稽核記錄
稽核日誌是依時間順序排列的事件集合、會寫入應用裝置內的檔案。稽核記錄檔會產生於 /var/log/netapp/audit
位置和檔案名稱遵循下列其中一種命名慣例:
-
稽核日誌:使用中的作用中稽核日誌檔案。
-
稽核-%d{yd-mm-dd-h-mm-ss}.log.gz:已在稽核記錄檔上捲動。檔案名稱中的日期和時間會指出檔案建立的時間、例如:稽核-2022-12-15-16-28-01.log.gz。
在選擇控制閥外掛式使用者介面中、您可以從檢視和匯出稽核記錄詳細資料
* 儀表板 * > * 設定 * > * 稽核記錄 * 索引標籤
您可以在稽核記錄中檢視作業稽核。稽核記錄會隨Support套裝組合一起下載。
如果已設定電子郵件設定、當稽核記錄完整性驗證失敗時、選擇控制閥會傳送電子郵件通知。稽核記錄完整性驗證失敗可能發生在其中一個檔案遭到竄改或刪除時。
稽核檔案的預設組態為:
-
使用中的稽核記錄檔最多可擴充至10 MB
-
最多可保留10個稽核記錄檔
若要修改預設組態、請在/opt/netapp/scvservice/stand套 用的AEGIS /etc/scbr/scbr.properties中新增金鑰值配對、然後重新啟動scvservice。
稽核記錄檔的組態包括:
-
auditMaxROFiles=forse,<xx> 其中xx是稽核記錄檔上的最大復原數、例如:auditMaxROFiles=15。
-
auditLogSize=feskit,<XX> 其中xx為檔案大小MB、例如:auditLogSize=15MB。
系統會定期檢查稽核記錄的上滾狀態、以確保完整性。選擇控制閥提供REST API來檢視記錄並確認其完整性。內建的排程會觸發並指派下列其中一種完整性狀態。
狀態 |
說明 |
遭竄改 |
稽核記錄檔內容已修改 |
正常 |
稽核記錄檔未經修改 |
刪除轉換 |
* 稽核記錄檔會根據保留情況刪除 |
未預期的刪除 |
稽核日誌檔案已刪除 |
使用中 |
* 稽核記錄檔正在使用中 |
事件分為三大類別:
-
資料保護事件
-
維護主控台事件
-
管理主控台事件
資料保護事件
選擇控制閥的資源包括:
-
儲存系統
-
資源群組
-
原則
-
備份
下表列出可在每個資源上執行的作業:
資源 |
營運 |
儲存系統 |
已建立、修改、刪除 |
資源群組 |
已建立、修改、刪除、暫停、恢復 |
原則 |
已建立、修改、刪除 |
備份 |
已建立、重新命名、刪除、掛載、卸載、還原VMDK、還原的VM、附加VMDK、Detach VMDK、Guest File Restore |
維護主控台事件
系統會稽核維護主控台中的管理作業。
可用的維護主控台選項包括:
-
啟動/停止服務
-
變更使用者名稱與密碼
-
變更MySQL密碼
-
設定MySQL備份
-
還原MySQL備份
-
變更「maint」使用者密碼
-
變更時區
-
變更NTP伺服器
-
停用SSH存取
-
增加監獄磁碟大小
-
升級
-
安裝 VMware Tools (我們正在努力以開放式 VM 工具取代此工具)
-
變更IP位址設定
-
變更網域名稱搜尋設定
-
變更靜態路由
-
存取診斷Shell
-
啟用遠端診斷存取
管理主控台事件
系統會稽核管理主控台UI中的下列作業:
-
設定
-
變更管理認證資料
-
變更時區
-
變更NTP伺服器
-
變更IPV4 / IPv6設定
-
-
組態
-
變更vCenter認證
-
外掛程式啟用/停用
-