使用审计解释工具
建议更改
PDF
您可以使用 `audit-explain`工具将审计日志中的审计消息转换为易于阅读的格式。
-
你有"特定访问权限"。
-
你必须拥有 `Passwords.txt`文件。
-
您必须知道主管理节点的 IP 地址。
这 `audit-explain`主管理节点上提供的工具可在审计日志中提供审计消息的简化摘要。
|
这 `audit-explain`该工具主要供技术支持人员在故障排除操作期间使用。加工 `audit-explain`查询会消耗大量 CPU 能力,这可能会影响StorageGRID操作。 |
此示例显示了 `audit-explain`工具。这四个"喷管"当账户 ID 为 92484777680322627870 的 S3 租户使用 S3 PUT 请求创建名为“bucket1”的存储桶并向该存储桶添加三个对象时,生成了审计消息。
SPUT S3 PUT bucket bucket1 account:92484777680322627870 usec:124673 SPUT S3 PUT object bucket1/part1.txt tenant:92484777680322627870 cbid:9DCB157394F99FE5 usec:101485 SPUT S3 PUT object bucket1/part2.txt tenant:92484777680322627870 cbid:3CFBB07AB3D32CA9 usec:102804 SPUT S3 PUT object bucket1/part3.txt tenant:92484777680322627870 cbid:5373D73831ECC743 usec:93874
这 `audit-explain`工具可以执行以下操作:
-
处理纯文本或压缩的审计日志。例如:
audit-explain audit.logaudit-explain 2019-08-12.txt.gz -
同时处理多个文件。例如:
audit-explain audit.log 2019-08-12.txt.gz 2019-08-13.txt.gzaudit-explain /var/local/log/* -
接受来自管道的输入,这允许您使用以下方式过滤和预处理输入 `grep`命令或其他方式。例如:
grep SPUT audit.log | audit-explaingrep bucket-name audit.log | audit-explain
由于审计日志可能非常大且解析速度很慢,因此您可以通过筛选要查看的部分并运行来节省时间 `audit-explain`对各个部分进行操作,而不是对整个文件进行操作。
|
|
这 `audit-explain`工具不接受压缩文件作为管道输入。要处理压缩文件,请将其文件名作为命令行参数提供,或使用 `zcat`工具先解压缩文件。例如:
|
使用 `help (-h)`选项来查看可用的选项。例如:
$ audit-explain -h
-
登录到主管理节点:
-
输入以下命令:
ssh admin@primary_Admin_Node_IP -
输入 `Passwords.txt`文件。
-
输入以下命令切换到root:
su - -
输入 `Passwords.txt`文件。
当您以 root 身份登录时,提示符将从
$`到 `#。
-
-
输入以下命令,其中 `/var/local/log/audit.log`代表您要分析的文件的名称和位置:
$ audit-explain /var/local/log/audit.log这 `audit-explain`工具打印指定文件中所有消息的人类可读的解释。
为了减少行长度并提高可读性,默认情况下不显示时间戳。如果你想查看时间戳,请使用时间戳( -t) 选项。