审计日志

审计日志提供在 IBM Storage Insights 中执行的操作的审计记录。审计日志从用户执行操作之日起保留 15 天，并以 Cloud Auditing Data Federation (CADF) 标准格式下载。为了隐私，审计日志包含执行操作的用户的屏蔽电子邮件地址。

表 2 显示了日志中包含的用户操作。具有管理员角色的用户可以下载和查看审计日志中捕获的事件。具有监视员角色的用户无法下载审计日志。

从 IBM Storage Insights GUI 下载审计日志

单击菜单栏右上方的设置图标，然后单击现代用户界面中的导出审计日志，即可在现代用户界面中下载审计日志。从经典用户界面，单击 Help > Download Audit Log 下载审计日志。

使用 IBM Storage Insights REST API 下载审计日志

您可以使用 REST API 下载审计日志。 API 需要使用 REST API 密钥生成的令牌。审计日志 API 只能由管理用户执行。它为管理用户执行的操作提供审计日志记录。

要生成 REST API 密钥，请参阅生成 REST API 密钥。
要生成 REST API 令牌，请参阅生成 API 令牌。

有关 auditlogs API 的更多信息，请参阅 Swagger 文档。

安全方面

下表描述了哪些用户可以查看哪些审计消息:

表 1. 用户角色对审计日志的访问权
用户角色	访问以下载审计日志
管理员角色	是
监视员角色	False

审计行动

下表描述了日志中包含的用户操作:

表 2. 审计操作
功能部件	操作	行动字符串
警报管理	创建警报策略更新警报策略删除警报策略确认或取消确认警报	创建警报政策更新警报政策删除警报策略确认警报未确认警报
警报定义管理	启用或禁用单个存储系统的警报定义更新警报定义，将其转发到网络钩子	更新特定资源的警报定义更新警报政策
主机	添加 vCenter 除去 vCenter	ADD_VCENTER REMOVE_VCENTER
IBM Storage Defender集成	当用户尝试批准/拒绝设备与 IBM Storage Defender 集成时。	防御者用户设备行动
解决勒索软件误报警报并提交反馈	将警报视为误报：如果尚未确认，则确认警报状态。如果尚未确认，则确认受影响的卷状态。提交调查反馈。	反馈警报
内联威胁检测配置	启用内联威胁检测禁用内联威胁检测更新威胁检测	启用在线威胁检测功能禁用在线威胁检测更新在线威胁检测
登录或注销	用户登录或屏幕刷新用户注销	用户登录 USER_LOGOUT
许可权管理	管理员用户更新任何用户的分区管理权限时，都会记录此操作。	分区管理许可
报告管理	创建报告更新报告移除报告	创建报告管理更新报告管理更新报告管理
REST API 令牌管理	REST API 密钥创建更新安全性令牌	rest_api_key_creation DC_TOKEN_RENEW
设置	设置支持人员收集和上传日志的权限状态为停电通知添加电子邮件地址添加电子邮件地址以通知警报删除覆盖全局电子邮件地址的所有电子邮件地址	support_log_permissions 租户配置设置全球电子邮件更新通知删除覆盖全球警报通知
存储分区迁移	来自呼叫中心的任何协调请求、流程或协调响应。操作记录为请求和响应在分区迁移期间从 IBM Storage Insights 请求到 IBM Storage FlashSystem ：启动中止主交换机 (host_rescan_fix) 回滚落实修正错误在分区迁移过程中，从 IBM Storage FlashSystem 到 IBM Storage Insights 的响应： ACCEPTED 已拒绝	si_aiops_orchestration
存储系统	添加新的存储系统更新存储系统除去存储系统	ADD_DEVICE 更新设备删除设备
交换机或光纤网	添加新交换机卸下交换机或光纤网	ADD_SWITCH REMOVE_SWITCH
凭单管理	创建凭单上载快照日志更新凭单	创建门票 UPLOAD_SNAPLOG 更新门票
来自 IBM Storage Insights 的用户操作	停止数据收集更新调度计划修改连接	停止数据采集停止数据采集_停止性能测试更新计划探针更新日程表性能修改测试连接
Webhook管理	创建网络挂钩更新网络挂钩删除网络钩子将失败的提醒通知重新发送到网络挂钩	创建 WEBHOOK 更新网络钩子 DELETE_WEBHOOK 重新发送网络钩子警报
碳排放管理	编辑碳排放因子（CEF）编辑电力使用效率（PUE）	EDIT_CO2E_CONSTANTS
标记存储系统以便维护	启动和停止存储系统维护	更新设备维护