Kiểm toán cấu hình hệ thống OneFS – Phần 2

Trong  bài viết trước của loạt bài này, chúng ta đã xem xét kiến ​​trúc và hoạt động của  kiểm toán cấu hình OneFS  . Bây giờ, chúng ta sẽ chuyển sự chú ý sang quản lý, xem sự kiện và khắc phục sự cố. 

Bộ lệnh CLI để cấu hình ‘ isi  audit’ được chia thành hai vùng: 

   Giao thức Syslog TLS được bật: Không 

ID chứng chỉ Syslog giao thức: 

         Đã bật Syslog hệ thống: Không 

         Máy chủ Syslog hệ thống: – 

     Hệ thống Syslog TLS được bật: Không 

  ID chứng chỉ Syslog hệ thống: 

          Tự động xóa được bật: Không 

              Thời gian lưu giữ: 180 

       Kiểm toán hệ thống được bật: Không 

Mặc dù kiểm tra cấu hình bị vô hiệu hóa trên  OneFS  theo mặc định, cú pháp CLI sau có thể được sử dụng để bật và xác minh kiểm tra cấu hình trên toàn bộ cụm: 

#  isi  kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled 1 

#  isi  kiểm toán thiết lập chế độ xem toàn cầu | grep – i  ‘config audit’ 

       Đã bật Kiểm tra cấu hình: Có 

Tương tự như vậy, để bật chức năng chuyển hướng kiểm tra thay đổi cấu hình sang syslog: 

#  isi  kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled true 

#  isi  kiểm toán thiết lập toàn cầu sửa đổi –config-syslog-enabled true 

#  isi  kiểm toán thiết lập chế độ xem toàn cầu | grep – i  ‘config audit’ 

       Đã bật Kiểm tra cấu hình: Có 

Hoặc để vô hiệu hóa chuyển hướng đến syslog: 

#  isi  kiểm toán thiết lập toàn cầu sửa đổi –config-syslog-enabled false 

#  isi  kiểm toán thiết lập toàn cầu sửa đổi –config-auditing-enabled false 

Máy chủ CEE có thể được cấu hình như sau: 

#isi kiểm toán cài đặt toàn cầu sửa đổi –add-cee-server -uris ='<URL>’ 

Ví dụ:

#isi kiểm toán thiết lập toàn cầu sửa đổi –add-cee-server 

– uris =’http://cee1.isilon.com:12228/cee’ 

Kiểm toán cũng có thể bị hạn chế bởi vùng truy cập: 

#  isi  kiểm toán thiết lập sửa đổi –add-audited-zones=audit_az1 

Lưu ý rằng khi bật kiểm toán, vùng hệ thống được bao gồm theo mặc định. Tuy nhiên, có thể loại trừ vùng này nếu muốn: 

#  isi  kiểm toán thiết lập sửa đổi –remove-audited-zones=Hệ thống 

Các tham số kiểm tra của vùng truy cập cũng có thể được cấu hình thông qua bộ lệnh CLI ‘ isi  regions’. Ví dụ: 

#isi zone các vùng tạo –all-auth-providers=true –audit-failure=all –audit-success=all –path=/ifs/data –name=audit_az1 

Có thể chỉ định cấu hình loại sự kiện kiểm tra chi tiết nếu muốn để thu hẹp phạm vi và giảm lượng nhật ký kiểm tra. 

