审核的基本概念
要理解 ONTAP 中的审核,应该了解一些基本的审核概念。
- 暂存文件
- 在整合和转换之前,存储审核记录的每个节点上的中间二进制文件。暂存文件包含在暂存卷中。
- 暂存卷
- ONTAP 创建的用于存储暂存文件的专用卷。每个聚合中有一个暂存卷。在特定聚合中,所有已启用审核的存储虚拟机(SVM) 会共享暂存卷,以存储数据卷的数据访问审核记录。每个 SVM 的审核记录会分别存储在暂存卷的单独目录中。
集群管理员可查看暂存卷的相关信息,但不允许进行大多数其他卷操作。只有 ONTAP 可以创建暂存卷。ONTAP 会自动为暂存卷指定名称。所有暂存卷的名称均以 MDV_aud_ 开头,后跟暂存卷所属聚合的 UUID(例如:MDV_aud_1d0131843d4811e296fc123478563412)。
- 系统卷
- 包含特殊元数据(例如文件服务审核日志的元数据)的 FlexVol 卷。系统卷归管理员 SVM 所有,并且在整个集群中可见。暂存卷即为系统卷的其中一种。
- 整合任务
- 启用审核后创建的一种任务。在每个 SVM 上,这种长时间运行的任务会从 SVM 成员节点的暂存文件中获取审核记录。此任务按经过排序的时间顺序合并审核记录,然后将其转换为用户可读的事件日志(其文件格式为 EVTX 或 XML,在审核配置中指定)。转换后的事件日志存储在 SVM 审核配置中指定的审核事件日志目录中。
提供反馈