EMCのエントリーストレージ VNXe3100 で、CIFS共有フォルダを使ってるんですが、ファイル操作ログを取る必要が出てきました。
Unishphereを見てもファイル操作ログを取るような設定がありません。
で、サポートの方に聞いてみたら、「CIFS共有フォルダでのEMC VNXeシステムの使用」ドキュメントの「Windows ツールによるVNXe CIFS共有フォルダストレージの管理」のページに説明があるとのことでした。
マニュアルは、VNXeサポートページにログインし、製品ごとのサポート→VNXe Series→ドキュメントからダウンロードできます。
マニュアルと見ると、Windowsの監査ログの機能を使って、ファイル操作ログが取れるようです。
通常のファイルアクセス監査ログを取る場合も、GPOかローカルグループポリシーエディタで監査機能を有効にする必要がありますが、VNXeも同様です。
今回は、GPOを使わずに設定することにしました。
その場合、Celerra DataMover セキュリティ設定スナップイン という拡張ソフト(拡張スナップイン)を入れる必要があるようです。
このソフトを探すのに苦労しました。
結局、ダウンロード→適当に製品選び→右側の 製品/サポート・ツール →検索窓に "cifs" で検索→ VNX File/CelerraCifsMgmt.exe をダウンロードできました。
32bit用なので、x86のWindowsにドメイン管理者権限で、インストールしてやる必要があります。
インストール後、mmc.exeを起動し、[ファイル]→[スナップインの追加と削除]→[追加]→[Data Mover Management]でスナップインを追加します。
コンソールルートに Data Mover Management が追加されているので、右クリック→[Connect to Data Mover...]で設定を行うVNXe上の共有フォルダサーバを指定します。
まずは、監査機能を有効にしてやる必要がるので、Data Mover Managementスナップインの、[Data Mover Security Setting]→[Audit Policy]を右クリックし、[Enabled auditing]にして、有効にします。(逆に無効にする場合は、[Disable auditing]にします)
後は、[Audit Policy]配下にあるどの監査を行うか設定します。
このあたりは、通常のグループポリシーで監査を行う場合と同じですね。英語なんでちょっとわかりにくいですが。。。
今回はファイルアクセス監査ログをとりたいので、[Audit object access]ポリシーで成功時、失敗時とも監査するようにしました。
後は、どのフォルダ・ファイルに対して監査するか設定します。
このあたりも通常のWindowsファイルサーバと同じで、フォルダのプロパティのセキュリティから、どのユーザで、どのアクションをした時にログに残すか設定します。
ただ、ファイル・フォルダ数が多いフォルダで、監査の設定をすると、反映するのに相当時間がかかりました。
監査ログは、コンピュータの管理スナップインを立ち上げ、VNXe上の共有フォルダサーバに接続し、セキュリティイベントログから確認できます。
イベントログのサイズ等も、通常のWindowsと同じようにセキュリティイベントログを選択し、プロパティから変更できます。
このイベントログの実体ファイル(security.evt)は、\\共有フォルダサーバ名\c$ 直下にあるようです。
実は,c$配下にはスナップショットデータもあったり,コンピュータの管理から、ログイン中のユーザや使用中のファイルがわかったりといろいろ面白い発見があります。
VNXeサービス情報を取得して中を見てると、Linuxを使っているようですが、このあたりのWindowsとの親和性が高いのも、安物のLinuxNASとは大違いですね。
参考:
ドメインコントローラでオブジェクトアクセス監査を有効にすると。。。
マイクロソフト サーバー製品の ログ監査ガイド 監査ログについてわかりやすく説明されています。