メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

ONTAP ログの概要

Views:
5,896
Visibility:
Public
Votes:
3
Category:
ontap-9
Specialty:
core
Last Updated:

環境

ONTAP

回答

ONTAP / Data ONTAP のロギング機能について教えてください。

ONTAP にログインしています
  • ログは、 clustered Data ONTAP オペレーティングシステムによって生成され、クラスタ上のフラットテキストファイルに記録される、重大度が高いイベントトリガー型メッセージです。
  • ログは、管理者、ネット™ アップサポート、および AutoSupport システムがさまざまな問題の根本原因を特定して特定するための主要なリソースです。
  • ログはさまざまな方法で収集、表示、および転送できます。 
  • すべて /mroot/etc/log/mroot/etc/log/mlogのログは、 EMS 、監査ログ、ユーザスペースアプリケーションログなど、およびに格納されます。 
  • /mroot/etc/log ログは週に 1 回ローテーションされ、最も古いログが削除されるまでに最大 5 回までローテーションされます。 
  • /mroot/etc/log/mlog ログは 1 日に 1 回循環し、最も古いログが削除されるまでに最大 35 回のローテーションが行われます。
    • EMS ログは、次の設定に基づいてローテーションされます。
       ::> set d ::*> event config show Mail From: admin@localhost Mail Server: localhost Proxy URL: - Proxy User: - Suppression: on Console: on Max Target Log Size: 36700160 Max Filter Count: 50 Max Filter Rule Count: 128 Max Destination Count: 20 Max Notification Count: 20 Filter Exempt from Suppression: no-info-debug-events Duplicate Suppression Duration (secs): 120 Log Rotation Size (bytes): 40MB  <-----default value REST API Delivery Timeout (secs): 60

