在已恢复的主管理节点上还原审核日志
如果能够保留故障主管理节点中的审核日志,则可以将其复制到要恢复的主管理节点。
-
已恢复的管理节点已安装并正在运行。
-
在原始管理节点出现故障后、您已将审核日志复制到其他位置。
如果管理节点出现故障,保存到该管理节点的审核日志可能会丢失。可以通过从出现故障的管理节点复制审核日志,然后将这些审核日志还原到已恢复的管理节点来防止数据丢失。根据故障情况,可能无法从发生故障的管理节点复制审核日志。在这种情况下,如果部署具有多个管理节点,则可以从另一个管理节点恢复审核日志,因为审核日志会复制到所有管理节点。
如果只有一个管理节点、并且无法从故障节点复制审核日志、则恢复的管理节点会开始将事件记录到审核日志中、就像安装是新的一样。
您必须尽快恢复管理节点,才能还原日志记录功能。
默认情况下,审核信息会发送到管理节点上的审核日志。如果符合以下任一条件,则可以跳过这些步骤:
请参见 "配置审核消息和日志目标" 了解详细信息。 |
-
登录到已恢复的管理节点:
-
输入以下命令:
ssh admin@recovery_Admin_Node_IP
-
输入中列出的密码
Passwords.txt
文件 -
输入以下命令切换到root:
su -
-
输入中列出的密码
Passwords.txt
文件
以root用户身份登录后、提示符将从变为
$
to#
。 -
-
检查已保留哪些审核文件:
cd /var/local/audit/export
-
将保留的审核日志文件复制到已恢复的管理节点:
scp admin@grid_node_IP:/var/local/tmp/saved-audit-logs/YYYY* .
出现提示时,输入 admin 的密码。
-
为了安全起见,请在验证审核日志是否已成功复制到已恢复的管理节点后,从出现故障的网格节点中删除这些审核日志。
-
更新已恢复管理节点上审核日志文件的用户和组设置:
chown ams-user: bycast *
-
以root用户身份注销:
exit
您还必须还原对审核共享的任何已有客户端访问。有关详细信息,请参见 "配置审核客户端访问"。