Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Fehlerbehebung beim ONTAP SVM Data Collector

Beitragende netapp-alavoie
PDFs

Workload Security verwendet Datensammler, um Datei- und Benutzerzugriffsdaten von Geräten zu erfassen. Hier finden Sie Tipps zur Behebung von Problemen mit diesem Collector.

Siehe die"Konfigurieren des SVM-Collectors" Seite für Anweisungen zum Konfigurieren dieses Collectors.

Im Falle eines Fehlers können Sie auf der Seite „Installierte Datensammler“ in der Spalte „Status“ auf „Weitere Details“ klicken, um Einzelheiten zum Fehler anzuzeigen.

Workload Security Collector-Fehler – Link mit weiteren Details

Bekannte Probleme und deren Lösungen werden unten beschrieben.

Problem: Der Datensammler läuft eine Zeit lang und stoppt nach einer zufälligen Zeit mit der Fehlermeldung: „Fehlermeldung: Connector befindet sich im Fehlerzustand.“ Dienstname: Audit. Grund für den Fehler: Externer fpolicy-Server überlastet."

Versuchen Sie Folgendes: Die Ereignisrate von ONTAP war viel höher als das, was die Agent-Box verarbeiten kann. Daher wurde die Verbindung beendet.

Überprüfen Sie den Spitzenverkehr in CloudSecure, als die Verbindung getrennt wurde. Dies können Sie auf der Seite CloudSecure > Aktivitätsforensik > Alle Aktivitäten überprüfen.

Wenn der aggregierte Spitzenverkehr höher ist als das, was die Agent Box verarbeiten kann, lesen Sie auf der Seite „Event Rate Checker“ nach, wie Sie die Größe für die Collector-Bereitstellung in einer Agent Box festlegen.

Wenn der Agent vor dem 4. März 2021 in der Agent-Box installiert wurde, führen Sie die folgenden Befehle in der Agent-Box aus:

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Starten Sie den Collector nach der Größenänderung über die Benutzeroberfläche neu.

Problem: Der Collector meldet die Fehlermeldung: „Auf dem Connector wurde keine lokale IP-Adresse gefunden, die die Datenschnittstellen der SVM erreichen kann.“ Versuchen Sie Folgendes: Dies liegt höchstwahrscheinlich an einem Netzwerkproblem auf der ONTAP Seite. Bitte befolgen Sie diese Schritte:

  1. Stellen Sie sicher, dass auf der SVM-Daten- oder Verwaltungsebene keine Firewalls vorhanden sind, die die Verbindung von der SVM blockieren.

  2. Wenn Sie eine SVM über eine Cluster-Management-IP hinzufügen, stellen Sie sicher, dass die Datenlebensdauer und die Managementlebensdauer der SVM von der Agent-VM aus pingbar sind. Überprüfen Sie bei Problemen das Gateway, die Netzmaske und die Routen für das Leben.

    Sie können auch versuchen, sich über SSH mit der Cluster-Verwaltungs-IP beim Cluster anzumelden und die Agent-IP anzupingen. Stellen Sie sicher, dass die Agent-IP pingbar ist:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Wenn kein Ping möglich ist, stellen Sie sicher, dass die Netzwerkeinstellungen in ONTAP korrekt sind, sodass der Agent-Computer pingbar ist.

  3. Wenn Sie versucht haben, eine Verbindung über die Cluster-IP herzustellen, und dies nicht funktioniert hat, versuchen Sie, eine direkte Verbindung über die SVM-IP herzustellen. Die Schritte zum Herstellen einer Verbindung über die SVM-IP finden Sie oben.

  4. Überprüfen Sie beim Hinzufügen des Collectors über die SVM-IP und die VSadmin-Anmeldeinformationen, ob für SVM Lif die Rolle „Data plus Mgmt“ aktiviert ist. In diesem Fall funktioniert ein Ping zum SVM Lif, ein SSH zum SVM Lif funktioniert jedoch nicht. Wenn ja, erstellen Sie ein SVM Mgmt Only Lif und versuchen Sie, über dieses SVM Management Only Lif eine Verbindung herzustellen.

