Skip to main content
Cloud Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar el recopilador de datos de SVM de ONTAP

Colaboradores

Workload Security utiliza recopiladores de datos para recopilar datos de acceso de archivos y usuarios desde dispositivos.

Antes de empezar

  • Este recopilador de datos es compatible con lo siguiente:

    • Data ONTAP 9.2 y versiones posteriores. Para obtener el mejor rendimiento, utilice una versión de Data ONTAP superior a 9.13.1.

    • Protocolo SMB, versión 3.1 y versiones anteriores.

    • Protocolo NFS versión 4.0 y anteriores

    • ONTAP 9.4 y versiones posteriores admiten FlexGroup

    • ONTAP Select es compatible

  • Solo se admiten SVM de tipo de datos. No se admiten las SVM con Infinite Volume.

  • SVM tiene varios subtipos. De estos, sólo se admiten default, SYNC_Source y SYNC_Destination.

  • Un agente "debe configurarse" antes de configurar recopiladores de datos.

  • Asegúrese de que tiene un conector de directorio de usuario configurado correctamente; de lo contrario, los eventos mostrarán nombres de usuario codificados y no el nombre real del usuario (tal como se almacena en Active Directory) en la página “Activity Forensics”.

  • Para obtener un rendimiento óptimo, debe configurar el servidor FPolicy para que esté en la misma subred que el sistema de almacenamiento.

  • Debe añadir una SVM mediante uno de los siguientes dos métodos:

    • Mediante Cluster IP, SVM name y Cluster Management Username and Password. este es el método recomendado.

      • El nombre de la SVM debe ser exactamente el que se muestra en ONTAP y distingue entre mayúsculas y minúsculas.

    • Mediante la administración de Vserver IP, nombre de usuario y contraseña de SVM

    • Si no puede o no desea utilizar el nombre de usuario y la contraseña de Administrator Cluster/SVM Management, puede crear un usuario personalizado con privilegios menores como se indica en la “Una nota sobre los permisos” a continuación. Este usuario personalizado se puede crear tanto para SVM como para el acceso a clústeres.

      • o también puede usar un usuario de AD con una función que tenga al menos los permisos de csrole como se menciona en la sección “una nota sobre los permisos” que aparece a continuación. Consulte también la "Documentación de ONTAP".

  • Asegúrese de que se establecen las aplicaciones correctas para la SVM ejecutando el comando siguiente:

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

Resultado de ejemplo:Ejemplo de resultado de comando SVM

  • Asegúrese de que la SVM tenga un servidor CIFS configurado: Clustershell:> vserver cifs show

    El sistema devuelve el nombre de Vserver, el nombre del servidor CIFS y los campos adicionales.

  • Establezca una contraseña para el usuario de SVM vsadmin. Si utiliza un usuario personalizado o un usuario administrador del clúster, omita este paso. clustershell::> security login password -username vsadmin -vserver svmname

  • Desbloquee el usuario de SVM vsadmin para tener acceso externo. Si utiliza un usuario personalizado o un usuario administrador del clúster, omita este paso. clustershell::> security login unlock -username vsadmin -vserver svmname

  • Asegúrese de que la política de firewall de la LIF de datos esté configurada en ‘mgmt’ (no ‘data’). Omita este paso si utiliza un LIF de gestión dedicado para añadir la SVM. clustershell::> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • Cuando se habilita un firewall, debe tener una excepción definida para permitir el tráfico TCP para el puerto mediante el recopilador de datos de Data ONTAP.

    Consulte "Requisitos del agente" para obtener información sobre la configuración. Esto se aplica a los agentes y agentes de las instalaciones instalados en la nube.

  • Cuando se instala un agente en una instancia de AWS EC2 para supervisar una SVM de Cloud ONTAP, el agente y el almacenamiento deben estar en el mismo VPC. Si están en VPC independientes, debe haber una ruta válida entre el VPC.

Requisitos previos para bloqueo de acceso del usuario

Tenga en cuenta lo siguiente durante "Bloqueo de acceso de usuario":

Se necesitan credenciales para que esta función funcione.

Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.

Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Workload Security para bloquear al usuario.

Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos ONTAP:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Una nota sobre los permisos

Permisos al agregar mediante IP de administración de clúster:

Si no puede utilizar el usuario administrador de administración de clústeres para permitir que Workload Security acceda al recopilador de datos de SVM de ONTAP, puede crear un nuevo usuario llamado “csuser” con los roles como se muestra en los comandos siguientes. Utilice el nombre de usuario “csuser” y la contraseña para “csuser” cuando configure el recopilador de datos Workload Security para utilizar Cluster Management IP.

