Audit Server es un sistema de gestión de auditorías de TI para entornos de clase empresarial donde la seguridad del sistema es primordial. Audit Server crea una instantánea de las rutas y unidades que el administrador del sistema especifica, excluyendo las rutas especificadas en el módulo de rutas excluidas. A continuación, esta aplicación analiza las rutas especificadas registrando la fecha de creación de los archivos, el nombre, la ruta, la hora de último acceso y el tamaño. Estos datos se ponen a disposición de los escaneos de comparación en una fecha posterior para marcar cualquier archivo nuevo, alterado o eliminado. Tiene la opción de escanear el sistema automáticamente a intervalos establecidos que van desde 1 segundo hasta 23 horas para actualizar la instantánea del sistema de los archivos borrados, alterados y nuevos añadidos al sistema. También tiene la capacidad, durante los escaneos automáticos, de eliminar los archivos nuevos a petición o copiarlos en un directorio establecido especificado por el administrador del sistema.
Una única ubicación para almacenar la actividad de los usuarios en todo el clúster, incluyendo los eventos de cloud era manager, los servicios desde la consola de navigator puede ver, filtrar y construir informes sobre estos datos de auditoría. Cada servicio escribe los eventos en un archivo de registro, el agente de cloud era manager en el host tal, el registro y pasa los eventos al servidor de auditoría de navigator, que los almacena en una base de datos local. El servidor de metadatos de navigator hace que estos eventos sean accesibles a través de la consola de navigator y a través de la API de navigator. Cuando se tiene Navigator habilitado y ejecutado en Cloud Era Manager, el sistema de auditoría se ejecuta correctamente.
La auditoría Out-Of-The-Box está habilitada para todos los servicios soportados. Por defecto. Obtendrá 90 días de eventos de auditoría retenidos en la base de datos de auditoría de navigator. Los filtros incorporados reducen el volumen de eventos de servidor a servidor auditados para HDFS hive y HBase. Es una buena idea revisar su sistema de auditoría para asegurarse de que está funcionando de manera eficiente. Para aprovechar al máximo sus datos de auditoría, considere qué eventos de auditoría está recogiendo es posible. Puede filtrar los eventos que no necesita. ¿Cuánto tiempo retiene los eventos de auditoría en el navegador? Cuanto más tiempo permanezcan los eventos, mayor será el volumen de la base de datos de navigator.
¿Cómo se archivan los eventos de auditoría? ¿Puede acceder a los datos archivados cuando los necesite? Navigator captura los eventos producidos por la era de la nube, el gestor, los servicios, HDFS, HBase y hive tienen filtros predefinidos que controlan los eventos de auditoría que estos servicios proporcionan como parte de su control de auditoría. Busque los eventos de auditoría comunes por usuario y por operación, revise los filtros predefinidos y asegúrese de que están haciendo lo que usted espera. También puede considerar la posibilidad de añadir filtros para eliminar los eventos que no le aportan valor.
Puede revisar los eventos de auditoría directamente a través de la consola del Navegador para hacerse una idea. Lo que se rastrea, también podría ejecutar algunas consultas contra la propia base de datos después de iniciar sesión en la base de datos como un usuario privilegiado, mostrar las bases de datos y buscar la base de datos de Navigator. Las tablas de auditoría incluyen una tabla para cada servicio y para cada día de auditoría para ver los usuarios y operaciones más comunes elija una tabla y ejecute una consulta contra ella.
Puede ver que el usuario cysts en este ejemplo realizó un gran número de operaciones HDFS. Mirando las tablas de otros días, puedes ver patrones entre los usuarios que realizan un gran número de operaciones. Ahora que sabemos algo sobre los eventos de auditoría más comunes, vamos a revisar los filtros por defecto y ver si están haciendo lo que esperamos ver los filtros de auditoría para un servicio ir a ese servicios. Página de configuración y busque auditoría aquí estamos revisando los filtros para HDFS. El primer filtro está diseñado para descartar los eventos redundantes de HDFS para las operaciones del servicio.
Estos eventos se descartan en favor de eventos más descriptivos producidos por los propios servicios. Por ejemplo, las auditorías de hive incluyen eventos para consultas contra una tabla, por lo que este filtro elimina los nueve eventos HDFS también generados por una consulta para que este filtro funcione. Los nombres de los roles de los servicios deben coincidir con los valores especificados en el filtro. El segundo filtro está diseñado para descartar el gran volumen de eventos de lista y descripción realizados por el superusuario HDFS.
