VMAX All Flash, PowerMax V3 en V4: AUDITLOGS: Alles wat u moet weten.

Auditlog:

In het auditlogboek worden belangrijke activiteiten op een array vastgelegd, waaronder: 

• Door de host geïnitieerde acties 
• Wijzigingen in fysieke componenten 
• Acties op de MMCS 
• D@RE belangrijke managementgebeurtenissen 
• Pogingen geblokkeerd door beveiligingscontroles (Access Controls) 

Het controlelogboek is veilig en fraudebestendig, zodat de inhoud van gebeurtenissen niet kan worden gewijzigd. Gebruikers met auditortoegang kunnen het logboek bekijken, maar niet wijzigen.

Auditrecords van het storagesysteem zijn afkomstig uit de SYMAPI-database en bevatten alle acties die op dat storagesysteem worden ondernomen. 

Het controlelogboek wordt opgeslagen op de PowerMax array. Het is 1 GB groot.

De berichtencatalogus van het auditlogboek bevat auditberichten die door Solutions Enabler worden gegenereerd en in het storagesysteem worden vastgelegd. Met PowerMaxOS 10 is een nieuwe gestandaardiseerde auditindeling geïntroduceerd. Voor storagesystemen met HYPERMAX OS 5977 of PowerMaxOS 5978 kunnen gebruikers de nieuwe indeling selecteren in plaats van de oude indeling.

Het controlelogboek: 

• Heeft geavanceerde zoek- en filtermogelijkheden, zoals: 
  • Specifieke periode (bijvoorbeeld afgelopen 24 uur, vorige week, specifieke datum) 
  • Specifieke gebruiker (gebruikersnaam, gebruikersrol) 
  • Type en categorie van de bewerking 
  • Applicatietype (Unisphere, CLI) 
  • Hostnaam 
  • Zoekterm 
• Records en de gefilterde lijst met auditlogboeken kunnen worden geëxporteerd naar een .log bestand. Dit wordt mogelijk gemaakt met een REST-eindpunt.

AUDITLOGBOEK vs. AUDITGEBEURTENISSEN

Auditlogboek
De auditlogs zijn een interne record waarin bijna alles wat er op de array gebeurt, wordt bewaard. U kunt Solutions Enabler gebruiken om query's uit te voeren op het controlelogboek. SymAudit List is de opdracht met verschillende opties. Dit is het logboek op de array en is 1 GB groot en bevat miljoenen records. Dit moet niet worden verward met auditgebeurtenissen.

Auditgebeurtenissen
Event daemon kan worden gebruikt om te rapporteren over een paar auditgebeurtenissen. Deze worden vermeld in de handleiding voor gebeurtenissen en waarschuwingen. Zoek op "Audit" en zoek het kleine aantal gebeurtenissen dat gericht is op het auditloglog. Bijvoorbeeld:

Event 1403
: Dit is een informatieve gebeurtenis die wordt geactiveerd wanneer de daemon van de gebeurtenis een 1403 tegenkomt. Dit kan overeenkomen met alles wat wordt vermeld in de sectie Notes, op voorwaarde dat de gebruiker het heeft geconfigureerd in de Event Daemon. Als de gebeurtenisdaemon is geconfigureerd voor syslog, dan kan dit kleine aantal gebeurtenissen naar die syslog worden omgeleid.

symaudit -sid <sid> show is handig om snel te zien hoe ver het auditlogboek teruggaat en om een recordaantal te krijgen.

Voorbeeld uit lab van 5978 en 6079 arrays:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Het beginrecordnummer van 1 impliceert dat het controlelogboek op deze arrays nog niet is ingepakt.
 
Voorbeeld van een ingepakt controlelogboek:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Voor dat teruggepakte logboek is een record vóór 2390445 niet meer beschikbaar.

Waar bevindt zich het controlebestand fysiek, het pad en de bestandsnaam?

