Hantera filåtkomstloggar i Azure NetApp Files

Filåtkomstloggar ger filåtkomstloggning för enskilda volymer och samlar in filsystemåtgärder på valda volymer. Loggarna samlar in standardfilåtgärden. Filåtkomstloggar ger insikter utöver plattformsloggningen som samlas in i Azure-aktivitetsloggen.

Överväganden

Viktigt!

Funktionen för filåtkomstloggar stöds endast med volymer med SMB3, NFSv4.1 och dubbla protokoll. Det stöds inte på NFSv3-volymer.

• När filåtkomstloggar har aktiverats på en volym kan det ta upp till 75 minuter att bli synliga.
• Varje loggpost förbrukar cirka 1 KB utrymme.
• Filåtkomstloggar skapar ibland dubbletter av loggposter som måste filtreras manuellt.
• Om du tar bort eventuella diagnostikinställningar som har konfigurerats för ANFFileAccess blir alla filåtkomstloggar för alla volymer med den inställningen inaktiverade. Mer information finns i konfigurationen för diagnostikinställningar .
• Innan du aktiverar filåtkomstloggar på en volym måste antingen åtkomstkontrollistor (ACL) eller Audit-åtkomstkontrollposter (ACEs) anges på en fil eller katalog. Du måste ange ACL:er eller gransknings-ACE:er efter att ha monterat en volym.

  Viktigt!

  För volymer med dubbla protokoll med NTFS-säkerhetsformatet måste du ange gransknings-ACL:er från en Windows-dator. För volymer med dubbla protokoll med UNIX-säkerhetsformat måste gransknings-ACL:er anges från en Linux-dator.

• Azure NetApp Files-filåtkomstloggar ger detaljerad information om lyckade och misslyckade begäranden till lagringstjänsten. Den här informationen kan användas för att övervaka enskilda begäranden och diagnostisera problem med filåtkomst. Begäranden loggas på bästa sätt, vilket innebär att de flesta begäranden resulterar i en loggpost, men fullständigheten och aktualiteten för filåtkomstloggar garanteras inte. Funktionen för åtkomstloggar för Azure NetApp Files-filer ger inte uttryckliga eller implicita förväntningar eller garantier kring loggning i gransknings- och efterlevnadssyfte.

Prestandaöverväganden

• Alla händelser i filåtkomstloggen har en prestandapåverkan.

  • Händelser som att skapa eller ta bort filer/mappar är viktiga händelser att logga.
  • Inställningar för systemåtkomstkontrollistor (SACL) för loggning bör användas sparsamt. Frekventa åtgärder (till exempel READ eller GET) kan ha betydande prestandapåverkan, men har ett begränsat loggningsvärde. Vi rekommenderar att SACL-inställningen inte loggar dessa frekventa åtgärder för att spara prestanda.
  • SACL-principtillägg stöds för närvarande inte med filåtkomstloggar.

• Med klubbningshändelser som READ/WRITE registreras endast en handfull åtgärder per filläsning eller skrivning för att minska loggningsfrekvensen för händelser. 

• Filåtkomstloggar stöder ett mått för logggenereringshastighet.

  Om genereringen av filåtkomsthändelser överskrider 64 MiB/minut skickar aktivitetsloggen ett meddelande om att genereringshastigheten för filåtkomstloggen överskrider gränsen. Om logggenereringen överskrider gränsen kan loggningshändelser fördröjas eller tas bort. Om du närmar dig den här gränsen inaktiverar du icke-kritiska gransknings-ACL:er för att minska händelsegenereringshastigheten. Som en försiktighetsåtgärd kan du skapa en avisering för den här händelsen.

• Under migrerings- eller robocopy-åtgärder inaktiverar du filåtkomstloggar för att minska logggenereringen.

• Vi rekommenderar att du undviker att aktivera filåtkomstloggar på filer med fler än 450 ACL:er för att undvika prestandaproblem.

Erkända händelser

Vilka händelser som samlas in i filåtkomstloggarna beror på volymens protokoll.

