稽核記錄
稽核記錄是依時間順序排列的事件集合、會寫入應用裝置中的檔案。稽核記錄檔會在位置產生 /var/log/netapp/audit
、檔案名稱則遵循下列其中一種命名慣例:
-
稽核日誌:使用中的作用中稽核日誌檔案。
-
稽核-%d{yd-mm-dd-h-mm-ss}.log.gz:已在稽核記錄檔上捲動。檔案名稱中的日期和時間會指出檔案建立的時間、例如:稽核-2022-12-15-16-28-01.log.gz。
在選擇控制閥外掛程式使用者介面中、您可以從*儀表板*>*設定*>*稽核記錄*索引標籤檢視及匯出稽核記錄詳細資料、您可以在稽核記錄中檢視作業稽核。稽核記錄會隨Support套裝組合一起下載。
如果已設定電子郵件設定、當稽核記錄完整性驗證失敗時、選擇控制閥會傳送電子郵件通知。當其中一個檔案遭到竄改或刪除時、可能會發生稽核記錄完整性驗證失敗。
稽核檔案的預設組態為:
-
使用中的稽核記錄檔最多可擴充至10 MB
-
最多可保留10個稽核記錄檔
系統會定期檢查稽核記錄的上滾狀態、以確保完整性。選擇控制閥提供REST API來檢視記錄並確認其完整性。內建的排程會觸發並指派下列其中一種完整性狀態。
狀態 |
說明 |
遭竄改 |
稽核記錄檔內容已修改 |
正常 |
稽核記錄檔未經修改 |
刪除轉換 |
- 稽核記錄檔會根據保留情況刪除 |
未預期的刪除 |
稽核日誌檔案已刪除 |
使用中 |
- 稽核記錄檔正在使用中 |
事件分為三大類別:
-
資料保護事件
-
維護主控台事件
-
管理主控台事件
資料保護事件
選擇控制閥的資源包括:
-
儲存系統
-
資源群組
-
原則
-
備份
-
訂購
-
帳戶
下表列出可在每個資源上執行的作業:
資源 |
營運 |
儲存系統 |
已建立、修改、刪除 |
訂購 |
已建立、修改、刪除 |
帳戶 |
已建立、修改、刪除 |
資源群組 |
已建立、修改、刪除、暫停、恢復 |
原則 |
已建立、修改、刪除 |
備份 |
已建立、重新命名、刪除、掛載、卸載、還原VMDK、還原的VM、附加VMDK、Detach VMDK、Guest File Restore |
維護主控台事件
系統會稽核維護主控台中的管理作業。可用的維護主控台選項包括:
-
啟動/停止服務
-
變更使用者名稱與密碼
-
變更MySQL密碼
-
設定MySQL備份
-
還原MySQL備份
-
變更「maint」使用者密碼
-
變更時區
-
變更NTP伺服器
-
停用SSH存取
-
增加監獄磁碟大小
-
升級
-
安裝VMware Tools(我們正努力以開放式VM工具取代此工具)
-
變更IP位址設定
-
變更網域名稱搜尋設定
-
變更靜態路由
-
存取診斷Shell
-
啟用遠端診斷存取
管理主控台事件
系統會稽核管理主控台UI中的下列作業:
-
設定
-
變更管理認證資料
-
變更時區
-
變更NTP伺服器
-
變更IPV4 / IPv6設定
-
-
組態
-
變更vCenter認證
-
外掛程式啟用/停用
-
設定 Syslog 伺服器
稽核記錄會儲存在應用裝置內、並定期驗證其完整性。事件轉送可讓您從來源或轉送電腦取得事件、並將其儲存在集中式電腦(即 Syslog 伺服器)中。資料會在來源與目的地之間傳輸時加密。
您必須擁有系統管理員權限。
此工作可協助您設定 Syslog 伺服器。
-
登入 VMware vSphere 的 SnapCenter 外掛程式。
-
在左側導航窗格中,選擇 * 設置 * > * 審計日誌 * > * 設置 * 。
-
在 * 稽核記錄設定 * 窗格中、選取 * 傳送稽核記錄至 Syslog 伺服器 *
-
輸入下列詳細資料:
-
Syslog 伺服器 IP
-
Syslog 伺服器連接埠
-
RFC 格式
-
Syslog 伺服器憑證
-
-
按一下 * 儲存 * 以儲存 Syslog 伺服器設定。
變更稽核記錄設定
您可以變更記錄設定的預設組態。
您必須擁有系統管理員權限。
此工作可協助您變更預設稽核記錄設定。
-
登入 VMware vSphere 的 SnapCenter 外掛程式。
-
在左側導航窗格中,選擇 * 設置 * > * 審計日誌 * > * 設置 * 。
-
在 * 稽核記錄檔設定 * 窗格中、輸入稽核記錄檔的最大數量和稽核記錄檔大小限制。
-
如果您選擇將記錄傳送至 Syslog 伺服器、請選取 * 傳送稽核記錄至 Syslog 伺服器 * 選項。輸入伺服器的詳細資料。
-
儲存設定。