• Een controlelogboek is geen standaardlogboekbestand dat op een vaste locatie is opgeslagen. In plaats daarvan wordt het gegenereerd met behulp van specifieke symaudit Opdrachten. Auditdata worden opgehaald uit het Symmetrix-bestandssysteem in oudere arrays of uit het globale geheugen in nieuwere arrays en vervolgens handmatig gekopieerd naar een tekstbestand.
• We kunnen het controlebestand niet zien omdat het zich niet op een locatie bevindt waar we toegang toe hebben.

Kan het beperkte bestand van 1 GB worden bewerkt om de bestandsgrootte te wijzigen (zodat auditlogboeken meer kunnen worden geschreven)?
We kunnen de grootte van 1 GB niet wijzigen. Het wordt opgeslagen in een buffer op de array. Wanneer een symaudit list opdracht wordt gegeven, de syscalls worden doorgegeven aan de array en het display verschijnt.

Als de grootte van 1 GB niet kan worden gewijzigd, hoeveel maanden of jaren zou het dan duren voordat de grootte van 1 GB wordt overschreven?
Voor nieuwe arrays is de grootte van een auditlogboek in totaal 1 GB, dat wil zeggen ruimte voor ongeveer 2 miljoen records. Elk record heeft een vaste grootte, 512 bytes. Dit is ook het geval voor V4-arrays.

Wanneer het logboek vol is, wordt het teruggelopen en worden de oudste records overschreven. 2 miljoen records zijn echter veel. Dit gebeurt zelden.

De Event Daemon legt een gebeurtenis bloot die zegt dat het bijna is afgerond. Het idee is dat klanten elke actie kunnen ondernemen die ze willen. Bijvoorbeeld het exporteren van het logboek naar een database, zodat er niets verloren gaat.

Hoe snel het wordt afgerond, hangt af van hoeveel activiteit er is en hoe snel auditrecords worden geschreven.

Als er elke minuut een record wordt geschreven, zal het in ongeveer vier jaar worden afgerond.

Met gestage achtergrondorkestratie en andere activiteiten (zoals VASA), kan het vaker platen schrijven dan dat. Dat is altijd een bron van tegenstrijdige doelen geweest. We willen alles schrijven wat er gebeurt, maar we willen ook niet te vaak het Audit Log inpakken.

Hieronder volgen de uitdagingen bij het vergroten van de grootte van het auditlogboek:

1. Het is duur omdat het in het globale geheugen van de array wordt bewaard.
2. Een verdubbeling van de omvang leek niet meteen een significante impact te hebben. Wrap kan nog steeds voorkomen, dus iedereen moet klaar zijn voor die mogelijkheid. De hamvraag is hoe vaak het gebeurt. We kunnen het niet oneindig groot maken of zorgen voor een wrap-free ervaring.

Kunnen we auditlogbestanden doorsturen naar een externe Syslog-server?

Nee, dat kunnen we niet.

Kan Unisphere voor PowerMax te maken krijgen met prestatievertragingen naarmate de logboeken vol raken?

Nee, er is geen impact.

Is er een voorkeursretentie die kan worden ingesteld?

Nee, de grootte van 1 GB kan niet worden gewijzigd.

Voor oudere arrays zoals 100K, 200K, 400K is de volgende uitleg van toepassing:

Data worden tijdens VMAX-controlebewerkingen naar een gemeenschappelijk controlebestand geschreven. Het gemeenschappelijke auditlogboek correleert activiteit van alle hosts in één bestand dat is opgeslagen in het Symmetrix File System (SFS). De symaudit Met deze opdracht kunt u het algemene auditlogbestand voor een opgegeven VMAX-array filteren. Het controlelogboek bevindt zich op de array met een capaciteit van 40 MB. Zodra de limiet van 40 MB is bereikt, begint het logboek zichzelf te overschrijven. Er is geen onderhoud voor dit bestand, tenzij records worden vastgelegd voordat de circulaire ruimte van 40 MB wordt gerecycled.