1 Rookie
•
54 メッセージ
0
436
[PowerScale] 監査ログについて
PowerScaleの監査ログについて質問をさせてください。
PowerScale(OneFS 9.5)にてconfig/protocol/systemの監査ログをいずれも有効化し、
以下のようにSyslogサーバへ転送する設定を行っています。
設定後、PowerScaleのWebコンソールより、設定変更を行った際のログも
isi_audit_viewer コマンドより確認でき、Syslogサーバでも受信・検索が可能であることを
確認しています。
ただし、Audited Zone対象となる smb1 のディレクトリにファイルの読み書きを行い
isi_audit_viewer コマンドより読み書きの操作のログが確認できましたが
Syslogサーバには、一切protocolに関連するログが記録されない状況となっています。
※Syslogサーバにてconfigログは受信しているが、protocolログは受信していない。
設定状況や環境は以下になります。
▼SyslogサーバIP (RHEL)
10.10.10.10
※selinux、firewalld/nftables無効、rsyslog受信許可済み
▼PowerScale 監査ログ設定 (OneFS 9.5)
clustername# isi audit settings global view
Protocol Auditing Enabled: Yes
Audited Zones: smb1
CEE Server URIs: -
Hostname:
Config Auditing Enabled: Yes
Config Syslog Enabled: Yes
Config Syslog Servers: 10.10.10.10
Config Syslog TLS Enabled: No
Config Syslog Certificate ID:
Protocol Syslog Servers: 10.10.10.10
Protocol Syslog TLS Enabled: No
Protocol Syslog Certificate ID:
System Syslog Enabled: Yes
System Syslog Servers: 10.10.10.10
System Syslog TLS Enabled: No
System Syslog Certificate ID:
Auto Purging Enabled: Yes
Retention Period: 5
System Auditing Enabled: Yes
▼PowerScale 監査ログ設定の備考
syslogサーバ転送設定は以下コマンドより実施しています。
> isi audit settings global modify --config-syslog-servers=10.10.10.10
> isi audit settings global modify --protocol-syslog-servers=10.10.10.10
> isi audit settings global modify --system-syslog-servers=10.10.10.10
※/etc/mcp/templates/syslog.conf ファイルは特に編集せず初期設定のままとなります
◇質問1
上記のとおり、Syslogサーバにてconfigログは受信しているが、
protocolログは受信していない状況となります。
protocolログが受信できない事象についてや、設定不足について何か思い当たる点はありますでしょうか。
◇質問2
OneFS 9.3 (ラボ環境の「PowerScale OneFS - Advanced」より確認)では「System Auditing」に関する
設定項目が存在しなかったのですが、手元の環境(OneFS 9.5)では存在しています。
こちらを有効にすることで具体的にどのようなログが記録されるのでしょうか。
※ドキュメントに記載ありましたら、調べ切れていないだけとなります。申し訳ありません。
◇質問3
Retention Period、Auto Purging Enabledにつきまして、
あくまでもPowerScale内で機能するものであり、
Syslogサーバでは機能しないものと考えて良かったでしょうか。
転送された監査ログをSyslogサーバ側で圧縮や保持期間を検討する必要があると
想定しているのですが、判断しきれなかったためご質問となります。
長文ですみませんが、よろしくお願いいたします。
ayas
Moderator
Moderator
•
6.7K メッセージ
0
2023年6月8日 00:00
SA-NOさん
→syslog.conf ファイルを編集することも必要なので後述のKBを参考にしてみるのはどうでしょうか。
参考:Dell EMC Knowledge Article 000158587 : Isilon: How to configure remote logging from a cluster to a remote server (syslog forwarding)
Method 2: Configure OneFS to send syslog events, protocol access auditing events, and system configuration auditing events to a remote server
This procedure involves manually editing the /etc/mcp/templates/syslog.conf file so that specified syslog events are sent to a defined server.
Isilon-Syslog転送とAuditログについて
→リリースノートやAdmin Guideを確認するとSystem Auditingにてシステムでのイベント(リブートやログインログアウト)
などのイベントがログできるようになったとあります。
参考:PowerScale OneFS 9.5.0.0 Release Notes
Page3 OneFS auditing includes a new system audit topic.
System audits collect platform events, such as shutdowns and reboots, and account related events, such as password changes.
参考:PowerScale OneFS9.5.0.0 Web Administration Guide
Page199 System Auditing
The OpenBSM service is predefined to log high-level cluster events. This service is disabled by default. If enabled, it collects the following events and stores them in /var/audit/.
○ Module loads and unloads
○ System boot up and reboots
○ User logins and logouts
○ System shutdowns and power off
○ OpenSSH logins
→おっしゃる通りRetention PeriodやPurgeに関してはisi audit settings コマンドで設定するものでPowerScaleでの設定になります。
参考:File System Auditing with Dell EMC PowerScale and Dell EMC Common Event Enabler
Page 15 ~
SA-NO
1 Rookie
1 Rookie
•
54 メッセージ
0
2023年6月9日 08:00
ayasさん
ご回答有難うございます。
◇質問1
提供いただいた情報をもとに、足りていない設定が判明し、以下の設定を行ったところ、
無事syslogサーバにプロトコル監査ログが転送されることを確認できました。
①syslog.conf に「★」部分を追記し保存
# /etc/mcp/templates/syslog.conf
!audit_config
*.* /var/log/audit_config.log
*.* @10.10.10.10 ★
!audit_protocol
*.* /var/log/audit_protocol.log
*.* @10.10.10.10 ★
②Access Zoneに指定しているゾーンに対し、System Auditing Enabledを有効化
#isi audit settings view --zone=smb1
→ Syslog Forwarding Enabled: No
#isi audit settings modify --zone smb1 --syslog-forwarding-enabled true
#isi audit settings view --zone=smb1
→ Syslog Forwarding Enabled: Yes
◇質問2、質問3
いずれも承知しました。
また、URLを共有いただき有難うございます。
内容を確認するようにいたします。
大変参考になりました。