Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在已恢复的主管理节点上还原审核日志

贡献者

如果能够保留故障主管理节点中的审核日志,则可以将其复制到要恢复的主管理节点。

开始之前
  • 已恢复的管理节点已安装并正在运行。

  • 在原始管理节点出现故障后、您已将审核日志复制到其他位置。

关于此任务

如果管理节点出现故障,保存到该管理节点的审核日志可能会丢失。可以通过从出现故障的管理节点复制审核日志,然后将这些审核日志还原到已恢复的管理节点来防止数据丢失。根据故障情况,可能无法从发生故障的管理节点复制审核日志。在这种情况下,如果部署具有多个管理节点,则可以从另一个管理节点恢复审核日志,因为审核日志会复制到所有管理节点。

如果只有一个管理节点、并且无法从故障节点复制审核日志、则恢复的管理节点会开始将事件记录到审核日志中、就像安装是新的一样。

您必须尽快恢复管理节点,才能还原日志记录功能。

备注

默认情况下,审核信息会发送到管理节点上的审核日志。如果符合以下任一条件,则可以跳过这些步骤:

  • 您配置了外部系统日志服务器,审核日志现在将发送到系统日志服务器,而不是管理节点。

  • 您明确指定仅应将审核消息保存在生成这些消息的本地节点上。

请参见 "配置审核消息和日志目标" 了解详细信息。

步骤
  1. 登录到已恢复的管理节点:

    1. 输入以下命令: ssh admin@recovery_Admin_Node_IP

    2. 输入中列出的密码 Passwords.txt 文件

    3. 输入以下命令切换到root: su -

    4. 输入中列出的密码 Passwords.txt 文件

    以root用户身份登录后、提示符将从变为 $ to #

  2. 检查已保留哪些审核文件: cd /var/local/audit/export

  3. 将保留的审核日志文件复制到已恢复的管理节点: scp admin@grid_node_IP:/var/local/tmp/saved-audit-logs/YYYY* .

    出现提示时,输入 admin 的密码。

  4. 为了安全起见,请在验证审核日志是否已成功复制到已恢复的管理节点后,从出现故障的网格节点中删除这些审核日志。

  5. 更新已恢复管理节点上审核日志文件的用户和组设置: chown ams-user: bycast *

  6. 以root用户身份注销: exit

您还必须还原对审核共享的任何已有客户端访问。有关详细信息,请参见 "配置审核客户端访问"