Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定稽核訊息和外部 Syslog 伺服器

貢獻者

您可以設定許多與稽核訊息相關的設定。您可以調整記錄的稽核訊息數量、定義您要包含在用戶端讀寫稽核訊息中的任何 HTTP 要求標頭、設定外部 Syslog 伺服器、以及指定要傳送稽核記錄、安全性事件記錄和 StorageGRID 軟體記錄的位置。

稽核訊息和記錄會記錄系統活動和安全事件、是監控和疑難排解的重要工具。所有StorageGRID 的節點都會產生稽核訊息和記錄、以追蹤系統活動和事件。

您也可以設定外部 Syslog 伺服器、以遠端儲存稽核資訊。使用外部伺服器可將稽核訊息記錄的效能影響降至最低、而不會降低稽核資料的完整性。如果您有大型網格、使用多種 S3 應用程式、或想要保留所有稽核資料、外部 Syslog 伺服器就特別有用。如需詳細資訊、請參閱 "設定稽核訊息和外部 Syslog 伺服器"

開始之前

變更稽核訊息層級

您可以在稽核日誌中針對下列每個類別的訊息設定不同的稽核層級:

稽核類別 預設設定 更多資訊

系統

正常

儲存設備

錯誤

管理

正常

用戶端讀取

正常

用戶端寫入

正常

ILM

正常

跨網格複寫

錯誤

註 如果您最初使用StorageGRID 版本10.3或更新版本安裝了這些預設值、則適用這些預設值。如果您最初使用舊版 StorageGRID 、則所有類別的預設值都會設為「正常」。
註 在升級期間、稽核層級的組態將無法立即生效。
步驟
  1. 選擇*組態*>*監控*>*稽核與系統記錄伺服器*。

  2. 針對每個稽核訊息類別、從下拉式清單中選取稽核層級:

    稽核層級 說明

    不會記錄任何類別的稽核訊息。

    錯誤

    僅記錄錯誤訊息、稽核結果代碼「不成功」(SUCS)的訊息。

    正常

    記錄標準交易訊息:此類別的說明中所列訊息。

    偵錯

    已過時。此層級的行為與正常稽核層級相同。

    針對任何特定層級所包含的訊息、包括將記錄在較高層級的訊息。例如、「正常」層級包含所有的錯誤訊息。

    註 如果您不需要 S3 應用程式的用戶端讀取作業詳細記錄、請選擇性地將「 * 用戶端讀取 * 」設定變更為「 * 錯誤 * 」、以減少稽核記錄中記錄的稽核訊息數。
  3. 選擇*保存*。

    綠色橫幅表示您的組態已儲存。

定義 HTTP 要求標頭

您可以選擇性地定義要包含在用戶端讀寫稽核訊息中的任何 HTTP 要求標頭。這些傳輸協定標頭僅適用於 S3 要求。

步驟
  1. 在「 * 稽核通訊協定標頭 * 」區段中、定義您要包含在用戶端讀寫稽核訊息中的 HTTP 要求標頭。

    使用星號(*)做為萬用字元、以符合零個或多個字元。使用轉義順序(\*)來符合文字星號。

  2. 如有需要、請選取*新增其他標頭*以建立其他標頭。

    在要求中找到HTTP標頭時、這些標頭會包含在稽核訊息的「HTRh」欄位中。

    註 僅當*用戶端讀取*或*用戶端寫入*的稽核層級不是*關閉*時、才會記錄稽核傳輸協定要求標頭。
  3. 選擇*保存*

    綠色橫幅表示您的組態已儲存。

[[use-external -syslog-server]] 使用外部 Syslog 伺服器

您可以選擇性地設定外部 Syslog 伺服器、將稽核記錄、應用程式記錄和安全性事件記錄儲存到網格外的位置。

註 如果您不想使用外部 Syslog 伺服器、請跳過此步驟並前往選取稽核資訊目的地
提示 如果本程序中可用的組態選項不夠靈活、無法滿足您的需求、則可使用端點套用其他組態選項 audit-destinations、端點位於的「私有 API 」區段中"網格管理API"。例如、如果您想要將不同的 Syslog 伺服器用於不同的節點群組、可以使用 API 。

輸入系統記錄資訊

存取「設定外部系統記錄伺服器」精靈、並提供 StorageGRID 存取外部系統記錄伺服器所需的資訊。

步驟
  1. 從「稽核與系統記錄伺服器」頁面、選取*「設定外部系統記錄伺服器*」。或者、如果您先前已設定外部 Syslog 伺服器、請選取 * 編輯外部 Syslog 伺服器 * 。

    此時將顯示 Configure external Syslog server (配置外部系統日誌服務器)

