VMAX 全闪存、PowerMax V3 和 V4：审核日志：所有你必须知道的。

审核日志：

审核日志记录阵列上的主要活动，包括： 

• 主机发起的作 
• 物理组件更改 
• MMCS 上的作 
• D@RE密钥管理事件 
• 安全控制措施阻止的尝试（访问控制） 

审核日志是安全且防篡改的，因此事件内容无法更改。具有审核员访问权限的用户可以查看日志，但不能修改日志。

存储系统审核记录来自 SYMAPI 数据库，包括在该存储系统上执行的所有作。 

审核日志存储在 PowerMax 阵列上。它的大小为 1 GB。

审核日志消息目录包含由 Solutions Enabler 生成并记录在存储系统中的审核消息。PowerMaxOS 10 引入了新的标准化审核格式。此外，对于运行 HYPERMAX OS 5977 或 PowerMaxOS 5978 的存储系统，用户可以选择新格式而不是传统格式。

审核日志： 

• 具有高级搜索和过滤功能，例如： 
  • 特定时间段（例如过去 24 小时、上周、特定日期） 
  • 特定用户（用户名、用户角色） 
  • 作类型和类别 
  • 应用程序类型（Unisphere、CLI） 
  • 主机名 
  • 搜索短语 
• 记录和过滤的审核日志列表可以导出到 .log 文件。这可以通过 REST 端点来实现。

审核日志与审核事件

审核日志
审核日志是一种内部记录，用于保存阵列上发生的几乎所有事情。您可以使用 Solutions Enabler 查询审核日志。 symaudit list 是包含各种选项的命令。这是阵列上的日志，大小为 1 GB，包含数百万条记录。不要将其与审核事件混淆。

审核事件
事件守护程序可用于报告一些审核事件。这些列在事件和警报指南中。搜索“Audit”并找到重点关注审核日志的少量事件。例如：

事件 1403
这是在事件守护程序遇到 1403 时触发的信息性事件。这可以对应于注释部分中列出的任何内容，前提是用户已在事件守护程序中对其进行了配置。如果为系统日志配置了事件守护程序，则可以将这些少量事件定向到该系统日志。

symaudit -sid <sid> show 对于快速查看审核日志的历史记录和获取记录计数非常有用。

5978 和 6079 阵列实验中的示例：

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

起始记录编号 1 表示这些阵列上的审核日志尚未封装。

包装审核日志的示例：  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

对于该封装日志，2390445之前的任何记录不再可用。

此审核文件的路径和文件名实际位于何处？

• 审核日志不是存储在固定位置的标准日志文件。而是使用特定 symaudit 命令。审核数据从较旧阵列的 Symmetrix 文件系统或较新阵列的全局内存中检索，然后手动拷贝到文本文件中。
• 我们无法查看审核文件，因为它不在我们可以访问的位置。

是否可以编辑 1 GB 受限文件以更改文件大小（以便可以写入更多审核日志）？
我们无法更改 1 GB 大小。数据存储在阵列上的缓冲区中。当 symaudit list 发出命令，系统调用将传递到阵列并显示。

如果 1 GB 大小无法更改，那么覆盖 1 GB 大小需要多少个月或几年？
对于新阵列，审核日志的总大小为 1GB，即大约可容纳 200 万条记录的空间。每条记录的大小都是固定的，为 512 字节。V4 阵列也是如此。

当日志已满时，它会封装并开始覆盖最早的记录。但是，200万条记录是很多的。这种情况很少发生。

Event Daemon 公开了一个事件，表明它即将结束。这个想法是客户可以采取他们想要的任何行动。例如，将日志导出到某个数据库，这样就不会丢失任何内容。

它的封装速度取决于有多少活动，以及写入审核记录的速度。

如果每分钟写一条记录，它将在大约四年内结束。

借助稳定的后台编排和其他活动（如 VASA），它可能会更频繁地写入记录。这一直是相互冲突的目标的根源。我们想把发生的所有事情都写出来，但我们也不想太频繁地包装审核日志。

以下是增加审核日志大小的挑战：

1. 由于它保存在阵列上的全局内存中，因此成本很高。
2. 将规模扩大一倍似乎不会立即产生重大影响。包装仍然可能发生，所以每个人都必须为这种可能性做好准备。关键问题是它发生的频率有多高。我们无法使其无限大，也无法确保无包装体验。

我们是否可以将审核日志转发到外部系统日志服务器？

不，我们不能。

当日志已满时，Unisphere for PowerMax 是否会遇到性能下降的问题？

否，没有任何影响。

是否有可以设置的首选保留？

否，无法更改 1 GB 大小。

对于较旧的阵列（如 100K、200K、400K），以下解释适用：

在 VMAX 控制作期间，数据写入通用审核文件。通用审核日志将来自所有主机的活动关联到存储在 Symmetrix 文件系统 （SFS） 中的一个文件中。如果您主要使用 CIFS/NFS 来写入备份，则应使用 symaudit 命令启用指定 VMAX 阵列的通用审核日志文件筛选。审核日志驻留在阵列上，容量为 40 MB。一旦达到 40 MB 限制，日志就会开始覆盖自身。除非在循环 40 MB 空间回收之前捕获记录，否则不会对此文件进行维护。