Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定日誌管理

貢獻者 netapp-lhalbert netapp-perveilerk netapp-pcarriga
PDF

根據需要配置審計等級、協定標頭以及稽核訊息和日誌的位置。

所有StorageGRID節點都會產生稽核訊息和日誌來追蹤系統活動和事件。審計訊息和日誌是監控和故障排除的重要工具。

或者,您可以"設定外部系統日誌伺服器"遠端保存審計資訊。使用外部伺服器可以最大限度地減少稽核訊息記錄對效能的影響,而不會降低稽核資料的完整性。如果您擁有大型網格、使用多種類型的 S3 應用程式或想要保留所有審計數據,則外部 syslog 伺服器特別有用。

開始之前

變更稽核訊息層級

您可以在稽核日誌中針對下列每個類別的訊息設定不同的稽核層級:

稽核類別 預設設定 更多資訊

系統

正常

"系統稽核訊息"

儲存設備

錯誤

"物件儲存稽核訊息"

管理

正常

"管理稽核訊息"

用戶端讀取

正常

"用戶端讀取稽核訊息"

用戶端寫入

正常

"用戶端寫入稽核訊息"

ILM

正常

"ILM 稽核訊息"

跨網格複寫

錯誤

"CGRR :跨網格複寫要求"
註 升級期間,審計等級配置不會立即生效。
步驟

  1. 選擇*設定* > 監控 > 日誌管理

  2. 針對每個稽核訊息類別、從下拉式清單中選取稽核層級:

    稽核層級 說明

    不會記錄任何類別的稽核訊息。

    錯誤

    僅記錄錯誤訊息-結果代碼不「成功」(SUCS)的稽核訊息。

    正常

    記錄標準交易訊息:此類別的說明中所列訊息。

    偵錯

    已過時。此層級的行為與正常稽核層級相同。

    針對任何特定層級所包含的訊息、包括將記錄在較高層級的訊息。例如、「正常」層級包含所有的錯誤訊息。

    註 如果您不需要 S3 應用程式的用戶端讀取操作的詳細記錄,則可以選擇將 用戶端讀取 設定變更為 錯誤 以減少稽核日誌中記錄的稽核訊息數量。

  3. 選擇*保存*。

定義 HTTP 要求標頭

您可以選擇定義要包含在客戶端讀寫審計訊息中的任何 HTTP 請求標頭。

步驟

  1. 在「 * 稽核通訊協定標頭 * 」區段中、定義您要包含在用戶端讀寫稽核訊息中的 HTTP 要求標頭。

    使用星號(*)做為萬用字元、以符合零個或多個字元。使用轉義順序(\*)來符合文字星號。

  2. 如有需要、請選取*新增其他標頭*以建立其他標頭。

    在要求中找到HTTP標頭時、這些標頭會包含在稽核訊息的「HTRh」欄位中。

    註 只有當「用戶端讀取」或「用戶端寫入」的稽核等級不是「關閉*」時,才會記錄稽核協定請求標頭。

  3. 選擇*保存*

配置日誌位置

預設情況下,稽核訊息和日誌會保存在產生它們的節點上。它們會定期輪換並最終被刪除,以防止它們佔用過多的磁碟空間。如果要在外部保存稽核訊息和日誌子集,使用外部系統日誌伺服器

如果要在內部儲存日誌文件,請選擇用於日誌儲存的租用戶和儲存桶並啟用日誌存檔。

[[use-external -syslog-server]] 使用外部 Syslog 伺服器

您可以選擇性地設定外部 Syslog 伺服器、將稽核記錄、應用程式記錄和安全性事件記錄儲存到網格外的位置。

註 如果您不想使用外部系統日誌伺服器,請跳過此步驟並轉到選擇日誌位置
提示 如果本程序中可用的組態選項不夠靈活、無法滿足您的需求、則可使用端點套用其他組態選項 audit-destinations、端點位於的「私有 API 」區段中"網格管理API"。例如、如果您想要將不同的 Syslog 伺服器用於不同的節點群組、可以使用 API 。

