跳到主要内容

创建审核日志

在执行特权删除或移动 SnapLock 卷之前,必须创建受 SnapLock 保护的审核日志。审核日志将记录 SnapLock 管理员帐户的创建和删除、日志卷的修改、是否启用特权删除、特权删除操作,以及 SnapLock 卷移动操作。

开始之前

必须是集群管理员才能创建 SnapLock 聚合。

关于本任务

在日志文件保留期限到期后,才能删除审核日志。即使在保留期限到期后,也不能修改审核日志。

重要
在 ONTAP 9.5 和更高版本中,可使用 SnapLock Enterprise 卷或 SnapLock Compliance 卷记录审核日志。

在所有情况下,审核日志卷必须装载于接合路径 /snaplock_audit_log。任何其他卷都不能使用此接合路径。

可在审核日志卷的根目录下的 /snaplock_log 目录中找到 SnapLock 审核日志,位于名为 privdel_log(特权删除操作)和 system_log(其他)的子目录内。审核日志文件名包含第一个记录操作的时间戳,便于根据执行操作的大致时间来搜索记录。

  • 可使用 snaplock log file show 命令查看审核日志卷上的日志文件。

  • 可使用 snaplock log file archive 命令将当前日志文件归档并创建新日志文件;在需要将审核日志信息记录在单独文件中的情况下,这很有用。

有关更多信息,请参阅这些命令的手册页。

数据保护卷不能用作 SnapLock 审核日志卷。
  1. 创建 SnapLock 聚合。

    创建 SnapLock 聚合
  2. 在要为审核日志记录配置的 SVM 上,创建 SnapLock 卷。

    创建 SnapLock 卷
  3. 配置 SVM 以记录审核日志:snaplock log create -vserver SVM_name -volume snaplock_volume_name -max-file-size size -retention-period default_retention_period

    审核日志文件的最短默认保留期限为六个月。如果受影响文件的保留期限长于审核日志的保留期限,则日志的保留期限将继承该文件的保留期限。因此,如果使用特权删除来删除的文件的保留期限为 10 个月,而审核日志的保留期限为 8 个月,则日志的保留期限将延长到 10 个月。

    示例

    以下命令将配置 SVM SVM1,以使用 SnapLock 卷 logVol 记录审核日志。审核日志的最大大小为 20 GB,保留八个月。
    SVM1::> snaplock log create -vserver SVM1 -volume logVol -max-file-size 20GB -retention-period 8months
  4. 在为审核日志记录配置的 SVM 上,将 SnapLock 卷装载于接合路径 /snaplock_audit_log

    装载 SnapLock 卷