Loggade NFS-händelser

• Stänga
• Skapa
• Hämta attribut
• Länk
• Nverify
• Öppna
• Öppna attribut
• Ta bort
• Byt namn
• Ange attribut
• Kontrollera
• Skriv

Loggade SMB-händelser

• Skapa
• Ta bort
• Hämta attribut
• Hård länk
• Öppna objekt
• Öppna objektet med avsikten att ta bort
• Läs
• Byt namn
• Ange attribut
• Koppla bort
• Skriv

Regioner som stöds

Tillgängligheten för filåtkomstloggen är begränsad till följande regioner:

• Australien centrala
• Australien Central 2
• Australien, östra
• Australien, sydöstra
• Syd-Brasilien
• Brasilien Sydost
• Kanada centrala
• Östra Kanada
• Centrala Indien
• centrala USA
• Östasien
• östra USA
• Östra USA 2
• Frankrike Centrala
• Tyskland Nord
• Japan Öst
• Västra Japan
• Korea Centrala
• Sydkorea
• Nya Zeeland, norra
• Europa, norra
• Norway East
• Västra Norge
• Sydafrika Nord
• Södra centrala USA
• Sydostasien
• Södra Indien
• Centrala Sverige
• Schweiz, norra
• Schweiz, västra
• Förenade Arabemiraten Centrala
• UAE North
• Södra Storbritannien
• UK West
• USA:s regering, Arizona
• USA:s regering, Virginia
• Västeuropa
• Västra USA
• Västra USA 2
• Västra USA 3

Ange SACL:er eller Gransknings-ACL:er för filer och kataloger

Du måste ställa in SACL:er för SMB-delningar eller ACL:er för granskning av NFSv4.1-exporter för att kunna genomföra revision.

Ange SACLs för SMB-resurser

Om du vill aktivera loggåtkomst för enskilda filer och kataloger, utför du följande steg på Windows-administrationsdatorn.

Anmärkning

Välj endast de händelser som du behöver logga. Om du väljer för många loggalternativ kan det påverka systemets prestanda.

Steg

Om du vill aktivera loggåtkomst för enskilda filer och kataloger, utför du följande steg på Windows-administrationsdatorn.

1. Välj den fil eller katalog som loggningsåtkomst ska aktiveras för.
2. Högerklicka på filen eller katalogen och välj sedan Egenskaper.
3. Välj fliken Säkerhet och sedan Avancerat.
4. Välj fliken Granskning . Lägg till, redigera eller ta bort de granskningsalternativ som du vill använda.

Ange gransknings-ACE:er för NFSv4.1-delningar

För NFSv4.1 lagras både diskretionära ACL:er och system-ACL:er i samma ACL, inte separata diskretionära ACL:er och SACL:er. Var försiktig när du lägger till gransknings-ACE:er i en befintlig ACL för att undvika att skriva över och förlora befintliga ACL:er. Det spelar ingen roll i vilken ordning du lägger till gransknings-ACE:er i en befintlig ACL.

När du konfigurerar Audit ACE, se till att du använder prefixet U: för att indikera att det är en Audit ACE. Anvisningar finns i Konfigurera åtkomstkontrollistor på NFSv4.1-volymer.

Aktivera filåtkomstloggar

1. I menyn Volymer väljer du den volym som du vill aktivera filåtkomstloggar för.
2. Välj Diagnostikinställningar i det vänstra fönstret.
3. Välj + Lägg till diagnostikinställning.
4. På sidan Diagnostikinställning anger du ett namn på diagnostikinställningen. Under Loggkategorier >väljer du ANFFileAccess och anger sedan kvarhållningsperioden för loggarna.
5. Välj något av målalternativen för loggarna:
   • Arkivera till ett lagringskonto
   • Strömma till en eventhubb
   • Skicka till Log Analytics-arbetsplats
   • Skicka till en partnerlösning
6. Spara inställningarna.

Inaktivera filåtkomstloggar

1. I menyn Volymer väljer du den volym där du vill inaktivera filåtkomstloggar.
2. Välj menyn Diagnostikinställning i det vänstra fönstret.
3. På sidan Diagnostikinställningar avmarkerar du Revisionslogg. Detta avmarkerar automatiskt ANFFileAccess.
4. Välj Spara.

Anmärkning

När du har inaktiverat filåtkomstloggar måste du vänta minst tio minuter innan du försöker aktivera eller återaktivera filåtkomstloggar på valfri volym.

Nästa steg

• Vanliga frågor och svar om säkerhet
• Azure-resursloggar
• Förstå NFSv4.x-åtkomstkontrollistor i Azure NetApp Files
• Förstå SMB-filbehörigheter i Azure NetApp Files