審計日誌
審計日誌是按時間順序排列的事件集合,寫入設備內的文件中。審計日誌檔案產生於 `/var/log/netapp/audit`位置,且檔案名稱遵循以下命名約定之一:
-
audit.log:正在使用的活動稽核日誌檔案。
-
audit-%d{yyyy-MM-dd-HH-mm-ss}.log.gz:滾動審計日誌檔。檔案名稱中的日期和時間表示檔案的建立時間,例如:audit-2022-12-15-16-28-01.log.gz。
在 SCV 外掛程式使用者介面中,您可以從 儀表板 > 設定 > *稽核日誌*標籤查看和匯出稽核日誌詳細資訊。您可以在審計日誌中查看操作審計。審計日誌隨支援包一起下載。
如果配置了電子郵件設置,則在審計日誌完整性驗證失敗時,SCV 會傳送電子郵件通知。當其中一個檔案被竄改或刪除時,可能會發生稽核日誌完整性驗證失敗。
審計文件的預設配置為:
-
正在使用的稽核日誌檔案最大可以成長到 10 MB
-
最多保留 10 個審計日誌文件
定期驗證已滾動審核的日誌的完整性。 SCV 提供 REST API 來查看日誌並驗證其完整性。內建計劃觸發並指派下列完整性狀態之一。
地位 |
描述 |
被竄改 |
審計日誌檔內容被修改 |
普通的 |
審計日誌檔案未被修改 |
滾動刪除 |
- 根據保留時間刪除審計日誌檔案 - 預設情況下,僅保留 10 個文件 |
意外刪除 |
審計日誌檔已刪除 |
積極的 |
- 稽核日誌檔案正在使用中 - 僅適用於 audit.log |
事件分為三大類:
-
資料保護事件
-
維護控制台事件
-
管理控制台事件
資料保護事件
SCV 中的資源包括:
-
儲存系統
-
資源組
-
政策
-
備份
-
訂閱
-
帳戶
下表列出了可以對每個資源執行的操作:
資源 |
營運 |
儲存系統 |
建立、修改、刪除 |
訂閱 |
建立、修改、刪除 |
帳戶 |
建立、修改、刪除 |
資源組 |
已建立、已修改、已刪除、已暫停、已恢復 |
政策 |
建立、修改、刪除 |
備份 |
已建立、已重新命名、已刪除、已掛載、已卸載、已還原 VMDK、已還原 VM、連接 VMDK、分離 VMDK、來賓檔案還原 |
維護控制台事件
維護控制台中的管理操作受到審核。可用的維護控制台選項有:
-
啟動/停止服務
-
更改使用者名稱和密碼
-
更改 MySQL 密碼
-
設定 MySQL 備份
-
還原 MySQL 備份
-
更改“maint”使用者密碼
-
更改時區
-
更改 NTP 伺服器
-
禁用 SSH 訪問
-
增加監獄磁碟大小
-
升級
-
安裝 VMware Tools(我們正在努力用 open-vm 工具取代它)
-
更改 IP 位址設定
-
更改域名搜尋設置
-
變更靜態路由
-
訪問診斷外殼
-
啟用遠端診斷存取
管理控制台事件
管理控制台 UI 中的以下操作受到審核:
-
設定
-
更改管理員憑證
-
更改時區
-
更改 NTP 伺服器
-
更改 IPv4/IPv6 位址設置
-
-
配置
-
更改 vCenter 憑證
-
插件啟用/停用
-
設定係統日誌伺服器
審計日誌儲存在設備內,並定期驗證其完整性。事件轉發可讓您從來源或轉發電腦取得事件並將其儲存在集中式電腦(即 Syslog 伺服器)中。資料在來源和目標之間傳輸時是加密的。
您必須具有管理員權限。
此任務可協助您設定係統日誌伺服器。
-
登入SnapCenter Plug-in for VMware vSphere。
-
在左側導覽窗格中,選擇「設定」>「審計日誌」>「設定」。
-
在“審計日誌設定”窗格中,選擇“將審計日誌傳送到 Syslog 伺服器”
-
輸入以下詳細資訊:
-
系統日誌伺服器IP
-
Syslog 伺服器連接埠
-
RFC 格式
-
Syslog 伺服器憑證
-
-
選擇“儲存”以儲存 Syslog 伺服器設定。
更改審核日誌設定
您可以變更日誌設定的預設配置。
您必須具有管理員權限。
此任務可協助您變更預設審核日誌設定。
-
登入SnapCenter Plug-in for VMware vSphere。
-
在左側導覽窗格中,選擇「設定」>「審計日誌」>「設定」。
-
在「稽核日誌設定」窗格中,輸入稽核日誌檔案的最大數量和稽核日誌檔案大小限制。
-
如果您選擇將日誌傳送至 Syslog 伺服器,請選擇「將稽核日誌傳送至 Syslog 伺服器」選項。輸入伺服器的詳細資料。
-
儲存設定。