Ví dụ, cú pháp lệnh sau đây hạn chế việc kiểm tra để đọc và đăng nhập thất bại cũng như ghi và xóa thành công theo đường dẫn /ifs/data trong vùng truy cập audit_az1:  

#isi zone tạo vùng –all-auth-providers=true –audit-failure= đọc, đăng nhập  –audit-success= ghi, xóa  –path=/ifs/data –name=audit_az1 

Ngoài CLI,  API nền tảng OneFS  cũng có thể được sử dụng để cấu hình và quản lý kiểm toán. Ví dụ: để bật kiểm toán cấu hình trên một cụm: 

ĐẶT /nền tảng/1/kiểm toán/cài đặt 

Quyền hạn: Cơ bản QWxhZGRpbjpvcGVuIHN1c2FtZQ== 

{ 

‘ config_auditing_enabled ‘: Đúng 

} 

Mã phản hồi HTTP ‘204’ sau đây từ cụm cho biết yêu cầu đã thành công và kiểm tra cấu hình hiện đã được bật trên cụm. Không có nội dung tin nhắn nào được trả về cho yêu cầu này. 

204 Không có nội dung 

Kiểu nội dung: văn bản/thuần túy,  

Cho phép: ‘GET, PUT, HEAD’ 

Tương tự như vậy, để sửa đổi ngưỡng tin nhắn được lưu trong bộ nhớ đệm tối đa của chủ đề kiểm tra cấu hình thành giá trị ‘1000’ thông qua API: 

ĐẶT /1/kiểm toán/chủ đề/cấu hình 

Quyền hạn: Cơ bản QWxhZGRpbjpvcGVuIHN1c2FtZQ== 

    { 

        ” max_cached_messages “: 1000 

    } 

Một lần nữa, không có nội dung tin nhắn nào được trả về từ  OneFS  cho yêu cầu này. 

204 Không có nội dung  

Kiểu nội dung: văn bản/thuần túy,  

Cho phép: ‘GET, PUT, HEAD’ 

Lưu ý rằng, trong trường hợp không mong muốn xảy ra khi một cụm gặp sự cố mất điện khiến cụm đó mất số lượng đủ, việc kiểm toán sẽ bị tạm dừng cho đến khi cụm đó được khôi phục. Các sự kiện  tương tự như  sau sẽ được ghi vào tệp /var/log/audit_d.log: 

940b5c700]: Mất đủ số lượng! Nhật ký kiểm tra sẽ bị vô hiệu hóa cho đến khi /ifs có thể ghi lại được. 

2023-08-28T15:37:32.132780+00:00 <1.6> TME-1(id1)  isi_audit_d [6495]: [0x345940b5c700]: Đã lấy lại đủ số lượng. Đang tiếp tục ghi nhật ký. 

Khi nói đến việc đọc các sự kiện kiểm toán trên cụm,  OneFS cung cấp tiện ích ‘ isi_audit_viewer ‘  tiện dụng . Ví dụ, đầu ra của trình xem kiểm toán sau đây hiển thị các sự kiện được ghi lại khi quản trị viên cụm thêm đường dẫn ‘/ifs/ tmp ‘ vào  cấu hình SmartDedupe  và tạo một người dùng mới có tên ‘test’1’: 

#  isi_audit_viewer 

[0: Thứ Ba 29 tháng 8 2023 23:01:16] {“id”:”f54a6bec-46bf-11ee-920d-0060486e0a26″,”timestamp”:1693350076315499,”payload”:{“user”:{“token”: {“UID”:0, “GID”:0, “SID”: “SID:S-1-22-1-0”, “GSID”: “SID:S-1-22-2-0”, “GROUPS”: [“SID:S-1-5-11”, “GID:5”, “GID:10”, “GID:20”, “GID:70”], “protocol”: 17, “zone id”: 1, “client”: “10.135.6.255”, “local”: “10.219.64.11” }},” uri “:”/1/dedupe/settings”,”method”:”PUT”,” args “:{} 

,”body “:{ “đường dẫn “:[ “/ifs/ tmp “]} 

}} 

[1: Thứ Ba 29 tháng 8 2023 23:01:16] {“id”:”f54a6bec-46bf-11ee-920d-0060486e0a26″,”timestamp”:1693350076391422,”payload “:{ “status”:204,”statusmsg”:”Không có  nội dung”,”body “:{ }}} 

