13.3.3 Tiered Storage Managerのユーザー操作と監査ログの対応

ここでは,Tiered Storage Managerでの操作時に出力される監査ログについて説明します。

この項の構成
(1) GUI操作と監査ログの対応
(2) CLI操作と監査ログの対応

(1) GUI操作と監査ログの対応

監査ログの出力内容から,LegacyモードのTiered Storage Manager GUIで実行した内容を推定する方法を次に示します。

  1. Tiered Storage Managerが出力した監査ログを抽出します(プログラム名が「TSMgr」であるもの)。
    GUIの操作による監査ログは,Tiered Storage Managerが出力する監査ログのうち,アプリケーション識別情報が「TSM_GUI」となっているものです。
    複数のユーザーが同時刻にTiered Storage Managerにアクセスしている場合,「サブジェクト識別情報」に出力されるユーザーIDによってフィルタリングできます。
  2. 監査ログの出力内容と「表13-20 GUI操作と,監査ログに出力される主要情報の対応」を突き合わせて,マッチするパターンを見つけることで,GUIの操作を推定します。
    監査ログの出力内容のうち,Get系の情報は,画面更新などのために頻繁に呼ばれるため,これだけを見てユーザー操作を特定することはできません。一方Tiered Storage Managerの各種資源に対する作成,更新,削除などの操作については,監査ログの中にその操作に対応した出力情報があります。「表13-20 GUI操作と,監査ログに出力される主要情報の対応」には,これらの操作を特定するための主要な情報だけを示しています。「キー」欄に○印の付いている監査ログ情報によって,ユーザー操作を特定できます。実際の監査ログには,これらの情報の前後に,Get系の監査ログが出力されます。
    ユーザーが操作するときに直接指定するのは,ストレージドメイン名やマイグレーショングループ名などの「名称」です。しかし,Tiered Storage Managerサーバが出力する監査ログには,ストレージドメインIDやマイグレーショングループIDなどのTiered Storage Manager内部で管理する「ID」しか出ないものがあります。この場合,その監査ログ情報だけを見ても「ID」に対応する「名称」はわかりませんが,その近くに出力されている監査ログを調べれば,「ID」と「名称」の両方の情報を出力しているものがありますので,それによって対応を調べられます。
    新規に作成するものは,「Create xx」の監査事象の情報に,両方の情報が出力されています。
    既存のものに対する操作の場合は,GUIまたはCLIが選択対象に関する情報を知るために,事前に「Get系のリクエスト」を発行していますので,そこから両方の情報を取得できます。
    IDに対応する名称を調べる方法を,ストレージドメインを更新(リフレッシュ)する場合を例にして,次に示します。
    (例)
    OP=(10,Get), Res=(20,SD), SD=(domainId,domainName)...(1)(ドメイン選択)
    OP=(90,Refresh), Res=(20,SD), SD=(domainId,)...(2)(ドメインをリフレッシュ)
    (2)の情報だけを見るとdomainIdしかわかりませんが,直前の(1)を見ると対応するdomainNameがわかります。

    表13-20 GUI操作と,監査ログに出力される主要情報の対応

    GUI操作キーOpNameResName追加情報特記事項
    ログインGetLC
    ストレージドメイン一覧表示GetSDNumSD
    ストレージドメイン詳細情報表示GetSDSD
    GetRSSD
    ストレージ階層一覧表示GetSTSD, NumST
    ストレージ階層詳細情報表示GetSTSD, ST
    マイグレーショングループ作成CreateMGSD, MG
    マイグレーショングループ編集ModifyMGSD, MG
    マイグレーショングループ削除DeleteMGMG
    マイグレーショングループ一覧表示GetMGSD, NumMG
    マイグレーショングループ詳細表示GetMGSD, MG
    マイグレーショングループへのボリューム追加AddVLMG, VL追加ボリューム数分出力されます
    マイグレーショングループからのボリューム削除RemoveVLMG, VL削除ボリューム数分出力されます
    ボリューム検索GetVRSD
    Get_numVLNumVL
    GetVLSD, NumVL
    プール検索Get_numPONumPO
    GetPOSD, NumPO
    タスク検索Get_summaryTKNumTK
    マイグレートMGCreateMPSD, MG, ST
    マイグレーションタスク作成CreateTKTK, SD, MG, ST, NumVP, VPs
    タスク実行ExecuteTKTK
    タスク一覧表示Get_summaryTKNumTK
    タスク詳細表示GetTKTK
    タスクキャンセルCancelTKTK
    タスク中止ChangeTKTK
    タスク変更ModifyTKTK
    タスク削除DeleteTKTK
    (凡例)
    ○:主キー
    -:該当なし
    注※
    詳細については「表13-7 監査ログのメッセージテキストに出力される項目(メッセージ本文,操作種別および操作対象)」~「表13-11 監査ログに出力される操作対象(Res)の意味」を参照してください。

