VMAX All Flash, PowerMax V3 e V4: LOGS DE AUDITORIA: Tudo o que você deve saber.

Log de auditoria:

O log de auditoria registra as principais atividades em um array, inclusive: 

• Ações iniciadas pelo host 
• Alterações físicas de componentes 
• Ações na MMCS 
• D@RE principais eventos de gerenciamento 
• Tentativas bloqueadas por controles de segurança (controles de acesso) 

O log de auditoria é seguro e à prova de adulteração para que o conteúdo do evento não possa ser alterado. Os usuários com acesso ao Auditor podem visualizar, mas não modificar, o log.

Os registros de auditoria do sistema de armazenamento vêm do banco de dados SYMAPI e incluem todas as ações realizadas nesse sistema de armazenamento. 

O log de auditoria é armazenado no array PowerMax. Ele tem 1 GB de tamanho.

O catálogo de mensagens do log de auditoria contém mensagens de auditoria geradas pelo Solutions Enabler e registradas no sistema de armazenamento. Com o PowerMaxOS 10, foi introduzido um novo formato de auditoria padronizado. Além disso, para sistemas de armazenamento que executam o HYPERMAX OS 5977 ou PowerMaxOS 5978, os usuários podem selecionar o novo formato em vez do formato legado.

O log de auditoria: 

• Tem recursos avançados de pesquisa e filtro, como: 
  • Período de tempo específico (por exemplo, últimas 24 horas, última semana, data específica) 
  • Usuário específico (nome de usuário, função de usuário) 
  • Tipo e categoria de operação 
  • Tipo de aplicativo (Unisphere, CLI) 
  • Nome de host 
  • Frase de pesquisa 
• Os registros e a lista de logs de auditoria filtrados podem ser exportados para um arquivo .log. Isso é facilitado com um endpoint REST.

LOG DE AUDITORIA VERSUS EVENTOS DE

AUDITORIALog de
auditoriaOs logs de auditoria são um registro interno para manter quase tudo o que acontece no array. Você pode usar o Solutions Enabler para consultar o log de auditoria. symaudit list é o comando com várias opções. Esse é o registro que está no array, tem 1 GB de tamanho e contém milhões de registros. Isso não deve ser confundido com eventos de auditoria.

Eventos
de auditoriaO daemon de eventos pode ser usado para relatar alguns eventos de auditoria. Eles estão listados no guia de eventos e alertas. Pesquise por "Audit" e localize o pequeno número de eventos focados no log de auditoria. Por exemplo:

Evento 1403
Este é um evento informativo acionado quando o daemon de eventos encontra um 1403. Isso pode corresponder a qualquer item listado na seção de notas, desde que o usuário o tenha configurado no daemon de eventos. Se o daemon de eventos estiver configurado para syslog, esse pequeno número de eventos poderá ser direcionado para esse syslog.

symaudit -sid <sid> show é útil para ver rapidamente até onde o log de auditoria vai e para obter uma contagem de registros.

Exemplo do laboratório de arrays 5978 e 6079:

root@testlab ~]# symaudit show -sid 111
 
              A U D I T   L O G   D A T A
 
Symmetrix ID            : 000197700111

Starting date           : 12/04/2018 13:14:12
Ending date             : 04/30/2025 02:48:27

Starting record number  :       1
Ending record number    : 1704552
Total record count      : 1704552
Audit Format            :  Legacy

[root@testlab ~]# symaudit show -sid 222

              A U D I T   L O G   D A T A

Symmetrix ID            : 000120002222

Starting date           : 02/22/2023 15:15:22
Ending date             : 04/30/2025 02:46:41

Starting record number  :       1
Ending record number    :  303868
Total record count      :  303868
Audit Format            :     New

O número de registro inicial 1 implica que o log de auditoria nesses arrays ainda não foi encapsulado.
 
