VMAX All Flash, PowerMax V3 и V4: ЖУРНАЛЫ АУДИТА: Все, что вы должны знать.

Журнал аудита:

В журнале аудита записываются основные операции с массивом, в том числе: 

• Действия, инициируемые хостом 
• Изменения физических компонентов 
• Действия в MMCS 
• D@RE ключевых мероприятий управления 
• Попытки, заблокированные средствами управления безопасностью (Access Controls) 

Журнал аудита является безопасным и защищенным от несанкционированного доступа, поэтому содержимое событий не может быть изменено. Пользователи с доступом аудитора могут просматривать, но не могут изменять журнал

.Записи аудита системы хранения берутся из базы данных SYMAPI и включают все действия, выполняемые в этой системе хранения. 

Журнал аудита хранится в дисковом массиве PowerMax. Его размер составляет 1 Гбайт.

Каталог сообщений журнала аудита содержит сообщения аудита, созданные Solutions Enabler и записанные в системе хранения. В PowerMaxOS 10 появился новый стандартизированный формат аудита. Кроме того, для систем хранения под управлением HYPERMAX OS 5977 или PowerMaxOS 5978 пользователи могут выбрать новый формат вместо устаревшего.

Журнал аудита: 

• Имеет расширенные возможности поиска и фильтрации, такие как: 
  • Конкретный период времени (например, последние 24 часа, последняя неделя, конкретная дата) 
  • Конкретный пользователь (имя пользователя, роль пользователя) 
  • Тип и категория операции 
  • Тип приложения (Unisphere, интерфейс командной строки) 
  • Имя узла 
  • Искомая фраза 
• Записи и отфильтрованный список журналов аудита можно экспортировать в .log файл. Это облегчается с помощью конечной точки REST.

ЖУРНАЛ АУДИТА И СОБЫТИЯ АУДИТА

Журнал аудита
Журналы аудита — это внутренняя запись, в которой хранится практически все, что происходит в массиве. Для запроса журнала аудита можно использовать Solutions Enabler. symaudit list — это команда с различными параметрами. Это журнал, который находится в массиве размером 1 Гбайт и содержит миллионы записей. Это не следует путать с событиями аудита.

События аудита
Демон событий можно использовать для создания отчетов о нескольких событиях аудита. Они перечислены в руководстве по событиям и оповещениям. Выполните поиск по запросу «Audit» и найдите небольшое количество событий, которые сосредоточены на журнале аудита. Пример.

Событие 1403
Это информационное событие, которое запускается, когда демон события сталкивается с событием 1403. Это может соответствовать всему, что указано в разделе примечаний, при условии, что пользователь настроил это в управляющей программе событий. Если управляющая программа событий настроена для syslog, то это небольшое количество событий можно направить в этот syslog.

symaudit -sid <sid> show полезно для быстрого просмотра периода аудита и подсчета записей.

Пример из лабораторной работы с массивами 5978 и 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Начальный номер записи 1 означает, что журнал аудита в этих массивах еще не завершен.
 
Пример обернутого журнала аудита:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Для этого закрытого журнала любая запись, предшествующая 2390445, больше не доступна.

Где физически находится этот файл аудита, путь и имя файла?

• Журнал аудита не является стандартным файлом журнала, хранящимся в фиксированном местоположении. Вместо этого он генерируется с помощью symaudit команды. Данные аудита извлекаются из файловой системы Symmetrix в старых массивах или из глобальной памяти в более новых, а затем вручную копируются в текстовый файл.
• Мы не можем просмотреть файл аудита, так как он находится за пределами доступного расположения.

Можно ли изменить размер файла с ограничением в 1 Гбайт (чтобы можно было больше записывать в журналы аудита)?
Мы не можем изменить размер в 1 Гбайт. Он хранится в буфере массива. Когда symaudit list команда, системные вызовы передаются в массив, и появляется дисплей.

Если размер в 1 Гбайт не изменяется, сколько месяцев или лет потребуется для его перезаписи?
Для новых массивов общий размер журнала аудита составляет 1 Гбайт, то есть в нем содержится около 2 млн записей. Каждая запись имеет фиксированный размер — 512 байт. Это также относится к массивам V4.

Когда журнал заполняется, он завершается и начинает перезаписывать самые старые записи. Однако 2 миллиона записей – это очень много. Такое случается редко.

Демон событий сообщает о событии, которое говорит о том, что оно приближается к завершению. Идея заключается в том, что клиенты могут выполнять любые действия, которые они хотят. Например, экспортировать журнал в какую-нибудь базу данных, чтобы ничего не потерять.

Скорость завершения зависит от объема активности и скорости записи аудита.

Если каждую минуту писать по одной записи, то она будет закончена примерно за четыре года.

При устойчивой фоновой оркестровке и другой активности (например, VASA) он может записывать записи чаще. Это всегда было источником противоречивых целей. Мы хотим записывать все, что происходит, но мы также не хотим слишком часто оборачивать журнал аудита.

Ниже перечислены проблемы, связанные с увеличением размера журнала аудита.

1. Это дорогостоящий вариант, так как он хранится в глобальной памяти массива.
2. Не сразу казалось, что удвоение размера окажет существенное влияние. Обертывание все еще может произойти, поэтому все должны быть готовы к такой возможности. Ключевой вопрос заключается в том, как часто это происходит. Мы не можем сделать его бесконечно большим или гарантировать опыт без обертки.

Можно ли пересылать журналы аудита на внешний сервер Syslog?

Нет, не можем.

Может ли Unisphere для PowerMax столкнуться с замедлением производительности по мере заполнения журналов?

Нет, не повлияет.

Можно ли настроить предпочтительный срок хранения?

Нет, размер 1 Гбайт изменить нельзя.

Для более старых массивов, таких как 100K, 200K, 400K, применимо следующее объяснение.Данные

записываются в общий файл аудита во время операций управления VMAX. Общий журнал аудита сопоставляет действия со всех хостов в одном файле, хранящемся в файловой системе Symmetrix (SFS). Переменная symaudit включает фильтрацию общего файла журнала аудита для указанного дискового массива VMAX. Журнал аудита находится в массиве емкостью 40 Мбайт. При достижении ограничения в 40 Мбайт журнал начинает перезаписываться. Обслуживание этого файла не требуется, если только записи не будут собраны до перезапуска циклического пространства размером 40 Мбайт.