  5. Wenn es immer noch nicht funktioniert, erstellen Sie ein neues SVM-Lif und versuchen Sie, über dieses Lif eine Verbindung herzustellen. Stellen Sie sicher, dass die Subnetzmaske richtig eingestellt ist.

  6. Erweitertes Debuggen:

    1. Starten Sie eine Paketverfolgung in ONTAP.

    2. Versuchen Sie, einen Datensammler über die CloudSecure-Benutzeroberfläche mit dem SVM zu verbinden.

    3. Warten Sie, bis der Fehler auftritt. Stoppen Sie die Paketverfolgung in ONTAP.

    4. Öffnen Sie die Paketverfolgung von ONTAP. Es ist an diesem Standort verfügbar

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Stellen Sie sicher, dass ein SYN von ONTAP zur Agent-Box vorhanden ist.
.. Wenn kein SYN von ONTAP vorhanden ist, liegt ein Problem mit der Firewall in ONTAP vor.
.. Öffnen Sie die Firewall in ONTAP, damit ONTAP eine Verbindung zur Agent-Box herstellen kann.

  7. Wenn es immer noch nicht funktioniert, wenden Sie sich bitte an das Netzwerkteam, um sicherzustellen, dass keine externe Firewall die Verbindung von ONTAP zur Agent-Box blockiert.

  8. Wenn keine der oben genannten Maßnahmen das Problem löst, eröffnen Sie einen Fall bei"Netapp-Support" für weitere Unterstützung.

Problem: Meldung: „ ONTAP -Typ für [Hostname: <IP-Adresse>] konnte nicht ermittelt werden. Grund: Verbindungsfehler zum Speichersystem <IP-Adresse>: Host ist nicht erreichbar (Host nicht erreichbar)" Versuchen Sie Folgendes:

  1. Überprüfen Sie, ob die richtige SVM-IP-Verwaltungsadresse oder Cluster-Verwaltungs-IP angegeben wurde.

  2. Stellen Sie per SSH eine Verbindung zum SVM oder Cluster her, zu dem Sie eine Verbindung herstellen möchten. Sobald Sie verbunden sind, stellen Sie sicher, dass der SVM- oder Clustername korrekt ist.

Problem: Fehlermeldung: „Connector befindet sich im Fehlerzustand. Dienstname: Audit. Grund für den Fehler: Externer fpolicy-Server beendet." Versuchen Sie Folgendes:

  1. Höchstwahrscheinlich blockiert eine Firewall die erforderlichen Ports auf dem Agent-Computer. Überprüfen Sie, ob der Portbereich 35000–55000/TCP für die Agent-Maschine geöffnet ist, damit sie eine Verbindung vom SVM herstellen kann. Stellen Sie außerdem sicher, dass auf der ONTAP -Seite keine Firewalls aktiviert sind, die die Kommunikation mit dem Agent-Computer blockieren.

  2. Geben Sie den folgenden Befehl in das Agent-Feld ein und stellen Sie sicher, dass der Portbereich geöffnet ist.

    sudo iptables-save | grep 3500*

    Die Beispielausgabe sollte folgendermaßen aussehen:

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Melden Sie sich bei SVM an, geben Sie die folgenden Befehle ein und überprüfen Sie, dass keine Firewall eingerichtet ist, die die Kommunikation mit ONTAP blockiert.
    system services firewall show
system services firewall policy show

    "Firewall-Befehle prüfen"auf der ONTAP -Seite.

  3. Stellen Sie per SSH eine Verbindung zum SVM/Cluster her, den Sie überwachen möchten. Pingen Sie die Agent-Box vom SVM-Datenlebenszyklus aus (mit Unterstützung für CIFS- und NFS-Protokolle) und stellen Sie sicher, dass der Ping funktioniert:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Wenn kein Ping möglich ist, stellen Sie sicher, dass die Netzwerkeinstellungen in ONTAP korrekt sind, sodass der Agent-Computer pingbar ist.