(2) CLI操作と監査ログの対応

監査ログの出力内容からCLIで実行した内容を推定する方法を次に示します。

  1. Tiered Storage Managerが出力した監査ログを抽出します(プログラム名が「TSMgr」であるもの)。
    CLIコマンド実行による監査ログは,Tiered Storage Managerが出力する監査ログのうち,アプリケーション識別情報が「TSM_CLI」のものです。
    複数のユーザーが同時刻にTiered Storage Managerにアクセスしている場合,「サブジェクト識別情報」に出力されるユーザーIDによってフィルタリングできます。
  2. 監査ログの出力内容と「表13-21 CLIコマンドと,監査ログに出力される情報の対応」を突き合わせて,マッチするパターンを見つけることで,CLIコマンドを推定します。
    Getで始まるコマンド以外は,「キー」欄に○印の付いている監査ログ情報によって,入力されたコマンドを特定できます。

    表13-21 CLIコマンドと,監査ログに出力される情報の対応

    CLIコマンドキー※1OpName※2ResName※2追加情報※2特記事項
    AddVolumeToMigrationGroupAddVLSD, MG, VL
    GetMGSD, MG
    GetSDSD
    GetVLSD, NumVL
    CancelTaskCancelTKTK
    CreateLockingTaskCreateTKTK, SD, MG, NumVL, VLsTK=(id,2,...)
    ExecuteTKTK
    GetTKTK
    CreateMigrationGroupGetSDSD
    CreateMGSD, MG
    CreateMigrationPlanGetSTSD, NumST, [STs]
    CreateMPSD, MG, ST
    CreateMigrationTaskCreateTKTK, SD, MG, ST, NumVP, VPsTK=(id,0,...)
    ExecuteTKTK--execute指定あり
    GetTKTK--execute指定あり
    CreateShreddingTaskCreateTKTK, SD, MG, NumVL, VLsTK=(id,4,...)
    ExecuteTKTK--execute指定あり
    GetTKTK--execute指定あり
    CreateStorageDomainCreateSDSD, SS
    CreateStorageTierGetSDSD
    CreateSTSD, ST
    CreateUnlockingTaskCreateTKTK, SD, MG, NumVL, VLsTK=(id,3,...)
    ExecuteTKTK--execute指定あり
    GetTKTK--execute指定あり
    DeleteMigrationGroupGetMGSD, MG
    DeleteMGMG
    DeleteStorageDomainGetSDSD
    DeleteSDSD
    DeleteStorageTierGetSTSD, ST
    DeleteSTSD, ST
    DeleteTasksGetTK{TK | NumTK}--force指定なし
    DeleteTK{TK | NumTK, TKs}
    ExecuteTaskExecuteTKTK
    GetFreeSpacesGetSSNumSS
    Get_numFSSS, NumFSsubsystemnameパラメーターで指定したストレージシステムの数だけ取得
    GetFSSS, NumFSsubsystemnameパラメーターで指定したストレージシステムの数だけ取得
    GetMigrationGroupsGetMGSD, NumMG, [MGs]
    GetPoolsGet_numPONumPO
    GetSDSD
    GetPOSD, NumPO
    GetStorageDomainsGetSDNumSD, [SDs]
    GetRSNumSD, SDs
    GetStorageTiersGetSTSD, NumST, [STs]
    GetSDSD
    GetTasksGetTK{TK | NumTK}
    GetVolumesGet_numVLNumVL
    GetSDSD10,000件ずつ分割取得
    GetVLSD, NumVL10,000件ずつ分割取得
    ModifyMigrationGroupGetMGSD, MG
    ModifyMGSD, MG
    ModifyStorageDomainGetSDSD
    ModifySDSD
    ModifyStorageTierGetSTSD, ST
    ModifySTSD, ST
    ModifyTaskGetTKTK
    ModifyTKTK
    RefreshGet_summarySDNumSDストレージドメイン名の指定あり
    RefreshSDSD
    RemoveVolumeFromMigrationGroupGet_summarySDSD
    GetMGSD, MG
    GetVLSD, NumVL
    RemoveVLSD, MG, VL
    StopTaskChangeTKTKopt = (0x02040000​, または 0x02050000​)
    (凡例)
    ○:主キー
    -:該当なし
    注※1
    コマンドを推定する際に,キーとなる監査ログです。
    注※2
    詳細については「表13-7 監査ログのメッセージテキストに出力される項目(メッセージ本文,操作種別および操作対象)」~「表13-11 監査ログに出力される操作対象(Res)の意味」を参照してください。