下操作受到审核:
-
设置
-
更改管理员凭据
-
更改时区
-
更改 NTP 服务器
-
更改 IPv4/IPv6 地址设置
-
-
配置
-
更改 vCenter 凭据
-
插件启用/禁用
-
配置系统日志服务器
审计日志存储在设备内,并定期验证其完整性。事件转发允许您从源或转发计算机获取事件并将其存储在集中式计算机(即 Syslog 服务器)中。数据在源和目标之间传输时是加密的。
您必须具有管理员权限。
此任务帮助您配置系统日志服务器。
-
登录到SnapCenter Plug-in for VMware vSphere。
-
在左侧导航窗格中,选择“设置”>“审计日志”>“设置”。
-
在“审计日志设置”窗格中,选择“将审计日志发送到 Syslog 服务器”
-
输入以下详细信息:
-
系统日志服务器IP
-
Syslog 服务器端口
-
RFC 格式
-
Syslog 服务器证书
-
-
选择“保存”以保存 Syslog 服务器设置。
更改审核日志设置
您可以更改日志设置的默认配置。
您必须具有管理员权限。
此任务可帮助您更改默认审核日志设置。
-
登录到SnapCenter Plug-in for VMware vSphere。
-
在左侧导航窗格中,选择“设置”>“审计日志”>“设置”。
-
在“审计日志设置”窗格中,输入审计日志文件的最大数量和审计日志文件大小限制。
-
如果您选择将日志发送到 Syslog 服务器,请选择“将审计日志发送到 Syslog 服务器”选项。输入服务器的详细信息。
-
保存设置。