[2: Thứ Ba, ngày 29 tháng 8 năm 2023 lúc 23:03:43] {“id”:”4cfce7a5-46c0-11ee-920d-0060486e0a26″,”timestamp”:1693350223446993,”payload”:{“user”:{“token”: {“UID”:0, “GID”:0, “SID”: “SID:S-1-22-1-0”, “GSID”: “SID:S-1-22-2-0”, “GROUPS”: [“SID:S-1-5-11”, “GID:5”, “GID:10”, “GID:20”, “GID:70”], “protocol”: 17, “zone id”: 1, “client”: “10.135.6.255”, “local”: “10.219.64.11” }},” uri “:”/18/auth/users”,”method”:”POST”,” args “:{} 

,”thân “:{ “tên”:”test1″} 

}} 

[3: Thứ Ba, ngày 29 tháng 8 năm 2023 lúc 23:03:43] {“id”:”4cfce7a5-46c0-11ee-920d-0060486e0a26″,”timestamp”:1693350223507797,”payload “:{ “status”:201,”statusmsg”:”Đã tạo”,”body “:{ “id”:”SID:S-1-5-21-593535466-4266055735-3901207217-1000″} 

}} 

Các mục nhật ký kiểm tra, chẳng hạn như những mục ở trên, thường bao gồm các thành phần sau:

Tiện ích ‘ isi_audit_viewer ‘ tự động đọc chủ đề nhật ký ‘config’ theo  mặc định, nhưng  cũng có thể được sử dụng để đọc chủ đề nhật ký ‘protocol’. Cú pháp lệnh CLI của nó như sau: 

#  isi_audit_viewer  -h 

Cách sử dụng:  isi_audit_viewer  [ -n < nodeid > | -t <chủ đề> | -s < thời gian bắt đầu >| 

         -e < thời gian kết thúc > | – v ] 

         -n <nodeid> : Chỉ  định id nút để duyệt (mặc định: nút cục bộ) 

         -t <chủ đề >:  Chọn chủ đề để duyệt. 

            Các chủ đề là “config” và “protocol” (mặc định: “config”) 

         -s <bắt đầu >:  Duyệt nhật ký kiểm tra bắt đầu từ < thời gian bắt đầu > 

         -e <end>     : Duyệt nhật  ký kiểm tra kết thúc tại <endtime> 

         -v  verbose:  In ra phạm vi thời gian bắt đầu/kết thúc trước khi in 

             hồ sơ 

Lưu ý rằng, trên các cụm lớn có nhiều (hàng trăm nghìn) ghi kiểm toán, khi chạy  tiện ích isi_audit_viewer  trên cụm với ‘ isi_for_array ‘, nó có khả năng dẫn đến tình trạng thiếu bộ nhớ và các vấn đề khác – đặc biệt là nếu xuất ra thư mục  trong /ifs . Do đó, hãy cân nhắc chuyển hướng đầu ra đến một vị trí không phải IFS như /var/temp. Ngoài ra,  cờ isi_audit_viewer  ‘-s’ (thời gian bắt đầu) và ‘-e’ (thời gian kết thúc) có thể được sử dụng để giới hạn tìm kiếm ( ví dụ :  trong 1 -5 phút), giúp giảm kích thước dữ liệu. 

Ngoài việc đọc các sự kiện kiểm toán, chế độ xem cũng là một công cụ hữu ích để hỗ trợ  khắc phục  mọi sự cố kiểm toán. Ngoài ra, mọi lỗi gặp phải khi xử lý các sự kiện kiểm toán và khi phân phối chúng đến máy chủ CEE bên ngoài đều được ghi vào tệp nhật ký  ’ /var/log/isi_audit_cee.log’. Ngoài ra, các nhật ký cụ thể của giao thức sẽ chứa mọi sự cố mà bộ lọc kiểm toán đã thu thập trong khi kiểm toán các sự kiện. 

Tác giả:  Nick Trimbee