VMAX All Flash、PowerMax V3 & V4：稽核記錄：你必須知道的一切。

稽核記錄：

稽核記錄陣列上的主要活動，包括： 

• 主機啟動的動作 
• 實體元件變更 
• MMCS 上的動作 
• D@RE金鑰管理事件 
• 安全控制（存取控制）阻止的嘗試 

審核日誌是安全且防篡改的，因此事件內容無法更改。具有審核員訪問許可權的使用者可以查看日誌，但不能修改日誌。

存儲系統審核記錄來自 SYMAPI 資料庫，包括在該存儲系統上執行的所有操作。 

稽核記錄會儲存在 PowerMax 陣列上。它的大小為 1 GB。

稽核記錄訊息目錄包含由 Solutions Enabler 產生並記錄在儲存系統中的稽核訊息。PowerMaxOS 10 推出了全新的標準化稽核格式。此外，若為執行 HYPERMAX OS 5977 或 PowerMaxOS 5978 的儲存系統，使用者可能會選取新格式，而非舊版格式。

稽核記錄： 

• 具有高級搜索和篩選功能，例如： 
  • 特定時間段（例如，過去 24 小時、上周、特定日期） 
  • 特定使用者 （使用者名稱、使用者角色） 
  • 作業類型與類別 
  • 應用程式類型 （Unisphere、CLI） 
  • 主機名稱 
  • 搜尋片語 
• 可以將記錄和篩選的審核日誌清單匯出到.log檔。這可透過 REST 端點進行。

稽核記錄與稽核事件

稽核記錄
稽核記錄是內部記錄，用以保留陣列上發生的幾乎所有事情。您可以使用 Solutions Enabler 查詢稽核記錄。 symaudit list 是具有各種選項的命令。這是陣列上的記錄，大小為 1GB，可容納數百萬筆記錄。不要將此與審核事件混淆。

稽核事件
事件守護程式可用於報告一些審核事件。這些會列在事件和警示指南中。搜尋「Audit」並找到聚焦於稽核記錄的少量事件例如：

事件 1403
這是事件守護程式遇到 1403 時觸發的資訊事件。這可以對應於「備註」區段中列出的任何項目，前提是使用者已在事件精靈中進行設定。如果為系統日誌配置了事件守護程式，則可以將這些少量事件定向到該系統日誌。

symaudit -sid <sid> show 有助於快速查看審核日誌的回溯程度並獲取記錄計數。

5978 和 6079 陣列實驗室範例：

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

起始記錄編號 1 表示這些陣列上的稽核記錄尚未包裝。

已包裝的稽核記錄範例：  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

對於該包裝日誌，2390445之前的任何記錄都不再可用。

此稽核檔案的實體位置、路徑和檔案名稱位於何處？

• 審核日誌不是存儲在固定位置的標準日誌檔。而是使用特定的 symaudit 命令。稽核資料會從舊陣列的 Symmetrix 檔案系統或較新陣列的全域記憶體中擷取，然後手動複製到文字檔中。
• 我們看不到審計檔，因為它不在我們可以訪問的位置。

是否可以編輯 1 GB 有限的檔以更改檔大小（以便可以寫入更多審核日誌）？
我們無法變更 1 GB 的大小。它存儲在陣列上的緩衝區中。當 symaudit list 命令隨即發出，系統會將 syscalls 傳遞至陣列，並顯示。

如果 1 GB 大小無法更改，則覆蓋 1 GB 大小需要多少個月或幾年？
若為新陣列，稽核記錄的總大小為 1GB，也就是可容納約 200 萬條記錄的空間。每條記錄都是固定大小，512 位元組。V4 陣列也是如此。

當日誌已滿時，它會包裝並開始覆蓋最舊的記錄。但是，200萬條記錄很多。這種情況很少發生。

事件守護程式公開一個事件，該事件表示它即將接近包裝。這個想法是客戶可以採取他們想要的任何行動。例如，將日誌匯出到某個資料庫，這樣就不會丟失任何內容。

它的包裝速度取決於有多少活動，以及寫入審核記錄的速度。

如果每分鐘寫一張唱片，它將在大約四年內結束。

通過穩定的後台業務流程和其他活動（如 VASA），它可能會比這更頻繁地寫入記錄。這一直是目標相互衝突的根源。我們希望寫入發生的所有情況，但我們也不想過於頻繁地包裝審核日誌。

以下是增加審核日誌大小的挑戰：

1. 由於存放在陣列的全域記憶體中，因此成本很高。
2. 將大小翻倍似乎不會立即產生重大影響。包裝仍然可能發生，所以每個人都必須為這種可能性做好準備。關鍵問題是它發生的頻率。我們無法讓它無限大或確保無包裝體驗。

是否可以將稽核記錄轉送至外部系統記錄伺服器？

不，我們不能。

PowerMax 的 Unisphere 是否會因為記錄已滿而發生效能減慢的情況？

不，沒有影響。

是否有可設定的偏好保留？

否，1 GB 的大小無法變更。

針對 100K、200K、400K 等較舊的陣列，以下說明適用：

在 VMAX 控制作業期間，資料會寫入一般稽核檔案。通用稽核記錄將所有主機的活動關聯到 Symmetrix 檔案系統 （SFS） 中儲存的一個檔案中。可使用 symaudit 命令允許篩選指定 VMAX 陣列的通用審核日誌檔。稽核記錄位於容量為 40 MB 的陣列上。達到 40 MB 的限制後，紀錄將開始自行覆寫。除非在迴圈 40 MB 空間回收之前捕獲記錄，否則不會維護此檔。