EMC Isilon 文件监控

Dell EMC Isilon 是一个分布式网络附加存储（NAS）平台，旨在管理和存储大量非结构化数据，为数据密集型工作负载提供高性能和可扩展性。Isilon 与 Log360 Cloud 的集成增强了安全性和运营洞察。

支持的版本

OneFS 操作系统版本 7.0 及以上。

审计事件

Log360 Cloud 审计以下文件操作的所有成功和失败尝试：

• 创建
• 读取
• 重命名
• 写入
• 删除
• 权限更改

本指南提供了使用 Log360 Cloud 配置 EMC Isilon 集群实时更改审计的步骤。

所需权限

为确保 Log360 Cloud 在审计 EMC Isilon 节点时有效运行，需具备某些最低权限。创建一个专用的 Log360 Cloud Isilon 用户账户，并为其授予以下权限。

• 为以下权限授予只读访问权限：
1. ID: ISI_PRIV_LOGIN_SSH
2. ID: ISI_PRIV_AUTH
3. ID: ISI_PRIV_NETWORK
• 为以下权限授予读写访问权限：

ID: ISI_PRIV_AUDIT

注意：启用日志转发时，必须为 ISI_PRIV_AUDIT 授予读写权限。但如果选择手动日志转发，可以将此权限设置为只读。
• 验证集群名称或集群 DNS 名称是否映射至节点的 IP 地址。
• 在域设置中配置的用于身份验证提供程序的用户必须对共享资源具有读取权限。

在 Log360 Cloud 中配置 EMC Isilon 审计

按以下步骤在 Log360 Cloud 中配置 EMC Isilon 审计：

1. 进入 设置 > 配置 > 文件完整性监控 > EMC Isilon 集群。



2. 如果集群配置为域， 从已发现设备列表中选择 EMC Isilon 集群。否则，可以选择 手动配置 选项并输入集群名称。



3. 输入正确的凭据和 SSH 端口号，然后选择合适的代理。



4. 验证所提供的凭据以启用浏览位置。在浏览 Isilon 位置之前，确保凭据验证正确，以确保连接安全和准确的文件活动监控。



5. 浏览目录，选择希望监控的特定文件和文件夹。或者，您也可以手动输入文件/文件夹的路径。



6. 使用筛选器以：
• 包含/排除某些文件类型。
• 排除主目录中的子位置。
• 排除主目录下的所有子位置。



7. 点击 配置 按钮以启动配置过程。

日志转发：

• 支持的版本：ONEFS 版本 8.2 及以上支持自动日志转发。
• 设备配置期间默认启用自动日志转发。
• 如果配置日志转发失败，请查看故障排除提示，并使用下方显示的“配置”按钮进行日志转发设置。



• 验证所选代理，点击 配置 以启用自动日志转发。请注意，Isilon 集群仅将日志转发到 514/UDP，且此端口不可更改。

手动配置步骤：

第 1 步

• 启用协议审计并配置审计设置。
• 选择需要监控的具体事件。

第 2 步

• 在 Isilon 环境中激活 syslog 转发。

• 添加要转发数据以进行监控的 Log360 Cloud 代理的 IP 地址。

如果使用 OneFS 7.x 版本，

• 启用协议审计并配置审计设置，请执行以下命令：

isi audit settings modify -- protocol-auditing-enabled yes -- audited-zones <zone_names>

isi zone zones modify <zone_name> -- audit-success create,delete,read,rename,set_security,write

isi zone zones modify <zone_name> -- audit-failure create,delete,read,rename,set_security,write

• 启用 syslog 转发，请使用以下命令：

isi zone zones modify <zone_name> --syslog-forwarding-enabled=yes

• 配置 IP 地址：

使用 SSH 客户端连接到任一 Isilon 节点。

打开位于 /etc/mcp/templates 目录下的 syslog.conf 文件。

定位 !audit_protocol 行，并添加以下条目，替换 hostname 或 IP 地址为正确值：

*.* @<hostname/IP Address>

保存 syslog.conf 文件。

如果使用 OneFS 版本 8.0 和 8.1，

• 启用协议审计并配置审计设置，请执行以下命令：

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_names>

isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write

isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write

isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

• 启用 syslog 转发，请使用以下命令：

isi audit settings modify --syslog-forwarding-enabled=yes --zone=<zone_name>

• 配置 IP 地址：

使用 SSH 客户端连接到任一 Isilon 节点。

打开位于 /etc/mcp/templates 目录下的 syslog.conf 文件。

定位 !audit_protocol 行，并添加以下条目，替换 hostname 或 IP 地址为正确值：

*.* @<hostname/IP Address>

保存 syslog.conf 文件。

如果使用 OneFS 版本 8.2 和 9.4，

• 启用协议审计、配置审计设置并设定 IP 地址：

isi audit settings global modify --protocol-auditing-enabled yes --audited-zones <zone_name> --protocol-syslog-servers <IP_of_ADAuditPlus_server>

isi audit settings modify --zone <zone_name> --audit-success create,delete,read,rename,set_security,write

isi audit settings modify --zone <zone_name> --audit-failure create,delete,read,rename,set_security,write

isi audit settings modify --zone <zone_name> --syslog-audit-events create,delete,read,rename,set_security,write

