VMAX All Flash, PowerMax v3 og V4: REVISJONSLOGGER: Alt du må vite.

Overvåkingsloggen:

Overvåkingsloggen registrerer hovedaktiviteter i en matrise, inkludert: 

• Vertsinitierte handlinger 
• Endringer i fysiske komponenter 
• Handlinger på MMCS 
• D@RE viktige administrasjonshendelser 
• Forsøk som blokkeres av sikkerhetskontroller (tilgangskontroller) 

Revisjonsloggen er sikker og manipulasjonssikker, slik at hendelsesinnholdet ikke kan endres. Brukere med revisortilgang kan vise, men ikke endre, loggen.

Overvåkingsoppføringer for lagringssystemet kommer fra SYMAPI-databasen og inkluderer alle handlinger som utføres på lagringssystemet. 

Overvåkingsloggen lagres på PowerMax-arrayet. Den er 1 GB stor.

Meldingskatalogen for overvåkingsloggen inneholder revisjonsmeldinger generert av Solutions Enabler og registrert i lagringssystemet. Med PowerMaxOS 10 er et nytt standardisert revisjonsformat introdusert. For lagringssystemer som kjører HYPERMAX OS 5977 eller PowerMaxOS 5978, kan brukerne også velge det nye formatet i stedet for det eldre formatet.

Overvåkingsloggen: 

• Har avanserte søke- og filterfunksjoner, for eksempel: 
  • Spesifikk tidsperiode (for eksempel siste 24 timer, forrige uke, bestemt dato) 
  • Spesifikk bruker (brukernavn, brukerrolle) 
  • Operasjonstype og -kategori 
  • Applikasjonstype (Unisphere, CLI) 
  • Vertsnavn 
  • Søk setning 
• Poster og listen over filtrerte overvåkingslogger kan eksporteres til en .log-fil. Dette tilrettelegges med et REST-endepunkt.

REVISJONSLOGG kontra REVISJONSHENDELSER

Overvåkingsloggen
Overvåkingsloggene er en intern post for å beholde nesten alt som skjer i matrisen. Du kan bruke Solutions Enabler til å spørre overvåkingsloggen. Symaudit List er kommandoen med ulike alternativer. Dette er loggen som er på arrayet og er 1 GB stor og inneholder millioner av poster. Dette må ikke forveksles med revisjonshendelser.

Overvåkingshendelser
Hendelsesbakgrunnsprosess kan brukes til å rapportere om noen få revisjonshendelser. Disse er oppført i veiledningen for hendelser og varsler. Søk på "Monitor", og finn det lille antallet hendelser som er fokusert på overvåkingsloggen. Eksempel:

Hendelse 1403
Dette er en informasjonshendelse som utløses når hendelsesbakgrunnsprosessen møter en 1403. Dette kan tilsvare alt som er oppført i notatseksjonen, forutsatt at brukeren har konfigurert det i hendelsesdemonen. Hvis hendelsesbakgrunnsprosessen er konfigurert for syslog, kan disse små antallet hendelser dirigeres til den syslogen.

symaudit -sid <sid> show er nyttig for raskt å se hvor langt tilbake revisjonsloggen går, og for å få et rekordantall.

Eksempel fra laboratorium av 5978 og 6079 arrays:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Startpostnummeret 1 innebærer at overvåkingsloggen på disse matrisene ennå ikke er brutt.
 
Eksempel på en innpakket overvåkingslogg:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

For den innpakkede loggen er ikke tidligere 2390445 lenger tilgjengelig.

Hvor er denne revisjonsfilen fysisk plassert, bane og filnavn?

• En overvåkingslogg er ikke en standard loggfil som lagres på en fast plassering. I stedet genereres den ved hjelp av spesifikke symaudit Kommandoer. Revisjonsdata hentes fra Symmetrix-filsystemet i eldre matriser eller fra global hukommelse i nyere, og kopieres deretter manuelt til en tekstfil.
• Vi kan ikke se revisjonsfilen da den ikke er på et sted vi har tilgang til.

Kan den begrensede filen på 1 GB redigeres for å endre filstørrelsen (slik at revisjonslogger kan skrives mer)?
Vi kan ikke endre størrelsen på 1 GB. Den lagres i en buffer på matrisen. Når en symaudit list Kommandoen utstedes, syscallene sendes til arrayet og skjermen vises.

Hvis størrelsen på 1 GB ikke kan endres, hvor mange måneder eller år vil det ta før 1 GB-størrelsen blir overskrevet?
For nye matriser er størrelsen på en revisjonslogg totalt 1 GB, det vil si plass til omtrent 2 millioner poster. Hver post har en fast størrelse, 512 byte. Dette gjelder også for V4-arrayer.

Når loggen er full, brytes den og begynner å overskrive de eldste postene. Imidlertid er 2 millioner poster mye. Dette skjer sjelden.

The Event Daemon avslører en hendelse som sier at den nærmer seg innpakning. Tanken er at kundene kan gjøre hva de vil. For eksempel eksportere loggen til en database slik at ingenting går tapt.

Hvor raskt det brytes, avhenger av hvor mye aktivitet det er, og hvor raskt revisjonsposter blir skrevet.

Hvis en plate skrives hvert minutt, vil den brytes om fire år.

Med jevn bakgrunnsorkestrering og annen aktivitet (som VASA), kan den skrive plater oftere enn det. Det har alltid vært en kilde til motstridende mål. Vi ønsker å skrive alt som skjer, men vi ønsker heller ikke å pakke inn revisjonsloggen for ofte.

Følgende er utfordringer med å øke størrelsen på overvåkingsloggen:

1. Det er dyrt siden det holdes i det globale minnet på matrisen.
2. Dobling av størrelsen virket ikke umiddelbart som om det ville ha en betydelig innvirkning. Wrap kan fortsatt forekomme, så alle må være klare for den muligheten. Nøkkelspørsmålet er hvor ofte det skjer. Vi kan ikke gjøre den uendelig stor eller sikre en omsluttende opplevelse.

Kan vi videresende revisjonslogger til en ekstern Syslog-server?

Nei, det kan vi ikke.

Kan Unisphere for PowerMax oppleve redusert ytelse når loggene blir fulle?

Nei, det er ingen innvirkning.

Er det en foretrukket oppbevaring som kan angis?

Nei, størrelsen på 1 GB kan ikke endres.

For eldre arrayer, for eksempel 100K, 200K og 400K, gjelder følgende forklaring:

Data skrives til en vanlig revisjonsfil under VMAX-kontrolloperasjoner. Den felles revisjonsloggen korrelerer aktivitet fra alle verter i én fil som er lagret i Symmetrix File System (SFS). Informasjonen i symaudit aktiverer filtrering av den vanlige overvåkingsloggfilen for et angitt VMAX-array. Overvåkingsloggen befinner seg på arrayet med en kapasitet på 40 MB. Når grensen på 40 MB er nådd, begynner loggen å overskrive seg selv. Det finnes ikke vedlikehold av denne filen, med mindre postene registreres før det sirkulære området på 40 MB resirkuleres.