  2. 在嚮導的 * 輸入系統日誌 info* 步驟中,在 * 主機 * 字段中輸入外部系統日誌服務器的有效完全限定域名或 IPv4 或 IPv6 地址。

  3. 輸入外部syslog伺服器上的目的地連接埠(必須是介於1和6555之間的整數)。預設連接埠為 514 。

  4. 選取用於傳送稽核資訊至外部syslog伺服器的傳輸協定。

    建議使用 TLSRELP/TLS 。您必須上傳伺服器憑證、才能使用上述任一選項。使用憑證有助於保護網格與外部syslog伺服器之間的連線。如需更多資訊、請參閱 "管理安全性憑證"

    所有的傳輸協定選項都需要外部syslog伺服器的支援和組態。您必須選擇與外部syslog伺服器相容的選項。

    註 可靠的事件記錄傳輸協定(RELP)可延伸系統記錄傳輸協定的功能、以提供可靠的事件訊息傳輸。如果您的外部syslog伺服器必須重新啟動、使用RELP有助於防止稽核資訊遺失。
  5. 選擇*繼續*。

  6. [[attach 憑證 ]] 如果您選取 TLSRELP/TLS 、請上傳伺服器 CA 憑證、用戶端憑證和用戶端私密金鑰。

    1. 選取*瀏覽*以取得您要使用的憑證或金鑰。

    2. 選取憑證或金鑰檔案。

    3. 選取*「Open*(開啟*)」上傳檔案。

      憑證或金鑰檔名稱旁會出現綠色勾號、通知您已成功上傳。

  7. 選擇*繼續*。

管理系統記錄內容

您可以選取要傳送至外部 Syslog 伺服器的資訊。

步驟
  1. 針對精靈的 * 管理系統記錄內容 * 步驟、選取您要傳送至外部系統記錄伺服器的每種稽核資訊類型。

    • * 傳送稽核記錄 * :傳送 StorageGRID 事件和系統活動

    • * 傳送安全性事件 * :傳送安全性事件,例如未獲授權的使用者嘗試登入或使用者以 root 身分登入

    • * 傳送應用程式記錄 * :傳送"StorageGRID 軟體記錄檔"有助於疑難排解的項目、包括:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log(僅限管理節點)

      • prometheus.log

      • raft.log

      • hagroups.log

    • * 傳送存取記錄 * :將外部要求的 HTTP 存取記錄傳送至 Grid Manager 、 Tenant Manger 、設定的負載平衡器端點、以及來自遠端系統的網格同盟要求。

  2. 使用下拉式功能表為您要傳送的每個稽核資訊類別選取嚴重性和醫事機構(訊息類型)。

    設定嚴重性和設施值可協助您以可自訂的方式來彙總記錄、以便更輕鬆地進行分析。

    1. 對於 * 嚴重性 * 、請選取 * Passthrough * 、或選取介於 0 和 7 之間的嚴重性值。

      如果您選取值、所選的值將套用至此類型的所有訊息。如果您以固定值覆寫嚴重性、則會遺失關於不同嚴重性的資訊。

      嚴重性 說明

      Passthrough

      傳送至外部 Syslog 的每則訊息、其嚴重性值與本機登入節點時相同:

      • 對於稽核記錄、嚴重性為「資訊」。

      • 對於安全事件、嚴重性值是由節點上的 Linux 發佈所產生。

      • 對於應用程式記錄、「資訊」和「通知」之間的嚴重性會因問題而異。例如、新增 NTP 伺服器並設定 HA 群組會提供「 info 」的值、而刻意停止 SSM 或 RSM 服務則會提供「 notice 」的值。

      • 對於存取記錄、嚴重性為「資訊」。

      0

      緊急:系統無法使用

      1

      警示:必須立即採取行動

      2

      關鍵:關鍵條件

      3

      錯誤:錯誤情況

      4

      警告:警告條件

      5

      注意:正常但重要的情況

      6

      資訊:資訊訊息

      7

      偵錯:偵錯層級的訊息

    2. 對於 * 設施 * 、請選取 * Passthrough * 、或選取介於 0 和 23 之間的設施值。

      如果您選取一個值、它會套用至所有此類型的訊息。如果您以固定值覆寫醫事機構、則會遺失有關不同醫事機構的資訊。

    設施 說明

    Passthrough

    傳送至外部 Syslog 的每則訊息、其設施值與本機登入節點時相同:

    • 對於稽核記錄、傳送至外部 Syslog 伺服器的設施為「 local7 」。

    • 對於安全事件、設施值是由節點上的 Linux 套裝作業系統所產生。

    • 對於應用程式記錄、傳送至外部 Syslog 伺服器的應用程式記錄具有下列設施值:

      • bycast.log:用戶或守護程序

      • bycast-err.log:用戶、守護程序、 local3 或 local4

      • jaeger.log: local2.

      • nms.log: local3.

      • prometheus.log: local4.

      • raft.log: local5.

      • hagroups.log: local6.

