PowerScale: Como visualizar logs de auditoria do OneFS
Summary: Este artigo é útil para clientes que têm a auditoria habilitada em seu cluster e desejam visualizar logs de auditoria diretamente no OneFS, em vez de depender de uma ferramenta de auditoria de terceiros. ...
Instructions
O OneFS pode auditar eventos de configuração do sistema, eventos de acesso ao protocolo SMB (Server Message Block), NFS (Network File System, sistema de arquivos de rede) e HDFS (Hadoop Distributed File System) no cluster do PowerScale.
Todos os dados de auditoria são armazenados em arquivos chamados tópicos de auditoria, que coletam informações de log que podem ser processadas posteriormente por ferramentas de auditoria. Se a auditoria de protocolos estiver ativada, os eventos de acesso a arquivos por meio de SMB, NFS e HDFS serão registrados no tópico de auditoria de protocolo. Se a auditoria de configuração estiver habilitada, a interface de programação de aplicativos (API) rastreia e registra todos os eventos de configuração no tópico de auditoria de configuração.
A auditoria não está configurada por padrão. Para ativá-la em seu sistema, consulte o guia do produto Auditoria de file system com o Dell PowerScale
Depois que a auditoria é configurada no OneFS, todos os logs de auditoria são registrados no cluster em um local centralizado em /ifs/.ifsvar/audit/logs. Os logs de auditoria são registrados em formato binário, mas o OneFS fornece o isi_audit_viewer para visualizar os logs binários de auditoria armazenados no cluster. A coluna isi_audit_viewer A ferramenta pode fornecer uma visualização dos logs de protocolo ou configuração.
Por padrão, o isi_audit_viewer A ferramenta visualiza apenas os logs de auditoria do nó local e somente os logs das últimas 24 horas. Há várias opções com isi_audit_viewer Ferramenta que pode ser usada para restringir a pesquisa a um determinado nó ou registro de data e hora:
Usage: isi_audit_viewer [ -n <nodeid> | -t <topic> | -s <starttime>| -e <endtime> | -v ] -n <nodeid> : Specify node id to browse (default: local node) -t <topic> : Choose topic to browse. Topics are "config" and "protocol" (default: "config") -s <start> : Browse audit logs starting at <starttime> -e <end> : Browse audit logs ending at <endtime> -v verbose : Prints out start / end time range before printing records Note: Start and End times are expressable as a date format "YYYY-MM-DD HH:MM:SS", where fields represent year/month/day/hours/minutes/seconds. If time is not specified, end time defaults to now and start time to 24 hours before end time. For example, the below command shows the protocol audit logs from node 3 for the month of June 2020: # isi_audit_viewer -n 3 -t protocol -s "2020-06-01 00:00:00" -e "2020-07-01 00:00:00"
Para obter mais informações sobre os valores de payload de auditoria, consulte o seguinte artigo Isilon: Lista de valores de payload de auditoria do Isilon.