VMAX All Flash, PowerMax V3 et V4 : JOURNAUX D’AUDIT : Tout ce que vous devez savoir.

Journal d’audit :

Le journal d’audit enregistre les principales activités sur une baie, notamment : 

• Actions initiées par l’hôte 
• Modifications apportées aux composants physiques 
• Actions sur la MMCS 
• D@RE événements de gestion clés 
• Tentatives bloquées par les contrôles de sécurité (contrôles d’accès) 

Le journal d’audit est sécurisé et infalsifiable afin que le contenu des événements ne puisse pas être modifié. Les utilisateurs disposant d’un accès Auditeur peuvent afficher, mais pas modifier, le journal.

Les enregistrements d’audit du système de stockage proviennent de la base de données SYMAPI et incluent toutes les actions qui sont effectuées sur ce système de stockage. 

Le journal d’audit est stocké sur la baie PowerMax. Sa taille est de 1 Go.

Le catalogue de messages Audit Log contient les messages d’audit générés par Solutions Enabler et enregistrés dans le système de stockage. Avec PowerMaxOS 10, un nouveau format d’audit standardisé a été introduit. En outre, pour les systèmes de stockage exécutant HYPERMAX OS 5977 ou PowerMaxOS 5978, les utilisateurs peuvent sélectionner le nouveau format au lieu du format hérité.

Le journal d’audit : 

• Possède des fonctionnalités de recherche et de filtrage avancées, telles que : 
  • Période spécifique (par exemple, dernière 24 heures, semaine dernière, date spécifique) 
  • Utilisateur spécifique (nom d’utilisateur, rôle utilisateur) 
  • Type et catégorie d’opération 
  • Type d’application (Unisphere, CLI) 
  • Nom d’hôte 
  • Phrase de recherche 
• Les enregistrements et la liste des journaux d’audit filtrés peuvent être exportés vers un fichier .log. Cela est facilité par un point de terminaison REST.

JOURNAL D’AUDIT ET ÉVÉNEMENTS D’AUDIT

Journal d’audit
Les journaux d’audit constituent un enregistrement interne qui conserve presque tout ce qui se passe sur la baie. Vous pouvez utiliser Solutions Enabler pour interroger le journal d’audit. symaudit list est la commande avec différentes options. Il s’agit du journal situé sur la baie, d’une taille de 1 Go et contenant des millions d’enregistrements. Cela ne doit pas être confondu avec les événements d’audit.

Événements
d’auditLe processus d’événement peut être utilisé pour signaler quelques événements d’audit. Ces éléments sont répertoriés dans le guide des événements et des alertes. Recherchez sur « Audit » et recherchez le petit nombre d’événements qui sont concentrés sur le journal d’audit. Par exemple :

Événement 1403
: il s’agit d’un événement d’information déclenché lorsque le processus d’événement rencontre un événement 1403. Cela peut correspondre à n’importe quel élément répertorié dans la section remarques, à condition que l’utilisateur l’ait configuré dans le processus d’événement. Si le processus d’événement est configuré pour syslog, ce petit nombre d’événements peut être dirigé vers ce syslog.

symaudit -sid <sid> show est utile pour voir rapidement jusqu’où remonte le journal d’audit et pour obtenir un nombre d’enregistrements.

Exemple tiré des exercices pratiques sur les baies 5978 et 6079 :

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

Le numéro d’enregistrement de départ de 1 implique que le journal d’audit sur ces baies n’est pas encore encapsulé.
 
Exemple de journal d’audit encapsulé :  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Pour ce log encapsulé, tout enregistrement antérieur à 2390445 n’est plus disponible.

Où se trouve physiquement ce fichier d’audit, chemin d’accès et nom de fichier ?

• Un journal d’audit n’est pas un fichier journal standard stocké à un emplacement fixe. Au lieu de cela, il est généré à l’aide de symaudit suivantes. Les données d’audit sont extraites du système de fichiers Symmetrix dans les baies plus anciennes ou de la mémoire globale dans les baies plus récentes, puis copiées manuellement dans un fichier texte.
• Nous ne pouvons pas voir le fichier d’audit, car il ne se trouve pas à un emplacement auquel nous pouvons accéder.

Le fichier limité à 1 Go peut-il être modifiable pour modifier la taille du fichier (afin que les journaux d’audit puissent être écrits davantage) ?
Nous ne pouvons pas modifier la taille de 1 Go. Elle est stockée dans une mémoire tampon sur la baie. Lorsqu’un symaudit list commande est émise, les syscalls sont transmis à la baie et l’affichage s’affiche.

Si la taille de 1 Go ne peut pas être modifiée, combien de mois ou d’années faudrait-il pour que la taille de 1 Go soit écrasée ?
Pour les nouvelles baies, la taille d’un journal d’audit est de 1 Go au total, soit de la place pour environ 2 millions d’enregistrements. Chaque enregistrement a une taille fixe, 512 octets. C’est également le cas pour les baies V4.

Lorsque le journal est plein, il est renvoyé à la ligne et commence à écraser les enregistrements les plus anciens. Cependant, 2 millions d’enregistrements, c’est beaucoup. Cela arrive rarement.

Le processus d’événement expose un événement qui dit qu’il est proche de la conclusion. L’idée est que les clients puissent prendre les mesures qu’ils souhaitent. Par exemple, exporter le journal vers une base de données afin de ne rien perdre.

La rapidité avec laquelle il se termine dépend du niveau d’activité et de la rapidité avec laquelle les enregistrements d’audit sont écrits.

Si un disque est écrit toutes les minutes, il se terminera en quatre ans environ.

Avec une orchestration en arrière-plan stable et d’autres activités (telles que VASA), il peut écrire des enregistrements plus souvent que cela. Cela a toujours été une source d’objectifs contradictoires. Nous voulons écrire tout ce qui se passe, mais nous ne voulons pas non plus encapsuler le journal d’audit trop souvent.

Voici quelques défis liés à l’augmentation de la taille du journal d’audit :

1. Elle est coûteuse, car elle est conservée dans la mémoire globale de la baie.
2. Le doublement de la taille n’a pas semblé avoir un impact significatif dans l’immédiat. L’habillage pourrait toujours se produire, donc tout le monde doit être prêt à cette possibilité. La question clé est de savoir à quelle fréquence cela se produit. Nous ne pouvons pas le rendre infiniment grand ou garantir une expérience sans enveloppement.

Peut-on transférer les journaux d’audit vers un serveur Syslog externe ?

Non, nous ne pouvons pas.

Les performances de Unisphere for PowerMax peuvent-elles être ralenties lorsque les journaux deviennent saturés ?

Non, il n’y a pas d’impact.

Y a-t-il une rétention préférée qui peut être définie ?

Non, la taille de 1 Go ne peut pas être modifiée.

Pour les baies plus anciennes telles que 100K, 200K, 400K, l’explication suivante s’applique :

Les données sont écrites dans un fichier d’audit commun lors des opérations de contrôle VMAX. Le journal d’audit commun corrèle l’activité de tous les hôtes dans un fichier stocké dans le système de fichiers Symmetrix (SFS). Le symaudit active le filtrage du fichier journal d’audit commun pour une baie VMAX spécifiée. Le journal d’audit réside sur la baie et dispose d’une capacité de 40 Mo. Une fois la limite de 40 Mo atteinte, le journal commence à écraser lui-même son contenu. Il n’y a pas de maintenance pour ce fichier, sauf si les enregistrements sont capturés avant que l’espace circulaire de 40 Mo ne soit recyclé.