Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定稽核訊息和記錄目的地

貢獻者

稽核訊息和記錄會記錄系統活動和安全事件、是監控和疑難排解的重要工具。您可以調整稽核層級、以增加或減少所記錄的稽核訊息類型和數量。或者、您可以定義任何要納入用戶端讀取和寫入稽核訊息的HTTP要求標頭。您也可以設定外部syslog伺服器、並變更稽核資訊的目的地。

如需稽核訊息的詳細資訊、請參閱 "檢閱稽核記錄"

開始之前
關於這項工作

所有StorageGRID 的節點都會產生稽核訊息和記錄、以追蹤系統活動和事件。根據預設、稽核資訊會傳送至管理節點上的稽核記錄。您可以調整稽核層級、以增加或減少稽核日誌中記錄的稽核訊息類型和數量。您也可以設定稽核資訊、將其暫時儲存在來源節點上、以進行手動收集。

重要 如果您有大型網格、請使用多種類型的 S3 應用程式、或是想要保留所有稽核資料、請設定外部 Syslog 伺服器、並遠端儲存稽核資訊。使用外部伺服器可將稽核訊息記錄的效能影響降至最低、而不會降低稽核資料的完整性。請參閱 "外部syslog伺服器的考量" 以取得詳細資料。

變更稽核日誌中的稽核訊息層級

您可以在稽核日誌中針對下列每個類別的訊息設定不同的稽核層級:

稽核類別 說明

系統

依預設、此層級設為「正常」。請參閱 "系統稽核訊息"

儲存設備

依預設、此層級設為「錯誤」。請參閱 "物件儲存稽核訊息"

管理

依預設、此層級設為「正常」。請參閱 "管理稽核訊息"

用戶端讀取

依預設、此層級設為「正常」。請參閱 "用戶端讀取稽核訊息"

用戶端寫入

依預設、此層級設為「正常」。請參閱 "用戶端寫入稽核訊息"

ILM 作業

依預設、此層級設為「正常」。請參閱 "ILM 作業稽核訊息"

註 如果您最初使用StorageGRID 版本10.3或更新版本安裝了這些預設值、則適用這些預設值。如果您已從StorageGRID 舊版的更新版本進行升級、則所有類別的預設值都會設為「正常」。
註 在升級期間、稽核層級的組態將無法立即生效。
步驟
  1. 選擇*組態*>*監控*>*稽核與系統記錄伺服器*。

  2. 針對每個稽核訊息類別、從下拉式清單中選取稽核層級:

    稽核層級 說明

    不會記錄任何類別的稽核訊息。

    錯誤

    僅記錄錯誤訊息、稽核結果代碼「不成功」(SUCS)的訊息。

    正常

    記錄標準交易訊息:此類別的說明中所列訊息。

    偵錯

    已過時。此層級的行為與正常稽核層級相同。

    針對任何特定層級所包含的訊息、包括將記錄在較高層級的訊息。例如、「正常」層級包含所有的錯誤訊息。

    註 如果您不需要 S3 應用程式的用戶端讀取作業詳細記錄、請選擇性地將「 * 用戶端讀取 * 」設定變更為「 * 錯誤 * 」、以減少稽核記錄中記錄的稽核訊息數。
  3. 您也可以在*稽核傳輸協定標頭*下、定義您要納入用戶端讀取和寫入稽核訊息的任何HTTP要求標頭。使用星號(*)做為萬用字元、以符合零個或多個字元。使用轉義順序(\*)來符合文字星號。

    註 稽核傳輸協定標頭僅適用於S3和Swift要求。
  4. 如有需要、請選取*新增其他標頭*以建立其他標頭。

    在要求中找到HTTP標頭時、這些標頭會包含在稽核訊息的「HTRh」欄位中。

    註 僅當*用戶端讀取*或*用戶端寫入*的稽核層級不是*關閉*時、才會記錄稽核傳輸協定要求標頭。
  5. 選擇*保存*

    顯示綠色橫幅、表示您的組態已成功儲存。

使用外部syslog伺服器

如果您想要遠端儲存稽核資訊、可以設定外部syslog伺服器。

選取稽核資訊目的地

您可以指定稽核記錄、安全性事件記錄和應用程式記錄的傳送位置。

註 只有在使用外部syslog伺服器時、才能使用部分目的地。請參閱 "設定外部syslog伺服器" 設定外部syslog伺服器。
註 如需 StorageGRID 軟體記錄的詳細資訊、請參閱 "軟體記錄StorageGRID"
  1. 在「稽核與syslog伺服器」頁面上、從列出的選項中選取稽核資訊的目的地:

    選項 說明

    預設(管理節點/本機節點)

    稽核訊息會傳送至稽核記錄 (audit.log)在管理節點上、安全性事件記錄和應用程式記錄會儲存在產生它們的節點上(也稱為「本機節點」)。

    外部syslog伺服器

    稽核資訊會傳送至外部syslog伺服器、並儲存在本機節點上。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

    管理節點和外部syslog伺服器

    稽核訊息會傳送至稽核記錄 (audit.log)、稽核資訊會傳送至外部 Syslog 伺服器、並儲存在本機節點上。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

    僅限本機節點

    不會將稽核資訊傳送至管理節點或遠端syslog伺服器。稽核資訊只會儲存在產生該資訊的節點上。

    附註:StorageGRID 此功能會定期移除這些本機記錄、以釋出空間。當節點的記錄檔達到1 GB時、會儲存現有檔案、並啟動新的記錄檔。記錄檔的旋轉限制為21個檔案。建立22版記錄檔時、會刪除最舊的記錄檔。每個節點平均儲存約20 GB的記錄資料。

    註 每個本機節點上產生的稽核資訊都儲存在中 /var/local/log/localaudit.log
  2. 選擇*保存*。

    出現警告訊息。

  3. 選取 * 確定 * 以確認您要變更稽核資訊的目的地。

    此時會出現綠色橫幅、通知您已儲存稽核組態。

    新記錄會傳送至您選取的目的地。現有記錄仍會保留在目前位置。