简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

审核日志

提供者

审核日志是按时间顺序排列的事件集合、它会写入设备中的文件。审核日志文件在生成 /var/log/netapp/audit 位置和文件名遵循以下命名约定之一:

  • audit.log:正在使用的活动审核日志文件。

  • 审核-%d{yyyy-mm-dd-hH-mm-ss}.log.gz:已回滚审核日志文件。文件名中的日期和时间表示文件的创建时间、例如:audit-20222-12-15-16-28-01.log.gz。

在SCV插件用户界面中、您可以从*信息板*>*设置*>*审核日志*选项卡查看和导出审核日志详细信息。您可以在审核日志中查看操作审核。审核日志随支持包一起下载。

如果配置了电子邮件设置、则在审核日志完整性验证失败时、SCV会发送电子邮件通知。如果其中一个文件被篡改或删除、则可能会发生审核日志完整性验证失败。

审核文件的默认配置为:

  • 正在使用的审核日志文件最多可增长到10 MB

  • 最多保留10个审核日志文件

要修改默认配置、请在/opt/netapp/scvservice/standalone aeg/etc/scbr/scbr.properties中添加一个密钥值对、然后重新启动scvservice。

审核日志文件的配置如下:

  • auditMaxROFiles=auditroFiles=rofiles=auditmaxROFiles=15 <xx> 、其中xx是已回滚的审核日志文件的最大数量。

  • auditLogSize=6MB <XX> 、其中xx是文件的大小(以MB为单位)、例如:auditLogSize=15MB。

系统会定期验证已回滚的审核日志的完整性。SCV提供了REST API来查看日志并验证其完整性。内置计划将触发并分配以下完整性状态之一。

Status

Description

已被篡改

审核日志文件内容已修改

正常

审核日志文件未修改

滚动删除

*审核日志文件将根据保留情况删除*默认情况下、仅保留10个文件

意外删除

已删除审核日志文件

活动

*审核日志文件正在使用中*仅适用于audit.log

事件分为三大类:

  • 数据保护事件

  • 维护控制台事件

  • 管理控制台事件

数据保护事件

SCV中的资源包括:

  • 存储系统

  • Resource Group

  • 策略

  • 备份

下表列出了可对每个资源执行的操作:

Resources

操作

存储系统

已创建、已修改、已删除

Resource Group

已创建、已修改、已删除、已暂停、已恢复

策略

已创建、已修改、已删除

备份

已创建、已重命名、已删除、已挂载、已卸载、已还原VMDK、已还原VM、连接VMDK、断开VMDK、子文件还原

维护控制台事件

系统将审核维护控制台中的管理操作。可用的维护控制台选项包括:

  1. 启动/停止服务

  2. 更改用户名和密码

  3. 更改MySQL密码

  4. 配置MySQL备份

  5. 还原MySQL备份

  6. 更改 "maint" 用户密码

  7. 更改时区

  8. 更改NTP服务器

  9. 禁用SSH访问

  10. 增加Jail磁盘大小

  11. 升级

  12. 安装VMware Tools (我们正在努力将其替换为open-VM工具)

  13. 更改 IP 地址设置

  14. 更改域名搜索设置

  15. 更改静态路由

  16. 访问诊断 Shell

  17. 启用远程诊断访问

管理控制台事件

将审核管理控制台UI中的以下操作:

  • 设置

    • 更改管理员凭据

    • 更改时区

    • 更改NTP服务器

    • 更改IPv4/IPv6设置

  • Configuration

    • 更改vCenter凭据

    • 插件启用/禁用