稽核訊息流程與保留
所有StorageGRID 的支援服務都會在正常系統運作期間產生稽核訊息。您應該瞭解這些稽核訊息如何透過 StorageGRID 系統移至 `audit.log`檔案。
稽核訊息流程
稽核訊息由管理節點和具有管理網域控制器(ADC)服務的儲存節點處理。
如稽核訊息流程圖所示、每StorageGRID 個節點都會將稽核訊息傳送至資料中心站台的其中一個ADC服務。每個站台上安裝的前三個儲存節點會自動啟用「ADC」服務。
接著、每個ADC服務會做為中繼、並將其稽核訊息集合傳送到StorageGRID 整個系統的每個管理節點、讓每個管理節點都能完整記錄系統活動。
每個管理節點都會將稽核訊息儲存在文字記錄檔中;使用中的記錄檔會命名為 audit.log
。
稽核訊息保留
使用複製與刪除程序、確保不會遺失任何稽核訊息、然後再寫入稽核記錄。StorageGRID
當節點產生或轉送稽核訊息時、該訊息會儲存在網格節點系統磁碟的稽核訊息佇列中。訊息複本一律保留在稽核訊息佇列中、直到訊息寫入管理節點目錄中的稽核記錄檔為止 /var/local/log
。這有助於避免在傳輸期間遺失稽核訊息。
稽核訊息佇列可能因為網路連線問題或稽核容量不足而暫時增加。隨著佇列增加、它們會佔用每個節點目錄中更多的可用空間 /var/local/
。如果問題持續發生、而且節點的稽核訊息目錄太滿、則個別節點會優先處理其待處理項目、並暫時無法接收新訊息。
具體而言、您可能會看到下列行為:
-
如果管理節點所使用的目錄已滿、則 `/var/local/log`管理節點將被標示為無法用於新的稽核訊息、直到目錄不再滿為止。S3 用戶端要求不受影響。當稽核儲存庫無法連線時、會觸發XAMS(無法連線的稽核儲存庫)警示。
-
如果儲存節點與 ADC 服務一起使用的目錄已滿 92% 、則 `/var/local/`節點將被標示為無法稽核訊息、直到目錄只滿 87% 為止。S3 用戶端對其他節點的要求不受影響。當稽核中繼無法連線時、會觸發NRLY(可用的稽核中繼)警示。
如果 ADC 服務沒有可用的儲存節點、儲存節點會將稽核訊息儲存在本機檔案中 /var/local/log/localaudit.log
。 -
如果
/var/local/`儲存節點使用的目錄已滿 85% 、則節點將開始拒絕 S3 用戶端要求 `503 Service Unavailable
。
下列類型的問題可能導致稽核訊息佇列變得非常龐大:
-
管理節點或儲存節點與ADC服務的中斷。如果其中一個系統節點當機、其餘節點可能會變成回溯記錄。
-
超過系統稽核容量的持續活動率。
-
`/var/local/`由於與稽核訊息無關的原因、 ADC 儲存節點上的空間已滿。發生這種情況時、節點會停止接受新的稽核訊息、並優先處理其目前的待處理項目、這可能會導致其他節點發生待處理。
大型稽核佇列警示和稽核訊息佇列(AMQS)警示
為了協助您監控一段時間內稽核訊息佇列的大小、當儲存節點佇列或管理節點佇列中的訊息數目達到特定臨界值時、就會觸發*大型稽核佇列*警示和舊版AMQS警示。
如果觸發*大型稽核佇列*警示或舊版AMQS警示、請先檢查系統負載、如果最近發生大量交易、警示和警示應會隨著時間而解除、並可予以忽略。
如果警示或警示持續存在並增加嚴重性、請檢視佇列大小的圖表。如果數在數小時或數天內持續增加、則稽核負載可能超過系統的稽核容量。將用戶端寫入和用戶端讀取的稽核層級變更為「錯誤」或「關閉」、以降低用戶端作業率或減少記錄的稽核訊息數。請參閱。 "設定稽核訊息和記錄目的地"
重複的訊息
如果發生網路或節點故障、StorageGRID 那麼這個系統會採取保守的方法。因此、稽核記錄中可能會出現重複的訊息。