EMC Isilon审核的配置设置

在EMC Isilon节点上配置以下审核设置。

1. 使用SSH客户端连接任何一个Isilon节点
1. 打开/etc/mcp/templates目录中的syslog.conf文件
2. 添加以下条目
1. 将*.* @<hostname/IP Address of the AdAuditPlus server>添加到"!audit_protocol"行之后
3. 通过执行以下命令为要审核的区域启用syslog转发
1. OneFS 版本 7.x isi zone zones modify <zonename> --syslog-forwarding-enabled=yes --syslog-audit-events=all
2. OneFS 版本 8.x isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=all --zone=<zonename>

在ADAudit Plus中配置的步骤

1. 登录到ADAudit Plus。
2. 进入文件审核标签 → 配置的服务器 → EMC Isilon。
3. 在向导可用的情况下配置Isilon群集(注意：提供用于审核的管理凭据)。
4. 点击管理 → 常规设置 → 连接。
5. 设置"当前系统日志状态"为"打开"。

故障排除

问题/消息	解决方案
所选域必须是群集的身份验证提供者。	确保集群已添加到所选的域中。如果问题仍然存在，请按照以下步骤更新计算机对象: 点击ADAudit Plus右上角的域设置。 点击下拉菜单，选择更新域对象。 从列表中选择计算机并点击保存。 等待几分钟，然后重试添加服务器。
Isilon时区未发现	确保第一步中提供的用户具有读取Isilon配置的权限。
获取共享时出错，访问拒绝	在域设置下配置的用户必须具有读取配置区域的共享的权限。
时间戳未更新/未收到数据	检查ADAudit服务器是否接收到系统日志数据，您可以安装https://www.manageengine.com/free-syslog-forwarder-tool/free-syslog-forwarder-index.html ManageEngine Free Syslog Forwarder工具进行检测。 关闭syslog监听，点击管理 → 常规设置 → 连接 (或)停止ADAudit Plus服务。 在syslog转发工具中，点击启动以接收syslog数据。 如果未显示数据，请重新检查系统日志配置。如果问题仍然存在，请与支持部门联系。