VMAX All Flash, PowerMax V3 및 V4: 감사 로그: 당신이 알아야 할 모든 것.

감사 로그:

감사 로그는 다음을 비롯하여 어레이에 대한 주요 활동을 기록합니다. 

• 호스트에서 시작된 작업 
• 물리적 구성 요소 변경 
• MMCS의 작업 
• D@RE 키 관리 이벤트 
• 보안 제어에 의해 차단된 시도(액세스 제어) 

감사 로그는 안전하게 보호되고 변조 불가능하므로 이벤트 콘텐츠를 변경할 수 없습니다. Auditor 액세스 권한이 있는 사용자는 로그를 볼 수 있지만 수정할 수는 없습니다.

스토리지 시스템 감사 레코드는 SYMAPI 데이터베이스로부터 제공되며 해당 스토리지 시스템에서 수행된 모든 작업을 포함합니다. 

감사 로그는 PowerMax array에 저장됩니다. 크기는 1GB입니다.

감사 로그 메시지 카탈로그에는 Solutions Enabler에서 생성되고 스토리지 시스템에 기록된 감사 메시지가 포함되어 있습니다. PowerMaxOS 10에는 새로운 표준화된 감사 형식이 도입되었습니다. 또한 HYPERMAX OS 5977 또는 PowerMaxOS 5978을 실행하는 스토리지 시스템의 경우 기존 형식 대신 새 형식을 선택할 수 있습니다.

감사 로그: 

• 다음과 같은 고급 검색 및 필터 기능이 있습니다. 
  • 특정 기간(예: 지난 24시간, 지난주, 특정 날짜) 
  • 특정 사용자(사용자 이름, 사용자 역할) 
  • 작업 유형 및 범주 
  • 애플리케이션 유형(Unisphere, CLI) 
  • 호스트 이름 
  • 검색 구문 
• 레코드 및 필터링된 감사 로그 목록을 .log 파일로 내보낼 수 있습니다. REST 엔드포인트를 사용하면 더 수월합니다.

감사 로그 대 감사 이벤트

감사 로그
감사 로그는 어레이에서 발생하는 거의 모든 작업을 유지하기 위한 내부 기록입니다. Solutions Enabler를 사용하여 감사 로그를 쿼리할 수 있습니다. symaudit list 는 다양한 옵션이 있는 명령입니다. 어레이에 있는 로그로 크기가 1GB이고 수백만 개의 레코드를 포함합니다. 이를 감사 이벤트와 혼동해서는 안 됩니다.

감사 이벤트
이벤트 데몬을 사용하여 몇 가지 감사 이벤트에 대해 보고할 수 있습니다. 이는 이벤트 및 알림 가이드에 나와 있습니다. "Audit"를 검색하고 감사 로그에 초점을 맞춘 소수의 이벤트를 찾습니다. 예:

이벤트 1403
이벤트 데몬이 1403을 발견할 때 트리거되는 정보 이벤트입니다. 사용자가 이벤트 데몬에서 구성한 경우 노트 섹션에 나열된 내용에 해당할 수 있습니다. 이벤트 데몬이 syslog용으로 구성된 경우 이러한 적은 수의 이벤트를 해당 syslog로 보낼 수 있습니다.

symaudit -sid <sid> show 는 감사 로그가 얼마나 오래 되었는지 빠르게 확인하고 레코드 수를 가져오는 데 유용합니다.

5978 및 6079 어레이 실습의 예:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

시작 레코드 번호 1은 해당 어레이의 감사 로그가 아직 래핑되지 않았음을 의미합니다.
 
래핑된 감사 로그의 예:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

래핑된 로그의 경우 2390445 이전의 모든 레코드는 더 이상 사용할 수 없습니다.

이 감사 파일은 물리적으로 위치, 경로 및 파일 이름은 어디에 있습니까?

