VMAX All Flash, PowerMax V3 y V4: REGISTROS DE AUDITORÍA: Todo lo que debes saber.

Registro de auditoría:

El registro de auditoría registra las actividades principales en un arreglo, incluidas las siguientes: 

• Acciones iniciadas por el host 
• Cambios en los componentes físicos 
• Acciones en la MMCS 
• D@RE eventos de administración de claves 
• Intentos bloqueados por controles de seguridad (controles de acceso) 

El registro de auditoría es seguro y a prueba de alteraciones, por lo que el contenido de los eventos no se puede modificar. Los usuarios con acceso de auditor pueden ver el registro, pero no modificarlo.

Los registros de auditoría del sistema de almacenamiento provienen de la base de datos de SYMAPI e incluyen todas las acciones que se realizan en ese sistema de almacenamiento. 

El registro de auditoría se almacena en el arreglo PowerMax. Tiene un tamaño de 1 GB.

El catálogo de mensajes del registro de auditoría contiene mensajes de auditoría generados por Solutions Enabler y registrados en el sistema de almacenamiento. Con PowerMaxOS 10, se introdujo un nuevo formato de auditoría estandarizado. Además, para los sistemas de almacenamiento que ejecutan HYPERMAX OS 5977 o PowerMaxOS 5978, los usuarios pueden seleccionar el nuevo formato en lugar del formato heredado.

El registro de auditoría: 

• Tiene funcionalidades avanzadas de búsqueda y filtrado, como las siguientes: 
  • Período específico (por ejemplo, últimas 24 horas, semana pasada, fecha específica) 
  • Usuario específico (nombre de usuario, función de usuario) 
  • Tipo y categoría de operación 
  • Tipo de aplicación (Unisphere, CLI) 
  • Nombre del host 
  • Frase de búsqueda 
• Los registros y la lista de registros de auditoría filtrada se pueden exportar a un archivo .log. Esto se facilita con un terminal REST.

REGISTRO DE AUDITORÍA frente a EVENTOS

DE AUDITORÍARegistro de
auditoríaLos registros de auditoría son un registro interno para guardar casi todo lo que sucede en el arreglo. Puede usar Solutions Enabler para consultar el registro de auditoría. symaudit list es el comando con varias opciones. Este es el registro que está en el arreglo, tiene un tamaño de 1 GB y contiene millones de registros. Esto no debe confundirse con los eventos de auditoría.

Eventos
de auditoríaEl demonio de eventos se puede utilizar para informar sobre algunos eventos de auditoría. Estos se enumeran en la guía de eventos y alertas. Busque en "Audit" y encuentre la pequeña cantidad de eventos que se centran en el registro de auditoría. Por ejemplo:

Evento 1403
: este es un evento informativo que se activa cuando el demonio de eventos encuentra un 1403. Esto puede corresponder a cualquier cosa enumerada en la sección notes, siempre que el usuario lo haya configurado en el demonio de eventos. Si el demonio de eventos está configurado para el registro del sistema, esta pequeña cantidad de eventos se puede dirigir a ese registro del sistema.

symaudit -sid <sid> show es útil para ver rápidamente hasta dónde se remonta el registro de auditoría y para obtener un recuento de registros.

Ejemplo del laboratorio de arreglos 5978 y 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

El número de registro inicial de 1 implica que el registro de auditoría en esos arreglos aún no se ha ajustado.
 
Ejemplo de un registro de auditoría ajustado:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Para ese registro ajustado, cualquier registro anterior a 2390445 ya no está disponible.

¿Dónde se encuentra físicamente este archivo de auditoría, su ruta y su nombre de archivo?

• Un registro de auditoría no es un archivo de registro estándar almacenado en una ubicación fija. En su lugar, se genera utilizando symaudit . Los datos de auditoría se recuperan del sistema de archivos Symmetrix en arreglos más antiguos o de la memoria global en los más recientes y, a continuación, se copian manualmente en un archivo de texto.
• No podemos ver el archivo de auditoría porque no se encuentra en una ubicación a la que podamos acceder.

¿Se puede editar el archivo limitado de 1 GB para cambiar el tamaño del archivo (de modo que se puedan escribir más registros de auditoría)?
No podemos modificar el tamaño de 1 GB. Se almacena en un buffer en el arreglo. Cuando un symaudit list se emite el comando, las syscalls se pasan al arreglo y aparece la pantalla.

Si el tamaño de 1 GB no puede modificarse, ¿cuántos meses o años tardaría en sobrescribirse?
Para los arreglos nuevos, el tamaño de un registro de auditoría es de 1 GB en total, es decir, espacio para aproximadamente 2 millones de registros. Cada registro tiene un tamaño fijo, 512 bytes. Este también es el caso de los arreglos V4.

Cuando el registro está lleno, se ajusta y comienza a sobrescribir los registros más antiguos. Sin embargo, 2 millones de discos son muchos. Esto rara vez sucede.

El demonio de eventos expone un evento que indica que se está acercando a su finalización. La idea es que los clientes puedan tomar las medidas que deseen. Por ejemplo, exportar el registro a alguna base de datos para que no se pierda nada.

La rapidez con la que se ajusta depende de la cantidad de actividad que haya y de la rapidez con la que se escriban los registros de auditoría.

Si se escribe un disco cada minuto, terminará en unos cuatro años.

Con una orquestación en segundo plano estable y otra actividad (como VASA), es posible que escriba registros con más frecuencia que eso. Eso siempre ha sido una fuente de objetivos contradictorios. Queremos escribir todo lo que sucede, pero tampoco queremos ajustar el registro de auditoría con demasiada frecuencia.

Los siguientes son desafíos para aumentar el tamaño del registro de auditoría:

1. Es costoso, ya que se almacena en la memoria global del arreglo.
2. Duplicar el tamaño no parecía tener un impacto significativo de inmediato. La envoltura aún podría ocurrir, por lo que todos deben estar preparados para esa posibilidad. La pregunta clave es con qué frecuencia sucede. No podemos hacerlo infinitamente grande ni garantizar una experiencia sin envolturas.

¿Podemos reenviar los registros de auditoría a un servidor syslog externo?

No, no podemos.

¿Podría Unisphere para PowerMax experimentar una ralentización del rendimiento a medida que se llenan los registros?

No, no hay repercusiones.

¿Existe una retención recomendada que se pueda establecer?

No, el tamaño de 1 GB no se puede modificar.

Para arreglos más antiguos, como 100K, 200K, 400K, se aplica la siguiente explicación:

Los datos se escriben en un archivo de auditoría común durante las operaciones de control de VMAX. El registro de auditoría común correlaciona la actividad de todos los hosts en un archivo almacenado en Symmetrix File System (SFS). La variable symaudit permite el filtrado del archivo de registro de auditoría común para un arreglo VMAX especificado. El registro de auditoría reside en el arreglo con una capacidad de 40 MB. Una vez que se alcanza el límite de 40 MB, el registro comienza a sobrescribirse. No se realiza mantenimiento para este archivo, a menos que los registros se capturen antes de que se recicle el espacio circular de 40 MB.