Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置外部系统日志服务器

贡献者
PDF

如果要将审核日志,应用程序日志和安全事件日志保存到网格外部的位置,请使用此操作步骤 配置外部系统日志服务器。

开始之前

  • 您将使用登录到网格管理器 "支持的 Web 浏览器"

  • 您具有维护或 root 访问权限。

  • 您有一个能够接收和存储日志文件的系统日志服务器。有关详细信息,请参见 "外部系统日志服务器的注意事项"

  • 如果您计划使用 TLS 或 ROLP/TLS ,则您拥有正确的服务器和客户端认证。

关于此任务

如果要将审核信息发送到外部系统日志服务器,则必须先配置外部服务器。

通过将审核信息发送到外部系统日志服务器,您可以:

  • 更高效地收集和管理审核信息,例如审核消息,应用程序日志和安全事件

  • 减少管理节点上的网络流量,因为审核信息直接从各种存储节点传输到外部系统日志服务器,而无需通过管理节点

    注意 将日志发送到外部系统日志服务器时,超过 8192 字节的单个日志会在消息末尾截断,以符合外部系统日志服务器实施中的常见限制。
    备注 为了在外部系统日志服务器发生故障时最大程度地提高完整数据恢复的选项,每个节点上最多会保留 20 GB 的本地审核记录日志( localaudit.log )。
    备注 如果此操作步骤 中提供的配置选项不够灵活、无法满足您的要求、则可以使用专用API应用其他配置选项 audit-destinations 端点。例如,可以对不同的节点组使用不同的系统日志服务器。

配置外部服务器

访问向导

要启动、请访问配置外部系统日志服务器向导。

步骤

  1. 选择 * 配置 * > * 监控 * > * 审核和系统日志服务器 * 。

  2. 从 Audit and syslog server 页面中,选择 * 配置外部系统日志服务器 * 。如果先前已配置外部系统日志服务器,请选择 * 编辑外部系统日志服务器 * 。

    此时将显示配置外部系统日志服务器向导。

输入系统日志信息

您必须提供StorageGRID 访问外部系统日志服务器所需的信息。

步骤

  1. 对于向导的*Enter syslog info*步骤,在*Host*字段中输入外部系统日志服务器的有效完全限定域名或IPv4或IPv6地址。

  2. 输入外部系统日志服务器上的目标端口(必须是介于 1 到 65535 之间的整数)。默认端口为 514 。

  3. 选择用于向外部系统日志服务器发送审核信息的协议。

    建议使用*TLS*或*RELP/TLS*。您必须上传服务器证书才能使用其中任一选项。使用证书有助于确保网格与外部系统日志服务器之间的连接安全。有关详细信息,请参见 "管理安全证书"

    所有协议选项都需要外部系统日志服务器的支持和配置。您必须选择与外部系统日志服务器兼容的选项。

    备注 可靠事件日志记录协议( Relp )扩展了系统日志协议的功能,可提供可靠的事件消息传送。如果外部系统日志服务器必须重新启动,则使用 RELP 有助于防止审核信息丢失。

  4. 选择 * 继续 * 。

  5. 【附加证书】如果您选择了 * TLS * 或 * ROLP/TLS* ,请上传以下证书:

    • * 服务器 CA 证书 * :一个或多个用于验证外部系统日志服务器的可信 CA 证书(采用 PEM 编码)。如果省略此参数,则会使用默认网格 CA 证书。您在此上传的文件可能是 CA 捆绑包。

    • * 客户端证书 * :用于向外部系统日志服务器进行身份验证的客户端证书(采用 PEM 编码)。

    • * 客户端专用密钥 * :客户端证书的专用密钥(采用 PEM 编码)。

      备注 如果使用客户端证书,则还必须使用客户端专用密钥。如果您提供加密的私钥,则还必须提供密码短语。使用加密的私钥不会带来显著的安全优势,因为必须存储密钥和密码短语;为了简化操作,建议使用未加密的私钥(如果可用)。