  4. Wenn ein einzelner SVM über zwei Datensammler zweimal zu einem Mandanten hinzugefügt wird, wird dieser Fehler angezeigt. Löschen Sie einen der Datensammler über die Benutzeroberfläche. Starten Sie dann den anderen Datensammler über die Benutzeroberfläche neu. Anschließend zeigt der Datensammler den Status „RUNNING“ an und beginnt mit dem Empfang von Ereignissen vom SVM.

    Grundsätzlich sollte in einem Mandanten 1 SVM nur einmal über 1 Datensammler hinzugefügt werden. 1 SVM sollte nicht zweimal über 2 Datensammler hinzugefügt werden.

  5. In Fällen, in denen dieselbe SVM in zwei verschiedenen Workload Security-Umgebungen (Mandanten) hinzugefügt wurde, ist die letzte immer erfolgreich. Der zweite Collector konfiguriert fpolicy mit seiner eigenen IP-Adresse und wirft den ersten raus. Der Collector im ersten empfängt also keine Ereignisse mehr und sein „Audit“-Dienst wechselt in einen Fehlerzustand. Um dies zu verhindern, konfigurieren Sie jede SVM in einer einzelnen Umgebung.

  6. Dieser Fehler kann auch auftreten, wenn die Servicerichtlinien nicht richtig konfiguriert sind. Um bei ONTAP 9.8 oder höher eine Verbindung zum Data Source Collector herzustellen, ist der Dienst data-fpolicy-client zusammen mit dem Datendienst data-nfs und/oder data-cifs erforderlich. Darüber hinaus muss der Dienst „data-fpolicy-client“ mit den Datenlebensdauern für die überwachte SVM verknüpft werden.

Problem: Auf der Aktivitätsseite wurden keine Ereignisse angezeigt. Versuchen Sie Folgendes:

  1. Überprüfen Sie, ob sich der ONTAP Collector im Status „RUNNING“ befindet. Wenn ja, stellen Sie sicher, dass einige CIFS-Ereignisse auf den CIFS-Client-VMs generiert werden, indem Sie einige Dateien öffnen.

  2. Wenn keine Aktivitäten angezeigt werden, melden Sie sich bitte beim SVM an und geben Sie den folgenden Befehl ein.

    <SVM>event log show -source fpolicy

    Bitte stellen Sie sicher, dass keine Fehler im Zusammenhang mit fpolicy vorliegen.

  3. Wenn keine Aktivitäten angezeigt werden, melden Sie sich bitte beim SVM an. Geben Sie den folgenden Befehl ein:

    <SVM>fpolicy show

    Überprüfen Sie, ob die fpolicy-Richtlinie mit dem Präfix „cloudsecure_“ festgelegt wurde und der Status „Ein“ ist. Wenn nicht festgelegt, kann der Agent die Befehle im SVM höchstwahrscheinlich nicht ausführen. Bitte stellen Sie sicher, dass alle Voraussetzungen, wie am Anfang der Seite beschrieben, erfüllt sind.

Problem: Der SVM-Datensammler befindet sich im Fehlerzustand und die Fehlermeldung lautet „Der Agent konnte keine Verbindung zum Sammler herstellen.“ Versuchen Sie Folgendes:

  1. Höchstwahrscheinlich ist der Agent überlastet und kann keine Verbindung zu den Datenquellen-Sammlern herstellen.

  2. Überprüfen Sie, wie viele Datenquellensammler mit dem Agenten verbunden sind.

  3. Überprüfen Sie auch die Datenflussrate auf der Seite „Alle Aktivitäten“ in der Benutzeroberfläche.

  4. Wenn die Anzahl der Aktivitäten pro Sekunde sehr hoch ist, installieren Sie einen anderen Agenten und verschieben Sie einige der Datenquellensammler auf den neuen Agenten.

