VMAX All Flash, PowerMax V3 und V4: AUDITPROTOKOLLE: Alles, was Sie wissen müssen.

Auditprotokoll:

Das Auditprotokoll zeichnet wichtige Aktivitäten auf einem Array auf, darunter: 

• Vom Host initiierte Aktionen 
• Änderungen an physischen Komponenten 
• Aktionen auf der MMCS 
• D@RE wichtige Managementereignisse 
• Versuche, die durch Sicherheitskontrollen blockiert werden (Zugriffskontrollen) 

Das Auditprotokoll ist sicher und manipulationssicher, sodass Ereignisinhalte nicht geändert werden können. Nutzer mit Auditor-Zugriff können das Protokoll anzeigen, aber nicht ändern.

Speichersystem-Auditdatensätze stammen aus der SYMAPI-Datenbank und enthalten alle Aktionen, die auf diesem Speichersystem durchgeführt werden. 

Das Auditprotokoll wird auf dem PowerMax-Array gespeichert. Sie hat eine Größe von 1 GB.

Der Auditprotokollmeldungskatalog enthält Auditmeldungen, die von Solutions Enabler erzeugt und im Speichersystem aufgezeichnet werden. Mit PowerMaxOS 10 wurde ein neues standardisiertes Auditformat eingeführt. Für Storage-Systeme mit HYPERMAX OS 5977 oder PowerMaxOS 5978 können Nutzer außerdem das neue Format anstelle des Legacy-Formats auswählen.

Das Auditprotokoll: 

• Verfügt über erweiterte Such- und Filterfunktionen, wie z. B.: 
  • Bestimmter Zeitraum (z. B. letzte 24 Stunden, letzte Woche, bestimmtes Datum) 
  • Bestimmter Nutzer (Nutzername, Nutzerrolle) 
  • Vorgangstyp und -kategorie 
  • Anwendungstyp (Unisphere, CLI) 
  • Hostname 
  • Suchausdruck 
• Datensätze und die gefilterte Auditprotokollliste können in eine .log Datei exportiert werden. Dies wird durch einen REST-Endpunkt erleichtert.

AUDITPROTOKOLL im VERGLEICH MIT AUDITEREIGNISSEN

Auditprotokoll
Bei den Auditprotokollen handelt es sich um einen internen Datensatz, in dem nahezu alles gespeichert wird, was auf dem Array geschieht. Sie können Solutions Enabler verwenden, um das Auditprotokoll abzufragen. symaudit list ist der Befehl mit verschiedenen Optionen. Dies ist das Protokoll auf dem Array, das 1 GB groß ist und Millionen von Datensätzen enthält. Dies ist nicht zu verwechseln mit Auditereignissen.

Auditereignisse
Der Ereignis-Daemon kann verwendet werden, um Berichte zu einigen Auditereignissen zu erstellen. Diese sind im Leitfaden zu Ereignissen und Warnmeldungen aufgeführt. Suchen Sie nach "Audit" und suchen Sie die kleine Anzahl von Ereignissen, auf die sich das Auditprotokoll konzentriert. Zum Beispiel:

Ereignis 1403
: Dies ist ein informatives Ereignis, das ausgelöst wird, wenn der Ereignis-Daemon auf 1403 trifft. Dies kann mit allem entsprechen, was im Abschnitt "Notizen" aufgeführt ist, vorausgesetzt, der Nutzer hat es im Ereignis-Daemon konfiguriert. Wenn der Ereignis-Daemon für Syslog konfiguriert ist, kann diese kleine Anzahl von Ereignissen an dieses Syslog weitergeleitet werden.

symaudit -sid <sid> show ist nützlich, um schnell zu sehen, wie weit das Auditprotokoll zurückreicht, und um eine Datensatzanzahl zu erhalten.

Beispiel aus dem Labor mit 5978- und 6079-Arrays:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Die Startdatensatznummer 1 bedeutet, dass das Auditprotokoll auf diesen Arrays noch nicht abgeschlossen wurde.
 
Beispiel für ein gewrapptes Auditprotokoll:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Für dieses umschlossene Protokoll sind alle Datensätze vor 2390445 nicht mehr verfügbar.

Wo befindet sich diese Auditdatei physisch, Pfad und Dateiname?

