跳到主要内容

ONTAP 如何实现审核日志记录

审核日志中记录的管理活动包含在标准自动支持报告中,而 EMS 消息中则包含特定日志记录活动。您还可以将审核日志转发到您指定的目标,并使用 CLI 或 Web 浏览器显示审核日志文件。

集群上执行的 ONTAP 日志管理活动,例如,发出的请求、触发请求的用户、用户的访问方法以及请求的时间。

该管理活动可以是以下其中一种类型:

  • 设置请求通常适用于非显示的命令或操作

    • 例如,当您运行 createmodify,或 delete 命令时,这些请求会发出。

    • 默认情况下,会记录设置请求。

  • 获取请求会检索信息并将其显示在管理界面中

    • 例如,当您运行 show 命令时,这些请求会发出。

    • 默认情况下,不会记录获取请求,但可使用 security audit modify 命令以控制是 ONTAP CLI(-cliget)发送的获取请求还是 ONTAP APIs(-ontapiget)发送的获取请求被记录在文件中。

ONTAP 在节点的 /mroot/etc/log/mlog/audit.log 文件中记录管理活动。CLI 命令的三个 shell 命令—clustershell、nodeshell,以及非交互式 systemshell(不记录交互式 systemshell 命令)和 API 命令,均可在此记录。审核日志包括时间戳,以显示集群中的所有节点是否都在时间上同步。

audit.log 文件由自动支持工具发送至指定的接收方。您还可以将内容安全地转发到指定的外部目标;例如,Splunk 或 syslog 服务器。

audit.log 文件每日进行轮换。文件达到 100 MB 大小时也会轮换,并且保留以前的 48 个拷贝(最多可保留 49 个)。当审核文件执行每日轮换时,不会生成任何 EMS 消息。如果审核文件因超出文件大小限制而轮换,则生成 EMS 消息。

您可以使用 security audit log show 命令来显示单个节点的审核条目或从集群中从多个节点合并的条目。您还可以使用 Web 浏览器在单个节点上显示 /mroot/etc/log/mlog 目录的内容。