配置审计日志

注意事项

• 审计日志命名空间和其他命名空间共用存储池空间。
• 同一帐户下最多只能创建一个审计日志命名空间。
• 审计日志命名空间不支持创建配额和Dtree。
• 审计日志命名空间不支持创建远程复制Pair。
• 审计日志命名空间不支持配置回收站功能。
• 审计日志命名空间不支持配置WORM功能。
• 审计日志命名空间不支持配置分级删除策略。
• 审计日志命名空间不支持快照回滚。
• 审计日志命名空间不支持配置防病毒扫描功能。
• 审计日志命名空间不支持配置DPC访问。
• 审计日志命名空间不支持记录DPC访问操作。
• 审计日志命名空间不支持配置HDFS智能纳管功能。

前提条件

已开启文件、对象或大数据服务。

操作步骤

1. 选择“设置 > 数据安全 > 审计日志”。
2. 在左上方的“帐户”下拉框中选择帐户。
3. 开启审计日志配置开关。
4. 设置审计日志的相关参数，如表1所示。

   表1 审计日志参数说明

   参数名称	参数说明
   记录CIFS登入登出	启用后，系统将在日志中记录CIFS登入登出的操作。
   记录FTP登入登出	启用后，系统将在日志中记录FTP登入登出的操作。
   记录文件访问	启用后，系统将在日志中记录文件访问的操作。
   输出格式	审计日志文件的生成格式，包括“xml”。“evtx”和“txt”。
   单个日志大小(MB)	系统保存的单个审计日志的文件大小。
   审计日志命名空间	用于存储审计日志文件的审计日志命名空间。单击“创建”，在弹出的“创建命名空间”页面创建用于存储审计日志的命名空间，具体操作参见5。 说明： 一个帐户只能创建一个审计日志命名空间。
   保留策略	审计日志文件的保留策略。包括： 保留时长（天）：设置审计日志文件的保留时间，取值为1~1200，单位为天，默认值为90天。当审计日志命名空间中的日志文件保留时长达到设定值时，系统会自动删除超期的日志文件。 最大保留容量（GB）：设置审计日志文件占用命名空间容量的大小，取值为5~10240，单位为GB，默认值为500GB。当审计日志命名空间中的日志文件占用容量达到设定值时，系统会自动删除较旧的日志文件，直到不大于设定值的90%。 日志文件保留个数（千个）：设置审计日志文件的保留个数，取值为1~1000，单位为千个，默认值为50千个。当审计日志命名空间中的日志文件个数达到设定值时，系统会自动删除较旧的日志文件，直到不大于设定值的90%。

