PowerScale：如何檢視 OneFS 的稽核記錄

OneFS 可以稽核 PowerScale 叢集上的系統組態事件、伺服器訊息區塊 （SMB）、網路檔案系統 （NFS），以及 Hadoop 分散式檔案系統 （HDFS） 通訊協定存取事件。

所有審核數據都存儲在稱為審核主題的檔中，這些檔收集可由審核工具進一步處理的日誌資訊。如果啟用了協定審計，則通過SMB、NFS和HDFS的檔訪問事件會記錄在協定審計主題中。如果啟用了配置審核，則應用程式程式設計介面 （API） 將跟蹤並記錄配置審核主題中的所有配置事件。

稽核並非預設設定，若要在系統上啟用稽核，請參閱產品指南 使用 Dell PowerScale

進行檔案系統稽核 在 OneFS 上設定稽核後，所有稽核記錄都會記錄在叢集的集中位置，位於 /ifs/.ifsvar/audit/logs。稽核記錄會以二進位格式記錄，但 OneFS 能提供 isi_audit_viewer 工具，以檢視儲存在叢集上的二進位稽核記錄。可使用 isi_audit_viewer 工具可以提供協定或配置日誌的檢視。

預設為 isi_audit_viewer 工具僅查看來自本地節點的審核日誌，並僅查看過去 24 小時的日誌。有以下幾種選項： isi_audit_viewer 可用於將搜尋範圍縮小到特定時間戳或節點的工具：

Usage: isi_audit_viewer [ -n <nodeid> | -t <topic> | -s <starttime>| -e <endtime> | -v ]
         -n <nodeid> : Specify node id to browse (default: local node)
         -t <topic>  : Choose topic to browse. Topics are "config" and "protocol" (default: "config")
         -s <start>  : Browse audit logs starting at <starttime>
         -e <end>    : Browse audit logs ending at <endtime>
         -v verbose  : Prints out start / end time range before printing records
         
Note: Start and End times are expressable as a date format "YYYY-MM-DD HH:MM:SS", where fields represent year/month/day/hours/minutes/seconds.
If time is not specified, end time defaults to now and start time to 24 hours before end time.

For example, the below command shows the protocol audit logs from node 3 for the month of June 2020:
# isi_audit_viewer -n 3 -t protocol -s "2020-06-01 00:00:00" -e "2020-07-01 00:00:00"

如需稽核有效負載值的詳細資訊，請參閱下列 文章 Isilon：Isilon 稽核承載值的清單。