Estos eventos rastrean el acceso a los metadatos de archivos y directorios, ya que en los comandos del directorio LS, casi todas las acciones en el clúster producen uno o más de estos eventos. Además de los eventos específicos rastreados para la operación, como has visto en los ejemplos anteriores, la actividad del superusuario puede producir volúmenes muy grandes de eventos. Esto puede no añadir valor a su sistema de auditoría para que este filtro funcione. Asegúrese de que el nombre de su superusuario HDFS coincide con el nombre del filtro.
El tercer y cuarto filtro descartan los eventos de usuario Hugh que se generan cuando se ejecuta el gestor de la era de la nube. La prueba de salud del meta almacén de la colmena, el último filtro, descarta, las operaciones HDFS realizadas bajo la barra temporal. Después de revisar los eventos que crea su sistema. Puede encontrar que tiene eventos que no contribuyen a sus requisitos de auditoría. Puede añadir filtros para evitar recoger esos eventos.
Por ejemplo, las operaciones de información de archivos de HDFS representan un gran porcentaje de las auditorías de HDFS. Podría reducir significativamente el volumen de auditorías en su base de datos filtrando estos eventos que rastrean el acceso a los metadatos de los archivos y no a los datos El navegador retiene los eventos de auditoría durante una cantidad fija de tiempo, y luego son descartados de la base de datos para determinar cuánto tiempo se deben retener los eventos de auditoría en el navegador.
Considere el volumen de eventos que el sistema está produciendo, cuánto espacio en el disco puede utilizar la base de datos y cómo sus clientes están utilizando los eventos de auditoría.
Si sus usuarios son activos con los informes de auditoría desde la consola del navegador, puede ser capaz de ajustar lo que recoge, de modo que pueda retener los eventos durante más tiempo sin engrosar el tamaño de su base de datos. Para su chequeo de auditoría calcule el volumen de eventos que su sistema está produciendo, para saber cuánto está creciendo con el tiempo. Aquí hay algunos ejemplos de consultas. Puede ejecutar contra la base de datos de auditoría, empezando por mostrar el tamaño de todas las tablas de auditoría para una fecha determinada.
Luego puede calcular el tamaño total de las auditorías de todos los servicios. Para esa fecha, añadir un filtro en los nombres de las tablas le permite mostrar los totales de las auditorías en todas las fechas para predecir el tamaño de la base de datos de auditorías, tomar el día con el mayor volumen de auditorías y multiplicarlo por los días del periodo de expiración. Para esta base de datos, una buena estimación del espacio de disco necesario para la base de datos de auditoría sería de 5 gigabytes por 90 días o unos 450 gigabytes.
Asumiendo que el volumen de eventos producidos en su sistema es bastante constante. Puede controlar el volumen de auditoría estableciendo el tiempo que Navigator retiene estos eventos establecidos. Este valor en el gestor de la era de la nube en el período de caducidad de los datos del servidor de auditoría de Navigator, el valor por defecto es de 90 días. Ahora que usted tiene un plan para guardar sólo los eventos que necesita para sólo el tiempo que usted necesita.
La revisión de auditoría restante es sobre el archivo de eventos de auditoría. Las soluciones de archivo equilibran lo fácil que es acceder a los datos archivados, cómo manejar la escala de auditorías que tiene y cuánto esfuerzo puede gastar en el desarrollo de su sistema de archivo. Las opciones disponibles para integrar Navigator con un sistema de archivado incluyen el uso del streaming de la API de Navigator, los eventos a un sistema de mensajería o de registro como Kafka, la realización de copias de seguridad de la base de datos o el uso de scoop para almacenar el contenido de la base de datos en HDFS. Estas soluciones varían en cuanto a facilidad de acceso, escalabilidad y esfuerzo de implementación.
Como puede ver en esta comparación, la creación de una copia de seguridad de la base de datos es la más fácil de implementar. Como mínimo, este método puede asegurarle que tiene datos de auditoría cuando los necesita en streaming y en primicia en HDFS, proporciona un acceso mucho mejor a los datos archivados, pero también requiere más tiempo de desarrollo como parte de un control de auditoría asegúrese de que tiene algún tipo de archivo para cumplir con los requisitos de su organización y no espere hasta que tenga una solicitud urgente antes de documentar cómo acceder a los datos archivados para sacar el máximo provecho de su sistema de auditoría valide que los filtros por defecto sean los adecuados.
Controle lo que entra en el sistema, sepa cómo establecer su periodo de caducidad. Para que pueda gestionar el tamaño de la base de datos de auditoría con facilidad, prepárese para lo inesperado archivando las auditorías, de forma adecuada. Hay más información sobre todos estos puntos en la documentación de Cloudera, calma..
.