Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erfahren Sie mehr über die ONTAP FPolicy Ereigniskonfiguration

Beitragende
PDFs

Bevor Sie FPolicy-Ereignisse konfigurieren, müssen Sie verstehen, was es bedeutet, ein FPolicy-Ereignis zu erstellen. Sie müssen festlegen, welche Protokolle das Ereignis überwachen soll, welche Ereignisse überwacht werden sollen und welche Ereignisfilter verwendet werden sollen. Mit diesen Informationen können Sie die Werte planen, die Sie festlegen möchten.

Was es bedeutet, ein FPolicy-Ereignis zu erstellen

Erstellen des FPolicy-Ereignisses bedeutet, Informationen zu definieren, die der FPolicy-Prozess bestimmen muss, welche Dateizugriffsvorgänge überwacht werden und für welche der überwachten Ereignisse Benachrichtigungen an den externen FPolicy-Server gesendet werden sollen. Die FPolicy-Event-Konfiguration definiert die folgenden Konfigurationsinformationen:

  • Name der Storage Virtual Machine (SVM

  • Ereignis-Name

  • Welche Protokolle zu überwachen sind

    FPolicy überwacht SMB, NFSv3, NFSv4 und – ab ONTAP 9.15.1 – NFSv4.1-Dateizugriffsvorgänge.

  • Welche Dateivorgänge zu überwachen sind

    Nicht alle Dateivorgänge sind für jedes Protokoll gültig.

  • Welche Dateifilter konfiguriert werden sollen

    Es sind nur bestimmte Kombinationen von Dateioperationen und Filtern gültig. Jedes Protokoll verfügt über einen eigenen Satz unterstützter Kombinationen.

  • Gibt an, ob die Volume-Mount- und Unmount-Vorgänge überwacht werden sollen

Hinweis

Es gibt eine Abhängigkeit mit drei der Parameter (-protocol, , -file-operations -filters ). Die folgenden Kombinationen gelten für die drei Parameter:

  • Sie können die -protocol -file-operations Parameter und angeben.

  • Sie können alle drei Parameter angeben.

  • Sie können keinen Parameter angeben.

Was die FPolicy-Event-Konfiguration enthält

Sie können die folgende Liste der verfügbaren FPolicy Event-Konfigurationsparameter verwenden, um Ihre Konfiguration zu planen:

Informationstyp

Option

SVM

Gibt den SVM-Namen an, den Sie mit diesem FPolicy-Ereignis verknüpfen möchten.

Jede FPolicy-Konfiguration ist innerhalb einer einzelnen SVM definiert. Die externe Engine, das Richtlinienereignis, der Richtlinienumfang und die Richtlinie, die gemeinsam eine FPolicy-Konfiguration erstellen, müssen mit derselben SVM verknüpft werden.

-vserver vserver_name

Ereignisname

Gibt den Namen an, der dem FPolicy-Ereignis zugewiesen werden soll. Wenn Sie die FPolicy erstellen, verknüpfen Sie das FPolicy Ereignis mit der Richtlinie unter Verwendung des Ereignisnamens.

Der Name kann bis zu 256 Zeichen lang sein.

Hinweis

Der Name sollte bis zu 200 Zeichen lang sein, wenn das Ereignis in einer Disaster-Recovery-Konfiguration mit MetroCluster oder SVM konfiguriert wird.

Der Name kann eine beliebige Kombination der folgenden Zeichen des ASCII-Bereichs enthalten:

  • a Durch z

  • A Durch Z

  • 0 Durch 9

  • _„ “, „-`", and ".`“

-event-name event_name

Protokoll

Gibt an, welches Protokoll für das FPolicy-Ereignis konfiguriert werden soll. Die Liste für -protocol kann einen der folgenden Werte enthalten:

  • cifs

  • nfsv3

  • nfsv4

Hinweis

Wenn Sie angeben -protocol, müssen Sie einen gültigen Wert im -file-operations Parameter angeben. Wenn sich die Protokollversion ändert, können sich die gültigen Werte ändern.
Hinweis

Ab ONTAP 9.15.1 ermöglicht Ihnen nfsv4.0 die Erfassung von Ereignissen in NFSv4.0 und NFSv4.1.

-protocol protocol

Dateivorgänge

Gibt die Liste der Dateivorgänge für das FPolicy-Ereignis an.

Das Ereignis überprüft die in dieser Liste angegebenen Vorgänge aus allen Clientanforderungen unter Verwendung des im -protocol Parameter angegebenen Protokolls. Sie können ein oder mehrere Dateivorgänge mit einer durch Komma getrennten Liste auflisten. Die Liste für -file-operations kann einen oder mehrere der folgenden Werte enthalten:

  • close Für Dateiabgänge

  • create Für Dateierstellvorgänge

  • create-dir Für Verzeichniserstellvorgänge

  • delete Für Dateilösch-Vorgänge

  • delete_dir Für Verzeichnislösch-Vorgänge

  • getattr Für Vorgänge beim Abrufen von Attributen

  • link Für Verbindungsvorgänge

  • lookup Für Suchvorgänge

  • open Für Dateioperationen

  • read Für Dateileseingänge

  • write Für Dateischreibvorgänge

  • rename Für Dateibenennungen

  • rename_dir Für Vorgänge zum Umbenennen von Verzeichnissen

  • setattr Für Operationen zum Festlegen von Attributen

  • symlink Für symbolische Link-Vorgänge

Hinweis

Wenn Sie angeben -file-operations, müssen Sie im -protocol Parameter ein gültiges Protokoll angeben.

