在已復原的主管理節點上復原稽核日誌
建議變更
PDF
如果您能夠保留故障主管理節點的稽核日誌,則可以將其複製到正在復原的主管理節點。
-
恢復的管理節點已安裝並正在運行。
-
原始管理節點發生故障後,您已將稽核日誌複製到另一個位置。
如果管理節點發生故障,儲存到該管理節點的稽核日誌可能會遺失。透過從發生故障的管理節點複製稽核日誌,然後將這些稽核日誌還原到復原的管理節點,可以防止資料遺失。根據故障情況,可能無法從發生故障的管理節點複製稽核日誌。在這種情況下,如果部署有多個管理節點,您可以從另一個管理節點還原稽核日誌,因為稽核日誌會複製到所有管理節點。
如果只有一個管理節點,並且無法從故障節點複製稽核日誌,則復原的管理節點將開始將事件記錄到稽核日誌中,就像安裝是新的一樣。
您必須盡快還原管理節點以復原日誌記錄功能。
|
預設情況下,審計資訊會傳送到管理節點上的審計日誌。如果滿足下列任一條件,則可以跳過這些步驟:
看"配置審計訊息和日誌目標"了解詳情。 |
-
登入恢復的管理節點:
-
輸入以下命令:
ssh admin@recovery_Admin_Node_IP -
輸入 `Passwords.txt`文件。
-
輸入以下命令切換到root:
su - -
輸入 `Passwords.txt`文件。
以 root 身分登入後,提示字元將從
$`到 `#。 -
-
檢查哪些審計文件已被儲存:
cd /var/local/log -
將保留的稽核日誌檔案複製到復原的管理節點:
scp admin@grid_node_IP:/var/local/tmp/saved-audit-logs/YYYY* .出現提示時,輸入管理員密碼。
-
為了安全起見,在驗證稽核日誌已成功複製到復原的管理節點後,請從故障網格節點中刪除這些日誌。
-
更新已復原的管理節點上的稽核日誌檔案的使用者和群組設定:
chown ams-user: bycast * -
以 root 身分註銷:
exit