在已恢复的非主管理节点上还原审核日志
如果您能够保留故障非主管理节点中的审核日志,以便保留历史审核日志信息,则可以将其复制到要恢复的非主管理节点。
-
已恢复的管理节点已安装并正在运行。
-
在原始管理节点出现故障后、您已将审核日志复制到其他位置。
如果管理节点出现故障,保存到该管理节点的审核日志可能会丢失。可以通过从出现故障的管理节点复制审核日志,然后将这些审核日志还原到已恢复的管理节点来防止数据丢失。根据故障情况,可能无法从发生故障的管理节点复制审核日志。在这种情况下,如果部署具有多个管理节点,则可以从另一个管理节点恢复审核日志,因为审核日志会复制到所有管理节点。
如果只有一个管理节点、并且无法从故障节点复制审核日志、则恢复的管理节点会开始将事件记录到审核日志中、就像安装是新的一样。
您必须尽快恢复管理节点,才能还原日志记录功能。
默认情况下,审核信息会发送到管理节点上的审核日志。如果符合以下任一条件,则可以跳过这些步骤:
有关详细信息、请参见。 "配置审核消息和日志目标" |
-
登录到已恢复的管理节点:
-
输入以下命令:+
ssh admin@recovery_Admin_Node_IP
-
输入文件中列出的密码
Passwords.txt
。 -
输入以下命令切换到root:
su -
-
输入文件中列出的密码
Passwords.txt
。
以root用户身份登录后,提示符将从更
$`改为 `#
。 -
-
检查已保留哪些审核文件:
cd /var/local/log
-
将保留的审核日志文件复制到已恢复的管理节点:
scp admin@grid_node_IP:/var/local/tmp/saved-audit-logs/YYYY*
出现提示时,输入 admin 的密码。
-
为了安全起见,请在验证审核日志是否已成功复制到已恢复的管理节点后,从出现故障的网格节点中删除这些审核日志。
-
更新已恢复管理节点上审核日志文件的用户和组设置:
chown ams-user:bycast *
-
以root身份注销:
exit