監査オプションの設定

[サーバーの追加]ポップアップの[概要の確認]ページで、優先する監査オプションを構成できます。まず、CIFSのタイプを選択します。

監査オプションの構成

以下の設定を行います。

管理IPとアカウントの構成

[前提条件]セクションで説明されているように、以下の詳細を入力します。

  • 管理IP
  • ユーザー名とパスワード
  • ポート番号

監査ポリシーの構成

NetAppクラスタ監査に必要な監査ポリシーは、自動または手動で設定できます。

自動監査ポリシー設定

ADAudit Plusで必要な監査設定を自動的に設定するためには、NetAppを追加するときに、[NetApp監査オプションを自動的に有効化する]にチェックを入れます。

このオプションを有効にすることで、ADAudit Plusはデフォルトの監査ポリシーと以下のパラメーターをNetAppに構成します。

  • Rotation Based On: Size
  • Maximum Log File Count: 10
  • Log File Size: 200MB
  • ログファイルパス:「前提条件」ページで説明されているように、新しいアグリゲート名を指定するか、または、3GB以上のスペースを持つ既存のパスを指定するかに基づいて、[作成]または[既存]を選択します。[作成]を選択すると、cifs_audit_logという名前の新しいボリュームが作成され、/cifs_audit_logパスにマウントされます。[既存]を選択した場合は、少なくとも3GB以上のスペースを持つ既存のパスを指定します。

[既存]を選択する場合、共有パスではなくジャンクションパスを指定してください。例:/root/logs/cifs

監査オプションの構成

監査ポリシーを手動で構成する場合、以下の手順を実施してください。

監査ポリシーの手動設定

NetAppにアクセスします。クラスタまたはVserverの管理者の認証情報を使用して、SSH またはTelnet経由でアクセスできます。

以下のコマンドを実行することで、監査ポリシーを設定できます。

Vserver audit create -<Vserver_Name> -destination <Log_Destination_Path> -format <Log_Format_in_XML/evtx> -rotate-size <Log_File_Size_Limit_in_KB/MB/GB/TB/PB> -rotate-limit <Log_Files_Rotation_Limit>

監査オプションの構成

各パラメーターの詳細は以下のとおりです。

  • <Vserver_Name>:監査ポリシーを設定するVserverの名前
  • <Log_Destination_Path>:監査ログの保存先パス(パスが無効な場合、コマンドは失敗します。パスの長さは最大864文字で、読み取り/書き込み権限が必要です)
  • <Log_Format_in_XML/evtx>:監査ログの出力形式(Data ONTAP固有のXMLまたはMicrosoft Windows EVTXログ形式のいずれかを使用できます)
  • <Log_File_Size_Limit_in_KB/MB/GB/TB/PB>:監査ログファイルのサイズ制限(単位とともに整数で表されます。例:200MB)
  • <Log_Files_Rotation_Limit>:監査ログファイルのローテーション(「0」はすべてのログファイルが保持されることを示し、「5」は最後の5つの監査ログファイルのみが保持されることを示します。

コマンド例: Vserver audit create -Vserver vs1 -destination /cifs_audit_log -format evtx -rotate-size 200MB -rotate-limit 10

注記
  1. 製品コンソールまたは手動で監査ポリシーを有効にすると、NetAppの監査保証設定(Audit-Guarantee setting)がTrueに設定されます。Trueに設定されることにより、NetAppがイベントをログに記録できない状態のとき、ユーザーがNetAppファイル操作を実行できなくなります。ディスク容量の不足などが原因で発生する可能性があります (詳細はこちら)。ファイル操作を継続して実行するには、NetAppサーバーでAudit-Guarantee=Falseを設定します。
  2. 監査ログが保存されるボリュームのスナップショットポリシーを無効にすることを推奨します。

SACLの構成

システムアクセス制御リスト (SACL) は、どのファイルとフォルダを監査するかを決定し、ファイルがアクセスされたときにシステムが監査イベントを生成するようにします。NetApp CMode CIFS監査に必要なSACLは、自動または手動で構成できます。

SACLの自動設定

ADAudit Plusで必要なSACLを自動構成する場合は、NetAppを追加するときに[監査のためのアクセス許可設定(SACL)は選択した共有によりセットされます]にチェックを入れてください。

監査オプションの構成

SACLの手動設定

手動で構成する手順はこのページを参照してください。

トラブルシュート

a. 不正なユーザー名またはパスワード

監査オプションの構成

指定されたユーザー名とパスワードが正しいかどうかを確認してください。

b. 記載されたポートとプロトコルを介してNetAppサーバーに接続できない

監査オプションの構成

以下の点を確認します。

  1. 設定したIPアドレスが正しいかどうか、および正しいIPアドレスタイプを選択しているかどうかを確認してください。
  2. 入力した認証情報が指定されたIPアドレスに属しており、正しいことを確認してください。
    注記:上記を確認するには、PuTTyまたはSSHクライアントを使用し、認証情報を使用して指定したIPアドレスに接続します。エラーなくログインできるはずです。
  3. Webコンソールのポート番号とプロトコル (HTTP/HTTPS) が正しいことを確認してください。

提供されたポートとプロトコルを使用してNetApp OnCommandセンターに接続してみてください。

c. API が見つかりません: ボリューム作成 (errno-13005)

監査オプションの構成

設定されたユーザーが NetApp上で特定の操作を実行するための十分な権限を持っていない場合に発生します。必要な役割と権限については、以下の画像を参照してください。

監査オプションの構成

d. アグリゲート(Aggregate)が存在しない (errno-14420)

監査オプションの構成

アグリゲート名(監査ログを保存するために指定された)が有効かどうか、また、構成された CIFS Vserver用のストレージプロビジョニングが存在するかどうかを確認します。

e. 指定されたパスはネームスペースに存在しない (errno-13001)

監査オプションの構成

ログパスに指定されたジャンクションパスが有効でマウントされているかどうか、また、それが構成されたCIFS Vserverに属しているかどうかを確認してください。