PowerScale:如何删除审核日志文件
Summary: 本文档介绍删除审核日志文件的支持方法。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
简介
在 OneFS 7.1 及更高版本中,SMB/NFS 审核会为用户定义的 SMB/NFS 事件生成审核日志。写入审核日志后,日志将以异步方式转发到配置的 Common Event Enabler (CEE) 服务器。然后,CEE 服务器将日志转发到定义的审核应用程序端点。
审核日志将无限期保留。日志存储在 /ifs/.ifsvar/audit 目录和以下子目录,其中 nodeXXX 是节点 ID(例如, node001):
/ifs/.ifsvar/audit/logs//ifs/.ifsvar/audit/logs/nodeXXX/ifs/.ifsvar/audit/logs/nodeXXX/protocol
在群集上启用审核后,所有审核日志都将收集在列出的协议子目录中。如果审核功能已启用,然后又禁用,则将继续收集审核日志。审核子系统收集审核信息并将其存储在二进制文件中,二进制文件的大小可以增长到大约 1 GB。当二进制文件达到 1 GB 时,数据将转存到下一个文件并永久保留。无法将文件移动到其他位置。
提醒:二进制文件只能使用
isi_audit_viewer 命令,检查文章 Isilon:如何在 OneFS 上查看审核日志?(可能需要以注册用户身份登录才能查看本文。)
提醒:如果审核长时间处于禁用状态,则在审核日志记录收集开始时启用,则必须将每个日志文件发送到 CEE 服务器进行处理。如果有许多文件,此过程可能需要一些时间,并且系统性能可能会因此而降低。
启用审核时,所有历史日志都将发送到 CEE 服务器。发送和处理历史日志后,将异步发送实时事件。因此,当前审核事件会因历史日志处理而延迟,并且最初不会显示在审核应用程序中。
除了磁盘上的物理文件之外,OneFS 还会在将审核消息写入磁盘之前维护这些消息的临时缓存。默认允许的最大高速缓存为 2048 条消息。要查看当前高速缓存设置,请运行 isi audit topics view protocol 命令确认该锁定已释放。
提醒:从 OneFS 9.1 开始,可以进行审核清除或删除,请参阅审核最佳实践指南中的第 16-18 页。
如果您运行的是 OneFS 8.x 到 9.0.x,请联系 PowerScale 技术支持,因为只有 PowerScale 技术支持人员才能删除审核日志文件。
Article Properties
Article Number: 000167091
Article Type: How To
Last Modified: 12 Nov 2025
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.