      1. 为要使用的证书或密钥选择 * 浏览 * 。

      2. 选择证书文件或密钥文件。

      3. 选择 * 打开 * 上传文件。

        证书或密钥文件名称旁边会显示一个绿色复选框,通知您已成功上传此证书或密钥文件。

  6. 选择 * 继续 * 。

管理系统日志内容

您可以选择要发送到外部系统日志服务器的信息。

步骤

  1. 对于向导的*管理系统日志内容*步骤,选择要发送到外部系统日志服务器的每种审核信息类型。

    • 发送审核日志:发送StorageGRID 事件和系统活动

    • 发送安全事件:发送安全事件,例如未授权用户尝试登录或用户以root身份登录时

    • 发送应用程序日志:发送对故障排除有用的日志文件,包括:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (仅限管理节点)

      • prometheus.log

      • raft.log

      • hagroups.log

  2. 使用下拉菜单为要发送的审核信息类别选择严重性和工具(消息类型)。

    如果为严重性和设备选择 * 直通 * ,则发送到远程系统日志服务器的信息将获得与本地登录到节点时相同的严重性和设备。设置工具和严重性可以帮助您以可自定义的方式聚合日志,以便于分析。

    备注 有关StorageGRID 软件日志的详细信息、请参见 "StorageGRID 软件日志"

    1. 对于 * 严重性 * ,如果希望发送到外部系统日志的每个消息的严重性值与本地系统日志中的严重性值相同,请选择 * 直通 * 。

      对于审核日志,如果选择*PassThrough *,则严重性为"info"。

      对于安全事件,如果选择*PassThrough *,则严重性值由节点上的Linux分发版生成。

      对于应用程序日志,如果选择 * 直通 * ,则 " 信息 " 和 " 通知 " 之间的严重性会有所不同,具体取决于问题描述 的含义。例如、添加NTP服务器并配置HA组时、值为"info"、而故意停止SSM或RSM服务时、值为"notee"。

    2. 如果不想使用直通值、请选择介于0到7之间的严重性值。

      选定值将应用于此类型的所有消息。如果选择使用固定值覆盖严重性,则有关不同严重性的信息将丢失。

      severity Description

      0

      紧急:系统不可用

      1.

      alert :必须立即执行操作

      2.

      严重:严重情况

      3.

      错误:错误情况

      4.

      警告:警告条件

      5.

      注意:正常但重要的情况

      6.

      Informational :信息性消息

      7.

      debug :调试级别的消息

    3. 对于 * 设备 * ,如果希望发送到外部系统日志的每个消息都与本地系统日志中的设备值相同,请选择 * 直通 * 。

      对于审核日志、如果选择*直通*、则发送到外部系统日志服务器的工具为"local7"。

      对于安全事件,如果选择 * 直通 * ,则设备值由节点上的 Linux 分发版生成。

      对于应用程序日志,如果选择 * 直通 * ,则发送到外部系统日志服务器的应用程序日志具有以下设施值:

      应用程序日志 直通值

      bycast.log

      用户或守护进程

      bycast-err.log

      用户,守护进程, local3 或 local4

      jaeger.log

      本地 2.

      nms.log

      本地 3.

      prometheus.log

      本地 4.

      raft.log

      本地 5.

      hagroups.log

      本地 6.

    4. 如果您不想使用直通值、请选择介于0到23之间的医院值。

      选定值将应用于此类型的所有消息。如果您选择使用固定值覆盖设施,则有关不同设施的信息将丢失。

    设施 Description

    0

    KERN (内核消息)

    1.

    用户(用户级消息)

    2.

    邮件

    3.

    守护进程(系统守护进程)

    4.

    auth (安全 / 授权消息)

    5.

    系统日志(由 syslogd 在内部生成的消息)

    6.

    LPR (行式打印机子系统)

    7.

    新闻(网络新闻子系统)

    8.

    uucp

    9

    cron (时钟守护进程)

    10

    安全性(安全性 / 授权消息)

    11.

