Funktionsweise von Sicherheitspuren
Sie können Filter zur Berechtigungs-Verfolgung hinzufügen, um ONTAP anzuweisen, Informationen darüber zu protokollieren, warum SMB- und NFS-Server auf einer Storage Virtual Machine (SVM) einem Client oder Anwender die Anforderung zur Durchführung eines Vorgangs erlaubt oder ablehnt. Dies kann nützlich sein, wenn Sie überprüfen möchten, ob das Sicherheitsschema für den Dateizugriff geeignet ist oder wenn Sie Probleme mit dem Dateizugriff beheben möchten.
Mithilfe von Sicherheitspuren können Sie einen Filter konfigurieren, der Client-Vorgänge über SMB und NFS auf der SVM erkennt und alle Zugriffsprüfungen, die diesem Filter entsprechen, nachverfolgen. Sie können dann die Trace-Ergebnisse anzeigen, die eine praktische Zusammenfassung der Gründe liefert, warum der Zugriff erlaubt oder verweigert wurde.
Wenn Sie die Sicherheitseinstellungen für den SMB- oder NFS-Zugriff auf Dateien und Ordner auf Ihrer SVM überprüfen möchten oder wenn ein Zugriffsproblem vorliegt, können Sie schnell einen Filter hinzufügen, um die Berechtigungs-Verfolgung zu aktivieren.
In der folgenden Liste werden wichtige Fakten zur Funktionsweise von Sicherheitspuren aufgeführt:
-
ONTAP wendet Sicherheitsspuren auf SVM-Ebene an.
-
Jede eingehende Anforderung wird überprüft, ob sie Filterkriterien für aktivierte Sicherheitspuren erfüllt.
-
Traces werden sowohl für Datei- als auch für Ordnerzugriffsanfragen ausgeführt.
-
Traces können nach folgenden Kriterien filtern:
-
Client-IP
-
SMB- oder NFS-Pfad
-
Windows Name
-
UNIX-Name
-
-
Die Anforderungen werden für die Ergebnisse der Zugriffsantwort „allowed“ und „Denied“ überprüft.
-
Jede Anfrage, die den Filterkriterien der aktivierten Traces entspricht, wird im Protokoll der Trace-Ergebnisse aufgezeichnet.
-
Der Speicheradministrator kann für einen Filter eine Zeitüberschreitung konfigurieren, um ihn automatisch zu deaktivieren.
-
Wenn eine Anfrage mehreren Filtern entspricht, werden die Ergebnisse des Filters mit der höchsten Indexnummer aufgezeichnet.
-
Der Speicheradministrator kann Ergebnisse aus dem Protokoll der Trace-Ergebnisse drucken, um zu bestimmen, warum eine Zugriffsanfrage zugelassen oder abgelehnt wurde.