輸入系統記錄資訊

存取「設定外部系統記錄伺服器」精靈、並提供 StorageGRID 存取外部系統記錄伺服器所需的資訊。

步驟

  1. 從本機節點和外部伺服器標籤中,選擇*設定外部系統日誌伺服器*。或者,如果您之前設定了外部系統日誌伺服器,請選擇*編輯外部系統日誌伺服器*。

    此時將顯示 Configure external Syslog server (配置外部系統日誌服務器)

  2. 在嚮導的 * 輸入系統日誌 info* 步驟中,在 * 主機 * 字段中輸入外部系統日誌服務器的有效完全限定域名或 IPv4 或 IPv6 地址。

  3. 輸入外部syslog伺服器上的目的地連接埠(必須是介於1和6555之間的整數)。預設連接埠為 514 。

  4. 選取用於傳送稽核資訊至外部syslog伺服器的傳輸協定。

    建議使用 TLSRELP/TLS 。您必須上傳伺服器憑證、才能使用上述任一選項。使用憑證有助於保護網格與外部syslog伺服器之間的連線。如需更多資訊、請參閱 "管理安全性憑證"

    所有的傳輸協定選項都需要外部syslog伺服器的支援和組態。您必須選擇與外部syslog伺服器相容的選項。

    註 可靠的事件記錄傳輸協定(RELP)可延伸系統記錄傳輸協定的功能、以提供可靠的事件訊息傳輸。如果您的外部syslog伺服器必須重新啟動、使用RELP有助於防止稽核資訊遺失。

  5. 選擇*繼續*。

  6. [[attach 憑證 ]] 如果您選取 TLSRELP/TLS 、請上傳伺服器 CA 憑證、用戶端憑證和用戶端私密金鑰。

    1. 選取*瀏覽*以取得您要使用的憑證或金鑰。

    2. 選取憑證或金鑰檔案。

    3. 選取*「Open*(開啟*)」上傳檔案。

      憑證或金鑰檔名稱旁會出現綠色勾號、通知您已成功上傳。

  7. 選擇*繼續*。

管理系統記錄內容

您可以選取要傳送至外部 Syslog 伺服器的資訊。

步驟

  1. 針對精靈的 * 管理系統記錄內容 * 步驟、選取您要傳送至外部系統記錄伺服器的每種稽核資訊類型。

    • * 傳送稽核記錄 * :傳送 StorageGRID 事件和系統活動

    • * 傳送安全性事件 * :傳送安全性事件,例如未獲授權的使用者嘗試登入或使用者以 root 身分登入

    • * 傳送應用程式記錄 * :傳送"StorageGRID 軟體記錄檔"有助於疑難排解的項目、包括:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log(僅限管理節點)

      • prometheus.log

      • raft.log

      • hagroups.log

    • * 傳送存取記錄 * :將外部要求的 HTTP 存取記錄傳送至 Grid Manager 、 Tenant Manger 、設定的負載平衡器端點、以及來自遠端系統的網格同盟要求。

  2. 使用下拉式功能表為您要傳送的每個稽核資訊類別選取嚴重性和醫事機構(訊息類型)。

    設定嚴重性和設施值可協助您以可自訂的方式來彙總記錄、以便更輕鬆地進行分析。

    1. 對於 * 嚴重性 * 、請選取 * Passthrough * 、或選取介於 0 和 7 之間的嚴重性值。

      如果您選取值、所選的值將套用至此類型的所有訊息。如果您以固定值覆寫嚴重性、則會遺失關於不同嚴重性的資訊。

      嚴重性 說明

      Passthrough

      傳送至外部 Syslog 的每則訊息、其嚴重性值與本機登入節點時相同:

      • 對於稽核記錄、嚴重性為「資訊」。

      • 對於安全事件、嚴重性值是由節點上的 Linux 發佈所產生。

      • 對於應用程式記錄、「資訊」和「通知」之間的嚴重性會因問題而異。例如、新增 NTP 伺服器並設定 HA 群組會提供「 info 」的值、而刻意停止 SSM 或 RSM 服務則會提供「 notice 」的值。

