配置审计消息和外部系统日志服务器
建议更改
PDF
您可以配置许多与审计消息相关的设置。您可以调整记录的审计消息数量;定义要包含在客户端读写审计消息中的任何 HTTP 请求标头;配置外部系统日志服务器;并指定审计日志、安全事件日志和StorageGRID软件日志的发送位置。
审计消息和日志记录系统活动和安全事件,是监控和故障排除的重要工具。所有StorageGRID节点都会生成审计消息和日志来跟踪系统活动和事件。
或者,您可以配置外部系统日志服务器来远程保存审计信息。使用外部服务器可以最大限度地减少审计消息记录对性能的影响,而不会降低审计数据的完整性。如果您拥有大型网格、使用多种类型的 S3 应用程序或想要保留所有审计数据,则外部 syslog 服务器特别有用。看"配置审计消息和外部系统日志服务器"了解详情。
-
您已使用"支持的网络浏览器"。
-
如果您计划配置外部系统日志服务器,您已查看"使用外部系统日志服务器的注意事项"并确保服务器有足够的容量来接收和存储日志文件。
-
如果您计划使用 TLS 或 RELP/TLS 协议配置外部 syslog 服务器,则您需要具备所需的服务器 CA 和客户端证书以及客户端私钥。
更改审计消息级别
您可以为审计日志中的以下每个类别的消息设置不同的审计级别:
| 审计类别 | 默认设置 | 更多信息 |
|---|---|---|
系统 |
正常 |
|
存储 |
错误 |
|
管理 |
正常 |
|
客户端读取 |
正常 |
|
客户写道 |
正常 |
|
ILM |
正常 |
|
跨网格复制 |
错误 |
|
如果您最初使用 10.3 或更高版本安装StorageGRID ,则这些默认值适用。如果您最初使用的是早期版本的StorageGRID,则所有类别的默认设置都为“正常”。 |
|
|
升级期间,审计级别配置不会立即生效。 |
-
选择 配置 > 监控 > 审计和系统日志服务器。
-
对于每个审计消息类别,从下拉列表中选择一个审计级别:
审计级别 描述 关闭
未记录该类别的任何审计消息。
错误
仅记录错误消息——结果代码不为“成功”(SUCS)的审计消息。
正常
记录标准事务消息——这些类别的说明中列出的消息。
调试
已弃用。此级别的行为与正常审计级别相同。
任何特定级别所包含的消息都包括在更高级别记录的消息。例如,正常级别包括所有错误消息。
如果您不需要 S3 应用程序的客户端读取操作的详细记录,则可以选择将 客户端读取 设置更改为 错误 以减少审计日志中记录的审计消息数量。 -
选择*保存*。
绿色横幅表示您的配置已保存。
定义 HTTP 请求标头
您可以选择定义要包含在客户端读写审计消息中的任何 HTTP 请求标头。这些协议标头仅适用于 S3 请求。
-
在*审计协议标头*部分中,定义您想要包含在客户端读写审计消息中的 HTTP 请求标头。
使用星号 (*) 作为通配符来匹配零个或多个字符。使用转义序列 (\*) 来匹配文字星号。
-
如果需要,选择“添加另一个标题”来创建其他标题。
当在请求中发现 HTTP 标头时,它们会包含在字段 HTRH 下的审计消息中。
仅当 客户端读取 或 客户端写入 的审计级别不是 关闭 时,才会记录审计协议请求标头。 -
选择“保存”
绿色横幅表示您的配置已保存。
使用外部 syslog 服务器
您可以选择配置外部系统日志服务器,将审计日志、应用程序日志和安全事件日志保存到网格外部的位置。
|
|
如果您不想使用外部系统日志服务器,请跳过此步骤并转到选择审计信息目的地。 |
|
如果此过程中可用的配置选项不够灵活,无法满足您的要求,则可以使用 `audit-destinations`端点,位于"电网管理API"。例如,如果您想对不同的节点组使用不同的 syslog 服务器,则可以使用 API。 |
输入系统日志信息
访问配置外部系统日志服务器向导并提供StorageGRID访问外部系统日志服务器所需的信息。
-
从审计和系统日志服务器页面中,选择*配置外部系统日志服务器*。或者,如果您之前配置了外部系统日志服务器,请选择*编辑外部系统日志服务器*。
出现配置外部系统日志服务器向导。
-
对于向导的 输入系统日志信息 步骤,在 主机 字段中输入外部系统日志服务器的有效完全限定域名或 IPv4 或 IPv6 地址。
