Konfigurowanie audytu EMC Isilon

Ta sekcja opisuje kroki do skonfigurowania ustawień audytu w węzłach EMC Isilon oraz do przesyłania danych zdarzeń do ADAudit Plus. Polecenia do skonfigurowania wymaganych ustawień różnią się w zależności od wersji OneFS, ale wszystkie obejmują trzy kroki:

Krok 1: Włącz audyt protokołu i skonfiguruj ustawienia audytu

Te polecenia włączają audyt protokołu w docelowych strefach oraz konfigurują audyt wymaganych zdarzeń dostępu.

Krok 2: Włącz przesyłanie syslog

ADAudit Plus wymaga danych syslog do raportowania działań dotyczących plików w Twoim środowisku pamięci masowej EMC Isilon. Te polecenia włączają przesyłanie syslog z węzłów Isilon.

Krok 3: Skonfiguruj adres IP serwera ADAudit Plus

Dodaj adres IP serwera ADAudit Plus do listy jednostek, do których dane syslog powinny być przesyłane.

Postępuj zgodnie z krokami opisanymi dla swojej wersji OneFS, aby skonfigurować audyt EMC Isilon.

Dla wersji OneFS 7.x:

1. Wykonaj te polecenia, aby włączyć audyt protokołu i skonfigurować ustawienia audytu:
   • isi audit settings modify --protocol-auditing-enabled yes --audited-zones <nazwy_stref>
   • isi zone zones modify <nazwa_strefy> --audit-success create,delete,read,rename,set_security,write
   • isi zone zones modify <nazwa_strefy> --audit-failure create,delete,read,rename,set_security,write
   • isi zone zones modify <nazwa_strefy> --syslog-audit-events create,delete,read,rename,set_security,write
2. Aby włączyć przesyłanie syslog, wykonaj to polecenie:
   • isi zone zones modify <nazwa_strefy> --syslog-forwarding-enabled=yes
3. Aby skonfigurować adres IP serwera ADAudit Plus, postępuj zgodnie z tymi krokami:
   • Połącz się z dowolnym węzłem Isilon za pomocą klienta SSH.
   • Otwórz plik syslog.conf, który można znaleźć w katalogu /etc/mcp/templates.
   • Zlokalizuj linię !audit_protocol i dodaj poniższy wpis, podając poprawną wartość zamiast nazwy hosta lub adresu IP:
     *.* @<nazwa_hosta/adres_IP serwera ADAuditPlus>
   • Zapisz plik syslog.conf.

Dla wersji OneFS 8.0 i 8.1:

1. Wykonaj te polecenia, aby włączyć audyt protokołu i skonfigurować ustawienia audytu:
   • isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <nazwy_stref>
   • isi audit settings modify --zone <nazwa_strefy> --audit-success create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <nazwa_strefy> --audit-failure create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <nazwa_strefy> --syslog-audit-events create,delete,read,rename,set_security,write
2. Aby włączyć przesyłanie syslog, wykonaj to polecenie:
   • isi audit settings modify --syslog-forwarding-enabled=yes --zone=<nazwa_strefy>
3. Aby skonfigurować adres IP serwera ADAudit Plus, postępuj zgodnie z tymi krokami:
   • Połącz się z dowolnym węzłem Isilon za pomocą klienta SSH.
   • Otwórz plik syslog.conf, który można znaleźć w katalogu /etc/mcp/templates.
   • Zlokalizuj linię !audit_protocol i dodaj poniższy wpis, podając poprawną wartość zamiast nazwy hosta lub adresu IP:
     *.* @<nazwa_hosta/adres_IP serwera ADAuditPlus>
   • Zapisz plik syslog.conf.

Dla wersji OneFS 8.2 i 9.1:

1. Aby włączyć audyt protokołu, skonfiguruj ustawienia audytu i adres IP serwera ADAudit Plus, wykonaj to polecenie:
   • isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <IP_of_ADAuditPlus_server>
   • isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write
   • isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write
2. Aby włączyć przekazywanie syslogu, wykonaj to polecenie:
   • isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>