VMAX All Flash, PowerMax V3 a V4: PROTOKOLY AUDITU: Vše, co musíte vědět.

Protokol auditu:

Protokol auditu zaznamenává hlavní aktivity v poli, například: 

• Akce iniciované hostitelem 
• Změny fyzických součástí 
• Akce v serveru MMCS 
• D@RE události správy klíčů 
• Pokusy blokované bezpečnostními prvky (Access Controls) 

Protokol auditu je zabezpečený a odolný proti neoprávněné manipulaci, takže obsah událostí nelze změnit. Uživatelé s oprávněním auditora mohou protokol zobrazit, ale nemohou jej upravovat.

Záznamy auditu úložného systému pocházejí z databáze SYMAPI a zahrnují všechny akce, které jsou v daném úložném systému provedeny. 

Protokol auditu je uložen v poli PowerMax. Má velikost 1 GB.

Katalog zpráv protokolu auditu obsahuje zprávy auditu vygenerované nástrojem Solutions Enabler a zaznamenané v úložném systému. Systém PowerMaxOS 10 zavádí nový standardizovaný formát auditu. U úložných systémů se systémem HYPERMAX OS 5977 nebo PowerMaxOS 5978 mohou uživatelé namísto staršího formátu zvolit nový formát.

Protokol auditu: 

• Má pokročilé možnosti vyhledávání a filtrování, například: 
  • Konkrétní časové období (například posledních 24 hodin, minulý týden, konkrétní datum) 
  • Konkrétní uživatel (uživatelské jméno, role uživatele) 
  • Typ a kategorie operace 
  • Typ aplikace (Unisphere, CLI) 
  • Název hostitele 
  • Hledaná fráze 
• Záznamy a filtrovaný seznam protokolu auditu lze exportovat do souboru .log. To je usnadněno koncovým bodem REST.

PROTOKOL AUDITU vs. UDÁLOSTI

AUDITUProtokol
audituProtokoly auditu jsou interní záznamy, které uchovávají téměř vše, co se v poli děje. K dotazování protokolu auditu můžete použít nástroj Solutions Enabler. symaudit list je příkaz s různými možnostmi. Jedná se o protokol, který se nachází v poli, má velikost 1 GB a obsahuje miliony záznamů. Nezaměňujte s událostmi auditu.

Události
audituDémona událostí je možné použít k hlášení několika událostí auditu. Jsou uvedeny v příručce k událostem a výstrahám. Vyhledejte výraz "Audit" a najděte malý počet událostí, které jsou zaměřeny na protokol auditu. Například:

Událost 1403
: Jedná se o informační událost, která se aktivuje, když démon události narazí na událost 1403. To může odpovídat čemukoli uvedenému v části poznámek za předpokladu, že to uživatel nakonfiguroval v démonovi události. Pokud je démon událostí nakonfigurován pro syslog, pak může být tento malý počet událostí směrován do tohoto syslogu.

symaudit -sid <sid> show je užitečná k rychlému zjištění, jak daleko do minulosti sahá protokol auditu, a k získání počtu záznamů.

Příklad z testovacího prostředí polí 5978 a 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Počáteční číslo záznamu 1 znamená, že protokol auditu v těchto polích ještě nebyl zabalen.
 
Příklad zabaleného protokolu auditu:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

U tohoto zabaleného protokolu již není k dispozici žádný záznam před 2390445.

Kde se tento soubor auditu fyzicky nachází, cesta a název souboru?

• Protokol auditu není standardní soubor protokolu uložený v pevném umístění. Místo toho se generuje pomocí specifického symaudit . Data auditu se načítají ze systému souborů Symmetrix ve starších polích nebo z globální paměti v novějších polích a poté se ručně zkopírují do textového souboru.
• Soubor auditu se nezobrazuje, protože se nenachází v umístění, ke kterému máme přístup.

Dá se soubor s omezeným objemem 1 GB upravit a změnit tak velikost souboru (aby bylo možné více zapisovat protokoly auditu)?
Velikost 1 GB nelze změnit. Je uložen ve vyrovnávací paměti v poli. Když a symaudit list povel, syscally jsou předány poli a zobrazí se displej.

Pokud se velikost 1 GB nemůže změnit, kolik měsíců nebo let by trvalo, než by byla velikost 1 GB přepsána?
U nových polí je velikost protokolu auditu celkem 1 GB, to znamená prostor pro přibližně 2 miliony záznamů. Každý záznam má pevnou velikost, 512 bajtů. To platí i pro pole V4.

Když je protokol plný, zabalí se a začne přepisovat nejstarší záznamy. 2 miliony záznamů jsou však hodně. To se stává jen zřídka.

Démon události odhalí událost, která říká, že se blíží k zabalení. Myšlenka je taková, že zákazníci mohou podniknout jakoukoli akci, kterou chtějí. Například export protokolu do nějaké databáze, aby se nic neztratilo.

To, jak rychle se zabalí, závisí na tom, jak velká je aktivita a jak rychle se zapisují záznamy auditu.

Pokud se každou minutu napíše jedna nahrávka, zakončí se asi za čtyři roky.

Se stálou orchestrací na pozadí a další aktivitou (jako je VASA) může zapisovat záznamy častěji. To bylo vždy zdrojem protichůdných cílů. Chceme zapisovat vše, co se děje, ale také nechceme Audit log příliš často zabalovat.

Následují výzvy ke zvýšení velikosti protokolu auditu:

1. Je nákladná, protože je uložena v globální paměti pole.
2. Nezdálo se, že by zdvojnásobení velikosti mělo na první pohled významný dopad. K zabalení může ještě dojít, takže na tuto možnost musí být všichni připraveni. Klíčovou otázkou je, jak často k tomu dochází. Nemůžeme ji udělat nekonečně velkou ani zajistit zážitek bez zábalů.

Můžeme protokoly auditu předávat externímu serveru Syslog?

Ne, nemůžeme.

Může u nástroje Unisphere for PowerMax dojít ke zpomalení výkonu při zaplnění protokolů?

Ne, nemá to žádný dopad.

Je možné nastavit upřednostňované uchovávání?

Ne, velikost 1 GB nelze změnit.

Pro starší pole, jako je 100K, 200K, 400K, platí následující vysvětlení:

Data se zapisují do společného souboru auditu během řídicích operací VMAX. Společný protokol auditu koreluje aktivitu ze všech hostitelů do jednoho souboru uloženého v systému souborů Symmetrix File System (SFS). Skript symaudit Povolí filtrování společného souboru protokolu auditu pro zadané pole VMAX. Protokol auditu je umístěn v poli s kapacitou 40 MB. Po dosažení limitu 40 MB se protokol začne přepisovat. Tento soubor není nijak údržbářský, pokud nejsou záznamy zachyceny před recyklací kruhového 40 MB místa.