デフォルト値は次のように変更できます。

 ::*> ::*> event config modify -log-rotation-size 1GB Error: command failed: The proposed maximum size before a triggered EMS log rotation is invalid. Choose a value from 0 to 104857600.
イベント管理システム
  • Event Management System ( EMS ;イベント管理システム)は、 syslog 標準に基づいて構築された clustered Data ONTAP のメッセージング機能です。
  • EMS を使用すると、クラスタ全体のイベントの管理が簡易化され、管理者は通知を選択する方法もわかります。
  • EMS にはカタログ化されたロギングメカニズムが用意されており、すべてのイベントに正式な定義があります。
  • これにより、自動スパム管理(メッセージ抑制など)、設定可能な通知、低レベルのデータをわかりやすいテキストに変換する支援、メッセージの NVRAM バックアップ、メッセージの自動タグ付けなどのサービスを EMS が提供できるようになります。
  • EMS には、対応するイベントでトリガーされる数千件の事前定義されたメッセージが含まれています。
  • メッセージのドット区切りのツリースタイルの命名方式は、メッセージの送信元と意味に関連する精度が非常に高くなります。
  • 正式なイベント定義は、クラスタにおけるイベントの意味を示します。
  • 各イベントには、イベントに対応するために管理者が実行する必要がある決定を支援および迅速化できる対処策概要が含まれています。
  • この標準化と正確さは、 EMS データを利用する NetApp の管理ツールにも影響します。
    • : EMS には、コマンド履歴や管理監査は含まれていません。
  • EMS イベントはコマンドラインで次の情報を使用して表示されます。
    cluster::> event log show
    Time                Node             Severity       Event
    ------------------- ---------------- ------------- ---------------------------
    3/18/2014 13:00:04  cluster-01       INFORMATIONAL kern.uptime.filer: 1:00pm up 20:17
    • メモ
      • デフォルトで表示されるイベントの数は 2048 です。この値は次のコマンドで変更できます。
         ::*> event config modify ? ...... [ -max-log-show-size {1..10000} ] *Maximum Number of Events Displayed  <---
      • デフォルト event log show-time では、特定のイベントを指定するオプションを使用しても、 2049 番目の EMS イベントをコマンドで表示することはできません。
      • max-log-show-size のデフォルト値を増やしても、 2048h よりも古い現在の EMS イベントはすぐには表示されません。
        • 変更内容αは、新しい記録済みの EMS ログに反映され、「 2048 以上」と表示されます。
監査ログ
  • 監査ログは、 clustered Data ONTAP システムの管理セキュリティに不可欠な機能です。
  • 監査ログには、クラスタに送信されたコマンド、送信元のユーザ、およびコマンドの成功または失敗が記録されます。
  • この環境コマンドラインインターフェイス( CLI®)、 Data ONTAP API ( ONTAPI )の呼び出し(ネットアップ管理ツールのコマンドなど)、および HTTP 要求です。
  • Data ONTAP 8.3 以前 /mroot/etc/log/mlog/command-history.logでは、監査ログはに格納されます。
  • コマンド履歴は、にある MGWD ログでも表示 /mroot/etc/log/mlog/mgwd.logできます。 
  • ONTAP 9 以降 command-history.logaudit.logmgwd.logでは、ファイルがに置き換えられ、ファイルには監査情報が記録されなくなりました。
ONTAP での監査ログの実装方法
  • 監査ログに記録された管理アクティビティは標準の AutoSupport レポートに、特定のログアクティビティは EMS メッセージに含まれています。
  • 監査ログを指定の場所に転送したり、 CLI や Web ブラウザを使用して監査ログファイルを表示することもできます。
  • ONTAP では、クラスタで実行された管理アクティビティについて、発行された要求、要求を発行したユーザ、ユーザのアクセス方法、要求が発行された時間などの情報が記録されます。
  • 管理アクティビティには次のタイプがあります。
    • set 要求。通常は表示以外のコマンドや操作が該当します
      • これらの要求は、たとえば、 create 、 modify 、 delete などのコマンドを実行するときに発行されます。
      • set 要求はデフォルトで記録されます。
    • get要求。情報を取得して管理インターフェイスに表示する要求です。
      • これらの要求は、たとえば、 show コマンドを実行するときに発行されます。
      • GET 要求はデフォルトsecurity audit modify-cliget-ontapigetではログに記録されませんが、コマンドを使用して、 ONTAP CLI ()または ONTAP API ()から送信される GET 要求をファイルに記録するかどうかを制御できます。
  • ONTAP /mroot/etc/log/mlog/audit.logは、管理アクティビティをノードのファイルに記録します。
  • CLI コマンドの 3 つのシェル(クラスタシェル、ノードシェル、および非対話型システムシェル)からのコマンドに加え、 API コマンドがここに記録されます(対話型システムシェルのコマンドは記録されません)。
  • 監査ログには、クラスタ内のすべてのノードの時刻が同期しているかどうかを示すタイムスタンプが含まれています。
  • audit.logファイルは、 AutoSupport ツールによって指定の受信者に送信されます。また、 Splunk や syslog サーバなど、指定した外部の送信先にコンテンツを安全に転送することもできます。
  • audit.log ファイルは、 1 日単位でローテーションされます。また、サイズが 100MB に達したときにもローテーションが実行されます。以前の 48 個のコピーは保持されます(最大合計 49 個のファイル)。
  • 監査ファイルが 1 日単位のローテーションを実行するときは、 EMS メッセージは生成されません。
  • 監査ファイルのサイズが上限を超えたためにローテーションが実行された場合は、 EMS メッセージが生成されます。
  • security audit log showコマンドを使用すると、個々のノードの監査エントリを表示したり、クラスタ内の複数のノードの監査エントリをマージしたりできます。
  • /mroot/etc/log/mlogまた、 Web ブラウザを使用して、単一のノードのディレクトリの内容を表示することもできます。
AutoSupport
  • AutoSupport ( ASUP™)システムは、 clustered Data ONTAP の自動健常性監視機能で、エラーレポートを作成したり、場合によってはネットアップサポートケースを生成したりできます。
  • レポートは、 EMS イベントまたはスケジュールを使用して、エラー状態によってトリガーされる場合があります。
  • ASUP アラートは、 E メールまたは NetApp サポートに送信して自動分析することにより、管理者の社内 IT 部門に送信できます。
  • ASUP メッセージには、 EMS およびその他のユーザスペースアプリケーションの重要なログデータが含まれています。
  • ASUP が収集するログの正確な内容は次のセクションで説明します。
その他のログ
  • EMS イベントは syslog 標準に準拠しています。これは、リアルタイムで監視するために syslog サーバに転送できる機能や、 EMS イベントが管理者にとって最も関連性の高いイベントであるためです。
  • clustered Data ONTAP オペレーティングシステムで生成される残りのログは、常にアクティビティを記録しているユーザスペースアプリケーションから生成されます。
  • ログのレベルは低く、管理者を対象としたものではありませんが、主にネットアップのサポート、開発、および QA で利用されます。
  • 表 1 )ログイン /mroot/etc/log/

ログまたはディレクトリ

説明

ACP /

  • ASUP に送信されました
  • Shelf Alternate Control Path Management ( ACP )ログが必要です

auditlog.log

  • ノードシェルコマンド( node run コマンド)を記録
  • 8.3 以前のバージョンでは command-history.log に相当します。
  • clustered Data ONTAP 8.2.2 以降で AutoSupport で送信

