配置审核消息和外部系统日志服务器
您可以配置与审核消息相关的许多设置。您可以调整记录的审核消息数;定义要包含在客户端读写审核消息中的任何HTTP请求标头;配置外部系统日志服务器;以及指定审核日志、安全事件日志和StorageGRID软件日志的发送位置。
审核消息和日志可记录系统活动和安全事件,是监控和故障排除的重要工具。所有 StorageGRID 节点都会生成审核消息和日志,以跟踪系统活动和事件。
您也可以配置外部系统日志服务器以远程保存审核信息。使用外部服务器可以最大限度地降低审核消息日志记录对性能的影响、而不会降低审核数据的完整性。如果您的网格较大、使用多种类型的S3应用程序或希望保留所有审核数据、则外部系统日志服务器尤其有用。有关详细信息、请参见。 "配置审核消息和外部系统日志服务器"
-
您已使用登录到网格管理器"支持的 Web 浏览器"。
-
您拥有"维护或root访问权限"。
-
如果您计划配置外部系统日志服务器、则已查看并确保该服务器具有足够的"使用外部系统日志服务器的注意事项"容量来接收和存储日志文件。
-
如果您计划使用TLS或RELP/TLS协议配置外部系统日志服务器、则您具有所需的服务器CA和客户端证书以及客户端专用密钥。
更改审核消息级别
您可以为审核日志中的以下每种消息设置不同的审核级别:
审核类别 | 默认设置 | 更多信息 |
---|---|---|
系统 |
正常 |
|
存储 |
错误 |
|
管理 |
正常 |
|
客户端读取 |
正常 |
|
客户端写入 |
正常 |
|
ILM |
正常 |
|
跨网格复制 |
错误 |
如果您最初使用 10.3 或更高版本安装 StorageGRID ,则这些默认设置适用。如果您最初使用的是早期版本的StorageGRID、则所有类别的默认值均设置为"正常"。 |
升级期间,审核级别配置不会立即生效。 |
-
选择 * 配置 * > * 监控 * > * 审核和系统日志服务器 * 。
-
对于每个审核消息类别,从下拉列表中选择一个审核级别:
审核级别 说明 关闭
不会记录此类别中的任何审核消息。
错误
仅会记录错误消息—审核结果代码不是 " 成功 " ( SUC )的消息。
正常
系统会记录标准事务处理消息,即这些说明中针对此类别列出的消息。
调试
已弃用。此级别的行为与正常审核级别相同。
对于任何特定级别,包含的消息都包括那些将在较高级别记录的消息。例如,正常级别包括所有错误消息。
如果不需要S3应用程序的客户端读取操作详细记录,可以选择将*Client Reads*设置更改为*Error*,以减少审核日志中记录的审核消息数。 -
选择 * 保存 * 。
绿色横幅表示您的配置已保存。
定义HTTP请求标头
您可以选择定义要包含在客户端读写审核消息中的任何HTTP请求标头。这些协议标头仅适用于S3请求。
-
在*Audit protocol headers*部分中,定义要包含在客户端读写审核消息中的HTTP请求标头。
使用星号( \* )作为通配符,以匹配零个或多个字符。使用转义序列( \* )匹配文字星号。
-
如果需要,选择 * 添加另一个标题 * 以创建其他标题。
在请求中找到 HTTP 标头后,它们将包含在审核消息中的字段 HTRH 下。
只有当 * 客户端读取 * 或 * 客户端写入 * 的审核级别不是 * 关闭 * 时,才会记录审核协议请求标头。 -
选择 * 保存 *
绿色横幅表示您的配置已保存。
使用外部系统日志服务器
您可以选择配置外部系统日志服务器、将审核日志、应用程序日志和安全事件日志保存到网格外部的某个位置。
如果不想使用外部系统日志服务器,请跳过此步骤并转到选择审核信息目标。 |
如果此过程中提供的配置选项不够灵活,无法满足您的要求,则可以使用端点应用其他配置选项 audit-destinations ,这些端点位于的私有API部分"网格管理 API"。例如、如果要对不同的节点组使用不同的系统日志服务器、则可以使用API。
|
输入系统日志信息
访问配置外部系统日志服务器向导、并提供StorageGRID访问外部系统日志服务器所需的信息。
-
从 Audit and syslog server 页面中,选择 * 配置外部系统日志服务器 * 。或者,如果先前已配置外部系统日志服务器,请选择*编辑外部系统日志服务器*。
此时将显示配置外部系统日志服务器向导。
-