Para crear un nuevo usuario, inicie sesión en ONTAP con el nombre de usuario/contraseña del administrador de administración del clúster y ejecute los siguientes comandos en el servidor ONTAP:

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole

Permisos al agregar mediante IP de administración de Vserver:

Si no puede utilizar el usuario administrador de administración de clústeres para permitir que Workload Security acceda al recopilador de datos de SVM de ONTAP, puede crear un nuevo usuario llamado “csuser” con los roles como se muestra en los comandos siguientes. Utilice el nombre de usuario “csuser” y la contraseña para “csuser” cuando configure el recopilador de datos Workload Security para utilizar Vserver Management IP.

Para crear el nuevo usuario, inicie sesión en ONTAP con el nombre de usuario/contraseña del administrador de administración del clúster y ejecute los siguientes comandos en el servidor ONTAP. Para facilitar la operación, copie estos comandos en un editor de texto y sustituya la <vservername> por su nombre Vserver antes y ejecute estos comandos en ONTAP:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>

Permisos para la protección autónoma frente a ransomware de ONTAP

Si utiliza credenciales de administración del clúster, no es necesario contar con permisos nuevos.

Si utiliza un usuario personalizado (por ejemplo, csuser) con permisos proporcionados al usuario, siga los pasos que se indican a continuación para otorgar permisos a Seguridad de carga de trabajo para recopilar información relacionada con ARP desde ONTAP.

Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP:

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

Para obtener más información, lea acerca de "Integración con la protección autónoma de ransomware de ONTAP"

Se han denegado los permisos para el acceso a ONTAP

Si el recopilador de datos se agrega mediante credenciales de administración de cluster, no se necesitan permisos nuevos.

Si el recopilador se agrega utilizando un usuario personalizado (por ejemplo, csuser) con permisos otorgados al usuario, siga los pasos que se indican a continuación para otorgar a Seguridad de carga de trabajo el permiso necesario para registrarse en eventos de acceso denegado con ONTAP.

Para csuser con credenciales cluster, ejecute los siguientes comandos desde la línea de comandos de ONTAP. Tenga en cuenta que csrestrole es un rol personalizado y csuser es un usuario personalizado de ONTAP.

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole

Para csuser con credenciales SVM, ejecute los siguientes comandos desde la línea de comandos de ONTAP:

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>

Para obtener más información, lea acerca de "Integración con acceso ONTAP denegado"

Configure el recopilador de datos

Pasos para la configuración
  1. Inicie sesión como administrador o propietario de cuenta en su entorno de Cloud Insights.

  2. Haga clic en Workload Security > Collectors > +Data Collectors

    El sistema muestra los colectores de datos disponibles.

  3. Pase el ratón por el icono NetApp SVM y haga clic en *+Monitor.

    El sistema muestra la página de configuración de la SVM de ONTAP. Introduzca los datos necesarios para cada campo.

Campo

Descripción

Nombre

Nombre único para el recopilador de datos

Agente

Seleccione un agente configurado de la lista.

Conéctese a través de la IP de administración para:

Seleccione Cluster IP o SVM Management IP

Dirección IP de administración del clúster/SVM

La dirección IP del clúster o la SVM, según lo seleccionado anteriormente.

Nombre de SVM

Nombre de la SVM (este campo es obligatorio cuando se realiza la conexión mediante la IP del clúster)

Nombre de usuario

Nombre de usuario para acceder a la SVM/Cluster cuando se añade mediante la IP del clúster las opciones son: 1. Administrador de clúster 2. ‘csuser’ 3. USUARIO AD que tiene un papel similar a csuser. Cuando se añaden mediante IP de SVM, las opciones son: 4. vsadmin 5. ‘csuser’ 6. NOMBRE DE USUARIO DE AD que tiene un papel similar a csuser.

Contraseña

Contraseña para el nombre de usuario anterior

Filtre los recursos compartidos/volúmenes

Elija si desea incluir o excluir recursos compartidos/volúmenes de la colección de eventos

Introduzca los nombres completos de recursos compartidos para excluir o incluir

Lista de recursos compartidos separados por comas para excluir o incluir (según corresponda) de la colección de eventos

Introduzca los nombres completos de los volúmenes para excluirlos o incluirlos

Lista de volúmenes separados por comas para excluir o incluir (según corresponda) de la colección de eventos

Supervisar el acceso a carpetas

Cuando esta opción está activada, activa los eventos para la supervisión del acceso a carpetas. Tenga en cuenta que la creación, el cambio de nombre y la eliminación de carpetas se supervisarán incluso sin seleccionar esta opción. Al activar esta opción, aumentará el número de eventos supervisados.

