VMAX All Flash, PowerMax V3 og V4: AUDITLOGFILER: Alt hvad du behøver at vide.

Overvågningslog:

Overvågningsloggen registrerer større aktiviteter på et system, herunder: 

• Værtsinitierede handlinger 
• Fysiske komponentændringer 
• Handlinger på MMCS 
• D@RE vigtige administrationsbegivenheder 
• Forsøg blokeret af sikkerhedskontrol (adgangskontrol) 

Revisionsloggen er sikret og sikret mod manipulation, så hændelsens indhold ikke kan ændres. Brugere med overvågningsadgang kan få vist, men ikke redigere, loggen.

Overvågningsposter for storagesystemet kommer fra SYMAPI databasen og omfatter alle handlinger, der udføres på det pågældende storagesystem. 

Overvågningsloggen gemmes på PowerMax-systemet. Det er 1 GB i størrelse.

Meddelelseskataloget for overvågningsloggen indeholder overvågningsmeddelelser, der er genereret af Solutions Enabler og registreret i storagesystemet. Med PowerMaxOS 10 er der introduceret et nyt standardiseret revisionsformat. For storagesystemer, der kører HYPERMAX OS 5977 eller PowerMaxOS 5978, kan brugerne også vælge det nye format i stedet for det ældre format.

Overvågningsloggen: 

• Har avancerede søge- og filterfunktioner, såsom: 
  • Specifik tidsperiode (f.eks. sidste 24 timer, sidste uge, specifik dato) 
  • Specifik bruger (brugernavn, brugerrolle) 
  • Operationstype og kategori 
  • Programtype (Unisphere, CLI) 
  • Værtsnavn 
  • Søgeord 
• Poster og den filtrerede overvågningslogliste kan eksporteres til en .log fil. Dette lettes med et REST-endepunkt.

AUDIT LOG vs. REVISIONSHÆNDELSER

Overvågningslog
Overvågningsloggene er en intern post til opbevaring af næsten alt, hvad der sker på systemet. Du kan bruge Solutions Enabler til at forespørge på overvågningsloggen. symaudit list er kommandoen med forskellige muligheder. Dette er loggen, der er på systemet og er 1 GB i størrelse og indeholder millioner af poster. Dette må ikke forveksles med revisionshændelser.

Auditeringshændelser
Hændelsesdæmon kan bruges til at rapportere om nogle få revisionshændelser. Disse er angivet i hændelses- og alarmvejledningen. Søg på "Revision", og find det lille antal hændelser, der er fokuseret på revisionsloggen. F.eks.:

Hændelse 1403
Dette er en informativ begivenhed, der udløses, når begivenhedsdæmonen støder på en 1403. Dette kan svare til alt, der er anført i noteafsnittet, forudsat at brugeren har konfigureret det i hændelsesdæmonen. Hvis hændelsesdæmonen er konfigureret til syslog, kan disse små antal hændelser dirigeres til den pågældende syslog.

symaudit -sid <sid> show er nyttigt til hurtigt at se, hvor langt tilbage revisionsloggen går, og til at få et antal poster.

Eksempel fra lab med 5978 og 6079 arrays:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Startregistreringsnummeret 1 betyder, at revisionsloggen for disse systemer endnu ikke er afsluttet.
 
Eksempel på en ombrudt revisionslog:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

For den ombrudte logfil er poster, der er ældre end 2390445, ikke længere tilgængelige.

Hvor er denne revisionsfil fysisk placeret, sti og filnavn?

• En revisionslog er ikke en standardlogfil, der er gemt på en fast placering. I stedet genereres den ved hjælp af specifikke symaudit Kommandoer. Overvågningsdata hentes fra Symmetrix-filsystemet i ældre systemer eller fra Global Memory i nyere og kopieres derefter manuelt til en tekstfil.
• Vi kan ikke se revisionsfilen, da den ikke er et sted, vi har adgang til.

Kan den begrænsede fil på 1 GB redigeres for at ændre filstørrelsen (så revisionslogfiler kan skrives mere)?
Vi kan ikke ændre størrelsen på 1 GB. Det gemmes i en buffer på arrayet. Når en symaudit list Kommandoen udstedes, syscalls sendes til systemet, og displayet vises.

Hvis størrelsen på 1 GB ikke kan ændres, hvor mange måneder eller år ville det så tage for størrelsen på 1 GB at blive overskrevet?
For nye systemer er størrelsen på en revisionslog 1 GB i alt, det vil sige plads til ca. 2 millioner poster. Hver post har en fast størrelse, 512 byte. Dette er også tilfældet for V4-arrays.

Når loggen er fuld, ombrydes den og begynder at overskrive de ældste poster. Imidlertid er 2 millioner poster meget. Dette sker sjældent.

Event Daemon afslører en begivenhed, der siger, at den er tæt på indpakning. Tanken er, at kunderne kan tage den handling, de ønsker. For eksempel eksport af loggen til en database, så intet går tabt.

Hvor hurtigt det ombrydes afhænger af, hvor meget aktivitet der er, og hvor hurtigt revisionsposter skrives.

Hvis der skrives en rekord hvert minut, vil den pakke om cirka fire år.

Med konstant baggrundsorkestrering og anden aktivitet (såsom VASA) kan den skrive optegnelser oftere end det. Det har altid været en kilde til modstridende mål. Vi ønsker at skrive alt, hvad der sker, men vi ønsker heller ikke at pakke revisionsloggen for ofte.

Følgende er udfordringer med at øge størrelsen på overvågningsloggen:

1. Det er dyrt, da det holdes i global hukommelse på arrayet.
2. En fordobling af størrelsen så ikke umiddelbart ud til at have nogen væsentlig indflydelse. Wrap kan stadig forekomme, så alle skal være klar til den mulighed. Det centrale spørgsmål er, hvor ofte det sker. Vi kan ikke gøre det uendeligt stort eller sikre en wrap-fri oplevelse.

Kan vi videresende revisionslogfiler til en ekstern Syslog-server?

Nej, det kan vi ikke.

Kan Unisphere for PowerMax opleve langsommere ydeevne, når logfilerne bliver fulde?

Nej, der er ingen indflydelse.

Er der en foretrukken opbevaring, der kan indstilles?

Nej, størrelsen på 1 GB kan ikke ændres.

For ældre systemer, som f.eks. 100K, 200K, 400K, gælder følgende forklaring:

Data skrives til en fælles overvågningsfil under VMAX-kontrolhandlinger. Den fælles revisionslog korrelerer aktivitet fra alle værter i én fil, der er gemt i SFS (Symmetrix File System). Ikonet symaudit aktiverer filtrering af den fælles overvågningslogfil for et angivet VMAX-system. Overvågningsloggen er placeret på systemet med en kapacitet på 40 MB. Når grænsen på 40 MB er nået, begynder loggen at overskrive sig selv. Der er ingen vedligeholdelse af denne fil, medmindre poster registreres, før den cirkulære 40 MB plads genbruges.