对于向导的*Enter syslog info*步骤,在*Host*字段中输入外部系统日志服务器的有效完全限定域名或IPv4或IPv6地址。
-
输入外部系统日志服务器上的目标端口(必须是介于 1 到 65535 之间的整数)。默认端口为514。
-
选择用于向外部系统日志服务器发送审核信息的协议。
建议使用*TLS*或*RELP/TLS*。您必须上传服务器证书才能使用其中任一选项。使用证书有助于确保网格与外部系统日志服务器之间的连接安全。有关详细信息,请参见 "管理安全证书"。
所有协议选项都需要外部系统日志服务器的支持和配置。您必须选择与外部系统日志服务器兼容的选项。
可靠事件日志记录协议( Relp )扩展了系统日志协议的功能,可提供可靠的事件消息传送。如果外部系统日志服务器必须重新启动,则使用 RELP 有助于防止审核信息丢失。 -
选择 * 继续 * 。
-
[[attache-certificate]如果选择了*tls*或*RELP/tls*,请上传服务器CA证书、客户端证书和客户端专用密钥。
-
为要使用的证书或密钥选择 * 浏览 * 。
-
选择证书或密钥文件。
-
选择 * 打开 * 上传文件。
证书或密钥文件名称旁边会显示一个绿色复选框,通知您已成功上传此证书或密钥文件。
-
-
选择 * 继续 * 。
管理系统日志内容
您可以选择要发送到外部系统日志服务器的信息。
-
对于向导的*管理系统日志内容*步骤,选择要发送到外部系统日志服务器的每种审核信息类型。
-
发送审核日志:发送StorageGRID 事件和系统活动
-
发送安全事件:发送安全事件,例如未授权用户尝试登录或用户以root身份登录时
-
发送应用程序日志:发送"StorageGRID软件日志文件"对故障排除很有用的信息,包括:
-
bycast-err.log
-
bycast.log
-
jaeger.log
-
nms.log
(仅限管理节点) -
prometheus.log
-
raft.log
-
hagroups.log
-
-
发送访问日志:将外部请求的HTTP访问日志发送到网格管理器、租户管理器、已配置的负载平衡器端点以及来自远程系统的网格联合请求。
-
-
使用下拉菜单为您要发送的每类审核信息选择严重性和设施(消息类型)。
设置严重性和设施值可帮助您以可自定义的方式聚合日志、以便于分析。
-
对于*严重性*,请选择*直通*,或选择介于0到7之间的严重性值。
如果您选择一个值、则所选值将应用于此类型的所有消息。如果使用固定值覆盖严重性、则有关不同严重性的信息将丢失。
严重性 说明 直通
发送到外部系统日志的每条消息的严重性值与在本地记录到节点时的严重性值相同:
-
对于审核日志、严重性为"info"。
-
对于安全事件、严重性值由节点上的Linux分发版生成。
-
对于应用程序日志、"info"和"noty"之间的严重级别因问题描述的定义而异。例如、添加NTP服务器并配置HA组时、值为"info"、而故意停止SSM或RSM服务时、值为"note"。
-
对于访问日志、严重性为"info"。
0
紧急:系统不可用
1
alert :必须立即执行操作
2
严重:严重情况
3
错误:错误情况
4
警告:警告条件
5
注意:正常但重要的情况
6
Informational :信息性消息
7
debug :调试级别的消息
-
-
对于*facilty*,选择*PassThrough *,或选择一个介于0到23之间的设施值。
如果您选择一个值,它将应用于此类型的所有消息。如果您使用固定值覆盖医院、则有关不同医院的信息将丢失。
设施 说明 直通
发送到外部系统日志的每条消息都具有与在本地记录到节点上时相同的工具值:
-
对于审核日志、发送到外部系统日志服务器的工具为"local7"。
-
对于安全事件、工具值由节点上的Linux分发版生成。
-
对于应用程序日志、发送到外部系统日志服务器的应用程序日志具有以下工具值:
-
bycast.log
:用户或守护进程 -
bycast-err.log
:用户、守护进程、local3或local4 -
jaeger.log
:local2 -
nms.log
: local3. -
prometheus.log
:本地4 -
raft.log
:local5. -
hagroups.log
:local6
-
-
对于访问日志、发送到外部系统日志服务器的工具为"local0"。
0
KERN (内核消息)
1
用户(用户级消息)
2
邮件
