エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9

to English version

ONTAP監査プロセスの仕組み

ONTAPの監査プロセスは、Microsoftの監査プロセスとは異なります。監査を設定する前に、ONTAPの監査プロセスの仕組みについて理解しておく必要があります。

監査レコードは、最初に個々のノードのバイナリー ステージング ファイルに格納されます。あるSVMで監査が有効になると、すべてのメンバー ノードでそのSVMのステージング ファイルが保持されます。定期的に統合され、ユーザーが読解可能なイベント ログに変換されて、SVMの監査イベント ログ ディレクトリーに格納されます。

あるSVMで監査が有効になっている場合の処理

監査は、SVMでのみ有効にできます。ストレージ管理者がSVMで監査を有効にすると、監査サブシステムによってステージング ボリュームが存在するかどうかが確認されます。ステージング ボリュームは、SVMに所有されているデータ ボリュームを含むアグリゲートごとに必要です。存在しない場合は、監査サブシステムによって必要なステージングボリュームが作成されます。

また、監査が有効になる前に、前提条件となるその他のタスクが実行されます。

  • 監査サブシステムによって、ログ ディレクトリーのパスが使用可能でシンボリック リンクが含まれていないことが検証されます。

    ログ ディレクトリーは、SVMのネームスペース内のパスとしてすでに存在している必要があります。監査ログ ファイルの保存用に新しいボリュームまたはqtreeを作成することを推奨します。監査サブシステムは、デフォルトのログ ファイルの場所を割り当てません。監査設定で指定されているログ ディレクトリーのパスが有効なパスでない場合は The specified path "/path" does not exist in the namespace belonging to Vserver "Vserver_name" エラーが発生し、監査設定の作成に失敗します。

    ディレクトリーにシンボリック リンクが含まれている場合も、設定の作成に失敗します。

  • 監査によって統合タスクがスケジュールされます。

    このタスクがスケジュールされたあと、監査が有効になります。SVMの監査設定とログ ファイルは、リブート後も、NFSサーバーまたはSMBサーバーが停止したり再起動したりした場合も維持されます。

イベント ログの統合

ログの統合は、監査が無効になるまで定期的に実行されるスケジュール済みタスクです。監査が無効になると、統合タスクによって残りのすべてのログが統合されたことが検証されます。

監査の保証

デフォルトでは、監査が保証されています。ONTAPでは、あるノードが利用できない場合でも、監査可能なファイル アクセス イベント(設定された監査ポリシーのACLで指定されている)はすべて記録されます。要求されたファイル処理は、その処理の監査レコードが永続的ストレージのステージング ボリュームに保存されるまで完了できません。スペース不足またはその他の問題が原因で監査レコードをドライブのステージング ファイルにコミットできない場合、クライアント処理は拒否されます。

管理者または特権レベルのアクセス権を持つアカウント ユーザーは、Manageability SDKまたはREST APIを使用してファイル監査ログ処理をバイパスできます。Manageability SDKまたはREST APIを使用してファイル操作が行われたかどうかを確認するには、audit.log ファイルに保存されているコマンド履歴ログを確認します。

コマンド履歴監査ログの詳細については、クラスタ管理の管理アクティビティの監査ログの管理に関するセクションを参照してください。

ノードが利用できない場合の統合処理

監査が有効になっているSVMに属するボリュームを含むノードが利用できない場合、監査の統合タスクの動作は、そのノードのストレージ フェイルオーバー(SFO)パートナー(2ノード クラスタの場合はHAパートナー)が利用可能かどうかによって異なります。

  • ステージング ボリュームがSFOパートナーを介して利用可能な場合は、ノードから最後にレポートされたステージング ボリュームがスキャンされ、統合が正常に行われます。

  • SFOパートナーが利用できない場合は、タスクによって部分的なログ ファイルが作成されます。

    あるノードにアクセスできない場合は、統合タスクによって、そのSVMの利用可能な他のノードの監査レコードが統合されます。不完全であることを識別するために、統合されたファイルの名前にはサフィックス .partial が追加されます。

  • 利用できないノードが利用可能になったら、そのノードの監査レコードが、その時点における他のノードの監査レコードと統合されます。

  • 監査レコードはすべて維持されます。

イベント ログのローテーション

監査イベント ログ ファイルは、設定されたログ サイズしきい値に達した場合に、または設定されたスケジュールに従ってローテーションされます。イベント ログ ファイルがローテーションされると、スケジュールされた統合タスクによって、まず、アクティブな変換済みファイルの名前がタイムスタンプのあるアーカイブ ファイルに変更され、そのあとで新しいアクティブな変換済みイベント ログ ファイルが作成されます。

SVMで監査が無効になっている場合の処理

SVMで監査が無効になると、もう一度統合タスクがトリガーされます。未処理の記録済みの監査レコードはすべて、ユーザーが読解可能な形式でログに記録されます。SVMで監査が無効になっても、イベント ログ ディレクトリーに格納されている既存のイベント ログは削除されず、参照が可能です。

そのSVMの既存のステージング ファイルがすべて統合されたら、スケジュールから統合タスクが削除されます。SVMの監査設定を無効にしても、監査設定は削除されません。ストレージ管理者は、監査をいつでも再度有効にできます。

監査の統合ジョブは、監査が有効になったときに作成され、統合タスクを監視して、統合タスクがエラーによって終了した場合に統合タスクを再作成します。これまでは、job delete のようなジョブ マネージャ コマンドを使用して、ユーザーが監査の統合ジョブを削除することができました。ユーザーは監査の統合ジョブを削除できなくなりました。

Top of Page