Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configuración del recopilador de datos ONTAP SVM

Colaboradores netapp-alavoie dgracenetapp pixelchrome
PDF

El recopilador de datos ONTAP SVM permite que Workload Security monitoree las actividades de acceso a archivos y usuarios en las máquinas virtuales de almacenamiento (SVM) de NetApp ONTAP . Esta guía lo guiará a través de la configuración y administración del recopilador de datos SVM para proporcionar un monitoreo de seguridad integral de su entorno ONTAP .

Nota Los cambios globales pueden tener un impacto potencial en sus sistemas ONTAP . Se recomienda encarecidamente realizar cambios que afecten a una gran cantidad de recopiladores de datos durante horas de menor actividad.

Antes de empezar

  • Este recopilador de datos es compatible con lo siguiente:

    • Data ONTAP 9.2 y versiones posteriores. Para obtener el mejor rendimiento, utilice una versión de Data ONTAP superior a 9.13.1.

    • Protocolo SMB versión 3.1 y anteriores.

    • Versiones de NFS hasta NFS 4.1 inclusive (tenga en cuenta que NFS 4.1 es compatible con ONTAP 9.15 o posterior).

    • Flexgroup es compatible con ONTAP 9.4 y versiones posteriores

    • FlexCache es compatible con NFS con ONTAP 9.7 y versiones posteriores.

    • FlexCache es compatible con SMB con ONTAP 9.14.1 y versiones posteriores.

    • ONTAP Select es compatible

  • Sólo se admiten SVM de tipo de datos. No se admiten SVM con volúmenes infinitos.

  • SVM tiene varios subtipos. De estos, solo se admiten default, sync_source y sync_destination.

  • Un agente"debe estar configurado" antes de poder configurar los recopiladores de datos.

  • Asegúrese de tener un Conector de directorio de usuarios configurado correctamente; de lo contrario, los eventos mostrarán nombres de usuario codificados y no el nombre real del usuario (tal como está almacenado en Active Directory) en la página “Análisis forense de actividad”.

  • • ONTAP Persistent Store es compatible desde la versión 9.14.1.

  • Para obtener un rendimiento óptimo, debe configurar el servidor FPolicy para que esté en la misma subred que el sistema de almacenamiento.

  • Debe agregar un SVM utilizando uno de los dos métodos siguientes:

    • Mediante el uso de la IP del clúster, el nombre de SVM y el nombre de usuario y la contraseña de administración del clúster. Este es el método recomendado.

      • El nombre de SVM debe ser exactamente como se muestra en ONTAP y distingue entre mayúsculas y minúsculas.

    • Mediante la administración de SVM Vserver IP, nombre de usuario y contraseña

    • Si no puede o no desea utilizar el nombre de usuario y la contraseña de administración del clúster de administrador/SVM completos, puede crear un usuario personalizado con privilegios menores, como se menciona en“Una nota sobre los permisos” sección a continuación. Este usuario personalizado se puede crear para acceso a SVM o a clúster.

      • o También puede utilizar un usuario de AD con un rol que tenga al menos los permisos de csrole como se menciona en la sección “Una nota sobre permisos” a continuación. Consulte también la"Documentación de ONTAP" .

  • Asegúrese de que las aplicaciones correctas estén configuradas para la SVM ejecutando el siguiente comando:

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

Ejemplo de salida:Ejemplo de salida del comando SVM

  • Asegúrese de que la SVM tenga un servidor CIFS configurado: clustershell:> vserver cifs show

    El sistema devuelve el nombre del servidor V, el nombre del servidor CIFS y campos adicionales.

  • Establezca una contraseña para el usuario vsadmin de SVM. Si utiliza un usuario personalizado o un usuario administrador del clúster, omita este paso. clustershell:> security login password -username vsadmin -vserver svmname

  • Desbloquee el usuario vsadmin de SVM para acceso externo. Si utiliza un usuario personalizado o un usuario administrador del clúster, omita este paso. clustershell:> security login unlock -username vsadmin -vserver svmname

  • Asegúrese de que la política de firewall del LIF de datos esté configurada en 'mgmt' (no en 'data'). Omita este paso si utiliza un lif de administración dedicado para agregar el SVM. clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • Cuando se habilita un firewall, debe tener una excepción definida para permitir el tráfico TCP para el puerto que utiliza el recopilador de datos de Data ONTAP .

    Ver"Requisitos del agente" para obtener información de configuración. Esto se aplica a los agentes locales y a los agentes instalados en la nube.

  • Cuando se instala un agente en una instancia de AWS EC2 para monitorear una SVM de Cloud ONTAP , el agente y el almacenamiento deben estar en la misma VPC. Si están en VPC separadas, debe haber una ruta válida entre las VPC.

Prueba de conectividad para recopiladores de datos

La función de conectividad de prueba (introducida en marzo de 2025) tiene como objetivo ayudar a los usuarios finales a identificar las causas específicas de las fallas al configurar recopiladores de datos en Data Infrastructure Insights (DII) Workload Security. Esto permite a los usuarios autocorregir problemas relacionados con la comunicación de red o roles faltantes.

Esta función ayudará a los usuarios a determinar si todas las comprobaciones relacionadas con la red están en su lugar antes de configurar un recopilador de datos. Además, informará a los usuarios sobre las funciones a las que pueden acceder según la versión de ONTAP , los roles y los permisos asignados a ellos en ONTAP.

Nota La conectividad de prueba no es compatible con los recopiladores del Directorio de usuarios

Requisitos previos para las pruebas de conexión

  • Se necesitan credenciales de nivel de clúster para que esta función funcione completamente.

