VMAX All Flash, PowerMax V3 і V4: ЖУРНАЛИ АУДИТУ: Все, що ви повинні знати.

Журнал аудиту:

У журналі аудиту записуються основні дії на масиві, зокрема: 

• Дії, ініційовані господарем 
• Зміни фізичної складової 
• Дії на ГМКС 
• D@RE ключових управлінських подій 
• Спроби, заблоковані засобами керування безпекою (Access Controls) 

Журнал аудиту захищений і захищений від несанкціонованого доступу, тому вміст події не може бути змінений. Користувачі з доступом до Аудитора можуть переглядати, але не змінювати журнал.

Записи аудиту системи зберігання надходять із бази даних SYMAPI та включають усі дії, які виконуються в цій системі зберігання. 

Журнал аудиту зберігається на масиві PowerMax. Його розмір становить 1 Гб.

Каталог повідомлень журналу аудиту містить повідомлення про аудит, згенеровані програмою Solutions Enabler і записані в системі зберігання. У PowerMaxOS 10 було впроваджено новий стандартизований формат аудиту. Крім того, для систем зберігання даних під управлінням HYPERMAX OS 5977 або PowerMaxOS 5978 користувачі можуть вибрати новий формат замість застарілого формату.

Журнал аудиту: 

• Має розширені можливості пошуку та фільтрації, такі як: 
  • Конкретний період часу (наприклад, останні 24 години, минулий тиждень, конкретна дата) 
  • Конкретний користувач (ім'я користувача, роль користувача) 
  • Тип і категорія операції 
  • Тип програми (Unisphere, CLI) 
  • Ім'я хоста 
  • Пошукова фраза 
• Записи та відфільтрований список журналу аудиту можна експортувати у файл .log. Цьому сприяє кінцева точка REST.

ЖУРНАЛ АУДИТУ vs ПОДІЇ

АУДИТУЖурнал
аудитуЖурнали аудиту – це внутрішній запис для зберігання майже всього, що відбувається на масиві. За допомогою Solutions Enabler можна надіслати запит до журналу аудиту. Symaudit list – це команда з різними опціями. Це журнал, який знаходиться на масиві, має розмір 1 ГБ і містить мільйони записів. Це не слід плутати з аудиторськими заходами.

Аудиторські заходи
Фонова служба подій може використовуватися для звітування про декілька подій аудиту. Вони перелічені в довіднику про події та оповіщення. Введіть у полі «Аудит» і знайдіть невелику кількість подій, які зосереджені в журналі аудиту. Наприклад:

Подія 1403
Це інформаційна подія, яка ініціюється, коли демон події стикається з номером 1403. Це може відповідати всьому, що вказано у розділі нотаток, за умови, що користувач налаштував це у фоні подій. Якщо фонову службу подій налаштовано для syslog, то цю невелику кількість подій можна спрямувати до цього системного журналу.

symaudit -sid <sid> show корисно для швидкого перегляду відстані назад журналу аудиту та отримання кількості записів.

Приклад з лабораторії масивів 5978 та 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Початковий номер запису 1 означає, що журнал аудиту цих масивів ще не завершено.
 
Приклад обгорнутого журналу аудиту:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Для цього обгорнутого журналу будь-який запис до 2390445 більше не доступний.

Де фізично знаходиться цей файл аудиту, шлях та ім'я файлу?

• Журнал аудиту – це не стандартний файл журналу, який зберігається у фіксованому місці. Замість цього він генерується за допомогою специфічних symaudit Команди. Дані аудиту витягуються з файлової системи Symmetrix у старих масивах або з Глобальної пам'яті у новіших, а потім вручну копіюються в текстовий файл.
• Ми не можемо побачити файл аудиту, оскільки він знаходиться не в місці, до якого ми маємо доступ.

Чи можна редагувати файл розміром 1 ГБ розміром 1 ГБ, щоб змінити розмір файлу (щоб можна було записувати більше журналів аудиту)?
Ми не можемо змінити розмір 1 ГБ. Він зберігається в буфері на масиві. Коли symaudit list Видається команда, системні виклики передаються масиву і з'являється дисплей.

Якщо розмір 1 ГБ не можна змінити, скільки місяців або років знадобиться, щоб перезаписати розмір 1 ГБ?
Для нових масивів розмір журналу аудиту сумарно становить 1 Гб, тобто місце для близько 2 мільйонів записів. Кожен запис має фіксований розмір, 512 байт. Це стосується і масивів V4.

Коли журнал заповнюється, він обгортається і починає перезаписувати найстаріші записи. Однак 2 мільйони рекордів – це дуже багато. Таке трапляється рідко.

Демон події викриває подію, яка говорить, що наближається до завершення. Ідея полягає в тому, що клієнти можуть виконувати будь-які дії, які вони хочуть. Наприклад, експортувати журнал в якусь базу даних, щоб нічого не було втрачено.

Як швидко він загортається, залежить від того, наскільки велика активність, і як швидко записуються аудиторські записи.

Якщо кожну хвилину писати по одній платівці, то вона загорнеться приблизно через чотири роки.

При стабільній фоновій оркестрації та іншій активності (наприклад, VASA) він може записувати записи частіше. Це завжди було джерелом суперечливих цілей. Ми хочемо записувати все, що відбувається, але також не хочемо занадто часто обгортати Журнал аудиту.

Нижче наведено проблеми, пов'язані зі збільшенням розміру журналу аудиту:

1. Він дорогий, так як утримується в глобальній пам'яті на масиві.
2. Подвоєння розміру не відразу здавалося, що це матиме значний вплив. Обгортання все ще може відбутися, тому всі повинні бути готові до такої можливості. Ключове питання полягає в тому, як часто це відбувається. Ми не можемо зробити його нескінченно великим або забезпечити безповоротний досвід.

Чи можемо ми пересилати журнали аудиту на зовнішній сервер Syslog?

Ні, не можемо.

Чи може Unisphere for PowerMax зіткнутися з уповільненням продуктивності, коли журнали заповнюються?

Ні, ніякого впливу.

Чи можна встановити бажане утримання?

Ні, розмір 1 ГБ не можна змінити.

Для старих масивів, таких як 100K, 200K, 400K, застосовується наступне пояснення:

Дані записуються в загальний файл аудиту під час операцій контролю VMAX. Загальний журнал аудиту корелює дії з усіх хостів в одному файлі, що зберігається у файловій системі Symmetrix (SFS). Об'єкт symaudit дозволяє фільтрувати загальний файл журналу аудиту для вказаного масиву VMAX. Журнал аудиту знаходиться на масиві ємністю 40 МБ. Як тільки ліміт в 40 МБ досягнуто, журнал починає перезаписувати себе. Цей файл не обслуговується, якщо записи не записуються до повторного використання кругового простору в 40 МБ.