PowerScale : Procédure de suppression des fichiers journaux d’audit
Résumé: Ce document décrit une méthode de prise en charge pour la suppression des fichiers journaux d’audit.
Instructions
Introduction
Dans OneFS 7.1 et versions ultérieures, l’audit SMB/NFS génère des journaux d’audit pour les événements SMB/NFS définis par l’utilisateur. Une fois les journaux d’audit écrits, ils sont transférés de manière asynchrone au serveur CEE (Common Event Enabler) configuré. Le serveur CEE transfère ensuite les logs au point de terminaison de l’application d’audit défini.
Les journaux d’audit sont conservés indéfiniment. Les journaux sont stockés dans le /ifs/.ifsvar/audit et les sous-répertoires suivants, où nodeXXX est l’ID du nœud (par exemple, node001) :
/ifs/.ifsvar/audit/logs//ifs/.ifsvar/audit/logs/nodeXXX/ifs/.ifsvar/audit/logs/nodeXXX/protocol
Une fois l’audit activé sur le cluster, tous les journaux d’audit sont collectés dans les sous-répertoires de protocole répertoriés. Les journaux d’audit continuent d’être collectés si la fonction d’audit est activée, puis désactivée. Le sous-système d’audit collecte et stocke les informations d’audit dans des fichiers binaires, qui peuvent atteindre une taille d’environ 1 Go. Lorsqu’un fichier binaire atteint 1 Go, les données sont transférées vers le fichier suivant et conservées indéfiniment. Les fichiers ne peuvent pas être déplacés vers un autre emplacement.
isi_audit_viewer commande, consultez l’article Isilon : Comment afficher les journaux d’audit sur OneFS ? (Il peut être nécessaire de se connecter en tant qu’utilisateur enregistré pour afficher cet article.)
Remarque : Si l’audit est désactivé pendant une longue période, puis activé au début de la collecte de la journalisation des audits, chaque fichier journal doit être envoyé au serveur CEE pour être traité. Ce processus peut prendre un certain temps s’il y a beaucoup de fichiers, ce qui peut ralentir les performances du système.
Tous les journaux d’historique sont envoyés au serveur CEE lorsque l’audit est activé. Les événements en temps réel sont envoyés de manière asynchrone après l’envoi et le traitement des journaux historiques. Par conséquent, les événements d’audit en cours sont retardés par le traitement des logs historiques et ne sont pas affichés initialement dans l’application d’audit.
En plus des fichiers physiques sur disque, OneFS conserve un cache temporaire des messages d’audit avant que les messages ne soient écrits sur le disque. Le cache maximal autorisé par défaut est de 2 048 messages. Pour afficher les paramètres de cache actuels, exécutez la commande isi audit topics view protocol .
Si vous exécutez OneFS 8.x à 9.0.x, contactez le support technique PowerScale, car la suppression des fichiers de journal d’audit est limitée au personnel du support technique PowerScale.