-
输入外部系统日志服务器上的目标端口(必须是 1 到 65535 之间的整数)。默认端口为 514。
-
选择用于将审计信息发送到外部系统日志服务器的协议。
建议使用 TLS 或 RELP/TLS。您必须上传服务器证书才能使用这两个选项之一。使用证书有助于保护网格和外部系统日志服务器之间的连接。有关更多信息,请参阅"管理安全证书" 。
所有协议选项都需要外部系统日志服务器的支持和配置。您必须选择与外部系统日志服务器兼容的选项。
可靠事件日志协议 (RELP) 扩展了 syslog 协议的功能,以提供可靠的事件消息传递。如果您的外部系统日志服务器必须重新启动,使用 RELP 可以帮助防止审计信息丢失。 -
选择*继续*。
-
如果您选择了 TLS 或 RELP/TLS,请上传服务器 CA 证书、客户端证书和客户端私钥。
-
选择“浏览”以查找您想要使用的证书或密钥。
-
选择证书或密钥文件。
-
选择*打开*上传文件。
证书或密钥文件名旁边会出现一个绿色勾号,通知您已成功上传。
-
-
选择*继续*。
管理系统日志内容
您可以选择要发送到外部系统日志服务器的信息。
-
对于向导的*管理系统日志内容*步骤,选择要发送到外部系统日志服务器的每种类型的审计信息。
-
发送审计日志:发送StorageGRID事件和系统活动
-
发送安全事件:发送安全事件,例如当未经授权的用户尝试登录或用户以 root 身份登录时
-
发送应用程序日志: 发送"StorageGRID软件日志文件"对于故障排除很有用,包括:
-
bycast-err.log -
bycast.log -
jaeger.log -
nms.log(仅限管理节点) -
prometheus.log -
raft.log -
hagroups.log
-
-
发送访问日志:将外部请求的 HTTP 访问日志发送到网格管理器、租户管理器、配置的负载均衡器端点以及来自远程系统的网格联合请求。
-
-
使用下拉菜单选择要发送的每类审计信息的严重性和设施(消息类型)。
设置严重性和设施值可以帮助您以可自定义的方式聚合日志,以便于分析。
-
对于*严重性*,选择*通过*,或选择 0 到 7 之间的严重性值。
如果您选择一个值,则所选值将应用于此类型的所有消息。如果使用固定值覆盖严重性,则有关不同严重性的信息将会丢失。
严重性 描述 直通
发送到外部系统日志的每条消息都具有与本地记录到节点时相同的严重性值:
-
对于审计日志,严重性为“信息”。
-
对于安全事件,严重性值由节点上的 Linux 发行版生成。
-
对于应用程序日志,严重性在“信息”和“通知”之间变化,具体取决于问题是什么。例如,添加 NTP 服务器并配置 HA 组会给出“info”的值,而故意停止 SSM 或 RSM 服务会给出“notice”的值。
-
对于访问日志,严重性为“信息”。
0
紧急情况:系统无法使用
1
警报:必须立即采取行动
2
危急:危急情况
3
错误:错误条件
4
警告:警告条件
5
注意:正常但重要的情况
6
信息:信息消息
7
调试:调试级别消息
-
-
对于 Facilty,选择 Passthrough,或选择 0 到 23 之间的设施值。
如果您选择一个值,它将应用于此类型的所有消息。如果使用固定值覆盖设施,则有关不同设施的信息将会丢失。
工具 描述 直通
发送到外部系统日志的每条消息都具有与本地记录到节点时相同的设施值:
-
对于审计日志,发送到外部系统日志服务器的设备是“local7”。
-
对于安全事件,设施值由节点上的 Linux 发行版生成。
-
对于应用程序日志,发送到外部 syslog 服务器的应用程序日志具有以下设施值:
-
bycast.log:用户或守护进程 -
bycast-err.log:用户、守护进程、local3 或 local4 -
jaeger.log:本地2 -
nms.log:本地3 -
prometheus.log:本地4 -
raft.log:本地5 -
hagroups.log:本地6
-
-
对于访问日志,发送到外部系统日志服务器的设备是“local0”。
0
kern(内核消息)
1
用户(用户级消息)
2
邮件
3
守护进程(系统守护进程)
4
auth(安全/授权消息)
5
syslog(由 syslogd 内部生成的消息)