    FTP

    12

    NTP

    13

    日志审核(日志审核)

    14

    日志警报(日志警报)

    15

    时钟(时钟守护进程)

    16.

    本地 0

    17

    本地 1

    18

    本地 2.

    19

    本地 3.

    20

    本地 4.

    21

    本地 5.

    22.

    本地 6.

    23

    本地 7.

  3. 选择 * 继续 * 。

发送测试消息

在开始使用外部系统日志服务器之前,您应请求网格中的所有节点向外部系统日志服务器发送测试消息。在提交向外部系统日志服务器发送数据之前,您应使用这些测试消息来帮助验证整个日志收集基础架构。

注意 在确认外部系统日志服务器收到来自网格中每个节点的测试消息且该消息已按预期处理之前、请勿使用外部系统日志服务器配置。
步骤

  1. 如果由于您确定外部系统日志服务器配置正确并且可以从网格中的所有节点接收审核信息而不想发送测试消息,请选择*跳过并完成*。

    此时将显示一个绿色横幅,指示您的配置已成功保存。

  2. 否则,请选择*发送测试消息*(建议)。

    测试结果会持续显示在页面上,直到您停止测试为止。测试期间,审核消息会继续发送到先前配置的目标。

  3. 如果收到任何错误,请更正这些错误,然后再次选择 * 发送测试消息 * 。

    请参见 "对外部系统日志服务器进行故障排除" 以帮助您解决任何错误。

  4. 请等待,直到看到一个绿色横幅,指示所有节点均已通过测试。

  5. 检查系统日志服务器以确定是否按预期接收和处理了测试消息。

    重要说明 如果使用的是 UDP ,请检查整个日志收集基础架构。UDP 协议不允许像其他协议那样严格地检测错误。

  6. 选择 * 停止并完成 * 。

    此时将返回到 * 审核和系统日志服务器 * 页面。此时将显示一个绿色横幅,通知您已成功保存系统日志服务器配置。

    备注 除非选择包含外部系统日志服务器的目标,否则不会将 StorageGRID 审核信息发送到外部系统日志服务器。

选择审核信息目标

您可以指定将安全事件日志,应用程序日志和审核消息日志发送到何处。

备注 有关StorageGRID 软件日志的详细信息、请参见 "StorageGRID 软件日志"
步骤

  1. 在 Audit and syslog server 页面上,从列出的选项中选择审核信息的目标:

    选项 Description

    默认(管理节点 / 本地节点)

    审核消息会发送到审核日志 (audit.log)、安全事件日志和应用程序日志存储在生成它们的节点(也称为"本地节点")上。

    外部系统日志服务器

    审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。

    管理节点和外部系统日志服务器

    审核消息会发送到审核日志 (audit.log)、审核信息将发送到外部系统日志服务器并保存在本地节点上。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。

    仅限本地节点

    不会向管理节点或远程系统日志服务器发送任何审核信息。审核信息仅保存在生成该信息的节点上。

    • 注 * : StorageGRID 会定期轮换删除这些本地日志以释放空间。当节点的日志文件达到 1 GB 时,系统将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。创建日志文件的第 22 版时,将删除最早的日志文件。每个节点平均存储约 20 GB 的日志数据。
    备注 在每个本地节点上生成的审核信息存储在中 /var/local/log/localaudit.log

  2. 选择 * 保存 * 。然后,选择*OK*接受对日志目标的更改。

  3. 如果选择 * 外部系统日志服务器 * 或 * 管理节点和外部系统日志服务器 * 作为审核信息的目标,则会显示一条附加警告。查看警告文本。

    重要说明 您必须确认外部系统日志服务器可以接收测试 StorageGRID 消息。

  4. 选择*OK*确认要更改审核信息的目标。

    此时将显示一个绿色横幅,通知您已成功保存审核配置。

    新日志将发送到选定的目标。现有日志将保留在其当前位置。

相关信息

"审核消息概述"

"配置审核消息和日志目标"

"系统审核消息"

"对象存储审核消息"

"管理审核消息"

"客户端读取审核消息"

"管理 StorageGRID"