Problem: SVM Data Collector zeigt die Fehlermeldung „fpolicy.server.connectError: Knoten konnte keine Verbindung mit dem FPolicy-Server „12.195.15.146“ herstellen (Grund: „Select Timed out“)“ an. Versuchen Sie Folgendes: Die Firewall ist in SVM/Cluster aktiviert. Daher kann die fpolicy-Engine keine Verbindung zum fpolicy-Server herstellen. CLIs in ONTAP , die zum Abrufen weiterer Informationen verwendet werden können, sind:

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Firewall-Befehle prüfen"auf der ONTAP -Seite.

Problem: Fehlermeldung: „Der Connector befindet sich im Fehlerzustand. Dienstname: Audit. Grund für den Fehler: Auf der SVM wurde keine gültige Datenschnittstelle (Rolle: Daten, Datenprotokolle: NFS oder CIFS oder beide, Status: aktiv) gefunden.“ Versuchen Sie Folgendes: Stellen Sie sicher, dass eine funktionsfähige Schnittstelle vorhanden ist (mit der Rolle „Daten“ und dem Datenprotokoll „CIFS/NFS“).

Problem: Der Datensammler wechselt in den Fehlerzustand und nach einiger Zeit in den RUNNING-Zustand und dann wieder zurück in den Fehlerzustand. Dieser Zyklus wiederholt sich. Versuchen Sie Folgendes: Dies geschieht normalerweise im folgenden Szenario:

  1. Es wurden mehrere Datensammler hinzugefügt.

  2. Den Datensammlern, die dieses Verhalten zeigen, wird 1 SVM hinzugefügt. Das bedeutet, dass zwei oder mehr Datensammler mit einem SVM verbunden sind.

  3. Stellen Sie sicher, dass 1 Datensammler nur mit 1 SVM verbunden ist.

  4. Löschen Sie die anderen Datensammler, die mit derselben SVM verbunden sind.

Problem: Der Connector befindet sich im Fehlerzustand. Dienstname: Audit. Grund für den Fehler: Fehler beim Konfigurieren (Richtlinie auf SVM svmname). Grund: Ungültiger Wert für das Element „shares-to-include“ in „fpolicy.policy.scope-modify: „Federal“ angegeben. Versuchen Sie Folgendes: *Die Freigabenamen müssen ohne Anführungszeichen angegeben werden. Bearbeiten Sie die ONTAP SVM DSC-Konfiguration, um die Freigabenamen zu korrigieren.

Freigaben einschließen und ausschließen ist nicht für eine lange Liste von Freigabenamen vorgesehen. Verwenden Sie stattdessen die Filterung nach Volumen, wenn Sie eine große Anzahl von Aktien ein- oder ausschließen möchten.

Problem: Es gibt im Cluster vorhandene fpolicies, die nicht verwendet werden. Was sollte vor der Installation von Workload Security damit geschehen? Versuchen Sie Folgendes: Es wird empfohlen, alle vorhandenen, nicht verwendeten fpolicy-Einstellungen zu löschen, auch wenn sie getrennt sind. Workload Security erstellt fpolicy mit dem Präfix „cloudsecure_“. Alle anderen nicht verwendeten fpolicy-Konfigurationen können gelöscht werden.

CLI-Befehl zum Anzeigen der fpolicy-Liste:

 fpolicy show
Schritte zum Löschen von fpolicy-Konfigurationen:
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|Nach der Aktivierung der Workload-Sicherheit wird die ONTAP Leistung beeinträchtigt: Die Latenz wird sporadisch hoch, die IOPs werden sporadisch niedrig. |Bei der Verwendung von ONTAP mit Workload Security können manchmal Latenzprobleme in ONTAP auftreten. Hierfür gibt es eine Reihe möglicher Gründe, die im Folgenden aufgeführt sind:"1372994" , "1415152" , "1438207" , "1479704" , "1354659" . Alle diese Probleme wurden in ONTAP 9.13.1 und höher behoben. Es wird dringend empfohlen, eine dieser neueren Versionen zu verwenden.