AutoSupport /

  • ASUP に送信されるログファイルを含む圧縮アーカイブのディレクトリ

backup.log

  • SMTape などの NDMP バックアップ手順のログ

bcomka /

  • SAN カーネルモジュールのデバッグレベルのログです

clone.log

  • LUN クローニングのログを記録します

EMS 、 ems.log

  • EMSイベント
  • AutoSupport で送信されます

ems_persist

  • バイナリ形式のファイル。ネットアップサポートが特定の状況で使用します

leak_data 、 leak_data_filtered

  • メモリ情報。主にデバッグ目的で使用されます

メッセージ、 messages.log

  • ノードレベルのログです
  • ログは /mroot/etc/log/mlog/messages.log へのリンクです

mlog /

  • このディレクトリの内容が ASUP に送信されます
  • 管理コンポーネントのアプリケーションログが含まれます

named.log

  • ネームサービスログ

nbu_snapvault.log

  • SnapVault® ログ

再生リスト _ 診断

  • WAFL® プレイリストにファイル ID が記録されません

plxcoeff/

  • PLX PCI-E スイッチのログが含まれています
  • clustered Data ONTAP 8.2.1 以降の ASUP に送信されました

RAStrace /

  • SAN トレースログをデバッグします

servprocd/

  • サービスプロセッサログ

shelflog/

  • シェルフログ

SIS 、 sis.log

  •  重複排除ログ

SSRAM/

  • システム・スクラッチパッド RAM ログ

統計 /

  • パフォーマンス関連のログ

snapmirror.log 、 snapmirror_audit.log 、 snapmirror_error.log

  • SnapMirror® ログ

treecompare.log

  • Snapshot® コピーを使用してボリュームや qtree のデータ統合を比較するツリー比較プロセスのログです

volread.log

  • SnapMirror が使用する volread エンジンのログ

 

  • 表 2 )ログイン /mroot/etc/log/mlog/

ログまたはディレクトリ

説明

last_rotate.log

  • ログローテーションの履歴を記録します

apache_access.log

  • Apache サーバへのアクセス履歴をログに記録します
  • HTTP ( S )経由のログファイルに対する GET 要求の履歴が記録されます。

apache_error.log

  • Apache エラーをログに記録します

audit.log

  • ONTAP 9.0 以降の監査ログ
  • CLI 、 ONTAPI 、 HTTP のコマンドを記録します
  • set 要求は常に記録されますが、 get 要求の記録は切り替えることができます
bcomd.log
  • 管理コンポーネントと SCSI ブレードの間の SAN インタラクションを処理する BCOM デーモンのログ
command-history.log
  • clustered Data ONTAP 8.3 以前の監査ログ
  • CLI 、 ONTAPI 、 HTTP のコマンドを記録します
  • set 要求は常に記録されますが、 get 要求の記録は切り替えることができます

debug.log

  • デバッグの重大度レベルでログを記録します

fpolicy.log

  • FPolicy のログです®

hashd.log

  • BranchCache ハッシュデーモンのログ

jm-restart.log

  • ジョブマネージャが再開したジョブのリストが含まれます

memsnap-*.log (複数の種類の memsnap ログがあるため、アスタリスクはワイルドカードです)

  • メモリ情報が含まれます

messages.log

  • メッセージは clustered Data ONTAP に記録されます
  • クラスタ全体の重要なログが記録されます
  • EMS と重複するものもありますが、抑制などの EMS 機能はありません

mgwd.log

  • 管理コンポーネントのログが記録されます
  • レコードセット要求はデフォルトでは切り替え可能ですが

ndmpd.log

  • NDMP デーモンのログが記録されます

notifyd.log

  • ASUP を処理する NOTIFY デーモンのログが格納されます

php.log

  • PHP プロセスのログが格納されます
  • クラスタ内のノード間でのログの同期の履歴が記録されます

secd.log

  • NAS 認証などのさまざまな認証タスクを処理する SecD デーモンのログが含まれます
    • 最大 10 個のコピーを保持します

servprocd.log

  • サービスプロセッサデーモンのログが記録されます

sktlog/

  • メインカーネルのデバッグレベルログ
sktlogd.log
  •  メインカーネルのデバッグレベルログ

spdebug.log

  • サービスプロセッサからの異常イベントに関連するログが記録されます

spmd.log

  • サービスプロセスマネージャデーモンのログが記録されます。このデーモンは、ユーザスペースアプリケーションを監視して正常に動作していることを確認します

vifmgr.log

  • インターフェイスとネットワークに関連するログが記録されます

vldb.log

  • ボリュームロケーションデータベースアプリケーションのログが含まれます

 

Scan to view the article on your device