Шкала потужності: Як переглянути журнали аудиту для OneFS
Summary: Ця стаття корисна для клієнтів, які ввімкнули аудит у своєму кластері та хочуть переглядати журнали аудиту безпосередньо в OneFS, а не покладатися на сторонній інструмент аудиту.
Instructions
OneFS може перевіряти події конфігурації системи, події доступу до протоколів блоку повідомлень сервера (SMB), мережевої файлової системи (NFS) і протоколу розподіленої файлової системи Hadoop (HDFS) на кластері PowerScale.
Усі дані аудиту зберігаються у файлах, які називаються темами аудиту, які збирають інформацію журналу, яка може бути додатково оброблена інструментами аудиту. Якщо аудит протоколу ввімкнено, події доступу до файлів через SMB, NFS і HDFS записуються в тему аудиту протоколу. Якщо аудит конфігурації ввімкнено, інтерфейс прикладного програмування (API) відстежує та записує всі події конфігурації в темі аудиту конфігурації.
Аудит не налаштовано за замовчуванням, щоб увімкнути аудит у вашій системі, зверніться до посібника з продукту Аудит файлової системи за допомогою Dell PowerScale
Після налаштування аудиту на OneFS усі журнали аудиту записуються на кластер у централізованому місці під /ifs/.ifsvar/audit/logs. Журнали аудиту записуються у двійковому форматі, але OneFS надає isi_audit_viewer інструмент для перегляду двійкових журналів аудиту, що зберігаються на кластері. Об'єкт isi_audit_viewer Tool може надавати перегляд протоколу або журналів
налаштувань.За замовчуванням isi_audit_viewer Tool переглядає лише журнали аудиту з локального вузла і лише журнали за останні 24 години. Є кілька варіантів з isi_audit_viewer інструмент, який можна використовувати для звуження пошуку до певної позначки часу або вузла:
Usage: isi_audit_viewer [ -n <nodeid> | -t <topic> | -s <starttime>| -e <endtime> | -v ] -n <nodeid> : Specify node id to browse (default: local node) -t <topic> : Choose topic to browse. Topics are "config" and "protocol" (default: "config") -s <start> : Browse audit logs starting at <starttime> -e <end> : Browse audit logs ending at <endtime> -v verbose : Prints out start / end time range before printing records Note: Start and End times are expressable as a date format "YYYY-MM-DD HH:MM:SS", where fields represent year/month/day/hours/minutes/seconds. If time is not specified, end time defaults to now and start time to 24 hours before end time. For example, the below command shows the protocol audit logs from node 3 for the month of June 2020: # isi_audit_viewer -n 3 -t protocol -s "2020-06-01 00:00:00" -e "2020-07-01 00:00:00"
Для отримання додаткової інформації про значення корисного навантаження аудиту зверніться до наступної статті Isilon: Список значень корисного навантаження аудиту Isilon.