• 감사 로그는 고정된 위치에 저장되는 표준 로그 파일이 아닙니다. 대신 특정 symaudit 명령을 사용합니다. 감사 데이터는 이전 어레이의 Symmetrix 파일 시스템 또는 최신 어레이의 글로벌 메모리에서 검색된 후 수동으로 텍스트 파일로 복사됩니다.
• 감사 파일이 액세스할 수 있는 위치에 없으므로 볼 수 없습니다.

감사 로그를 더 많이 쓸 수 있도록 1GB의 제한된 파일을 편집하여 파일 크기를 변경할 수 있습니까?
1GB 크기는 변경할 수 없습니다. 어레이의 버퍼에 저장됩니다. 때 symaudit list 명령이 실행되면 syscall이 어레이로 전달되고 디스플레이가 나타납니다.

1GB 크기를 변경할 수 없는 경우 1GB 크기를 덮어쓰는 데 몇 개월 또는 몇 년이 걸립니까?
새로운 어레이의 경우 감사 로그의 크기는 총 1GB이며, 이는 약 2백만 개의 레코드를 저장할 수 있는 공간입니다. 각 레코드는 고정 크기인 512바이트입니다. V4 어레이의 경우도 마찬가지입니다.

로그가 가득 차면 래핑되고 가장 오래된 레코드를 덮어쓰기 시작합니다. 그러나 200만 개의 레코드는 많은 숫자입니다. 이런 일은 거의 일어나지 않습니다.

이벤트 데몬은 래핑에 가까워지고 있음을 알리는 이벤트를 노출합니다. 아이디어는 고객이 원하는 모든 조치를 취할 수 있다는 것입니다. 예를 들어 손실되지 않도록 로그를 일부 데이터베이스로 내보냅니다.

래핑 속도는 활동의 양과 감사 레코드가 기록되는 속도에 따라 달라집니다.

1분에 한 개의 기록이 쓰여진다면 약 4년 만에 완성됩니다.

꾸준한 백그라운드 오케스트레이션 및 기타 작업(예: VASA)을 사용하면 그보다 더 자주 레코드를 쓸 수 있습니다. 그것은 항상 상충되는 목표의 원천이었습니다. 발생하는 모든 일을 기록하려고 하지만 감사 로그를 너무 자주 래핑하고 싶지도 않습니다.

감사 로그 크기를 늘리는 데 따른 문제는 다음과 같습니다.

1. 어레이의 전역 메모리에 저장되므로 비용이 많이 듭니다.
2. 크기를 두 배로 늘린다고 해서 당장 큰 영향을 미칠 것 같지는 않았습니다. 랩은 여전히 발생할 수 있으므로 모든 사람이 그 가능성에 대비해야 합니다. 핵심 질문은 얼마나 자주 발생하느냐입니다. 무한히 크게 만들거나 포장이 필요 없는 경험을 보장할 수 없습니다.

감사 로그를 외부 Syslog 서버로 전달할 수 있습니까?

아니요, 할 수 없습니다.

로그가 가득 차면 Unisphere for PowerMax에서 성능이 저하될 수 있습니까?

아니요, 영향이 없습니다.

설정할 수 있는 기본 보존 기간이 있습니까?

아니요, 1GB 크기는 변경할 수 없습니다.

100K, 200K, 400K와 같은 이전 어레이의 경우 다음 설명이 적용됩니다

. 데이터는 VMAX 제어 작업 중에 공통 감사 파일에 기록됩니다. 공통 감사 로그는 모든 호스트의 작업을 SFS(Symmetrix File System)에 저장된 하나의 파일로 상호 연관시킵니다. 이 symaudit 명령을 사용하면 지정된 VMAX 어레이에 대한 공통 감사 로그 파일을 필터링할 수 있습니다. 감사 로그는 어레이에 40MB의 용량으로 상주합니다. 40MB 제한에 도달하면 로그가 스스로를 덮어쓰기 시작합니다. 원형의 40MB 공간이 재순환하기 전에 레코드가 캡처되지 않는 한 이 파일에 대한 유지 보수는 없습니다.