• Ein Auditprotokoll ist keine Standardprotokolldatei, die an einem festen Speicherort gespeichert wird. Stattdessen wird es mithilfe bestimmter symaudit Befehle. Auditdaten werden in älteren Arrays aus dem Symmetrix-Dateisystem oder in neueren Arrays aus dem globalen Speicher abgerufen und dann manuell in eine Textdatei kopiert.
• Wir können die Auditdatei nicht sehen, da sie sich nicht an einem Speicherort befindet, auf den wir zugreifen können.

Kann die auf 1 GB beschränkte Datei bearbeitet werden, um die Dateigröße zu ändern (damit Auditprotokolle mehr geschrieben werden können)?
Die Größe von 1 GB kann nicht geändert werden. Sie wird in einem Puffer auf dem Array gespeichert. Wenn ein symaudit list Befehl ausgegeben wird, werden die Systemaufrufe an das Array übergeben und die Anzeige wird angezeigt.

Wenn die Größe von 1 GB nicht geändert werden kann, wie viele Monate oder Jahre dauert es, bis die Größe von 1 GB überschrieben wird?
Bei neuen Arrays beträgt die Größe eines Auditprotokolls insgesamt 1 GB, d. h. Platz für ca. 2 Millionen Datensätze. Jeder Datensatz hat eine feste Größe, 512 Byte. Dies ist auch bei V4-Arrays der Fall.

Wenn das Protokoll voll ist, werden die ältesten Datensätze umbrochen und überschrieben. Allerdings sind 2 Millionen Datensätze eine ganze Menge. Das kommt selten vor.

Der Ereignis-Daemon macht ein Ereignis verfügbar, das angibt, dass es kurz vor dem Abschluss steht. Die Idee ist, dass Kunden jede beliebige Aktion ausführen können. Zum Beispiel das Exportieren des Protokolls in eine Datenbank, damit nichts verloren geht.

Wie schnell sie abgeschlossen werden, hängt davon ab, wie viel Aktivität vorhanden ist und wie schnell Auditdatensätze geschrieben werden.

Wenn jede Minute eine Platte geschrieben wird, wird sie in etwa vier Jahren fertig sein.

Bei stetiger Hintergrundorchestrierung und anderen Aktivitäten (z. B. VASA) werden möglicherweise häufiger Datensätze geschrieben. Das war schon immer eine Quelle von Zielkonflikten. Wir möchten alles aufschreiben, was passiert, aber wir möchten das Auditprotokoll auch nicht zu oft einschließen.

Im Folgenden sind Herausforderungen bei der Vergrößerung der Auditprotokollgröße aufgeführt:

1. Es ist teuer, da es im globalen Speicher auf dem Array gehalten wird.
2. Eine Verdopplung der Größe schien nicht sofort einen signifikanten Einfluss zu haben. Es könnte immer noch zu einem Wrap kommen, also muss jeder auf diese Möglichkeit vorbereitet sein. Die entscheidende Frage ist, wie häufig dies geschieht. Wir können es nicht unendlich groß machen oder ein Erlebnis ohne Wraps gewährleisten.

Können wir Auditprotokolle an einen externen Syslog-Server weiterleiten?

Nein, das können wir nicht.

Könnte es bei Unisphere for PowerMax zu Leistungseinbußen kommen, wenn die Protokolle voll werden?

Nein, es gibt keine Auswirkungen.

Gibt es eine bevorzugte Aufbewahrung, die festgelegt werden kann?

Nein, die Größe von 1 GB kann nicht geändert werden.

Für ältere Arrays wie 100K, 200K, 400K gilt die folgende Erklärung:

Daten werden während VMAX-Kontrollvorgängen in eine gemeinsame Auditdatei geschrieben. Das gemeinsame Auditprotokoll korreliert die Aktivitäten aller Hosts in einer Datei, die im Symmetrix File System (SFS) gespeichert ist. Die Datei symaudit aktiviert das Filtern der gemeinsamen Auditprotokolldatei für ein bestimmtes VMAX-Array. Das Auditprotokoll befindet sich auf dem Array mit einer Kapazität von 40 MB. Sobald die Begrenzung von 40 MB erreicht ist, beginnt das Protokoll, sich selbst zu überschreiben. Es gibt keine Wartung für diese Datei, es sei denn, Datensätze werden erfasst, bevor der kreisförmige Speicherplatz von 40 MB recycelt wird.