Establezca el tamaño del búfer de envío de ONTAP

Establece el tamaño del búfer de envío de la directiva de ONTAP. Si se utiliza una versión de ONTAP anterior a 9.8p7 y se observa un problema de rendimiento, el tamaño del búfer de envío de ONTAP se puede modificar para mejorar el rendimiento de ONTAP. Póngase en contacto con el soporte de NetApp si no ve esta opción y desea explorarla.

Después de terminar
  • En la página Recolectores de datos instalados, utilice el menú de opciones situado a la derecha de cada recopilador para editar el recopilador de datos. Puede reiniciar el recopilador de datos o editar los atributos de configuración del recopilador de datos.

Configuración recomendada para Metro Cluster

Se recomienda lo siguiente para Metro Cluster:

  1. Conecte dos recopiladores de datos, uno a la SVM de origen y otro a la SVM de destino.

  2. Los recopiladores de datos deben estar conectados por Cluster IP.

  3. En cualquier momento, un recopilador de datos debe estar en ejecución, otro será un error.

    El recopilador de datos actual de la SVM en ‘ejecución’ se mostrará como running. El colector de datos actual de la SVM ‘con capacidad superpuesta’ se mostrará como error.

  4. Siempre que haya un cambio, el estado del recopilador de datos cambiará de ‘en ejecución’ a ‘error’ y viceversa.

  5. El recopilador de datos tardará hasta dos minutos en pasar del estado error al estado en ejecución.

Política de servicio

Si se utiliza una política de servicio de ONTAP versión 9.9.1, para conectarse al recopilador de orígenes de datos, se necesita el servicio data-fpolicy-client junto con el servicio de datos data-nfs y/o data-cifs.

Ejemplo:

Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

En las versiones de ONTAP anteriores a 9.9.1, no es necesario definir data-fpolicy-client.

Reproducir-Pausa del recopilador de datos

Ahora se muestran 2 nuevas operaciones en el menú kebab del colector (PAUSA y REANUDACIÓN).

Si el recopilador de datos se encuentra en estado Running, puede pausar la recopilación. Abra el menú de tres puntos para el recopilador y seleccione PAUSE. Mientras el recopilador está en pausa, no se recopilan datos desde ONTAP y no se envía ningún dato del recopilador a ONTAP. Esto significa que no fluirán eventos de Fpolicy de ONTAP al recopilador de datos y de allí a Cloud Insights.

Tenga en cuenta que si se crean volúmenes nuevos, etc. en ONTAP mientras el recopilador está en pausa, la seguridad de la carga de trabajo no recopilará los datos y esos volúmenes, etc., no se reflejará en las consolas ni las tablas.

Tenga en cuenta lo siguiente:

  • La purga de snapshots no se producirá de acuerdo con la configuración configurada en un recopilador en pausa.

  • Los eventos de EMS (como ARP de ONTAP) no se procesarán en un recopilador en pausa. Esto significa que si ONTAP identifica un ataque de ransomware, la seguridad de carga de trabajo Cloud Insights no podrá adquirir ese evento.

  • NO se enviarán correos electrónicos de notificaciones de estado para un recopilador en pausa.

  • Las acciones manuales o automáticas (como Instantánea o Bloqueo de usuarios) no se admitirán en un recopilador en pausa.

  • En las actualizaciones de agente o recopilador, la VM del agente se reinicia o reinicia el servicio del agente, un recopilador en pausa permanecerá en estado Paused.

  • Si el recopilador de datos está en estado Error, el recopilador no se puede cambiar al estado Paused. El botón Pausa solo se activará si el estado del recopilador es Running.

  • Si el agente está desconectado, el recopilador no se puede cambiar al estado Paused. El recopilador pasará al estado STOP y el botón Pause se desactivará.

Resolución de problemas

Los problemas conocidos y sus resoluciones se describen en la siguiente tabla.

En caso de error, haga clic en more detail en la columna Status para obtener más información sobre el error.

