PowerScale: Anzeigen von Auditprotokollen für OneFS

OneFS kann Systemkonfigurationsereignisse, Server Message Block (SMB)-, Network File System (NFS)- und Hadoop Distributed File System (HDFS)-Protokollzugriffsereignisse auf dem PowerScale-Cluster überwachen.

Alle Auditdaten werden in Dateien gespeichert, die als Auditthemen bezeichnet werden und Protokollinformationen sammeln, die von Audittools weiterverarbeitet werden können. Wenn das Protokollauditing aktiviert ist, werden Dateizugriffsereignisse über SMB, NFS und HDFS im Protokollauditthema aufgezeichnet. Wenn das Konfigurationsauditing aktiviert ist, verfolgt die API (Application Programming Interface) alle Konfigurationsereignisse im Konfigurationsauditthema und zeichnet sie auf.

Das Auditing ist nicht standardmäßig konfiguriert. Informationen zum Aktivieren des Auditings auf Ihrem System finden Sie im Produkthandbuch Dateisystemauditing mit Dell PowerScale

Sobald das Auditing in OneFS konfiguriert ist, werden alle Auditprotokolle auf dem Cluster an einem zentralen Ort aufgezeichnet unter /ifs/.ifsvar/audit/logs. Auditprotokolle werden in einem Binärformat aufgezeichnet, aber OneFS stellt die isi_audit_viewer , um die auf dem Cluster gespeicherten binären Auditprotokolle anzuzeigen. Die Spalte isi_audit_viewer kann eine Ansicht der Protokoll- oder Konfigurationsprotokolle bereitstellen.

Standardmäßig ist das Symbol isi_audit_viewer Das Tool zeigt nur die Auditprotokolle des lokalen Node und nur die Protokolle der letzten 24 Stunden an. Es gibt mehrere Optionen mit isi_audit_viewer Tool, mit dem die Suche auf einen bestimmten Zeitstempel oder Knoten eingegrenzt werden kann:

Usage: isi_audit_viewer [ -n <nodeid> | -t <topic> | -s <starttime>| -e <endtime> | -v ]
         -n <nodeid> : Specify node id to browse (default: local node)
         -t <topic>  : Choose topic to browse. Topics are "config" and "protocol" (default: "config")
         -s <start>  : Browse audit logs starting at <starttime>
         -e <end>    : Browse audit logs ending at <endtime>
         -v verbose  : Prints out start / end time range before printing records
         
Note: Start and End times are expressable as a date format "YYYY-MM-DD HH:MM:SS", where fields represent year/month/day/hours/minutes/seconds.
If time is not specified, end time defaults to now and start time to 24 hours before end time.

For example, the below command shows the protocol audit logs from node 3 for the month of June 2020:
# isi_audit_viewer -n 3 -t protocol -s "2020-06-01 00:00:00" -e "2020-07-01 00:00:00"

Weitere Informationen zu den Audit-Payload-Werten finden Sie im folgenden Artikel Isilon: Liste der Isilon-Audit-Payload-Werte.