    • 對於存取記錄、傳送至外部 Syslog 伺服器的設施為「 local0 」。

    0

    KERN(核心訊息)

    1

    使用者(使用者層級訊息)

    2

    郵件

    3

    精靈(系統精靈)

    4

    驗證(安全性/授權訊息)

    5

    系統記錄(系統記錄所產生的訊息)

    6

    LPR(線路印表機子系統)

    7

    新聞(網路新聞子系統)

    8

    uucp

    9

    cron(時鐘精靈)

    10

    安全性(安全性/授權訊息)

    11

    FTP

    12

    NTP

    13

    記錄稽核(記錄稽核)

    14

    記錄警示(記錄警示)

    15

    時鐘(時鐘精靈)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. 選擇*繼續*。

傳送測試訊息

開始使用外部syslog伺服器之前、您應該要求網格中的所有節點都將測試訊息傳送至外部syslog伺服器。您應該使用這些測試訊息來協助驗證整個記錄收集基礎架構、然後再將資料傳送至外部syslog伺服器。

警告 請勿使用外部 Syslog 伺服器組態、除非您確認外部 Syslog 伺服器收到來自網格中每個節點的測試訊息、且訊息已如預期般處理。
步驟
  1. 如果您不想傳送測試訊息、因為您確定已正確設定外部 Syslog 伺服器、而且可以從網格中的所有節點接收稽核資訊、請選取 * 略過並完成 * 。

    綠色橫幅表示已儲存組態。

  2. 否則、請選取 * 傳送測試訊息 * (建議)。

    測試結果會持續顯示在頁面上、直到您停止測試為止。測試進行中時、您的稽核訊息會繼續傳送至先前設定的目的地。

  3. 如果您收到任何錯誤、請更正錯誤、然後再次選取*傳送測試訊息*。

    請參閱"排除外部syslog伺服器的故障"以協助您解決任何錯誤。

  4. 請等到看到綠色橫幅、表示所有節點都已通過測試。

  5. 請檢查您的syslog伺服器、確定是否收到測試訊息、並按照預期處理。

    註 如果您使用的是udp、請檢查整個記錄收集基礎架構。此udp傳輸協定不允許像其他傳輸協定一樣嚴格的錯誤偵測。
  6. 選擇*停止並結束*。

    您將返回到* Audit和syslog server*頁面。綠色橫幅表示系統記錄伺服器組態已儲存。

    註 除非您選取包含外部 Syslog 伺服器的目的地、否則 StorageGRID 稽核資訊不會傳送至外部 Syslog 伺服器。

選取稽核資訊目的地

您可以指定稽核記錄檔、安全性事件記錄檔和傳送的位置"軟體記錄StorageGRID"

註

StorageGRID 預設為本機節點稽核目的地、並將稽核資訊儲存在 `/var/local/log/localaudit.log`中。

使用 /var/local/log/localaudit.log`時、 Grid Manager 和 Tenant Manager 稽核記錄項目可能會傳送至儲存節點。您可以使用命令來尋找哪些節點具有最近的項目 `run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail"

某些目的地只有在您已設定外部 Syslog 伺服器時才可使用。

步驟
  1. 在「稽核與系統記錄伺服器」頁面上、選取稽核資訊的目的地。

    提示 * 僅限本機節點 * 和 * 外部系統記錄伺服器 * 通常可提供更好的效能。
    選項 說明

    僅限本機節點(預設)

    稽核訊息、安全性事件記錄和應用程式記錄不會傳送至管理節點。而是僅儲存在產生這些節點的節點上(「本機節點」)。在每個本機節點上產生的稽核資訊都儲存在 `/var/local/log/localaudit.log`中。

    • 注意 * : StorageGRID 會定期移除輪替中的本機記錄檔、以釋放空間。當節點的記錄檔達到1 GB時、會儲存現有檔案、並啟動新的記錄檔。記錄檔的旋轉限制為21個檔案。建立22版記錄檔時、會刪除最舊的記錄檔。每個節點平均儲存約20 GB的記錄資料。

    管理節點 / 本機節點

    稽核訊息會傳送至管理節點上的稽核記錄、安全性事件記錄和應用程式記錄會儲存在產生這些記錄的節點上。稽核資訊會儲存在下列檔案中:

    • 管理節點(主要和非主要): /var/local/audit/export/audit.log

    • 所有節點: `/var/local/log/localaudit.log`檔案通常是空的或遺失的。它可能包含次要資訊、例如某些訊息的額外複本。

    外部syslog伺服器

    稽核資訊會傳送到外部 Syslog 伺服器、並儲存在本機節點上(/var/local/log/localaudit.log)。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

    管理節點和外部syslog伺服器

    稽核訊息會傳送至(/var/local/audit/export/audit.log`管理節點上的稽核記錄檔)、稽核資訊會傳送至外部 Syslog 伺服器並儲存在本機節點上(/var/local/log/localaudit.log`)。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

  2. 選擇*保存*。

    出現警告訊息。

  3. 選取 * 確定 * 以確認您要變更稽核資訊的目的地。

    綠色橫幅表示稽核組態已儲存。

    新記錄會傳送至您選取的目的地。現有記錄仍會保留在目前位置。