Enlace Más Detalle de Error de Recopilador de Seguridad de Carga de Trabajo

Problema: Resolución:

El recopilador de datos se ejecuta durante algún tiempo y se detiene después de un tiempo aleatorio, con el error "mensaje de error: El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: Servidor de fpolicy externo sobrecargado."

La velocidad de eventos de ONTAP era mucho mayor que la que puede manejar el cuadro Agente. Por lo tanto, la conexión finalizó. Compruebe el tráfico máximo en CloudSecure cuando se haya realizado la desconexión. Esto puede comprobar en la página CloudSecure > Activity Forensics > All Activity. Si el tráfico agregado pico es superior al que puede controlar Agent Box, consulte la página Comprobador de tasa de eventos sobre cómo ajustar el tamaño de la implementación de Collector en un cuadro de agente. Si el Agente fue instalado en el cuadro Agente antes del 4 de marzo de 2021, ejecute los siguientes comandos en el cuadro Agente: Echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf sysctl -p después de reiniciar el colector.

El recopilador informa de un mensaje de error: “No se ha encontrado ninguna dirección IP local en el conector que pueda llegar a las interfaces de datos de la SVM”.

Lo más probable es que esto se deba a un problema de red en ONTAP. Siga estos pasos:

1. Asegúrese de que no haya ningún firewall en el LIF de datos de SVM o en el LIF de gestión que bloqueen la conexión desde la SVM.

2. Al añadir una SVM a través de una IP de administración de clúster, asegúrese de que el LIF de datos y el LIF de gestión de la SVM se pueden pingable desde el equipo virtual del agente. En caso de problemas, compruebe la puerta de enlace, la máscara de red y las rutas del LIF.

También puede intentar iniciar sesión en el clúster a través de ssh mediante la IP de administración del clúster y hacer ping a la IP del agente. Asegúrese de que la IP del agente es pingable:

Network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

Si no se puede hacer ping, asegúrese de que la configuración de red en ONTAP sea correcta, de modo que el equipo del agente sea pingable.

3. Si ha intentado realizar la conexión a través de la IP del clúster y no funciona, intente realizar la conexión directamente a través de la IP de SVM. Consulte los pasos anteriores para conectar mediante IP de SVM.

4. Al añadir el recopilador a través de las credenciales de SVM IP y vsadmin, compruebe si la SVM Lif tiene el rol Data más Mgmt habilitado. En este caso, ping a la SVM Lif funcionará, sin embargo SSH a la SVM Lif no funcionará.
Si la respuesta es sí, cree una Lif de solo para gestión de SVM y pruebe a conectarse a través de esta Lif de gestión de SVM.

5. Si todavía no funciona, cree una nueva SVM Lif e intente conectarse a través de esa Lif. Asegúrese de que la máscara de subred esté configurada correctamente.

6. Depuración avanzada:
A) Iniciar un seguimiento de paquetes en ONTAP.
b) Intente conectar un recopilador de datos a la SVM desde la interfaz de usuario de CloudSecure.
c) Espere hasta que aparezca el error. Detenga el seguimiento de paquetes en ONTAP.
d) Abra el rastreo de paquetes desde ONTAP. Está disponible en esta ubicación

https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/

E) Asegúrese de que hay un SYN de ONTAP en el cuadro Agente.
f) Si no hay SYN de ONTAP, entonces es un problema con el firewall en ONTAP.
g) Abra el firewall en ONTAP, de modo que ONTAP pueda conectar la caja del agente.

7. Si sigue sin funcionar, consulte al equipo de red para asegurarse de que no hay ningún firewall externo que bloquee la conexión de ONTAP al cuadro Agente.

8. Verifique que el puerto 7 esté abierto.

9. Si ninguno de los anteriores resuelve el problema, abra un caso con "Soporte de NetApp" para más ayuda.

Mensaje: "No se ha podido determinar el tipo de ONTAP para [hostname: <IP Address>. Motivo: Error de conexión con Storage System <IP Address>: No se puede acceder al host (no se puede acceder al host)"

1. Compruebe que se ha proporcionado la dirección IP de administración de SVM o la IP de administración de clúster correctas. 2. SSH a la SVM o el clúster al que pretende conectarse. Una vez que esté conectado, asegúrese de que la SVM o el nombre del clúster sean correctos.

Mensaje de error: "El conector está en estado de error. service.name: Auditoría. Motivo del fallo: El servidor de fpolicy externo ha finalizado."

