稽核訊息流程與保留
所有StorageGRID 的支援服務都會在正常系統運作期間產生稽核訊息。您應該瞭解這些稽核訊息是如何在StorageGRID 整個過程中、透過整個系統移至 audit.log
檔案:
稽核訊息流程
稽核訊息由管理節點和具有管理網域控制器(ADC)服務的儲存節點處理。
如稽核訊息流程圖所示、每StorageGRID 個節點都會將稽核訊息傳送至資料中心站台的其中一個ADC服務。每個站台上安裝的前三個儲存節點會自動啟用「ADC」服務。
接著、每個ADC服務會做為中繼、並將其稽核訊息集合傳送到StorageGRID 整個系統的每個管理節點、讓每個管理節點都能完整記錄系統活動。
每個管理節點都會將稽核訊息儲存在文字記錄檔中、而作用中的記錄檔則會命名為 audit.log
。
稽核訊息保留
使用複製與刪除程序、確保不會遺失任何稽核訊息、然後再寫入稽核記錄。StorageGRID
當節點產生或轉送稽核訊息時、該訊息會儲存在網格節點系統磁碟的稽核訊息佇列中。訊息複本一律會保留在稽核訊息佇列中、直到訊息寫入管理節點的稽核記錄檔為止 /var/local/audit/export
目錄。這有助於避免在傳輸期間遺失稽核訊息。
稽核訊息佇列可能因為網路連線問題或稽核容量不足而暫時增加。隨著佇列增加、它們會佔用每個節點的更多可用空間 /var/local/
目錄。如果問題持續發生、而且節點的稽核訊息目錄太滿、則個別節點會優先處理其待處理項目、並暫時無法接收新訊息。
具體而言、您可能會看到下列行為:
-
如果是
/var/local/audit/export
管理節點所使用的目錄已滿、管理節點將被標記為無法用於新的稽核訊息、直到目錄不再滿為止。S3 和 Swift 用戶端要求不受影響。當稽核儲存庫無法連線時、會觸發XAMS(無法連線的稽核儲存庫)警示。 -
如果是
/var/local/
儲存節點與ADC服務搭配使用的目錄已滿92%、節點將被標記為無法稽核訊息、直到目錄只滿87%為止。S3 和 Swift 用戶端對其他節點的要求不會受到影響。當稽核中繼無法連線時、會觸發NRLY(可用的稽核中繼)警示。如果 ADC 服務沒有可用的儲存節點、儲存節點會將稽核訊息儲存在本機中 /var/local/log/localaudit.log
檔案: -
如果是
/var/local/
儲存節點使用的目錄已滿85%、節點將開始拒絕S3和Swift用戶端要求503 Service Unavailable
。
下列類型的問題可能導致稽核訊息佇列變得非常龐大:
-
管理節點或儲存節點與ADC服務的中斷。如果其中一個系統節點當機、其餘節點可能會變成回溯記錄。
-
超過系統稽核容量的持續活動率。
-
。
/var/local/
由於與稽核訊息無關的原因、導致某個ADC儲存節點上的空間變滿。發生這種情況時、節點會停止接受新的稽核訊息、並優先處理其目前的待處理項目、這可能會導致其他節點發生待處理。
大型稽核佇列警示和稽核訊息佇列(AMQS)警示
為了協助您監控一段時間內稽核訊息佇列的大小、當儲存節點佇列或管理節點佇列中的訊息數目達到特定臨界值時、就會觸發*大型稽核佇列*警示和舊版AMQS警示。
如果觸發*大型稽核佇列*警示或舊版AMQS警示、請先檢查系統負載、如果最近發生大量交易、警示和警示應會隨著時間而解除、並可予以忽略。
如果警示或警示持續存在並增加嚴重性、請檢視佇列大小的圖表。如果數在數小時或數天內持續增加、則稽核負載可能超過系統的稽核容量。將用戶端寫入和用戶端讀取的稽核層級變更為「錯誤」或「關閉」、以降低用戶端作業率或減少記錄的稽核訊息數。請參閱 "設定稽核訊息和記錄目的地"。
重複的訊息
如果發生網路或節點故障、StorageGRID 那麼這個系統會採取保守的方法。因此、稽核記錄中可能會出現重複的訊息。