3
守护进程(系统守护进程)
4
auth (安全 / 授权消息)
5
系统日志(由 syslogd 在内部生成的消息)
6
LPR (行式打印机子系统)
7
新闻(网络新闻子系统)
8
uucp
9
cron (时钟守护进程)
10
安全性(安全性 / 授权消息)
11
FTP
12
NTP
13
日志审核(日志审核)
14
日志警报(日志警报)
15
时钟(时钟守护进程)
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
-
-
选择 * 继续 * 。
发送测试消息
在开始使用外部系统日志服务器之前,您应请求网格中的所有节点向外部系统日志服务器发送测试消息。在提交向外部系统日志服务器发送数据之前,您应使用这些测试消息来帮助验证整个日志收集基础架构。
在确认外部系统日志服务器收到来自网格中每个节点的测试消息且该消息已按预期处理之前、请勿使用外部系统日志服务器配置。 |
-
如果由于您确定外部系统日志服务器配置正确并且可以从网格中的所有节点接收审核信息而不想发送测试消息,请选择*跳过并完成*。
绿色横幅表示配置已保存。
-
否则,请选择*发送测试消息*(建议)。
测试结果会持续显示在页面上,直到您停止测试为止。测试期间,审核消息会继续发送到先前配置的目标。
-
如果收到任何错误,请更正这些错误,然后再次选择 * 发送测试消息 * 。
请参见"对外部系统日志服务器进行故障排除"以帮助您解决任何错误。
-
请等待,直到看到一个绿色横幅,指示所有节点均已通过测试。
-
检查系统日志服务器以确定是否按预期接收和处理了测试消息。
如果使用的是 UDP ,请检查整个日志收集基础架构。UDP 协议不允许像其他协议那样严格地检测错误。 -
选择 * 停止并完成 * 。
此时将返回到 * 审核和系统日志服务器 * 页面。绿色横幅表示系统日志服务器配置已保存。
只有在选择包含外部系统日志服务器的目标后、才会将StorageGRID审核信息发送到外部系统日志服务器。
选择审核信息目标
您可以指定审核日志、安全事件日志和的发送位置"StorageGRID 软件日志"。
StorageGRID默认使用本地节点审核目标,并将审核信息存储在中 使用时 只有在配置了外部系统日志服务器后、某些目标才可用。 |
-
在审核和系统日志服务器页面上、选择审核信息的目标。
*仅限本地节点*和*外部系统日志服务器*通常可提供更好的性能。 选项 说明 仅本地节点(默认)
审核消息、安全事件日志和应用程序日志不会发送到管理节点。而是仅保存在生成这些卷的节点("本地节点")上。在每个本地节点上生成的审核信息存储在中
/var/local/log/localaudit.log
。注意:StorageGRID会定期轮换删除本地日志以释放空间。当节点的日志文件达到 1 GB 时,系统将保存现有文件并启动新的日志文件。日志的轮换限制为 21 个文件。创建日志文件的第 22 版时,将删除最早的日志文件。每个节点平均存储约 20 GB 的日志数据。
管理节点/本地节点
审核消息会发送到管理节点上的审核日志、安全事件日志和应用程序日志会存储在生成这些消息的节点上。审核信息存储在以下文件中:
-
管理节点(主节点和非主节点):
/var/local/audit/export/audit.log
-
所有节点: `/var/local/log/localaudit.log`文件通常为空或缺失。它可能包含辅助信息、例如某些消息的附加副本。
外部系统日志服务器
审核信息会发送到外部系统日志服务器并保存在本地节点上(
/var/local/log/localaudit.log
)。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。管理节点和外部系统日志服务器
审核消息会发送到(
/var/local/audit/export/audit.log`管理节点上的审核日志(),而审核信息会发送到外部系统日志服务器并保存在本地节点上(
/var/local/log/localaudit.log`)。发送的信息类型取决于您配置外部系统日志服务器的方式。只有在配置了外部系统日志服务器之后,才会启用此选项。 -
-
选择 * 保存 * 。
此时将显示一条警告消息。
-
选择*OK*确认要更改审核信息的目标。
绿色横幅表示已保存审核配置。
新日志将发送到选定的目标。现有日志将保留在其当前位置。