5. 创建审计日志命名空间。
   1. 在“审计日志命名空间”区域，单击“创建”。

      系统弹出“创建命名空间”对话框。

   2. 设置审计日志命名空间相关基本信息参数，如表2所示。

      表2 命名空间参数

      参数名称	参数说明
      名称	新创建命名空间的名称。 说明： 命名空间的命名规则如下： 名称不能重复。 只支持字母、数字、“_”、“-”和“.”，必须包含字母或数字。 长度为1～255个字符。 如果要为命名空间开启对象服务，名称需同时满足如下规则，否则将不支持虚拟托管形式访问桶，域名解析将出错，只能通过路径形式访问。 只能包含小写字母、数字、“.”和“-”，只能以字母或数字开头和结尾，“.”和“-”不能相邻，不能有相邻的“.”。 长度为3~63个字符。 不能是IP地址。
      存储池	新创建命名空间所属的存储池。
      冗余配比	新创建命名空间的冗余配比，与所属存储池的冗余配比一致。 说明： 只有采用“EC”冗余策略的存储池才显示该参数，采用“副本”冗余策略的存储池，不显示该参数。
      安全模式	据业务需求选择需要的安全模式。包括： Mixed：适用于CIFS客户端（使用SMB协议）的用户和UNIX客户端(使用NFS/HDFS/DPC协议)的用户都可以访问并控制命名空间的场景。该模式下，权限以CIFS客户端或UNIX客户端最后设置的权限为准，不会同时存在CIFS权限（NT ACL）和UNIX权限（Unix Mode/Posix ACL/NFSv4 ACL）。 Native：与Mixed模式适用于相同的场景，且权限也以CIFS客户端或UNIX客户端最后设置的权限为准。区别在于，Native模式下，同时存在CIFS权限（NT ACL）和UNIX权限（Unix Mode/Posix ACL/NFSv4 ACL），两者互不影响，不存在互相同步。 NTFS：适用于CIFS用户的权限由Windows NT ACL权限控制的场景。 UNIX：适用于Unix Mode/Posix ACL/NFSv4 ACL权限控制场景。 说明： 用户在Mixed模式（Mixed模式支持NT ACL设置）下通过Windows客户端对文件或目录配置了NT ACL，然后将Mixed模式切换到UNIX模式后，Mixed模式的NT ACL会失效。
      应用类型	存储系统针对典型的应用场景提供了预置的“应用类型”。包括：“GENERAL”和“PACS”。 说明： PACS（Picture Archiving and Communication System）是应用在医院影像科室的系统，适用于医疗影像场景。想要了解更多关于PACS的详细介绍请查看对应版本的《产品描述》。 “GENERAL”是默认值，适用于除“PACS”场景外的场景。 “PACS”的命名空间语义层分布算法为精简模式，该模式下目录分片数为1。“GENERAL”的命名空间语义层分布算法为均衡模式，该模式下目录分片数为8。 目录分片是将一个目录元数据对象分割成多个逻辑元数据对象，目录分片数是指单个目录分割成的元数据对象的份数。目录分片前，一个目录下的子文件数据和元数据对象只能归属于一个存储节点，压力集中与该节点上。目录分片后，目录下的子文件和元数据对象可以均衡的归属于多个存储节点，提升命名空间并发能力。多目录分片数适用于大目录或目录下有多个大文件的场景。 您也可以通过CLI命令（create namespace general），创建其他目录分片数的命名空间，具体请查看对应版本的《命令参考 》。

   3. 配置NFS共享。
      

      • NFS共享开关默认关闭，建议后续再进行配置。
      • NFS共享打开后，在融合互通场景下对象服务无法设置Prefix级别的WORM最大值和最小值。
      • 当存储池开启了文件服务时，才能进行设置。
      1. 开启“NFS”开关，然后单击“配置”。

         系统弹出“配置NFS共享”页面。

      2. 设置NFS共享的访问权限。
         单击“增加”增加客户端，具体操作参见增加客户端。

         

         • 单击客户端右侧的“更多”，选择“修改”，可以对客户端信息进行修改。
         • 选择客户端，单击“移除”或单击客户端右侧的“更多”，选择“移除”，可以对客户端进行移除。
      3. 单击“确定”。
   4. 配置CIFS共享。
      

      • CIFS共享开关默认关闭，建议后续再进行配置。
      • CIFS共享打开后，在融合互通场景下对象服务无法设置Prefix级别的WORM最大值和最小值。
      • 当存储池开启了文件服务时，才能进行设置。
      1. 开启“CIFS”开关，然后单击“配置”。

         系统弹出“配置CIFS共享”页面。

      2. 设置CIFS共享的名称。
         

         • 名称不能重复。
         • 共享名称不能包含如下字符 " / \ [ ] : | < > + ; , ? * =，首尾字符不能为空格，同时不能使用如下系统保留名称ipc$、autohome、~和print$。
         • 长度为1～80位（1个中文字符占3位长度）。
      3. 设置CIFS共享的访问权限。
         单击“增加”增加用户/用户组，具体操作参见增加用户/用户组。

         

         • 单击用户/用户组右侧的“更多”，选择“修改”，可以对用户/用户组信息进行修改。
         • 选择用户/用户组，单击“移除”或单击用户/用户组右侧的“更多”，选择“移除”，可以对用户/用户组进行移除。
      4. 单击“确定”。
   5. 配置FTP共享。
      

      • FTP共享开关默认关闭，建议后续再进行配置。
      • 当存储池开启了文件、对象或大数据服务时，才能进行设置。
      • 配置FTP共享前，请先开启FTP服务并设置FTP共享认证类型。具体操作可参见管理FTP服务和设置认证类型。
      1. 开启“FTP”开关，然后单击“配置”。

