稽核訊息流程與保留
建議變更
PDF
所有StorageGRID 的支援服務都會在正常系統運作期間產生稽核訊息。您應該瞭解這些稽核訊息如何透過 StorageGRID 系統移至 `audit.log`檔案。
僅當為 管理節點/本機節點 或 管理節點和外部系統日誌伺服器 設定StorageGRID時,下列稽核訊息和稽核訊息保留工作流程才適用。如果StorageGRID配置為“僅本機節點”(預設)或“外部系統日誌伺服器”,則稽核訊息將保存在本機的每個節點上 `/var/local/log/localaudit.log`檔案並且無法由管理節點或儲存節點處理。
稽核訊息流程
當StorageGRID配置為 管理節點/本機節點 或 管理節點和外部系統日誌伺服器 時,稽核訊息由管理節點處理,並且由具有管理網域控制器 (ADC) 服務的儲存節點處理。
如稽核訊息流程圖所示、每StorageGRID 個節點都會將稽核訊息傳送至資料中心站台的其中一個ADC服務。每個站台上安裝的前三個儲存節點會自動啟用「ADC」服務。
接著、每個ADC服務會做為中繼、並將其稽核訊息集合傳送到StorageGRID 整個系統的每個管理節點、讓每個管理節點都能完整記錄系統活動。
每個管理節點都會將稽核訊息儲存在文字記錄檔中;使用中的記錄檔會命名為 audit.log。
稽核訊息保留
使用複製與刪除程序、確保不會遺失任何稽核訊息、然後再寫入稽核記錄。StorageGRID
當節點產生或中繼稽核訊息時,該訊息將儲存在網格節點系統磁碟上的稽核訊息佇列中。訊息的副本始終保存在審計訊息佇列中,直到該訊息寫入管理節點的稽核日誌檔案為止 `/var/local/audit/export`目錄。這有助於防止審計訊息在傳輸過程中遺失。
由於網路連線問題或審計容量不足,審計訊息佇列可能會暫時增加。隨著佇列的增加,它們會消耗每個節點的更多可用空間 `/var/local/`目錄。如果問題仍然存在,並且節點的審計訊息目錄變得太滿,則各個節點將優先處理其積壓訊息,並暫時無法接收新訊息。
具體而言、您可能會看到下列行為:
-
如果 `/var/local/audit/export`管理節點使用的目錄已滿,管理節點將被標記為無法接收新的稽核訊息,直到目錄不再滿為止。 S3 客戶端請求不受影響。當審計儲存庫無法存取時,會觸發 XAMS(無法存取的審計儲存庫)警報。
-
如果 `/var/local/`當具有 ADC 服務的儲存節點所使用的目錄已滿 92% 時,該節點將被標記為不可用於審核訊息,直到目錄僅已滿 87% 為止。 S3 客戶端對其他節點的請求不受影響。當審計中繼無法存取時,會觸發 NRLY(可用審計中繼)警報。
如果 ADC 服務沒有可用的儲存節點、儲存節點會將稽核訊息儲存在本機檔案中 /var/local/log/localaudit.log。 -
如果
/var/local/`當儲存節點使用的目錄已滿 85% 時,該節點開始拒絕 S3 用戶端請求 `503 Service Unavailable。
下列類型的問題可能導致稽核訊息佇列變得非常龐大:
-
管理節點或儲存節點與ADC服務的中斷。如果其中一個系統節點當機、其餘節點可能會變成回溯記錄。
-
超過系統稽核容量的持續活動率。
-
`/var/local/`由於與稽核訊息無關的原因、 ADC 儲存節點上的空間已滿。發生這種情況時、節點會停止接受新的稽核訊息、並優先處理其目前的待處理項目、這可能會導致其他節點發生待處理。
大型稽核佇列警示和稽核訊息佇列(AMQS)警示
為了協助您監控一段時間內稽核訊息佇列的大小、當儲存節點佇列或管理節點佇列中的訊息數目達到特定臨界值時、就會觸發*大型稽核佇列*警示和舊版AMQS警示。
如果觸發*大型稽核佇列*警示或舊版AMQS警示、請先檢查系統負載、如果最近發生大量交易、警示和警示應會隨著時間而解除、並可予以忽略。
如果警報或警告持續且嚴重程度增加,請查看佇列大小圖表。如果該數字在數小時或數天內穩定增加,則審計負載可能已經超出了系統的審計容量。透過將客戶端寫入和客戶端讀取的稽核等級變更為錯誤或關閉,降低客戶端操作率或減少記錄的稽核訊息數量。看"設定日誌管理和外部系統日誌伺服器" 。
重複的訊息
如果發生網路或節點故障、StorageGRID 那麼這個系統會採取保守的方法。因此、稽核記錄中可能會出現重複的訊息。