1. Lo más probable es que un firewall esté bloqueando los puertos necesarios en el equipo del agente. Compruebe que el intervalo de puertos 35000-55000/tcp está abierto para que la máquina del agente se conecte desde la SVM. Asegúrese también de que no hay firewalls habilitados desde la comunicación de bloqueo del lado ONTAP al equipo agente. 2. Escriba el siguiente comando en el cuadro Agente y asegúrese de que el intervalo de puertos está abierto. _Sudo iptables-save

grep 3500*_ la salida de la muestra debería ser: -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT 3. Inicie sesión en SVM, introduzca los siguientes comandos y compruebe que no hay ningún firewall configurado para bloquear la comunicación con ONTAP. servidor de seguridad show servidor de seguridad de los servicios del sistema muestra_"Compruebe los comandos del firewall" En el lado ONTAP. 4. SSH a la SVM/clúster que desea supervisar. Haga ping en la casilla Agent desde el LIF de datos de la SVM (con compatibilidad con CIFS y protocolos NFS) y asegúrese de que funciona ping: _Network ping -vserver <vserver name> -Destination <Agent IP> -lif <Lif Name> -show-detail Si no se pueden pingable, asegúrese de que la configuración de red en ONTAP sea correcta, de modo que el agente se pueda pingable. 5.Si se agrega una única SVM dos veces a un inquilino a través de 2 recopiladores de datos, se mostrará este error. Elimine uno de los recopiladores de datos a través de la interfaz de usuario. A continuación, reinicie el otro recopilador de datos a través de la interfaz de usuario. A continuación, el recopilador de datos mostrará el estado “RUNNING” y comenzará a recibir eventos de SVM. Básicamente, en un inquilino, se debe añadir 1 SVM solo una vez, mediante 1 recopilador de datos. 1 SVM no debe añadirse dos veces a través de 2 recopiladores de datos. 6. En los casos en los que se añadió la misma SVM en dos entornos de seguridad de carga de trabajo (inquilinos) distintos, el último tendrá siempre éxito. El segundo colector configurará fpolicy con su propia dirección IP y la pondrá en marcha la primera. De modo que el cobrador en el primero dejará de recibir eventos y su servicio de "auditoria" entrará en estado de error. Para evitar esto, configure cada SVM en un único entorno. 7. Este error también puede ocurrir si las políticas de servicio no están configuradas correctamente. Con ONTAP 9.8 o posterior, para conectarse al recopilador de origen de datos, se necesita el servicio cliente-fpolicy-data junto con el servicio de datos-nfs y/o data-cifs. Además, el servicio de cliente-fpolicy-data debe estar asociado a los LIF de datos de la SVM supervisada.

No se ven eventos en la página de actividad.

1. Compruebe si el colector de ONTAP está en el estado "EN EJECUCIÓN". Si la respuesta es sí, asegúrese de que algunos eventos de cifs se generan en las máquinas virtuales del cliente cifs abriendo algunos archivos. 2. Si no se ve ninguna actividad, inicie sesión en la SVM e introduzca el siguiente comando. <SVM> learlog show -source fpolicy por favor, asegúrese de que no hay errores relacionados con fpolicy. 3. Si no se ve ninguna actividad, inicie sesión en el SVM. Introduzca el siguiente comando <SVM> policy show Compruebe si se ha establecido la directiva fpolicy llamada con el prefijo “cloudsecure_” y el estado es “on”. Si no se establece, lo más probable es que el agente no pueda ejecutar los comandos en la SVM. Asegúrese de que se han seguido todos los requisitos previos descritos al principio de la página.

El colector de datos SVM está en estado de error y el mensaje Ererrror es “el agente no ha podido conectarse al recopilador”.

1. Lo más probable es que el agente esté sobrecargado y no pueda conectarse a los recopiladores de origen de datos. 2. Compruebe cuántos recopiladores de origen de datos están conectados al agente. 3. Compruebe también el flujo de datos en la página “All Activity” de la interfaz de usuario. 4. Si el número de actividades por segundo es significativamente alto, instale otro agente y mueva algunos de los colectores de origen de datos al nuevo agente.

El recopilador de datos de SVM muestra el mensaje de error "fpolicy.server.connectError: Node Failed to establecer una conexión con el servidor FPolicy "12.195.15.146" ( Reason: "Select Timed out")"

El firewall está habilitado en SVM/Cluster. Por lo tanto, fpolicy Engine no puede conectarse al servidor fpolicy. Las CLI de ONTAP que pueden utilizarse para obtener más información son: Event log show -source fpolicy que muestra el error event log show -source fpolicy -fields event,action,description que muestra más detalles."Compruebe los comandos del firewall" En el lado ONTAP.

