简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

配置审核消息和日志目标

12/06/2022 贡献者

审核消息和日志可记录系统活动和安全事件，是监控和故障排除的重要工具。您可以调整审核级别以增加或减少记录的审核消息的类型和数量。您也可以定义要包含在客户端读取和写入审核消息中的任何 HTTP 请求标头。您还可以配置外部系统日志服务器并更改审核信息的目标。

有关审核消息的详细信息，请参见查看审核日志。

您需要的内容

您将使用登录到网格管理器支持的 Web 浏览器。
您具有维护或 root 访问权限。

关于此任务

所有 StorageGRID 节点都会生成审核消息和日志，以跟踪系统活动和事件。默认情况下，审核信息会发送到管理节点上的审核日志。您可以调整审核级别以增加或减少审核日志中记录的审核消息的类型和数量。您也可以将审核信息配置为发送到远程系统日志服务器或临时存储在源节点上以手动收集。

更改审核日志中的审核消息级别

您可以为审核日志中的以下每种消息设置不同的审核级别：

审核类别	Description
系统	默认情况下，此级别设置为 " 正常 " 。请参见系统审核消息。
存储	默认情况下，此级别设置为 Error 。请参见对象存储审核消息。
管理	默认情况下，此级别设置为 " 正常 " 。请参见管理审核消息。
客户端读取	默认情况下，此级别设置为 " 正常 " 。请参见客户端读取审核消息。
客户端写入	默认情况下，此级别设置为 " 正常 " 。请参见客户端写入审核消息。

审核类别

Description

系统

默认情况下，此级别设置为 " 正常 " 。请参见系统审核消息。

存储

默认情况下，此级别设置为 Error 。请参见对象存储审核消息。

管理

默认情况下，此级别设置为 " 正常 " 。请参见管理审核消息。

客户端读取

默认情况下，此级别设置为 " 正常 " 。请参见客户端读取审核消息。

客户端写入

默认情况下，此级别设置为 " 正常 " 。请参见客户端写入审核消息。

如果您最初使用 10.3 或更高版本安装 StorageGRID ，则这些默认设置适用。如果您已从早期版本的 StorageGRID 升级，则所有类别的默认值均设置为正常。

升级期间，审核级别配置不会立即生效。

步骤

选择 * 配置 * > * 监控 * > * 审核和系统日志服务器 * 。

对于每个审核消息类别，从下拉列表中选择一个审核级别：

审核级别	Description
关闭	不会记录此类别中的任何审核消息。
error	仅会记录错误消息—审核结果代码不是 " 成功 " （ SUC ）的消息。
正常	系统会记录标准事务处理消息，即这些说明中针对此类别列出的消息。
调试	已弃用。此级别的行为与正常审核级别相同。

审核级别

Description

关闭

不会记录此类别中的任何审核消息。

error

仅会记录错误消息—审核结果代码不是 " 成功 " （ SUC ）的消息。

正常

系统会记录标准事务处理消息，即这些说明中针对此类别列出的消息。

调试

已弃用。此级别的行为与正常审核级别相同。

对于任何特定级别，包含的消息都包括那些将在较高级别记录的消息。例如，正常级别包括所有错误消息。

或者，在 * 审核协议标头 * 下，定义要包含在客户端读取和写入审核消息中的任何 HTTP 请求标头。使用星号（ \* ）作为通配符，以匹配零个或多个字符。使用转义序列（ \* ）匹配文字星号。

审核协议标头仅适用于 S3 和 Swift 请求。
如果需要，选择 * 添加另一个标题 * 以创建其他标题。

在请求中找到 HTTP 标头后，它们将包含在审核消息中的字段 HTRH 下。

只有当 * 客户端读取 * 或 * 客户端写入 * 的审核级别不是 * 关闭 * 时，才会记录审核协议请求标头。
选择 * 保存 *

此时将显示一个绿色横幅，指示您的配置已成功保存。

使用外部系统日志服务器

如果要远程保存审核信息，可以配置外部系统日志服务器。

如果要将审核信息保存到外部系统日志服务器，请转至配置外部系统日志服务器。
如果您不使用外部系统日志服务器，请转至选择审核信息目标。

选择审核信息目标

您可以指定将审核日志，安全事件日志和应用程序日志发送到何处。

只有在使用外部系统日志服务器时，某些目标才可用。请参见配置外部系统日志服务器配置外部系统日志服务器。

有关 StorageGRID 软件日志的详细信息，请参见 StorageGRID 软件日志。

在 Audit and syslog server 页面上，从列出的选项中选择审核信息的目标：

选项 Description

选项	Description
默认（管理节点 / 本地节点）	审核消息会发送到管理节点上的审核日志（`audit.log` ），而安全事件日志和应用程序日志会存储在生成它们的节点（也称为 " 本地节点 " ）上。
外部系统日志服务器	审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后，才会启用此选项。
管理节点和外部系统日志服务器	审核消息会发送到管理节点上的审核日志（`audit.log` ），审核信息会发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后，才会启用此选项。
仅限本地节点	不会向管理节点或远程系统日志服务器发送任何审核信息。审核信息仅保存在生成该信息的节点上。注 * ： StorageGRID 会定期轮换删除这些本地日志以释放空间。当节点的日志文件达到 1 GB 时，系统将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。创建日志文件的第 22 版时，将删除最早的日志文件。每个节点平均存储约 20 GB 的日志数据。

默认（管理节点 / 本地节点）

审核消息会发送到管理节点上的审核日志（audit.log ），而安全事件日志和应用程序日志会存储在生成它们的节点（也称为 " 本地节点 " ）上。

外部系统日志服务器

审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后，才会启用此选项。

管理节点和外部系统日志服务器

审核消息会发送到管理节点上的审核日志（audit.log ），审核信息会发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后，才会启用此选项。

仅限本地节点

不会向管理节点或远程系统日志服务器发送任何审核信息。审核信息仅保存在生成该信息的节点上。

注 * ： StorageGRID 会定期轮换删除这些本地日志以释放空间。当节点的日志文件达到 1 GB 时，系统将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。创建日志文件的第 22 版时，将删除最早的日志文件。每个节点平均存储约 20 GB 的日志数据。

在每个本地节点上生成的审核信息存储在 ` /var/local/log/localaudit.log` 中

选择 * 保存 * 。

此时将显示一条警告消息：

是否更改日志目标？

选择 * 确定 * 以确认要更改审核信息的目标。

此时将显示一个绿色横幅，通知您已成功保存审核配置。

新日志将发送到选定的目标。现有日志将保留在其当前位置。

配置审核消息和日志目标

Creating your file...

更改审核日志中的审核消息级别

使用外部系统日志服务器

选择审核信息目标