Azure NetApp Files でファイル アクセス ログを管理する (プレビュー)

ファイル・アクセス・ログは、個々のボリュームのファイル・アクセス・ログを提供し、選択したボリューム上のファイル・システム操作をキャプチャーします。 ログは 、標準のファイル操作をキャプチャします。 ファイル アクセス ログは、 Azure アクティビティ ログにキャプチャされたプラットフォーム ログ以外の分析情報を提供します。

考慮事項

• ボリュームでファイルアクセスログを有効にすると、表示されるまでに最大75分かかる場合があります。
• 各ログ・エントリーは、約 1 KB のスペースを消費します。
• ファイル アクセス ログでは、重複するログ エントリが作成されるため、手動でフィルタ処理する必要があります。
• ANFFileAccess に対して構成されている診断設定を削除すると、その設定を持つボリュームのファイル アクセス ログはすべて無効になります。 詳細については、 診断設定の構成 を参照してください。
• ボリュームでファイル・アクセス・ログを使用可能にする前に、 アクセス制御リスト (ACL) または監査アクセス制御エントリー (ACE) をファイルまたはディレクトリーに設定する必要があります。 ACL または Audit ACE は、ボリュームをマウントした後で設定する必要があります。
• Azure NetApp Files ファイル アクセス ログには、ストレージ サービスに対する成功した要求と失敗した要求に関する詳細情報が表示されます。 この情報は、個々の要求を監視し、ファイルアクセスの問題を診断するために使用できます。 リクエストはベストエフォートベースでログに記録されるため、ほとんどのリクエストはログレコードになりますが、ファイルアクセスログの完全性と適時性は保証されません。 Azure NetApp Files ファイル アクセス ログ機能では、監査とコンプライアンスの目的でログ記録に関する明示的または暗黙的な期待や保証は提供されません。

パフォーマンスに関する考慮事項

• すべてのファイル・アクセス・ログ・ファイル・アクセス・イベントは、パフォーマンスに影響を与えます。

  • ファイル/フォルダの作成や削除などのイベントは、ログに記録する重要なイベントです。
  • ロギング用のシステム・アクセス制御リスト (SACL) 設定は、慎重に使用する必要があります。 頻繁な操作 (READ や GET など) は、パフォーマンスに大きな影響を与える可能性がありますが、ログ記録の値は限られています。 パフォーマンスを節約するために、SACL 設定ではこれらの頻繁な操作をログに記録しないことをお勧めします。
  • SACL ポリシーの追加は、現在、ファイル アクセス ログではサポートされていません。

• READ/WRITE などのイベントをグループ化すると、ファイルの読み取りまたは書き込みごとに少数の操作のみがキャプチャされ、イベントのログ記録速度が低下します。 

• ファイル・アクセス・ログは、 ログ生成率メトリックをサポートします。 ログ生成速度は 64 MiB/分を超えないようにする必要があります。

  ファイル・アクセス・イベントの生成速度が 64 MiB/分を超えると、 アクティビティ・ログ は、ファイル・アクセス・ログの生成速度が制限を超えていることを示すメッセージを送信します。 ログの生成が制限を超えると、ロギングイベントが遅延またはドロップされる可能性があります。 この制限に近づいている場合は、重要でない監査 ACL を無効にして、イベント生成率を下げます。 予防措置として、このイベントの アラートを作成できます 。

• 移行操作または robocopy 操作中は、ファイルアクセスログを無効にして、ログの生成を減らします。

• パフォーマンスの問題を回避するために、ACE が 450 を超えるファイルでファイル アクセス ログを有効にしないことをお勧めします。

認識されたイベント

ファイルアクセスログにキャプチャされるイベントは、ボリュームのプロトコルによって異なります。

ログに記録されたNFSイベント

• 閉める
• 創造する
• 属性を取得する
• リンク
• Nverify
• 開け
• オープン属性
• [削除]
• 名前の変更
• 属性の設定
• 確認する
• 書く

ログに記録された SMB イベント

• 創造する
• 削除
• 属性を取得する
• ハードリンク
• オブジェクトを開く
• 削除を意図してオブジェクトを開く
• お読みください
• 名前の変更
• 属性の設定
• 解除
• 書く

機能を登録する

ファイル アクセス ログ機能は現在プレビュー段階です。 この機能を初めて使用する場合は、まず機能を登録する必要があります。

1. 機能を登録します。

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFFileAccessLogs
   

2. 登録のステータスを確認します。

   注

   RegistrationState は、Registered に変更されるまでに最大 60 分間Registering状態になる場合があります。 この状態が Registered になってから続行してください。

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFFileAccessLogs`
   

また、Azure CLI のコマンドaz feature register と az feature show を使用して、機能を登録し、登録状態を表示することもできます。

サポートされているリージョン

ファイルアクセスログは、以下の地域に限定されています。

• オーストラリア中部
• オーストラリア東部
• オーストラリア南東部
• ブラジル南部
• カナダ中部
• カナダ東部
• インド中部
• 米国中部
• 東アジア
• 米国東部
• 米国東部 2
• 東日本
• 西日本
• 韓国中部
• 韓国南部
• 北ヨーロッパ
• 米国中南部
• 東南アジア
• インド南部
• スイス北部
• スイス西部
• 英国南部
• 西ヨーロッパ
• 米国西部
• 米国西部 2
• 米国西部 3

ファイルおよびディレクトリに対する SACL または監査 ACE の設定

監査するには、SMB 共有の SACL または NFSv4.1 エクスポートの監査 ACE を設定する必要があります。

ファイルアクセスログを有効にする

1. [ ボリューム] メニューで、ファイルアクセスログを有効にするボリュームを選択します。
2. 左側のペインから [診断設定 ] を選択します。
3. [+ 診断設定の追加] を選択します。
4. [ 診断設定 ] ページで、診断設定名を指定します。 [ログ] > [カテゴリ] で [ANFFileAccess] を選択し、ログの保持期間を設定します。
5. ログの保存先オプションのいずれかを選択します。
   • ストレージ アカウントへのアーカイブ
   • イベント ハブへのストリーム
   • Log Analytics ワークプレースに送信する
   • パートナー ソリューションに送信する
6. 設定を保存します。

ファイルアクセスログの無効化

1. [ ボリューム] メニューで、ファイルアクセスログを無効にするボリュームを選択します。
2. 左側のペインから [診断設定 ] メニューを選択します。
3. [診断設定] ページで、[監査] の選択を解除します。 これにより、 ANFFileAccess の選択が自動的に解除されます。
4. 保存 を選択します。

次のステップ

• セキュリティに関する FAQ
• Azure リソース ログ
• Azure NetApp Files の NFSv4.x アクセス制御リストを理解する
• Azure NetApp Files での SMB ファイルのアクセス許可について