Konfigurieren des EMC Isilon Audits

Dieser Abschnitt beschreibt die Schritte zur Konfiguration von Prüfungseinstellungen in EMC Isilon-Knoten und zum Weiterleiten von Ereignisdaten an ADAudit Plus. Die Befehle zur Konfiguration der erforderlichen Einstellungen variieren je nach OneFS-Version, aber sie alle umfassen drei Schritte:

Schritt 1: Protokollprüfung aktivieren und Prüfungseinstellungen konfigurieren

Diese Befehle aktivieren die Protokollprüfung in den Zielzonen und konfigurieren auch die Prüfung der erforderlichen Zugriffereignisse.

Schritt 2: Syslog-Weiterleitung aktivieren

ADAudit Plus benötigt Syslog-Daten, um über Dateiaktivitäten in Ihrer EMC Isilon-Speicherumgebung zu berichten. Diese Befehle aktivieren die Syslog-Weiterleitung von Ihren Isilon-Knoten.

Schritt 3: IP-Adresse des ADAudit Plus-Servers konfigurieren

Fügen Sie die IP-Adresse des ADAudit Plus-Servers zur Liste der Entitäten hinzu, an die Syslog-Daten weitergeleitet werden sollen.

Befolgen Sie die Schritte, die unter Ihrer OneFS-Version aufgelistet sind, um die EMC Isilon-Prüfung zu konfigurieren.

Für OneFS Version 7.x:

1. Führen Sie diese Befehle aus, um die Protokollprüfung zu aktivieren und Prüfungseinstellungen zu konfigurieren:
   • isi audit settings modify --protocol-auditing-enabled yes --audited-zones <zone_names>
   • isi zone zones modify <zone_name> --audit-success create,delete,read,rename,set_security,write
   • isi zone zones modify <zone_name> --audit-failure create,delete,read,rename,set_security,write
   • isi zone zones modify <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write
2. Um die Syslog-Weiterleitung zu aktivieren, führen Sie diesen Befehl aus:
   • isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes
3. Um die IP-Adresse des ADAudit Plus-Servers zu konfigurieren, führen Sie folgende Schritte aus:
   • Verbinden Sie sich mit einem Ihrer Isilon-Knoten mit einem SSH-Client.
   • Öffnen Sie die syslog.conf-Datei, die im Verzeichnis /etc/mcp/templates zu finden ist.
   • Lokalisieren Sie die !audit_protocol-Zeile und fügen Sie den unten angegebenen Eintrag hinzu, wobei Sie den korrekten Wert anstelle von Hostname oder IP-Adresse angeben:
     *.* @<hostname/IP-Adresse des ADAuditPlus-Servers>
   • Speichern Sie die syslog.conf-Datei.

Für OneFS Versionen 8.0 und 8.1:

1. Führen Sie diese Befehle aus, um die Protokollprüfung zu aktivieren und Prüfungseinstellungen zu konfigurieren:
   • isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>
   • isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write
2. Um die Syslog-Weiterleitung zu aktivieren, führen Sie diesen Befehl aus:
   • isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>
3. Um die IP-Adresse des ADAudit Plus-Servers zu konfigurieren, führen Sie folgende Schritte aus:
   • Verbinden Sie sich mit einem Ihrer Isilon-Knoten mit einem SSH-Client.
   • Öffnen Sie die syslog.conf-Datei, die im Verzeichnis /etc/mcp/templates zu finden ist.
   • Lokalisieren Sie die !audit_protocol-Zeile und fügen Sie den unten angegebenen Eintrag hinzu, wobei Sie den korrekten Wert anstelle von Hostname oder IP-Adresse angeben:
     *.* @<hostname/IP-Adresse des ADAuditPlus-Servers>
   • Speichern Sie die syslog.conf-Datei.