通过

管理 Azure NetApp 文件中的文件访问日志(预览版)

文件访问日志为单个存储卷提供文件访问日志记录功能,捕获所选存储卷上的文件系统操作。 这些日志捕获标准文件操作。 文件访问日志提供 Azure 活动日志中捕获的平台日志记录之外的见解。

注意事项

重要

仅 SMB3、NFSv4.1 和双协议卷支持文件访问日志功能。 NFSv3 卷不支持该功能。

  • 在卷上启用文件访问日志后,日志最多可能需要 75 分钟才能显示出来。
  • 每个日志条目占用大约 1 KB 的空间。
  • 文件访问日志偶尔会创建必须手动筛选的重复日志条目。
  • 删除为 ANFFileAccess 配置的任何诊断设置会导致任何带有该设置的卷的文件访问日志被禁用。 有关详细信息,请参阅 诊断设置配置
  • 在卷上启用文件访问日志之前,需要在文件或目录中设置 访问控制列表(ACL) 或审计访问控制条目(ACE)。 装载卷后,必须设置 ACL 或审核 ACE。
  • Azure NetApp 文件文件访问日志提供有关对存储服务的成功和失败请求的详细信息。 此信息可用于监视单个请求和诊断文件访问问题。 请求是尽力记录的,这意味着大多数请求都会导致日志记录,但无法保证文件访问日志的完整性和时间线。 Azure NetApp 文件访问日志功能不提供显式或隐含的预期,也不对日志记录用于审计和合规性目的提供任何保证。

性能注意事项

  • 所有文件访问日志文件访问事件都有性能影响。

    • 创建或删除文件/文件夹等事件是记录的关键事件。
    • 应谨慎使用系统访问控制列表 (SACL) 设置进行日志记录。 频繁的操作(例如 READ 或 GET)可能会对性能产生重大影响,但记录日志的价值有限。 建议不要让 SACL 设置记录这些频繁的操作,以保留性能。
    • 目前不支持将 SACL 策略添加到文件访问日志中。

  • 聚集 READ/WRITE 等事件时,只会捕获每个文件的少许读取或写入操作,以减少事件日志率。 

  • 文件访问日志支持 日志生成率指标。 日志生成速率不应超过 64 MiB/分钟。

    如果文件访问事件生成速率超过 64 MiB/分钟, 活动日志 会发送一条消息,指出文件访问日志生成速率超出限制。 如果日志生成超出限制,则日志记录事件可能会延迟或删除。 如果要达到此限制,请禁用非关键审核 ACL 以降低事件生成率。 作为预防措施,可以为此事件 创建警报

  • 在迁移或 robocopy 操作期间,禁用文件访问日志以减少日志生成。

  • 建议避免在具有 450 个 ACE 的文件上启用文件访问日志,以避免性能问题。

已识别的事件

在文件访问日志中捕获的事件取决于卷的协议。

记录的 NFS 事件

  • 关闭
  • 创建
  • 获取属性
  • 链接
  • Nverify
  • 开放
  • 打开属性
  • 移除
  • 重命名
  • 设置属性
  • 验证
  • 写入

记录的 SMB 事件

  • 创建
  • 删除
  • 获取属性
  • 硬链接
  • 打开对象
  • 以删除为目的打开对象
  • 读取
  • 重命名
  • 设置属性
  • 取消链接
  • 写入

注册功能

文件访问日志功能目前为预览版。 如果你是首次使用此功能,则需要先注册该功能。

  1. 注册此功能:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFFileAccessLogs

  2. 检查注册的状态:

    注释

    RegistrationState 最多可以处于Registering状态 60 分钟,然后更改为Registered。 请等到状态变为“已注册”后再继续。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFFileAccessLogs`

此外,还可使用 Azure CLI 命令 az feature registeraz feature show 来注册功能并显示注册状态。

支持的区域

文件访问日志的可用性仅限于以下区域:

  • 澳大利亚中部
  • 澳大利亚东部
  • 澳大利亚东南部
  • 巴西南部
  • 加拿大中部
  • 加拿大东部
  • 印度中部
  • 美国中部
  • 东亚
  • 美国东部
  • 美国东部 2
  • 日本东部
  • 日本西部
  • 韩国中部
  • 韩国南部
  • 北欧
  • 美国中南部
  • 东南亚
  • 印度南部
  • 瑞士北部
  • 瑞士西部
  • 英国南部
  • 西欧
  • 美国西部
  • 美国西部 2
  • 美国西部 3

在文件和目录上设置 SACL 或审核 ACE

必须为 SMB 共享设置 SACL 或为 NFSv4.1 导出设置审核 ACE,才能进行审核。

如果要记录卷中所有文件和目录的访问事件,请通过应用“存储级访问防护”安全性来设置 SACL。

注释

仅选择需要记录的事件。 选择过多的日志选项可能会影响系统性能。

若要对单个文件和目录启用日志记录访问,请在 Windows 管理主机上完成以下步骤。

步骤

若要对单个文件和目录启用日志记录访问,请在 Windows 管理主机上完成以下步骤。

  1. 选择要为其启用日志访问的文件或目录。
  2. 右键单击文件或目录,然后选择“ 属性”。
  3. 选择“ 安全 ”选项卡,然后选择 “高级”。
  4. 选择“ 审核 ”选项卡。添加、编辑或删除所需的审核选项。

启用文件访问日志

  1. 在“卷”菜单中,选择要为其启用文件访问日志的卷
  2. 从左侧窗格中选择 “诊断设置 ”。
  3. 选择“+ 添加诊断设置”Azure 诊断设置菜单的屏幕截图。
  4. “诊断设置 ”页中,提供诊断设置名称。 在 “日志 > 类别”下,选择 ANFFileAccess ,然后设置日志的保留期。 Azure 诊断设置菜单的屏幕截图,其中包含文件访问诊断设置。
  5. 选择日志的目标选项之一:
    • 存档到存储帐户
    • 流式传输到事件中心
    • 发送到 Log Analytics 工作区
    • 发送到合作伙伴解决方案
  6. 保存设置。

禁用文件访问日志

  1. 在“卷”菜单中,选择要在其上禁用文件访问日志的卷
  2. 从左侧窗格中选择“ 诊断设置 ”菜单。
  3. 在“诊断设置”页中,取消选择“审核”。 这会自动取消选择“ANFFileAccess”
  4. 选择“ 保存”。

注释

禁用文件访问日志后,必须等待至少十分钟,然后才能尝试在任何卷上启用或重新启用文件访问日志。

后续步骤