概念
稽核記錄
建議變更
PDF
稽核日誌是依時間順序排列的事件集合、會寫入應用裝置內的檔案。稽核記錄檔會產生於 /var/log/netapp/audit 位置和檔案名稱遵循下列其中一種命名慣例:
-
稽核日誌:使用中的作用中稽核日誌檔案。
-
稽核-%d{yd-mm-dd-h-mm-ss}.log.gz:已在稽核記錄檔上捲動。檔案名稱中的日期和時間會指出檔案建立的時間、例如:稽核-2022-12-15-16-28-01.log.gz。
在選擇控制閥外掛程式使用者介面中、您可以從*儀表板*>*設定*>*稽核記錄*索引標籤檢視及匯出稽核記錄詳細資料、您可以在稽核記錄中檢視作業稽核。稽核記錄會隨Support套裝組合一起下載。
如果已設定電子郵件設定、當稽核記錄完整性驗證失敗時、選擇控制閥會傳送電子郵件通知。稽核記錄完整性驗證失敗可能發生在其中一個檔案遭到竄改或刪除時。
稽核檔案的預設組態為:
-
使用中的稽核記錄檔最多可擴充至10 MB
-
最多可保留10個稽核記錄檔
系統會定期檢查稽核記錄的上滾狀態、以確保完整性。選擇控制閥提供REST API來檢視記錄並確認其完整性。內建的排程會觸發並指派下列其中一種完整性狀態。
狀態 |
說明 |
遭竄改 |
稽核記錄檔內容已修改 |
正常 |
稽核記錄檔未經修改 |
刪除轉換 |
- 稽核記錄檔會根據保留情況刪除 |
未預期的刪除 |
稽核日誌檔案已刪除 |
使用中 |
- 稽核記錄檔正在使用中 |
事件分為三大類別:
-
資料保護事件
-
維護主控台事件
-
管理主控台事件
資料保護事件
選擇控制閥的資源包括:
-
儲存系統
-
資源群組
-
原則
-
備份
-
訂購
-
帳戶
下表列出可在每個資源上執行的作業:
資源 |
營運 |
儲存系統 |
已建立、修改、刪除 |
訂購 |
已建立、修改、刪除 |
帳戶 |
已建立、修改、刪除 |
資源群組 |
已建立、修改、刪除、暫停、恢復 |
原則 |
已建立、修改、刪除 |
備份 |
已建立、重新命名、刪除、掛載、卸載、還原VMDK、還原的VM、附加VMDK、Detach VMDK、Guest File Restore |
維護主控台事件
系統會稽核維護主控台中的管理作業。可用的維護主控台選項包括:
-
啟動/停止服務
-
變更使用者名稱與密碼
-
變更MySQL密碼
-
設定MySQL備份
-
還原MySQL備份
-
變更「maint」使用者密碼
-
變更時區
-
變更NTP伺服器
-
停用SSH存取
-
增加監獄磁碟大小
-
升級
-
安裝VMware Tools(我們正努力以開放式VM工具取代此工具)
-
變更IP位址設定
-
變更網域名稱搜尋設定
-
變更靜態路由
-
存取診斷Shell
-
啟用遠端診斷存取
管理主控台事件
系統會稽核管理主控台UI中的下列作業:
-
設定
-
變更管理認證資料
-
變更時區
-
變更NTP伺服器
-
變更IPV4 / IPv6設定
-
-
組態
-
變更vCenter認證
-
外掛程式啟用/停用
-
設定 Syslog 伺服器
稽核記錄會儲存在應用裝置內、並定期驗證其完整性。事件轉送可讓您從來源或轉送電腦取得事件、並將其儲存在集中式電腦(即 Syslog 伺服器)中。資料會在來源與目的地之間傳輸時加密。
您必須擁有系統管理員權限。
此工作可協助您設定 Syslog 伺服器。
-
登入 VMware vSphere 的 SnapCenter 外掛程式。
-
在左側導航窗格中,選擇 * 設置 * > * 審計日誌 * > * 設置 * 。
-
在 * 稽核記錄設定 * 窗格中、選取 * 傳送稽核記錄至 Syslog 伺服器 *
-
輸入下列詳細資料:
-
Syslog 伺服器 IP
-
Syslog 伺服器連接埠
-
RFC 格式
-
Syslog 伺服器憑證
-
-
按一下 * 儲存 * 以儲存 Syslog 伺服器設定。
變更稽核記錄設定
您可以變更記錄設定的預設組態。
您必須擁有系統管理員權限。
此工作可協助您變更預設稽核記錄設定。
-
登入 VMware vSphere 的 SnapCenter 外掛程式。
-
在左側導航窗格中,選擇 * 設置 * > * 審計日誌 * > * 設置 * 。
-
在 * 稽核記錄檔設定 * 窗格中、輸入稽核記錄檔的最大數量和稽核記錄檔大小限制。