-file-operations file_operations,…​

Filter

Gibt die Liste der Filter für einen bestimmten Dateivorgang für das angegebene Protokoll an. Die Werte im -filters Parameter werden zum Filtern von Client-Anforderungen verwendet. Die Liste kann eine oder mehrere der folgenden Elemente enthalten:

Hinweis

Wenn Sie den -filters Parameter angeben, müssen Sie auch gültige Werte für die -file-operations -protocol Parameter und angeben.

  • monitor-ads Option zum Filtern der Clientanforderung nach alternativem Datenstrom.

  • close-with-modification Option zum Filtern der Clientanforderung nach Abschluss mit Änderung.

  • close-without-modification Option zum Filtern der Clientanforderung nach Schließen ohne Änderung.

  • first-read Option zum Filtern der Client-Anforderung zum ersten Lesen.

  • first-write Option zum Filtern der Client-Anforderung nach dem ersten Schreiben.

  • offline-bit Option zum Filtern der Client-Anforderung nach Offline-Bit-Satz.

    Wenn Sie diesen Filter festlegen, wird der FPolicy-Server nur benachrichtigt, wenn auf Offline-Dateien zugegriffen wird.

  • open-with-delete-intent Option zum Filtern der Client-Anforderung nach Öffnen mit Löschabsicht.

    Wenn Sie diesen Filter festlegen, wird der FPolicy-Server nur benachrichtigt, wenn versucht wird, eine Datei mit der Absicht zu öffnen, sie zu löschen. Dies wird von Dateisystemen verwendet, wenn das FILE_DELETE_ON_CLOSE Flag angegeben wird.

  • open-with-write-intent Option zum Filtern der Client-Anfrage nach Open mit Write Intent.

    Die Einstellung dieses Filters führt dazu, dass der FPolicy-Server eine Benachrichtigung nur erhält, wenn versucht wird, eine Datei mit der Absicht zu öffnen, etwas darin zu schreiben.

  • write-with-size-change Option zum Filtern der Client-Anfrage nach Schreibvorgängen mit Größenänderung.

  • setattr-with-owner-change Option zum Filtern der Client-setattr-Anforderungen nach dem Ändern des Eigentümers einer Datei oder eines Verzeichnisses.

  • setattr-with-group-change Option zum Filtern der Client-setattr-Anforderungen zum Ändern der Gruppe einer Datei oder eines Verzeichnisses.

  • setattr-with-sacl-change Option zum Filtern der Client-setattr-Anforderungen zum Ändern der SACL in einer Datei oder einem Verzeichnis.

    Dieser Filter ist nur für die SMB- und NFSv4-Protokolle verfügbar.

  • setattr-with-dacl-change Option zum Filtern der Client-setattr-Anforderungen zum Ändern der DACL in einer Datei oder einem Verzeichnis.

    Dieser Filter ist nur für die SMB- und NFSv4-Protokolle verfügbar.

  • setattr-with-modify-time-change Option zum Filtern der Client-setattr-Anforderungen zum Ändern der Änderungszeit einer Datei oder eines Verzeichnisses.

  • setattr-with-access-time-change Option zum Filtern der Client-setattr-Anforderungen zur Änderung der Zugriffszeit einer Datei oder eines Verzeichnisses.

  • setattr-with-creation-time-change Option zum Filtern der Client-setattr-Anforderungen zur Änderung der Erstellungszeit einer Datei oder eines Verzeichnisses.

    Diese Option ist nur für das SMB-Protokoll verfügbar.

  • setattr-with-mode-change Option zum Filtern der Client-setattr-Anforderungen zum Ändern der Mode-Bits in einer Datei oder einem Verzeichnis.

  • setattr-with-size-change Option zum Filtern der Client-Setattr-Anforderungen zum Ändern der Größe einer Datei.

  • setattr-with-allocation-size-change Option zum Filtern der Client-Setattr-Anforderungen zum Ändern der Zuordnungsgröße einer Datei.

    Diese Option ist nur für das SMB-Protokoll verfügbar.

  • exclude-directory Option zum Filtern der Clientanforderungen nach Verzeichnisoperationen.

    Wenn dieser Filter angegeben ist, werden die Verzeichnisvorgänge nicht überwacht.

-filters filter, …​

Ist Volumenvorgang erforderlich

Gibt an, ob Monitoring für Volume-Mount- und Unmount-Vorgänge erforderlich ist. Der Standardwert ist false.

-volume-operation {true

false}

-filters filter, …​

FPolicy Zugriff verweigert Benachrichtigungen

Ab ONTAP 9.13.1 können Benutzer Benachrichtigungen für fehlgeschlagene Dateivorgänge erhalten, da sie keine Berechtigungen haben. Diese Benachrichtigungen sind wertvoll für Sicherheit, Ransomware-Schutz und Governance. Es werden Benachrichtigungen für Dateioperationen generiert, die aufgrund fehlender Berechtigungen fehlgeschlagen sind. Dazu gehören:

  • Fehler aufgrund von NTFS-Berechtigungen.

  • Fehler aufgrund von Unix-Modus-Bits.

  • Fehler aufgrund von NFSv4-ACLs.

-monitor-fileop-failure {true

false}