ONTAP 审核过程的工作原理

在 SVM 上启用审核后的流程​

只能在 SVM 上启用审核。存储管理员在 SVM 上启用审核后，审核子系统会检查是否存在暂存卷。对于包含属于 SVM 的数据卷的每个聚合，必须有一个暂存卷。如果存储卷不存在，审核子系统会根据需要创建。

在启用审核之前，审核子系统也会完成其他先决任务：

• 审核子系统会验证日志目录路径是否可用，并且确认其不包含符号链接。

  日志目录必须已存在。审核子系统不会分配默认日志文件位置。如果审核配置中指定的日志目录路径不是有效路径，审核配置的创建会失败，并显示错误消息：在属于 Vserver "Vserver_name" 的名称空间中不存在指定的路径 "/path"。

  如果目录存在但包含符号链接，配置创建也会失败。

• 审核会计划整合任务。

计划此任务后，审核即可启用。重新启动后，以及 NFS 或 CIFS 服务器停机或重新启动后，SVM 审核配置和日志文件将保留。

事件日志整合​

日志整合是一项计划任务，在禁用审核之前会作为例程定期运行。禁用审核后，整合任务会验证所有剩余的日志是否均已整合。

保证审核​

默认情况下，审核是具有保证的。ONTAP 保证会记录所有可审核的文件访问事件（由经过配置的审核策略 ACL 指定），即使节点处于不可用状态。直到操作的审核记录保存到永久存储的暂存卷中后，请求的文件操作才能完成。如果由于空间不足或其他问题导致审核记录无法提交到暂存文件所在的磁盘，将拒绝客户端操作。

节点不可用时的整合过程​

如果包含卷的节点（属于 SVM，已启用审核）不可用，审核整合任务的行为取决于该节点的存储故障转移（SFO）伙伴（对于双节点集群为 HA 伙伴）是否可用：

• 如果 SFO 伙伴的暂存卷可用，将扫描节点上次报告的暂存卷，并继续正常进行整合。

• 如果 SFO 伙伴不可用，该任务将创建不完整的日志文件。

  如果节点不可访问，整合任务将从该 SVM 的其他可用节点整合审核记录。为了标识文件的不完整性，该任务会为整合文件名添加后缀 .partial。

• 不可用的节点恢复可用后，该节点的审核记录将与当时其他节点的审核记录整合到一起。
• 所有审核记录都将保留。

事件日志轮换​

审核事件日志文件在达到配置的日志大小阈值时会轮换，或根据配置的计划进行轮换。轮换事件日志文件后，计划整合任务首先会将经过转换的活动文件重命名为带有时间戳的归档文件，然后新建经过转换的活动事件日志文件。

在 SVM 上禁用审核后的流程​

在 SVM 上禁用审核时，会最后一次触发整合任务。所有未完成的审核记录均会记录为用户可读的格式。在 SVM 上禁用审核后，存储在事件日志目录中的现有事件日志不会被删除，而且可供查看。

该 SVM 现有的所有暂存文件均整合后，将从计划中删除整合任务。禁用 SVM 的审核配置不会删除该审核配置。存储管理员可以随时重新启用审核。

在启用审核后会创建审核整合作业，用于监控整合任务，并在由于错误退出后重新创建整合任务。过去，用户可以使用 job delete 等作业管理器命令删除审核整合作业。现在已不再允许用户删除审核整合作业。