Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置审核消息和日志目标

贡献者

审核消息和日志可记录系统活动和安全事件,是监控和故障排除的重要工具。您可以调整审核级别以增加或减少记录的审核消息的类型和数量。您也可以定义要包含在客户端读取和写入审核消息中的任何 HTTP 请求标头。您还可以配置外部系统日志服务器并更改审核信息的目标。

有关审核消息的详细信息、请参见 "查看审核日志"

开始之前
关于此任务

所有 StorageGRID 节点都会生成审核消息和日志,以跟踪系统活动和事件。默认情况下,审核信息会发送到管理节点上的审核日志。您可以调整审核级别以增加或减少审核日志中记录的审核消息的类型和数量。您也可以将审核信息配置为临时存储在发起节点上、以便手动收集。

重要说明 如果您的网格很大、可以使用多种类型的S3应用程序、也可以保留所有审核数据、配置外部系统日志服务器并远程保存审核信息。使用外部服务器可以最大限度地降低审核消息日志记录对性能的影响、而不会降低审核数据的完整性。请参见 "外部系统日志服务器的注意事项" 了解详细信息。

更改审核日志中的审核消息级别

您可以为审核日志中的以下每种消息设置不同的审核级别:

审核类别 Description

系统

默认情况下,此级别设置为 " 正常 " 。请参见 "系统审核消息"

存储

默认情况下,此级别设置为 Error 。请参见 "对象存储审核消息"

管理

默认情况下,此级别设置为 " 正常 " 。请参见 "管理审核消息"

客户端读取

默认情况下,此级别设置为 " 正常 " 。请参见 "客户端读取审核消息"

客户端写入

默认情况下,此级别设置为 " 正常 " 。请参见 "客户端写入审核消息"

ILM操作

默认情况下,此级别设置为 " 正常 " 。请参见 "ILM操作审核消息"

备注 如果您最初使用 10.3 或更高版本安装 StorageGRID ,则这些默认设置适用。如果您已从早期版本的 StorageGRID 升级,则所有类别的默认值均设置为正常。
备注 升级期间,审核级别配置不会立即生效。
步骤
  1. 选择 * 配置 * > * 监控 * > * 审核和系统日志服务器 * 。

  2. 对于每个审核消息类别,从下拉列表中选择一个审核级别:

    审核级别 Description

    关闭

    不会记录此类别中的任何审核消息。

    error

    仅会记录错误消息—审核结果代码不是 " 成功 " ( SUC )的消息。

    正常

    系统会记录标准事务处理消息,即这些说明中针对此类别列出的消息。

    调试

    已弃用。此级别的行为与正常审核级别相同。

    对于任何特定级别,包含的消息都包括那些将在较高级别记录的消息。例如,正常级别包括所有错误消息。

    备注 如果不需要S3应用程序的客户端读取操作详细记录,可以选择将*Client Reads*设置更改为*Error*,以减少审核日志中记录的审核消息数。
  3. 或者,在 * 审核协议标头 * 下,定义要包含在客户端读取和写入审核消息中的任何 HTTP 请求标头。使用星号( \* )作为通配符,以匹配零个或多个字符。使用转义序列( \* )匹配文字星号。

    备注 审核协议标头仅适用于 S3 和 Swift 请求。
  4. 如果需要,选择 * 添加另一个标题 * 以创建其他标题。

    在请求中找到 HTTP 标头后,它们将包含在审核消息中的字段 HTRH 下。

    备注 只有当 * 客户端读取 * 或 * 客户端写入 * 的审核级别不是 * 关闭 * 时,才会记录审核协议请求标头。
  5. 选择 * 保存 *

    此时将显示一个绿色横幅,指示您的配置已成功保存。

使用外部系统日志服务器

如果要远程保存审核信息,可以配置外部系统日志服务器。

选择审核信息目标

您可以指定将审核日志,安全事件日志和应用程序日志发送到何处。

备注 只有在使用外部系统日志服务器时,某些目标才可用。请参见 "配置外部系统日志服务器" 配置外部系统日志服务器。
备注 有关StorageGRID 软件日志的详细信息、请参见 "StorageGRID 软件日志"
  1. 在 Audit and syslog server 页面上,从列出的选项中选择审核信息的目标:

    选项 Description

    默认(管理节点 / 本地节点)

    审核消息会发送到审核日志 (audit.log)、安全事件日志和应用程序日志存储在生成它们的节点(也称为"本地节点")上。

    外部系统日志服务器

    审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。

    管理节点和外部系统日志服务器

    审核消息会发送到审核日志 (audit.log)、审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。

    仅限本地节点

    不会向管理节点或远程系统日志服务器发送任何审核信息。审核信息仅保存在生成该信息的节点上。

    • 注 * : StorageGRID 会定期轮换删除这些本地日志以释放空间。当节点的日志文件达到 1 GB 时,系统将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。创建日志文件的第 22 版时,将删除最早的日志文件。每个节点平均存储约 20 GB 的日志数据。

    备注 在每个本地节点上生成的审核信息存储在中 /var/local/log/localaudit.log
  2. 选择 * 保存 * 。

    此时将显示一条警告消息。

  3. 选择*OK*确认要更改审核信息的目标。

    此时将显示一个绿色横幅、通知您已保存审核配置。

    新日志将发送到选定的目标。现有日志将保留在其当前位置。