PowerScaleで取得できる監査ログの項目に関して

Question

PowerScale（OneFSv9.7以降）でAuditを使用したいと考えています。 PowerScaleではProtocol AuditingとConfig Auditingの2種類あるかと思いますが、それぞれのAuditでどのような情報が取れるか一覧はありませんでしょうか。 現在以下のような項目が取れないかなと考えております。 Protocol Audit ファイルの 作成・読み取り・変更・削除操作 ファイル操作時のユーザ情報・端末情報・ファイルサイズはハッシュ値 Config Audit ログイン・ログアウト・認証エラー・RBAC等の権限変更履歴・サーバ再起動・停止 とうとうを考えておりますがこの辺詳細にわかる資料等ありませんでしょうか。

ayas · Accepted Answer

Kingさんご返信をありがとうございます。 1．System Auditingはご教授いただいたマニュアルに記載のある以下項目のみ取得できる認識でよろしいでしょうか。○ Module loads and unloads○ System boot up and reboots○ User logins and logouts○ System shutdowns and power off○ OpenSSH logins →ご理解の通りです。私もその認識です。 2．WebUIにアクセスした場合のLogin・Logoffに関してログとして確認する方法はありますでしょうか。 →昔は/var/log/isi_webui_d_audit.logに記録が残ったようですが、OneFS9.12ではファイルがありませんでした。/var/log/audit/httpd.logあたりで確認ができそうです。 IsilonのGUI・CLI監査ログ（古いOneFSの話）例）/var/log/audit/httpd.log 出力例（ログイン失敗はすぐわかりますがログイン成功に関しては明示的な表現になならないようです） <147>1 2025-12-03T09:51:25 ayas-1 httpd 3702 - - [auth_isilon:error] [pid 3702:tid 64530448051200] [client 192.168.199.1:52528] (STATUS_WRONG_PASSWORD (0xC000006A) HTTP error: 401) Failed issuing a new JWT from the JWT service., referer: https://XXXX:8080/OneFS/Login <147>1 2025-12-03T09:51:25 ayas-1 httpd 3702 - - [auth_isilon:error] [pid 3702:tid 64530448051200] [client 192.168.199.1:52528] (401) Username or password is incorrect., referer: https://XXXX:8080/OneFS/Login <158>1 2025-12-03T09:51:34.136803+09:00 ayas-1 httpd 3699 - - 192.168.199.1 - - [03/Dec/2025:09:51:34 +0900] 'POST /session/2/session?_cb=1767921689591 HTTP/1.1' 401 58 'https://XXXX:8080/OneFS/Login' 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36' <158>1 2025-12-03T09:51:37.817732+09:00 ayas-1 httpd 3699 - - 192.168.199.1 - - [03/Dec/2025:09:51:37 +0900] 'POST /session/2/session?_cb=1767921693257 HTTP/1.1' 201 119 'https://XXXX:8080/OneFS/Login' 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36' 3．Config Auditに関してですがこちらはOneFSに対する構成変更に関するログが取得できますが、OneFSで設定変更したものはすべて取得できる認識であっておりますでしょうか。 →Config Auditに関してはCLI,WEBUI,APIで明示的に行われたIsilonへの変更に関しての情報が採取できるのだと思います。（CLI,WEBUI,APIを使わずに自動で変わるものなどに関してはスコープ外だと思います。） PowerScale OneFS 9.12.0.0 CLI Administration Guide Page231Configuration change auditing tracks and records all configuration events from the OneFS platform API. The process audits the command-line interface (CLI), web administration interface, and OneFS APIs.

ayas · Answer

Kingさん

PowerScaleでは監査機能として以下の3種類があります

+Protocol Auditing：SMB、NFS、S3、HDFS経由のファイル操作を記録
+Configuration Auditing：OneFSに対する構成変更（CLI/GUI/API）を記録
+System Auditing：ログイン、シャットダウンなどのシステムイベントを記録

現時点では、これらの監査で取得できる情報を網羅した一覧表は公開されていませんが、参考になりそうな情報をまとめます。

Protocol Auditing>
対象：ファイルの作成・読み取り・変更・削除操作
取得可能情報：ユーザー情報、端末情報、ファイル名、サイズ（ハッシュ値は標準では取得できなさそうです）