Problem: Beim Datensammler liegt ein Fehler vor, diese Fehlermeldung wird angezeigt. „Fehler: Connector befindet sich im Fehlerzustand. Dienstname: Audit. Grund für den Fehler: Die Richtlinie konnte auf SVM svm_test nicht konfiguriert werden. Grund: Fehlender Wert für Zapi-Feld: Ereignisse. „ Versuchen Sie Folgendes:

  1. Beginnen Sie mit einer neuen SVM, auf der nur der NFS-Dienst konfiguriert ist.

  2. Fügen Sie in Workload Security einen ONTAP SVM-Datensammler hinzu. CIFS wird als zulässiges Protokoll für die SVM konfiguriert, während der ONTAP SVM Data Collector in Workload Security hinzugefügt wird.

  3. Warten Sie, bis der Datensammler in Workload Security einen Fehler anzeigt.

  4. Da der CIFS-Server NICHT auf der SVM konfiguriert ist, wird dieser links angezeigte Fehler von Workload Security angezeigt.

  5. Bearbeiten Sie den ONTAP SVM-Datensammler und deaktivieren Sie CIFs als zulässiges Protokoll. Speichern Sie den Datensammler. Es wird nur mit aktiviertem NFS-Protokoll ausgeführt.

Problem: Der Datensammler zeigt die Fehlermeldung an: „Fehler: Der Zustand des Sammlers konnte innerhalb von 2 Versuchen nicht ermittelt werden. Versuchen Sie, den Sammler erneut neu zu starten (Fehlercode: AGENT008)“. Versuchen Sie Folgendes:

  1. Scrollen Sie auf der Seite „Datensammler“ nach rechts neben den Datensammler, der den Fehler ausgibt, und klicken Sie auf das Menü mit den drei Punkten. Wählen Sie Bearbeiten. Geben Sie das Passwort des Datensammlers erneut ein. Speichern Sie den Datensammler, indem Sie auf die Schaltfläche Speichern klicken. Data Collector wird neu gestartet und der Fehler sollte behoben sein.

  2. Die Agent-Maschine verfügt möglicherweise nicht über genügend CPU- oder RAM-Reserve, weshalb die DSCs ausfallen. Bitte überprüfen Sie die Anzahl der Datensammler, die dem Agenten auf der Maschine hinzugefügt wurden. Wenn es mehr als 20 sind, erhöhen Sie bitte die CPU- und RAM-Kapazität der Agent-Maschine. Sobald die CPU und der RAM erhöht werden, wechseln die DSCs automatisch in den Initialisierungs- und dann in den Ausführungszustand. Schauen Sie in die Größentabelle auf"diese Seite" .

Problem: Der Datensammler gibt einen Fehler aus, wenn der SVM-Modus ausgewählt ist. Versuchen Sie Folgendes: Wenn beim Verbinden im SVM-Modus die Cluster-Management-IP anstelle der SVM-Management-IP zum Verbinden verwendet wird, tritt ein Verbindungsfehler auf. Stellen Sie sicher, dass die richtige SVM-IP verwendet wird.

Problem: Der Datensammler zeigt eine Fehlermeldung an, wenn die Funktion „Zugriff verweigert“ aktiviert ist: „Connector befindet sich im Fehlerzustand. Dienstname: Audit. Grund für den Fehler: Fehler beim Konfigurieren von fpolicy auf SVM test_svm. Grund: Der Benutzer ist nicht autorisiert." Versuchen Sie Folgendes: Dem Benutzer fehlen möglicherweise die REST-Berechtigungen, die für die Funktion „Zugriff verweigert“ erforderlich sind. Bitte folgen Sie den Anweisungen auf"diese Seite" um die Berechtigungen festzulegen.

Starten Sie den Collector neu, sobald die Berechtigungen festgelegt sind.

Wenn weiterhin Probleme auftreten, verwenden Sie die Support-Links auf der Seite Hilfe > Support.