在已恢复的主管理节点上恢复审计日志
建议更改
PDF
如果您能够保留故障主管理节点的审计日志,则可以将其复制到正在恢复的主管理节点。
-
恢复的管理节点已安装并正在运行。
-
原始管理节点发生故障后,您已将审计日志复制到另一个位置。
如果管理节点发生故障,保存到该管理节点的审计日志可能会丢失。通过从发生故障的管理节点复制审计日志,然后将这些审计日志恢复到恢复的管理节点,可以防止数据丢失。根据故障情况,可能无法从发生故障的管理节点复制审计日志。在这种情况下,如果部署有多个管理节点,您可以从另一个管理节点恢复审计日志,因为审计日志会复制到所有管理节点。
如果只有一个管理节点,并且无法从故障节点复制审计日志,则恢复的管理节点将开始将事件记录到审计日志中,就像安装是新的一样。
您必须尽快恢复管理节点以恢复日志记录功能。
|
默认情况下,审计信息会发送到管理节点上的审计日志。如果满足以下任一条件,则可以跳过这些步骤:
看"配置审计消息和日志目标"了解详情。 |
-
登录到恢复的管理节点:
-
输入以下命令:
ssh admin@recovery_Admin_Node_IP -
输入 `Passwords.txt`文件。
-
输入以下命令切换到root:
su - -
输入 `Passwords.txt`文件。
以 root 身份登录后,提示符将从
$`到 `#。 -
-
检查哪些审计文件已被保存:
cd /var/local/log -
将保留的审计日志文件复制到恢复的管理节点:
scp admin@grid_node_IP:/var/local/tmp/saved-audit-logs/YYYY* .出现提示时,输入管理员密码。
-
为了安全起见,在验证审计日志已成功复制到恢复的管理节点后,请从故障网格节点中删除这些日志。
-
更新已恢复的管理节点上的审计日志文件的用户和组设置:
chown ams-user: bycast * -
以 root 身份注销:
exit