转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese

审核是一种特殊的日志记录形式，用途是记录系统上发生的“安全相关事件”，并针对事件由谁发起以及事件对系统的影响提供充足的相关信息。当然，审核的关键是决定发生的是那些安全相关的事件。就捕获的信息种类而言，审核不同于一般日志记录，VNX上的各种日志包括有关系统总体状态的信息，虽然这些日志信息跟踪系统运行状况，但却不一定与安全有关。本文将介绍VNX的审核功能。

VNX控制站的Linux操作系统具有本机审核功能，此工具能够审核对文件系统执行的系统调用和访问，并将有些受信任程序也可以写入审核日志条目，例如SSH守护程序。默认情况下，审核功能处于启用状态，并且在控制站启动后工作。

Linux系统的审核由用户和内核空间组件组合控制。通常情况下，系统通过/sbin/auditctl命令从文件中读取配置信息并传递到内核。内核决定要审核的内容（更确切地说，是要记录哪些审核记录）并将它们写至NETLINK接口。audit.rules 文件定义将审核的事件，该文件可修改，以满足任何自定义审核要求，但对审核配置所做的任何更改和控制站上的用户身份认证都将被跟踪。审核守护程序将尽量快速地将记录从链接中提取出来，并将其写至审核日志中。虽然审核日志默认位于/var/log/audit中，但在控制站上，它位于/celerra/audit/audit.log1目录中。受信任程序将审核记录写至NETLINK接口和内核，进而再将其传递回来以便审核守护程序进行记录。

与审核事件关联的主要记录类型有多种。SYSCALL 记录包含与系统调用相关的信息。PATH 记录包含被访问的文件的相关信息。CWD 记录显示进程的工作目录路径。用户身份认证信息包含在特定用户 (USER_XXXX) 记录中。访问其上配置了“watch”的文件系统时，FS_WATCH 记录将具有其访问信息。查看审核的命令是常用的 Linux 命令，没有用于审核的特定的VNX 命令。命令必须在具有root权限才能执行，所有命令均具有详细介绍其用途的手册页。

/sbin/auditctl 命令控制内核审核子系统。

/sbin/ausearch 命令读取审核追踪。

/sbin/aureport 命令生成审核日志的摘要报告。

/sbin /service auditd 命令控制审核子系统，并具有所列选项。

尽管 audit.log 文件采用纯文本形式，但必须使用ausearch 命令将文本中的值进行转换才能理解。此图显示的示例说明了某些与访问控制站文件系统路径关联的审核记录。

要生成审核摘要报告，请使用 aureport命令，多个选项可供此命令生成报告。图中显示的是身份认证报告：

审核配置文件和当前审核日志文件将每隔180秒自动备份到后端文件系统/nas/var/auditing，每个控制站都将备份一份审核日志文件。如果更换控制站CS0，软件恢复步骤将自动从后端备份恢复审核配置，控制站CS1审核的恢复必须手动从备份文件执行。审核日志位于 /celerra/audit 目录中。

文档《Configuring and Using the Audit Tool on Celerra and VNX for File》

了解和配置VNX控制站审计功能