      • 對於存取記錄、嚴重性為「資訊」。

      0

      緊急:系統無法使用

      1

      警示:必須立即採取行動

      2

      關鍵:關鍵條件

      3

      錯誤:錯誤情況

      4

      警告:警告條件

      5

      注意:正常但重要的情況

      6

      資訊:資訊訊息

      7

      偵錯:偵錯層級的訊息

    2. 對於 * 設施 * 、請選取 * Passthrough * 、或選取介於 0 和 23 之間的設施值。

      如果您選取一個值、它會套用至所有此類型的訊息。如果您以固定值覆寫醫事機構、則會遺失有關不同醫事機構的資訊。

    設施 說明

    Passthrough

    傳送至外部 Syslog 的每則訊息、其設施值與本機登入節點時相同:

    • 對於稽核記錄、傳送至外部 Syslog 伺服器的設施為「 local7 」。

    • 對於安全事件、設施值是由節點上的 Linux 套裝作業系統所產生。

    • 對於應用程式記錄、傳送至外部 Syslog 伺服器的應用程式記錄具有下列設施值:

      • bycast.log:用戶或守護程序

      • bycast-err.log:用戶、守護程序、 local3 或 local4

      • jaeger.log: local2.

      • nms.log: local3.

      • prometheus.log: local4.

      • raft.log: local5.

      • hagroups.log: local6.

    • 對於存取記錄、傳送至外部 Syslog 伺服器的設施為「 local0 」。

    0

    KERN(核心訊息)

    1

    使用者(使用者層級訊息)

    2

    郵件

    3

    精靈(系統精靈)

    4

    驗證(安全性/授權訊息)

    5

    系統記錄(系統記錄所產生的訊息)

    6

    LPR(線路印表機子系統)

    7

    新聞(網路新聞子系統)

    8

    uucp

    9

    cron(時鐘精靈)

    10

    安全性(安全性/授權訊息)

    11

    FTP

    12

    NTP

    13

    記錄稽核(記錄稽核)

    14

    記錄警示(記錄警示)

    15

    時鐘(時鐘精靈)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    local4

    21

    local5

    22

    local6

    23

    local7

  3. 選擇*繼續*。

傳送測試訊息

開始使用外部syslog伺服器之前、您應該要求網格中的所有節點都將測試訊息傳送至外部syslog伺服器。您應該使用這些測試訊息來協助驗證整個記錄收集基礎架構、然後再將資料傳送至外部syslog伺服器。

警告 請勿使用外部 Syslog 伺服器組態、除非您確認外部 Syslog 伺服器收到來自網格中每個節點的測試訊息、且訊息已如預期般處理。
步驟

  1. 如果您不想傳送測試訊息、因為您確定已正確設定外部 Syslog 伺服器、而且可以從網格中的所有節點接收稽核資訊、請選取 * 略過並完成 * 。

    綠色橫幅表示已儲存組態。

  2. 否則、請選取 * 傳送測試訊息 * (建議)。

    測試結果會持續顯示在頁面上、直到您停止測試為止。測試進行中時、您的稽核訊息會繼續傳送至先前設定的目的地。

  3. 如果您在 syslog 伺服器設定期間或執行時收到任何錯誤,請修正它們並再次選擇*傳送測試訊息*。

    請參閱"排除外部syslog伺服器的故障"以協助您解決任何錯誤。

  4. 請等到看到綠色橫幅、表示所有節點都已通過測試。

  5. 請檢查您的syslog伺服器、確定是否收到測試訊息、並按照預期處理。

    註 如果您使用 UDP,請檢查整個日誌收集基礎架構。 UDP 協定不像其他協定那樣允許嚴格的錯誤檢測。

  6. 選擇*停止並結束*。

    您將返回到* Audit和syslog server*頁面。綠色橫幅表示系統記錄伺服器組態已儲存。

    註 直到您選擇包含外部系統日誌伺服器的目標時, StorageGRID稽核資訊才會傳送至外部系統日誌伺服器。

選擇日誌位置

您可以指定稽核日誌、安全事件日誌、"StorageGRID應用程式日誌" ,並發送訪問日誌。

註

StorageGRID 預設為本機節點稽核目的地、並將稽核資訊儲存在 `/var/local/log/localaudit.log`中。

使用 /var/local/log/localaudit.log`時、 Grid Manager 和 Tenant Manager 稽核記錄項目可能會傳送至儲存節點。您可以使用命令來尋找哪些節點具有最近的項目 `run-each-node --parallel "zgrep MGAU /var/local/log/localaudit.log | tail"