• 要启用 syslog 转发，请执行以下命令：

isi audit settings modify --syslog-forwarding-enabled yes --zone <zone_name>

注意：仅启用必要的审计事件，如 create、delete、read、rename、set_security 和 write，以防止云存储使用量不必要的增加。

故障排除

配置过程中未列出目标集群

原因：集群尚未添加到域中。

解决方案：

• 确保选择了正确的域。
• 检查集群的域是否设置为身份验证提供程序。
• 在“选择集群”对话框中点击刷新选项，以重新加载域中的计算机对象。
• 验证在 Active Directory 中创建的计算机对象的操作系统名称是否为 OneFS。

凭据验证

错误信息： 由于集群无法访问或端口配置错误，连接 <Cluster Name> 失败。

原因：

• 集群名称未解析到正确的 IP 地址。
• SSH 端口配置错误。

解决方案

1. 集群名称解析：
• 验证通过集群名称 ping Isilon 集群是否解析到正确的 IP 地址。
• 如果未解析，则为 Isilon 集群名称添加 DNS 主机映射条目。
• 确认您的互联网连接正常。
2. SSH 端口匹配：
• 执行命令 isi ssh settings view 检查配置所用的 SSH 端口是否与 Isilon 集群启用的 SSH 端口匹配。
• 如果不匹配，在添加集群前更新 Secure Shell (SSH) 端口，使用命令： isi ssh settings modify --port <Integer>.

错误信息： 由于提供的凭据权限不足，验证失败。

请参考相关章节 所需权限 以实现有效的 EMC Isilon 审计。

浏览位置

错误信息： 权限被拒绝错误。

原因：凭据错误或对指定位置的读取权限不足。

解决方案：

• 提供具有指定位置适当权限的账户凭据。

错误信息： 未找到 SMB 共享。

原因：

尚未创建共享，或共享创建所在的区域未被审计。

解决方案：

验证共享创建所在区域是否列在审计区域中。检查命令： isi audit settings global view 并确保区域在审计区域中正确列出。

自动日志转发配置失败

原因：用户可能未拥有 ISI_PRIV_AUDIT 的读写权限以编辑 Isilon 集群中的日志转发设置。

解决方案：确认提供了具有日志转发配置所需权限的凭据；请参考相关章节 凭据管理.

确保所选代理上启用了端口 514/UDP。

有关日志转发的进一步说明，请参阅 日志转发部分.

由于凭据无效，无法检查位置是否存在

原因：

当凭据已更新或无效时，可能出现此错误。

解决方案：

• 提供具有适当权限的账户凭据。

由于集群无法访问或端口配置错误，无法检查位置是否存在

原因：

当服务器名称未解析到正确的 IP 地址时，可能出现此错误。

解决方案：

• 确保正确的集群名称解析，确认通过集群名称 ping Isilon 集群时解析到正确的 IP 地址。如未解析，添加 Isilon 集群名称的 DNS 主机映射条目。
• 此外，确认互联网连接正常。通过执行命令 'isi ssh settings view' 检查 SSH 端口匹配，确保其与 Isilon 集群启用的 SSH 端口一致。若不一致，使用命令 'isi ssh settings modify --port <Integer>' 更新 SSH 端口。

未接收数据

原因：

• Syslog 配置问题。
• Syslog 数据未到达 ManageEngine Log360Cloud Agent。

解决方案：

1. 检查 syslog 配置：
• 执行命令 isi audit settings global view 检查：
• protocol-syslog-servers 中的 IP 列表
• 共享创建所在的区域是否列在审计区域中。
• 如果区域未列出，使用以下命令将其添加到审计区域： isi audit settings global modify --audited-zones <zone_name>
2. 检查转发的 syslog 数据：
• 安装 ManageEngine 免费 syslog 转发工具.
• 停止 ManageEngine Log360Cloud Agent 服务。
• 在免费 syslog 转发工具中，将 Isilon 集群 IP 添加到 接收 Syslog 部分，然后点击“开始”接收 syslog 数据。
• 如果未显示数据，请重新检查 syslog 配置。
• 如果问题仍然存在，请联系支持团队 support@log360cloud.com。

用您要添加的区域的实际名称替换 <zone_name>。

访问者字段未建立索引 / 未接收到来自特定节点的数据

原因：

可能已创建新用户/节点。

解决方案：

• 使用“刷新界面”按钮更新 Isilon 节点配置和本地用户。