Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

稽核訊息流程與保留

貢獻者

所有StorageGRID 的支援服務都會在正常系統運作期間產生稽核訊息。您應該瞭解這些稽核訊息是如何在StorageGRID 整個過程中、透過整個系統移至 audit.log 檔案:

稽核訊息流程

稽核訊息由管理節點和具有管理網域控制器(ADC)服務的儲存節點處理。

如稽核訊息流程圖所示、每StorageGRID 個節點都會將稽核訊息傳送至資料中心站台的其中一個ADC服務。每個站台上安裝的前三個儲存節點會自動啟用「ADC」服務。

接著、每個ADC服務會做為中繼、並將其稽核訊息集合傳送到StorageGRID 整個系統的每個管理節點、讓每個管理節點都能完整記錄系統活動。

每個管理節點都會將稽核訊息儲存在文字記錄檔中、而作用中的記錄檔則會命名為 audit.log

摘要報告透過中繼之稽核訊息流程的圖表

稽核訊息保留

使用複製與刪除程序、確保不會遺失任何稽核訊息、然後再寫入稽核記錄。StorageGRID

當節點產生或轉送稽核訊息時、該訊息會儲存在網格節點系統磁碟的稽核訊息佇列中。訊息複本一律會保留在稽核訊息佇列中、直到訊息寫入管理節點的稽核記錄檔為止 /var/local/audit/export 目錄。這有助於避免在傳輸期間遺失稽核訊息。

摘要報告AMS稽核訊息接收的圖表

稽核訊息佇列可能因為網路連線問題或稽核容量不足而暫時增加。隨著佇列增加、它們會佔用每個節點的更多可用空間 /var/local/ 目錄。如果問題持續發生、而且節點的稽核訊息目錄太滿、則個別節點會優先處理其待處理項目、並暫時無法接收新訊息。

具體而言、您可能會看到下列行為:

  • 如果是 /var/local/audit/export 管理節點所使用的目錄已滿、管理節點將被標記為無法用於新的稽核訊息、直到目錄不再滿為止。S3 和 Swift 用戶端要求不受影響。當稽核儲存庫無法連線時、會觸發XAMS(無法連線的稽核儲存庫)警示。

  • 如果是 /var/local/ 儲存節點與ADC服務搭配使用的目錄已滿92%、節點將被標記為無法稽核訊息、直到目錄只滿87%為止。S3 和 Swift 用戶端對其他節點的要求不會受到影響。當稽核中繼無法連線時、會觸發NRLY(可用的稽核中繼)警示。

    註 如果 ADC 服務沒有可用的儲存節點、儲存節點會將稽核訊息儲存在本機中 /var/local/log/localaudit.log 檔案:
  • 如果是 /var/local/ 儲存節點使用的目錄已滿85%、節點將開始拒絕S3和Swift用戶端要求 503 Service Unavailable

下列類型的問題可能導致稽核訊息佇列變得非常龐大:

  • 管理節點或儲存節點與ADC服務的中斷。如果其中一個系統節點當機、其餘節點可能會變成回溯記錄。

  • 超過系統稽核容量的持續活動率。

  • /var/local/ 由於與稽核訊息無關的原因、導致某個ADC儲存節點上的空間變滿。發生這種情況時、節點會停止接受新的稽核訊息、並優先處理其目前的待處理項目、這可能會導致其他節點發生待處理。

大型稽核佇列警示和稽核訊息佇列(AMQS)警示

為了協助您監控一段時間內稽核訊息佇列的大小、當儲存節點佇列或管理節點佇列中的訊息數目達到特定臨界值時、就會觸發*大型稽核佇列*警示和舊版AMQS警示。

如果觸發*大型稽核佇列*警示或舊版AMQS警示、請先檢查系統負載、如果最近發生大量交易、警示和警示應會隨著時間而解除、並可予以忽略。

如果警示或警示持續存在並增加嚴重性、請檢視佇列大小的圖表。如果數在數小時或數天內持續增加、則稽核負載可能超過系統的稽核容量。將用戶端寫入和用戶端讀取的稽核層級變更為「錯誤」或「關閉」、以降低用戶端作業率或減少記錄的稽核訊息數。請參閱 "設定稽核訊息和記錄目的地"

重複的訊息

如果發生網路或節點故障、StorageGRID 那麼這個系統會採取保守的方法。因此、稽核記錄中可能會出現重複的訊息。