PowerScale : Affichage des journaux d’audit pour OneFS
Summary: Cet article est utile pour les clients qui ont activé l’audit sur leur cluster et souhaitent afficher les journaux d’audit directement sur OneFS au lieu de s’appuyer sur un outil d’audit tiers. ...
Instructions
OneFS peut auditer les événements de configuration système, SMB (Server Message Block), NFS (Network File System) et HDFS (Hadoop Distributed File System) sur le cluster PowerScale.
Toutes les données d’audit sont stockées dans des fichiers appelés rubriques d’audit, qui collectent des informations de journal qui peuvent être traitées ultérieurement par les outils d’audit. Si l’audit de protocole est activé, les événements d’accès aux fichiers via SMB, NFS et HDFS sont stockés dans la rubrique d’audit de protocole. Si l’audit de configuration est activé, l’API (interface de programmation d’application) suit et enregistre tous les événements de configuration de la rubrique d’audit de configuration.
L’audit n’est pas configuré par défaut. Pour activer l’audit sur votre système, reportez-vous au guide produit Audit du système de fichiers avec Dell PowerScale
Une fois l’audit configuré sur OneFS, tous les journaux d’audit sont enregistrés sur le cluster dans un emplacement centralisé sous /ifs/.ifsvar/audit/logs. Les journaux d’audit sont enregistrés au format binaire, mais OneFS fournit les éléments suivants : isi_audit_viewer pour afficher les journaux d’audit binaires stockés sur le cluster. La commande isi_audit_viewer peut fournir une vue des journaux de protocole ou de configuration.
Par défaut, l’option isi_audit_viewer L’outil affiche uniquement les journaux d’audit du nœud local et uniquement les journaux des dernières 24 heures. Il existe plusieurs options avec isi_audit_viewer Outil qui peut être utilisé pour restreindre la recherche à un certain horodatage ou nœud :
Usage: isi_audit_viewer [ -n <nodeid> | -t <topic> | -s <starttime>| -e <endtime> | -v ] -n <nodeid> : Specify node id to browse (default: local node) -t <topic> : Choose topic to browse. Topics are "config" and "protocol" (default: "config") -s <start> : Browse audit logs starting at <starttime> -e <end> : Browse audit logs ending at <endtime> -v verbose : Prints out start / end time range before printing records Note: Start and End times are expressable as a date format "YYYY-MM-DD HH:MM:SS", where fields represent year/month/day/hours/minutes/seconds. If time is not specified, end time defaults to now and start time to 24 hours before end time. For example, the below command shows the protocol audit logs from node 3 for the month of June 2020: # isi_audit_viewer -n 3 -t protocol -s "2020-06-01 00:00:00" -e "2020-07-01 00:00:00"
Pour plus d’informations sur les valeurs de charge utile d’audit, reportez-vous à l’article Isilon suivant : Liste des valeurs de charge utile d’audit Isilon.