某些目的地只有在您已設定外部 Syslog 伺服器時才可使用。
步驟

  1. 選擇*日誌位置* > 本機節點和外部伺服器

  2. 若要變更日誌類型的日誌位置,請選擇其他選項。

    提示 * 僅限本機節點 * 和 * 外部系統記錄伺服器 * 通常可提供更好的效能。
    選項 說明

    僅限本機節點(預設)

    稽核訊息、安全事件日誌和應用程式日誌不會傳送到管理節點。相反,它們僅保存在生成​​它們的節點(“本地節點”)上。每個本地節點產生的審計資訊儲存在 /var/local/log/localaudit.log

    注意: StorageGRID會定期刪除本機日誌以釋放空間。當節點的日誌檔案達到 1 GB 時,將儲存現有檔案並啟動新的日誌檔案。日誌的輪換限制為 21 個檔案。當建立第 22 個版本的日誌檔案時,最舊的日誌檔案將被刪除。每個節點平均儲存約 20 GB 的日誌資料。為了長期保存日誌,使用租戶和存儲桶進行日誌存儲

    管理節點 / 本機節點

    稽核訊息會傳送至管理節點上的稽核記錄、安全性事件記錄和應用程式記錄會儲存在產生這些記錄的節點上。稽核資訊會儲存在下列檔案中:

    • 管理節點(主要和非主要): /var/local/audit/export/audit.log

    • 所有節點: `/var/local/log/localaudit.log`檔案通常是空的或遺失的。它可能包含次要資訊、例如某些訊息的額外複本。

    外部syslog伺服器

    審計資訊被傳送到外部系統日誌伺服器並保存在本地節點上(/var/local/log/localaudit.log)。傳送的訊息類型取決於您如何設定外部系統日誌伺服器。此選項僅在您設定外部系統日誌伺服器

    管理節點和外部系統日誌伺服器

    審計訊息被傳送到審計日誌(/var/local/audit/export/audit.log),並將稽核資訊傳送至外部系統日誌伺服器並保存在本機節點上(/var/local/log/localaudit.log)。傳送的訊息類型取決於您如何設定外部系統日誌伺服器。此選項僅在您設定外部系統日誌伺服器

  3. 選擇*保存*。

    出現警告訊息。

  4. 選取 * 確定 * 以確認您要變更稽核資訊的目的地。

    新記錄會傳送至您選取的目的地。現有記錄仍會保留在目前位置。

使用儲存桶

日誌會定期輪換。使用同一網格中的 S3 儲存桶來長期儲存日誌。

  1. 選擇*日誌位置* > 使用儲存桶

  2. 選取“啟用存檔日誌”複選框。

  3. 如果列出的租戶和儲存桶不是您想要使用的,請選擇*更改租戶和儲存桶*,然後選擇*建立租戶和儲存桶*或*選擇租戶和儲存桶*。

    建立租戶和儲存桶

    1. 輸入新的租戶名稱。

    2. 輸入並確認新租戶的密碼。

    3. 輸入新的儲存桶名稱。

    4. 選擇*建立並啟用*。

    選擇租戶和貯體

    1. 從下拉式選單中選擇租戶名稱。

    2. 從下拉式選單中選擇一個儲存桶。

    3. 選擇*選擇並啟用*。

  4. 選擇*保存*。

    日誌將儲存在您指定的租用戶和儲存桶中。日誌的物件鍵名稱採用以下格式:

    system-logs/{node_hostname}/{absolute_path_to_log_file_on_node}--{last_modified_time}.gz

    例如:

    system-logs/DC1-SN1/var/local/log/localaudit.log--2025-05-12_13:41:44.gz