规划审核配置
在存储虚拟机(SVM)上配置审核之前,必须了解有哪些可用配置选项,并规划要为每个选项设置的值。此信息可帮助您配置可满足业务需求的审核配置。
有一些特定配置参数通用于所有审核配置。
此外,还可使用特定参数来指定在轮换合并的审核日志和转换的审核日志时使用哪些方法。在配置审核时,可指定以下三种方法之一:
根据日志大小轮换日志
这是用于轮换日志的默认方法。
- 根据计划轮换日志
- 根据日志大小和计划(以先达者为准)轮换日志
所有审核配置的通用参数
创建审核配置时有两个必须指定的必需参数以及三个可以指定的可选参数:
| 信息类型 | 选项 | 必需 | 包含 | 值 |
|---|---|---|---|---|
| SVM 名称 要在其上创建审核配置的 SVM 的名称。必须已存在该 SVM。 | -vserver vserver_name | 是 | 是 | |
| 日志目标路径 指定转换后的审核日志的存储位置。SVM 上必须已存在该路径。 该路径的长度可以为 864 个字符,并且必须具有读写权限。 如果该路径无效,则审核配置命令将失败。 如果该 SVM 是 SVM 灾难恢复源,则日志目标路径无法位于根卷上。这是因为根卷内容不会复制到灾难恢复目标。 不能将 FlexCache 卷用作日志目标(ONTAP 9.7 及更高版本)。 | -destination text | 是 | 是 | |
| 要审核的事件类别 指定要审核的事件类别。可审核以下事件类别:
默认为审核文件访问和 CIFS 登录与注销事件。 注 SVM 上必须存在 CIFS 服务器,才能指定 在审核配置中启用中心访问策略暂存时,不要求在 CIFS 服务器上启用动态访问控制;但如果要生成中心访问策略暂存事件,则必须启用该控制。动态访问控制通过 CIFS 服务器选项启用。默认情况下未启用。 | -events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|security-group|authorization-policy-change} | 否 | ||
| 日志文件输出格式 确定审核日志的输出格式。输出格式可以是 ONTAP 特定的 XML 或 Microsoft Windows EVTX 日志格式。默认情况下,输出格式为 EVTX。 | -format {xml|evtx} | 否 | ||
| 日志文件轮换限制 确定轮换最早日志文件需要达到的审核日志文件保留数。例如,如果输入的值为 5,则会保留最近的五个日志文件。 如果输入的值为 0,则会保留所有日志文件。默认值为 0。 | -rotate-limit integer | 否 |
用于确定何时轮换审核事件日志的参数
根据日志大小轮换日志
- 默认日志大小为 100 MB
- 如果要使用默认日志轮换方法和默认日志大小,则无需为日志轮换配置任何特定参数。
- 如果要单独根据日志大小轮换审核日志,请使用以下命令取消设置 -rotate-schedule-minute 参数:vserver audit modify -vserver vs0 -destination / -rotate-schedule-minute -
| 信息类型 | 选项 | 必需 | 包含 | 值 |
|---|---|---|---|---|
| 日志文件大小限制 确定审核日志文件大小限制。 | -rotate-size {integer[KB|MB|GB|TB|PB]} | 否 |
根据计划轮换日志
如果选择根据计划轮换审核日志,则可通过使用基于时间的轮换参数的任意组合来计划日志轮换。
- 如果使用基于时间的轮换,则 -rotate-schedule-minute 参数为必需参数。
- 其他所有基于时间的轮换参数为可选参数。
轮换计划使用所有与时间有关的值计算。
例如,如果仅指定 -rotate-schedule-minute 参数,则在一年中的所有月份,每周固定某天的某个时间内根据指定的分钟值轮换审核日志文件。
如果仅指定一个或两个基于时间的轮换参数(例如,-rotate-schedule-month 和 -rotate-schedule-minutes),则仅在指定月份,每周固定某天的某个时间内根据指定的分钟值轮换日志文件。
例如,可指定在一月、三月和八月所有周一、周三和周六上午 10:30 轮换审核日志。
如果同时为 -rotate-schedule-dayofweek 和 -rotate-schedule-day 指定值,将分开考虑这些值。
例如,如果将 -rotate-schedule-dayofweek 指定为周五,将 -rotate-schedule-day 指定为 13,则应该在每周五和指定月份的 13 号轮换审核日志,而不仅是在既是周五又是 13 号的每个日期轮换。
- 如果要单独根据计划轮换审核日志,请使用以下命令取消设置 -rotate-size 参数:vserver audit modify -vserver vs0 -destination / -rotate-size -
可使用以下可用审核参数列表确定要使用哪些值来配置审核事件日志轮换计划:
| 信息类型 | 选项 | 必需 | 包含 | 值 |
|---|---|---|---|---|
| 日志轮换计划:月 确定轮换审核日志的月计划。 有效值为 January 到 December,以及 all。例如,可指定在一月、三月和八月轮换审核日志。 | -rotate-schedule-month chron_month | 否 | ||
| 日志轮换计划:周几 确定轮换审核日志的日计划(周几)。 有效值为 Sunday 到 Saturday,以及 all。例如,可指定在周二和周五或每天轮换审核日志。 | -rotate-schedule-dayofweek chron_dayofweek | 否 | ||
| 日志轮换计划:号数 确定轮换审核日志的号数计划。 有效值范围为 1 到 31。例如,可指定月内的 10 号和 20 号或月内的每天轮换审核日志。 | -rotate-schedule-day chron_dayofmonth | 否 | ||
| 日志轮换计划:小时 确定轮换审核日志的小时计划。 有效值范围为从 0(午夜)到 23(晚上 11:00)。如果指定 all,则会每小时轮换审核日志。例如,可指定在 6 点(上午 6 点)和 18 点(下午 6 点)轮换审核日志。 | -rotate-schedule-hour chron_hour | 否 | ||
| 日志轮换计划:分钟 确定轮换审核日志的分钟计划。 有效值范围为从 0 到 59。例如,可指定在每小时的第 30 分钟轮换审核日志。 | -rotate-schedule-minute chron_minute | 如果配置基于计划的日志轮换,则为 Yes,否则为 No。 |
根据日志大小和计划轮换日志
可以选择同时根据日志大小和计划来轮换日志文件,具体做法是同时设置 -rotate-size 参数和基于时间的轮换参数(可采用任意组合)。例如:如果将 -rotate-size 设置为 10 MB 并将 -rotate-schedule-minute 设置为 15,则当日志文件大小达到 10 MB 时或在每小时的第 15 分钟(以先达者为准),日志文件会轮换一次。