6
lpr(行式打印机子系统)
7
新闻(网络新闻子系统)
8
UUCP
9
cron(时钟守护进程)
10
安全(安全/授权消息)
11
FTP
12
NTP
13
logaudit(日志审计)
14
logalert(日志警报)
15
时钟(时钟守护进程)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
选择*继续*。
发送测试消息
在开始使用外部系统日志服务器之前,您应该请求网格中的所有节点向外部系统日志服务器发送测试消息。在承诺将数据发送到外部系统日志服务器之前,您应该使用这些测试消息来帮助您验证整个日志收集基础设施。
|
在确认外部系统日志服务器从网格中的每个节点收到测试消息并且该消息按预期处理之前,请勿使用外部系统日志服务器配置。 |
-
如果您不想发送测试消息,因为您确定您的外部系统日志服务器配置正确并且可以从网格中的所有节点接收审计信息,请选择*跳过并完成*。
绿色横幅表示配置已保存。
-
否则,选择*发送测试消息*(推荐)。
测试结果会持续显示在页面上,直到您停止测试。在测试进行过程中,您的审计消息将继续发送到您之前配置的目的地。
-
如果您在 syslog 服务器配置期间或运行时收到任何错误,请更正它们并再次选择*发送测试消息*。
看"排除外部系统日志服务器故障"帮助您解决任何错误。
-
等到看到绿色横幅,表明所有节点都已通过测试。
-
检查您的系统日志服务器以确定测试消息是否按预期接收和处理。
如果您使用 UDP,请检查整个日志收集基础设施。UDP 协议不像其他协议那样允许严格的错误检测。 -
选择*停止并完成*。
您将返回到*审计和系统日志服务器*页面。绿色横幅表示系统日志服务器配置已保存。
直到您选择包含外部系统日志服务器的目标时, StorageGRID审计信息才会发送到外部系统日志服务器。
选择审计信息目的地
您可以指定审计日志、安全事件日志和"StorageGRID软件日志"已发送。
|
|
StorageGRID默认为本地节点审计目标,并将审计信息存储在 使用时 某些目标仅在您配置了外部系统日志服务器后才可用。 |
-
在审计和系统日志服务器页面上,选择审计信息的目标。
*仅本地节点*和*外部系统日志服务器*通常提供更好的性能。 选项 描述 仅限本地节点(默认)
审计消息、安全事件日志和应用程序日志不会发送到管理节点。相反,它们仅保存在生成它们的节点(“本地节点”)上。每个本地节点生成的审计信息存储在
/var/local/log/localaudit.log。注意: StorageGRID会定期删除本地日志以释放空间。当节点的日志文件达到 1 GB 时,将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。当创建第 22 个版本的日志文件时,最旧的日志文件将被删除。每个节点平均存储约 20 GB 的日志数据。
管理节点/本地节点
审计消息被发送到管理节点上的审计日志,安全事件日志和应用程序日志存储在生成它们的节点上。审计信息存储在以下文件中:
-
管理节点(主节点和非主节点):
/var/local/audit/export/audit.log -
所有节点: `/var/local/log/localaudit.log`文件通常为空或缺失。它可能包含次要信息,例如某些消息的附加副本。
外部系统日志服务器
审计信息被发送到外部系统日志服务器并保存在本地节点上(
/var/local/log/localaudit.log)。发送的信息类型取决于您如何配置外部系统日志服务器。仅当您配置了外部系统日志服务器后,此选项才会启用。管理节点和外部系统日志服务器
审计消息被发送到审计日志(
/var/local/audit/export/audit.log),并将审计信息发送到外部系统日志服务器并保存在本地节点上(/var/local/log/localaudit.log)。发送的信息类型取决于您如何配置外部系统日志服务器。仅当您配置了外部系统日志服务器后,此选项才会启用。 -
-
选择*保存*。
出现警告消息。
-
选择“确定”确认您要更改审计信息的目的地。
绿色横幅表示审计配置已保存。
新日志将发送至您选择的目的地。现有日志仍保留在其当前位置。