Exemplo de um log de auditoria agrupado:  

[root@testlab ~]# symaudit show -sid 333

              A U D I T   L O G   D A T A

Symmetrix ID            : 000197600333

Starting date           : 11/18/2022 04:42:26
Ending date             : 04/30/2025 03:04:18

Starting record number  : 2390445
Ending record number    : 4487596
Total record count      : 2097152
Audit Format            :  Legacy

Para esse registro agrupado, qualquer registro anterior ao 2390445 não estará mais disponível.

Onde esse arquivo de auditoria está fisicamente localizado, caminho e nome de arquivo?

• Um log de auditoria não é um arquivo de log padrão armazenado em um local fixo. Em vez disso, ele é gerado usando symaudit a seguir. Os dados de auditoria são recuperados do file system do Symmetrix em arrays mais antigos ou da memória global em arrays mais recentes e, em seguida, copiados manualmente em um arquivo de texto.
• Não é possível ver o arquivo de auditoria, pois ele não está em um local que podemos acessar.

O arquivo limitado de 1 GB pode ser editado para alterar o tamanho do arquivo (assim, os logs de auditoria podem ser gravados mais)?
Não podemos alterar o tamanho de 1 GB. Ele é armazenado em um buffer no array. Quando um symaudit list O comando é emitido, as syscalls são passadas para o array e a exibição é exibida.

Se o tamanho de 1 GB não puder ser alterado, quantos meses ou anos levaria para que o tamanho de 1 GB fosse substituído?
Para arrays novos, o tamanho de um log de auditoria é de 1 GB no total, ou seja, espaço para cerca de 2 milhões de registros. Cada registro tem um tamanho fixo, 512 bytes. Esse também é o caso dos arrays V4.

Quando o log está cheio, ele é encapsulado e começa a substituir os registros mais antigos. No entanto, 2 milhões de registros são muitos. Isso raramente acontece.

O Daemon do evento expõe um evento que diz estar se aproximando do encerramento. A ideia é que os clientes possam tomar as medidas que quiserem. Por exemplo, exportar o log para algum banco de dados para que nada seja perdido.

A rapidez com que ele é encapsulado depende da quantidade de atividade e da rapidez com que os registros de auditoria estão sendo gravados.

Se um registro for escrito a cada minuto, ele terminará em cerca de quatro anos.

Com orquestração estável em segundo plano e outras atividades (como VASA), ele pode gravar registros com mais frequência do que isso. Isso sempre foi uma fonte de objetivos conflitantes. Queremos gravar tudo o que acontece, mas também não queremos encapsular o log de auditoria com muita frequência.

A seguir estão os desafios para aumentar o tamanho do log de auditoria:

1. É caro, pois é mantido na memória global do array.
2. Dobrar o tamanho não parecia imediatamente ter um impacto significativo. O envelopamento ainda pode ocorrer, então todos devem estar prontos para essa possibilidade. A questão-chave é a frequência com que isso acontece. Não podemos torná-lo infinitamente grande ou garantir uma experiência sem envolvimento.

Podemos encaminhar logs de auditoria para um servidor Syslog externo?

Não, não podemos.

O Unisphere para PowerMax pode experimentar lentidão de desempenho à medida que os registros ficam cheios?

Não, não há impacto.

Há uma retenção preferencial que pode ser definida?

Não, o tamanho de 1 GB não pode ser alterado.

Para arrays mais antigos, como 100K, 200K, 400K, a seguinte explicação se aplica:

Os dados são gravados em um arquivo de auditoria comum durante as operações de controle do VMAX. O log de auditoria comum correlaciona a atividade de todos os hosts em um único arquivo armazenado no Symmetrix File System (SFS). O comando symaudit permite a filtragem do arquivo comum de log de auditoria para um array VMAX especificado. O log de auditoria reside no array com uma capacidade de 40 MB. Quando o limite de 40 MB é atingido, o log começa a se sobrescrever. Não há manutenção para esse arquivo, a menos que os registros sejam capturados antes que o espaço circular de 40 MB seja reciclado.