VMAX All Flash、PowerMax V3およびV4: 監査ログ: あなたが知らなければならないすべて。

監査ログ:

監査ログには、次のようなアレイ上の主要なアクティビティーが記録されます。 

• ホストが開始するアクション 
• 物理コンポーネントの変更 
• MMCSでのアクション 
• D@REキー管理イベント 
• セキュリティ制御によってブロックされた試行 (アクセス制御) 

監査ログは安全で改ざん防止されているため、イベントの内容を変更することはできません。監査者アクセス権を持つユーザーは、ログを表示できますが、変更することはできません。

ストレージ システムの監査レコードはSYMAPIデータベースから取得され、そのストレージ システムで実行されるすべてのアクションが含まれます。 

監査ログはPowerMaxアレイに保存されます。サイズは1 GBです。

監査ログ メッセージ カタログには、Solutions Enablerによって生成され、ストレージ システムに記録された監査メッセージが含まれています。PowerMaxOS 10では、新しい標準化された監査形式が導入されました。また、HYPERMAX OS 5977またはPowerMaxOS 5978を実行しているストレージ システムの場合、ユーザーはレガシー形式ではなく新しい形式を選択できます。

監査ログ: 

• 次のような高度な検索およびフィルター機能があります。 
  • 特定の期間(過去24時間、先週、特定の日付など) 
  • 特定のユーザー(ユーザー名、ユーザー ロール) 
  • 操作のタイプとカテゴリー 
  • アプリケーション タイプ(Unisphere、CLI) 
  • ホスト名 
  • 検索語句 
• レコードとフィルタリングされた監査ログ リストは、.logファイルにエクスポートできます。これは、RESTエンドポイントを使用すると容易になります。

監査ログと監査イベント

監査ログ
監査ログは、アレイで発生するほぼすべての内容を保持するための内部レコードです。Solutions Enablerを使用して、監査ログのクエリーを実行できます。 symaudit list は、さまざまなオプションを持つコマンドです。これはアレイ上のログで、サイズは1GBで、何百万ものレコードを保持しています。これを監査イベントと混同しないでください

監査イベント
イベント デーモンを使用して、いくつかの監査イベントに関するレポートを作成できます。これらは、イベントおよびアラート ガイドに記載されています。「監査」を検索し、監査ログに焦点を絞った少数のイベントを見つけます。例：

イベント1403
これは、イベント デーモンが1403を検出したときにトリガーされる情報イベントです。これは、ユーザーがイベント デーモンで構成している場合、メモ セクションに一覧表示されているものすべてに対応します。イベント デーモンがSyslog用に構成されている場合、これらの少数のイベントをそのSyslogに送信できます。

symaudit -sid <sid> show は、監査ログがどこまでさかのぼるかをすばやく確認し、レコード数を取得するのに役立ちます。

5978および6079アレイの実習の例:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

開始レコード番号1は、これらのアレイの監査ログがまだラップされていないことを意味します。

ラップされた監査ログの例:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

そのラップされたログでは、2390445より前のレコードは使用できなくなります。

この監査ファイルの物理的な場所、パス、ファイル名は?

• 監査ログは、固定された場所に保存される標準のログ ファイルではありません。代わりに、特定の symaudit コマンドを使用します。監査データは、古いアレイではSymmetrixファイル システムから、新しいアレイではグローバル メモリーから取得され、テキスト ファイルに手動でコピーされます。
• 監査ファイルはアクセスできる場所にないため、表示できません。

1 GBの制限されたファイルを編集してファイル サイズを変更できますか(監査ログをさらに書き込めるように)
1 GBのサイズを変更することはできません。アレイ上のバッファーに格納されます。このとき symaudit list コマンドが発行されると、syscallがアレイに渡され、画面が表示されます。

1 GBのサイズを変更できない場合、1 GBのサイズが上書きされるまでに数か月または何年かかりますか
新しいアレイの場合、監査ログのサイズは合計で1GBです。つまり、約200万レコード分のスペースがあります。各レコードは固定サイズ (512 バイト) です。これは、V4アレイの場合も同様です

ログがいっぱいになると、最も古いレコードの上書きが開始されます。しかし、200万件のレコードは多いです。このようなことはめったにありません

イベント デーモンは、ラップに近づいていることを示すイベントを公開します。この考え方は、顧客が望む行動をとることができるということです。たとえば、ログをデータベースにエクスポートして、何も失われないようにします

ラップの速さは、アクティビティの量と、監査レコードが書き込まれる速度によって異なります

1 分に 1 つのレコードが書き込まれると、約 4 年で終了します

安定したバックグラウンド オーケストレーションとその他のアクティビティー(VASAなど)を使用すると、それよりも頻繁にレコードを書き込むことができます。それは常に相反する目標の源でした。発生するすべてのことを書き込みますが、監査ログを頻繁にラップすることも望ましくありません

監査ログのサイズを増やす場合の課題は次のとおりです。

1. アレイ上のグローバル メモリーに保持されるため、コストがかかります。
2. 規模を2倍にしても、すぐには大きな影響があるとは思えませんでした。ラップはまだ発生する可能性があるため、誰もがその可能性に備える必要があります。重要な問題は、それがどのくらいの頻度で発生するかです。無限に大きくしたり、ラップフリーの体験を保証したりすることはできません。

監査ログを外部Syslogサーバーに転送できますか?

いいえ、できません。

ログがいっぱいになると、Unisphere for PowerMaxのパフォーマンスが低下する可能性はありますか?

いいえ、影響はありません。

設定できる優先保存はありますか?

いいえ。1 GBのサイズは変更できません。

100K、200K、400Kなどの古いアレイの場合は、次の説明が適用されます。

データは、VMAX制御操作中に共通の監査ファイルに書き込まれます。共通監査ログは、すべてのホストからのアクティビティをSymmetrixファイル システム(SFS)に格納されている1つのファイルに関連づけます。「 symaudit コマンドを使用すると、指定したVMAXアレイの共通監査ログ ファイルのフィルタリングが有効になります。監査ログは、40 MBの容量を持つアレイに存在します。40 MBの上限値に達すると、ログは自身の上書きを開始します。40 MBの循環領域がリサイクルされる前にレコードがキャプチャされない限り、このファイルのメンテナンスは行われません。