VMAX All Flash, PowerMax V3 e V4: REGISTRI DI CONTROLLO: Tutto quello che devi sapere.

Audit Log:

L'audit log registra le attività principali su un array, tra cui: 

• Azioni avviate dall host 
• Modifiche ai componenti fisici 
• Azioni su MMCS 
• D@RE eventi di gestione principali 
• Tentativi bloccati dai controlli di sicurezza (controlli degli accessi) 

L'audit log è sicuro e a prova di manomissione, pertanto il contenuto degli eventi non può essere modificato. Gli utenti con accesso Auditor possono visualizzare, ma non modificare, il registro.

I record di audit del sistema di storage derivano dal database SYMAPI e comprendono tutte le azioni eseguite su tale sistema di storage. 

L'audit log viene archiviato nell'array PowerMax. La dimensione è di 1 GB.

Il catalogo dei messaggi di audit log contiene messaggi di audit generati da Solutions Enabler e registrati nel sistema di storage. Con PowerMaxOS 10 è stato introdotto un nuovo formato di audit standardizzato. Inoltre, per i sistemi di storage che eseguono HYPERMAX OS 5977 o PowerMaxOS 5978, gli utenti possono selezionare il nuovo formato anziché il formato legacy.

L'audit log: 

• Dispone di funzionalità avanzate di ricerca e filtraggio, ad esempio: 
  • Periodo di tempo specifico (ad esempio, ultime 24 ore, ultima settimana, data specifica) 
  • Utente specifico (nome utente, ruolo utente) 
  • Tipo e categoria di operazione 
  • Tipo di applicazione (Unisphere, CLI) 
  • Nome host 
  • Frase da cercare 
• I record e l'elenco di audit log filtrato possono essere esportati in un file .log. Ciò viene facilitato grazie a un endpoint REST.

AUDIT LOG ed EVENTI DI

AUDITAudit log
Gli audit log sono un record interno che conserva quasi tutto ciò che accade sull'array. È possibile utilizzare Solutions Enabler per eseguire query sull'audit log. symaudit list è il comando con varie opzioni. Si tratta del registro presente sull'array, delle dimensioni di 1 GB, che contiene milioni di record. Questa operazione non deve essere confusa con gli eventi di audit.

Eventi
di controlloIl daemon eventi può essere utilizzato per segnalare alcuni eventi di audit. Questi sono elencati nella guida agli eventi e agli avvisi. Cercare in "Audit" e trovare il numero ridotto di eventi incentrati sull'audit log. Ad esempio:

Evento 1403
: si tratta di un evento informativo attivato quando il daemon eventi rileva un errore 1403. Può corrispondere a qualsiasi cosa elencata nella sezione delle note, purché l'utente l'abbia configurata nel daemon eventi. Se il daemon eventi è configurato per syslog, questo numero ridotto di eventi può essere indirizzato a tale syslog.

symaudit -sid <sid> show è utile per vedere rapidamente fino a che punto risale l'audit log e per ottenere un conteggio dei record.

Esempio dal laboratorio degli array 5978 e 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Il numero di record iniziale 1 implica che non è stato ancora eseguito il wrapping dell'audit log su tali array.
 
Esempio di audit log di cui è stato eseguito il wrapping:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Per il log di cui è stato eseguito il wrapping, qualsiasi record precedente a 2390445 non è più disponibile.

Dove si trova fisicamente questo file di audit, percorso e nome file?

• Un audit log non è un file di registro standard archiviato in una posizione fissa. Al contrario, viene generato utilizzando symaudit . I dati di audit vengono recuperati dal file system Symmetrix negli array meno recenti o dalla memoria globale in quelli più recenti, quindi copiati manualmente in un file di testo.
• Impossibile visualizzare il file di audit poiché non si trova in una posizione accessibile.

Il file limitato da 1 GB può essere modificabile per cambiare le dimensioni del file (in modo che gli audit log possano essere scritti di più)?
Non è possibile modificare la dimensione di 1 GB. Viene archiviato in un buffer sull'array. Quando un symaudit list viene eseguito il comando, le syscall vengono passate all'array e viene visualizzato il display.

Se la dimensione di 1 GB non può cambiare, quanti mesi o anni saranno necessari per sovrascrivere la dimensione di 1 GB?
Per i nuovi array, la dimensione di un audit log è di 1 GB in totale, ovvero lo spazio per circa 2 milioni di record. Ogni record ha una dimensione fissa, 512 byte. Questo vale anche per gli array V4.

Quando il registro è pieno, viene eseguito il wrapping e inizia a sovrascrivere i record meno recenti. Tuttavia, 2 milioni di record sono tanti. Questo accade raramente.

Il daemon eventi espone un evento che indica che sta per concludersi. L'idea è che i clienti possano intraprendere qualsiasi azione vogliano. Ad esempio, esportare il registro in un database in modo che non venga perso nulla.

La velocità di wrapping dipende dalla quantità di attività presente e dalla velocità con cui vengono scritti i record di audit.

Se viene scritto un disco ogni minuto, si concluderà in circa quattro anni.

Con un'orchestrazione in background stabile e altre attività (ad esempio VASA), potrebbe scrivere record più spesso. Questo è sempre stato fonte di obiettivi contrastanti. Vogliamo scrivere tutto ciò che accade, ma non vogliamo nemmeno avvolgere l'audit log troppo spesso.

Di seguito sono riportate le sfide per aumentare le dimensioni dell'audit log:

1. È costoso poiché è conservato nella memoria globale dell'array.
2. Raddoppiare le dimensioni non ha avuto subito un impatto significativo. L'avvolgimento potrebbe ancora verificarsi, quindi tutti devono essere pronti per questa possibilità. La domanda chiave è con quale frequenza accade. Non possiamo renderlo infinitamente grande o garantire un'esperienza senza wrap.

È possibile inoltrare gli audit log a un server Syslog esterno?

No, non possiamo.

Unisphere for PowerMax potrebbe subire rallentamenti delle prestazioni quando i registri si riempiono?

No, non vi è alcun impatto.

È possibile impostare una retention preferita?

No, la dimensione di 1 GB non può essere modificata.

Per gli array meno recenti, ad esempio 100K, 200K, 400K, si applica la seguente spiegazione:

i dati vengono scritti in un file di audit comune durante le operazioni di controllo VMAX. L'audit log comune mette in correlazione l'attività di tutti gli host in un unico file archiviato nel file system Symmetrix (SFS). La variabile symaudit abilita il filtraggio del file di audit log comune per un array VMAX specificato. L'audit log risiede sull'array e ha una capacità di 40 MB. Una volta raggiunto il limite di 40 MB, il log inizia a sovrascrivere se stesso. Non è prevista alcuna manutenzione per questo file, a meno che i record non vengano acquisiti prima del riciclo dello spazio circolare di 40 MB.