         系统弹出“配置FTP共享”页面。

      2. 设置FTP共享的名称。
         

         • 名称不能重复。
         • 共享名称不能包含如下字符 "/\[]:|<>+;,?*=#，首尾字符不能为空格，同时不能使用如下系统保留名称ipc$、autohome、~和print$。
         • 长度为1～80位（1个中文字符占3位长度）。
      3. 设置FTP共享的访问权限。
         单击“增加”增加用户，具体操作参见增加用户。

         

         • 单击用户右侧的“更多”，选择“修改”，可以修改用户权限。
         • 选择用户，单击“移除”或单击用户右侧的“更多”，选择“移除”，可以对用户进行移除。
      4. 单击“确定”。
   6. 配置HDFS服务。
      

      • 当存储池开启了大数据服务时，才能进行设置。
      • 当“业务类型”为“智能视图”或“备份归档”的场景下，不支持大数据服务。
      1. 开启“协议”中的“HDFS”开关。
      2. 选择命名空间关联的Zone。
         1. 在“关联Zone”处单击“选择”。

            系统弹出“关联Zone”页面。

         2. 选择需要关联的Access Zone所属的子网。
         3. 选择需要关联的Access Zone。
            

            • 如果未配置子网，单击“创建”可以对子网进行配置，请参见创建子网。
            • 如果已经配置了子网，在子网处单击“修改”可以对子网参数进行修改，请参见修改子网信息。
            • 选择子网后，单击“创建”可以创建新的Access Zone，请参见创建Access Zone。
         4. 单击“确定”。
   7. 配置对象服务。
      

      • 当存储池开启了对象服务且采用POE鉴权时，才支持开启对象协议。采用IAM鉴权不支持开启对象协议。
      • 当“业务类型”为“智能视图”且导入支持“多协议互通”的License时才支持对象服务。IVS场景不支持对象服务。
      1. 开启“协议”中的“对象”开关。
      2. 为命名空间配置桶权限。审计日志命名空间只支持私有桶权限。

         私有：仅桶的拥有者（即创建桶的帐户）有完全的控制权限，其他用户在未经授权时均无访问权限。

   8. 单击“高级”，设置命名空间的高级信息。
      1. 选择是否开启“自动更新Atime”功能。Atime即访问命名空间的时间。启用后，系统将按照设置的“更新频率”更新访问命名空间的时间。开启“自动更新Atime”后，需要设置Atime的更新频率。包括“1小时更新”和“1天更新”。
         

         “自动更新Atime”开启后，将对系统性能造成影响。

      2. 设置执行ls -l命令时目录或文件所占空间大小的展示方式，具体请参见表3：

         表3 目录和文件空间大小展示情况

         目录空间展示方式	本层目录	本层目录下文件	本层目录下子目录	子目录文件
         目录本身占用空间大小	√	X	X	X
         本层目录下所有文件占用空间大小	X	√	X	X
         本层目录及子目录所有文件占用空间大小	X	√	X	√
         √：表示展示空间大小 X：表示不展示空间大小

      3. 设置命名空间的数据安全和保护功能。

         相关参数如表4所示。

         表4 数据安全和保护参数

         参数名称	参数说明
         快照目录是否可见	设置命名空间快照的目录是否可见。设置为“可见”时，系统会显示命名空间下的快照目录.snapshot。
         数据加密	是否开启“数据加密”功能。开启后，系统将生成数据密钥，对写入命名空间的数据进行加密。 说明： 导入高级License才支持数据加密。 命名空间的数据加密只能在创建命名空间时进行配置，开启后不支持关闭。开启命名空间数据加密前，请先开启帐户的数据加密功能。 开启数据加密后，将对非加密业务I/O性能造成影响，请确认是否需要开启。 命名空间开启对象协议时，数据加密和SSE-C服务端加密方式不能同时使用，双重加密会严重影响性能。如果此处启用数据加密功能，则对象协议不再支持使用SSE-C服务端加密方式对单个对象加密。
         加密算法	“数据加密”开启后，需要选择加密算法。包括“XTS-AES-128”、“XTS-AES-256”和“XTS-SM4”。 说明： 加密算法只能在创建命名空间时进行配置，后续不支持修改。 “XTS-SM4”只有在导入支持“国密算法”的License后才可以选择。 只有中国大陆地区支持“XTS-SM4”加密算法。

      4. 单击“确定”。

6. 单击“保存”。