参考：PowerScale OneFS 9.13.0.0 Web Administration Guide
Page218
Auditing overview
The audit topic types are:
● Configuration change auditing
● Protocol activity auditing
● System auditing

Page218
Configuration change auditing
Configuration change auditing tracks and records all configuration events from the OneFS platform API. The process audits the command-line interface (CLI), web administration interface, and OneFS APIs

Protocol auditing
Protocol auditing tracks and stores activity through SMB, NFS, S3, and HDFS protocol connections.

System auditing
System auditing tracks system platform events and events that are related to account management.

Dell EMC Knowledge Article 000019850 : Isilon: List of Isilon audit payload values（Protocol auditingで記録される情報）

Configuration Auditing

対象：OneFS上の構成変更（CLI、GUI、API）
参考：
OneFS System Configuration Auditing

OneFS System Configuration Auditing – Part 2

System Auditing
対象：ログイン／ログアウト、認証エラー、RBAC変更、再起動・停止など
参考：PowerScale OneFS 9.13.0.0 Web Administration Guide
Page219　System auditing　セクション参照

King · Answer

@ayas

ご回答ありがとうございます。

大変参考になりました！

System Auditingに関してですが、今Simulatorで確認はしているのですが、ログイン／ログアウト、認証エラー、RBAC変更、再起動・停止この辺をログからうまく確認できておらず。。。

申し訳ありませんがどこのログにどのようにして確認できるかも教えていただくことはできますでしょうか。

isi_audit_viewerで見れればよかったのですが、、、

ayas · Answer

Kingさんご返信をありがとうございます。どこのログにどのようにして確認できるかも教えていただくことはできますでしょうか。isi_audit_viewerで見れればよかったのですが、、、 →残念ながらisi_audit_viewerはProtocolAudit用のToolになるのでSystem Auditの場合はprauditを使う必要があります。 ①System AuditをEnableにするisi audit settings global modify --system-auditing-enabled=yes ②ログ保存先の確認（current や *.not_terminated が対象のようでした）ls /var/audit/ コマンド結果＞ayas-1# ls20251202233206.not_terminated distcurrent remote ③praudit で可読化praudit -x /var/audit/current コマンド結果＞ayas-1# praudit -x /var/audit/current system booted auditd::Audit startup 参考： PowerScale OneFS 9.13.0.0 CLI Administration Guide Page233 System auditingThe OpenBSM service is predefined to log high-level cluster events. This service is disabled by default. If enabled, it collects the following events and stores them in /var/audit/.○ Module loads and unloads○ System boot up and reboots○ User logins and logouts○ System shutdowns and power off○ OpenSSH logins Page234OpenBSM log files are in /var/audit/. You can view the logs with the praudit utility:praudit-x /var/audit/ Page239 Enable system auditing and forwardingisi audit settings global modify --system-auditing-enabled=yes Dell EMC Knowledge Article 000020901 : PowerScale: How to View Audit Logs for OneFS (isi_audit_viewerの話）

King · Answer

@ayas

ご回答ありがとうございます！

praudit コマンドで無事確認できました！

たびたび追加で申し訳ないのですが、以下もご教授いただけると助かります。

1．System Auditingはご教授いただいたマニュアルに記載のある以下項目のみ取得できる認識でよろしいでしょうか。
○ Module loads and unloads
○ System boot up and reboots
○ User logins and logouts
○ System shutdowns and power off
○ OpenSSH logins

2．WebUIにアクセスした場合のLogin・Logoffに関してログとして確認する方法はありますでしょうか。

3．Config Auditに関してですがこちらはOneFSに対する構成変更に関するログが取得できますが、

OneFSで設定変更したものはすべて取得できる認識であっておりますでしょうか。

一部設定変更は取得できないということがないか気にしております。

ストレージコミュニティ

この投稿は参考になりましたか？

ストレージ コミュニティ

この投稿は参考になりましたか？

ストレージコミュニティ