Mensaje de error: “El conector está en estado de error. Nombre del servicio:audit. Motivo del fallo: No hay una interfaz de datos válida (función: Datos, protocolos de datos: NFS o CIFS o ambos, estado: Up) encontrado en la SVM.”

Compruebe que hay una interfaz operativa (teniendo la función de protocolo de datos y de datos como CIFS/NFS).

El recopilador de datos entra en el estado error y, a continuación, pasa al estado EN EJECUCIÓN después de algún tiempo y, a continuación, vuelve a error. Este ciclo se repite.

Esto ocurre normalmente en el siguiente escenario: 1. Se han agregado varios recopiladores de datos. 2. Los recopiladores de datos que muestran este tipo de comportamiento tendrán 1 SVM agregado a estos recopiladores de datos. Esto significa que 2 o más recopiladores de datos están conectados a 1 SVM. 3. Asegúrese de que 1 recopilador de datos se conecta a solo 1 SVM. 4. Elimine los otros recopiladores de datos que estén conectados a la misma SVM.

El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: No se puede configurar (política en svmname de SVM. Motivo: Se ha especificado un valor no válido para el elemento "hay que incluir" dentro de "fpolicy.policy.scope-modify: "Federal"

Los nombres de los recursos compartidos deben indicarse sin comillas. Edite la configuración DSC de la SVM ONTAP para corregir los nombres de los recursos compartidos. Include y exclude shares no está destinado a una larga lista de nombres de recursos compartidos. En su lugar, utilice el filtrado por volumen si tiene un gran número de recursos compartidos que incluir o excluir.

Existen fPolicies en el Cluster que no se utilizan. ¿Qué debería hacer con esas personas antes de instalar Workload Security?

Se recomienda eliminar toda la configuración existente de fpolicy sin usar incluso si están en estado desconectado. Workload Security creará fpolicy con el prefijo "cloudsecure_". Se pueden eliminar todas las demás configuraciones de fpolicy no utilizadas. Comando de la CLI para mostrar la lista de fpolicy: Fpolicy show pasos para eliminar las configuraciones de fpolicy: Fpolicy disable -vserver <svmname> -policy-name <policy_name> fpolicy scope delete -vserver <svmname> -policy-name <policy_name> fpolicy delete -vserver <svmname> -policy-name <policy_name> <svmname> fpolicy event delete -vserver <svmname> <engine_name> -event-name <event_list> _fpolicy Engine

Después de habilitar la seguridad de cargas de trabajo, el rendimiento de la ONTAP se ve afectado: La latencia se vuelve esporádicamente alta, la tasa de IOPS se hace más baja de forma esporádica.

Mientras se utiliza ONTAP con seguridad de carga de trabajo, a veces se pueden ver problemas de latencia en ONTAP. Hay una serie de posibles razones para esto, como se indica en los siguientes: "1372994", "1415152", "1438207", "1479704", "1354659". Todos estos problemas se solucionan en ONTAP 9.13.1 y versiones posteriores; se recomienda encarecidamente usar una de estas versiones posteriores.

El recopilador de datos está en error, muestra este mensaje de error. “Error: El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: No se puede configurar la política en SVM_test. Motivo: Falta el valor del campo zapi: Eventos. “

Empiece con una nueva SVM solo con el servicio NFS configurado. Añadir un recopilador de datos de SVM de ONTAP en Workload Security. CIFS se configura como un protocolo permitido para la SVM mientras se añade el recopilador de datos de la SVM de ONTAP en Workload Security. Espere hasta que el recopilador de datos de Workload Security muestre un error. Dado que el servidor CIFS NO está configurado en la SVM, este error, tal como se muestra en la izquierda, se muestra con Workload Security. Edite el recopilador de datos de la SVM de ONTAP y anule la comprobación de CIFS como protocolo permitido. Guarde el recopilador de datos. Empezará a funcionar únicamente con el protocolo NFS habilitado.

El recopilador de datos muestra el mensaje de error: “Error: No se pudo determinar el estado del recopilador en 2 reintentos, intente reiniciar el colector de nuevo (código de error: AGENT008)”.

Si todavía tiene problemas, póngase en contacto con los enlaces de soporte mencionados en la página Ayuda > Soporte.