  • La verificación de acceso a funciones no es compatible con el modo SVM.

  • Si está utilizando credenciales de administración del clúster, no se necesitan permisos nuevos.

  • Si está utilizando un usuario personalizado (por ejemplo, csuser), proporcione los permisos obligatorios y los permisos específicos para las funciones que desea utilizar.

Botón de conexión de prueba de seguridad de carga de trabajo

Asegúrese de revisar elPermisos sección a continuación también.

Pruebe la conexión

El usuario puede ir a la página para agregar o editar recopilador, ingresar los detalles de nivel de clúster (en modo de clúster) o los detalles de nivel de SVM (en modo SVM) y hacer clic en el botón Probar conexión. Luego, Workload Security procesará la solicitud y mostrará un mensaje de éxito o fracaso apropiado.

Mensaje de éxito de 'Conexión de prueba' de Workload Security

Requisitos previos para el bloqueo del acceso de usuarios

Tenga en cuenta lo siguiente para"Bloqueo de acceso de usuarios" :

Se necesitan credenciales de nivel de clúster para que esta característica funcione.

Si está utilizando credenciales de administración del clúster, no se necesitan permisos nuevos.

Si está utilizando un usuario personalizado (por ejemplo, csuser) con permisos otorgados al usuario, siga los pasos en"Bloqueo de acceso de usuarios" para dar permisos a Workload Security para bloquear al usuario.

Una nota sobre los permisos

Permisos al agregar mediante IP de administración de clúster:

Si no puede usar el usuario administrador de administración de clúster para permitir que Workload Security acceda al recopilador de datos de ONTAP SVM, puede crear un nuevo usuario llamado “csuser” con los roles que se muestran en los comandos a continuación. Utilice el nombre de usuario “csuser” y la contraseña “csuser” al configurar el recopilador de datos de seguridad de carga de trabajo para utilizar la IP de administración de clúster.

Nota: Puede crear un rol único para utilizarlo en todos los permisos de funciones de un usuario personalizado. Si hay un usuario existente, primero elimine el usuario y el rol existentes usando estos comandos:

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

Para crear un nuevo usuario, inicie sesión en ONTAP con el nombre de usuario y la contraseña del administrador de administración del clúster y ejecute los siguientes comandos en el servidor ONTAP :

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Permisos al agregar a través de Vserver Management IP:

Si no puede usar el usuario administrador de administración de clúster para permitir que Workload Security acceda al recopilador de datos de ONTAP SVM, puede crear un nuevo usuario llamado “csuser” con los roles que se muestran en los comandos a continuación. Utilice el nombre de usuario “csuser” y la contraseña “csuser” al configurar el recopilador de datos de seguridad de carga de trabajo para utilizar la IP de administración de Vserver.

Nota: Puede crear un rol único para utilizarlo en todos los permisos de funciones de un usuario personalizado. Si hay un usuario existente, primero elimine el usuario y el rol existentes usando estos comandos:

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

Para crear un nuevo usuario, inicie sesión en ONTAP con el nombre de usuario y la contraseña del administrador de administración del clúster y ejecute los siguientes comandos en el servidor ONTAP . Para facilitar su uso, copie estos comandos en un editor de texto y reemplace <vservername> con el nombre de su Vserver antes de ejecutar estos comandos en ONTAP:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Modo Protobuf

Workload Security configurará el motor FPolicy en modo protobuf cuando esta opción esté habilitada en la configuración Configuración avanzada del recopilador. El modo Protobuf es compatible con ONTAP versión 9.15 y posteriores.

Puede encontrar más detalles sobre esta función en"Documentación de ONTAP" .

Se requieren permisos específicos para protobuf (es posible que algunos o todos ellos ya existan):

Modo clúster:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Modo vserver:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

Permisos para ONTAP Autonomous Ransomware Protection y acceso denegado a ONTAP

Si está utilizando credenciales de administración del clúster, no se necesitan permisos nuevos.

Si está utilizando un usuario personalizado (por ejemplo, csuser) con permisos otorgados al usuario, siga los pasos a continuación para otorgar permisos a Workload Security para recopilar información relacionada con ARP de ONTAP.

Para obtener más información, lea sobre"Integración con ONTAP Acceso denegado"

y"Integración con ONTAP Autonomous Ransomware Protection"

Configurar el recopilador de datos

Pasos para la configuración

  1. Inicie sesión como administrador o propietario de cuenta en su entorno de Data Infrastructure Insights .

  2. Haga clic en Seguridad de la carga de trabajo > Recopiladores > +Recopiladores de datos

    El sistema muestra los recopiladores de datos disponibles.

  3. Coloque el cursor sobre el mosaico * NetApp SVM y haga clic en +Monitor.

    El sistema muestra la página de configuración de ONTAP SVM. Introduzca los datos requeridos para cada campo.

Campo

Descripción

Nombre

Nombre único para el recopilador de datos

Agente

Seleccione un agente configurado de la lista.

Conectarse a través de IP de administración para:

Seleccione la IP del clúster o la IP de administración de SVM

Dirección IP de administración de clúster/SVM

La dirección IP del clúster o de la SVM, según su selección anterior.

Nombre de SVM

El nombre del SVM (este campo es obligatorio cuando se conecta a través de la IP del clúster)

Nombre de usuario

Nombre de usuario para acceder al SVM/Cluster Al agregar mediante IP del Cluster las opciones son: 1. Administrador de clúster 2. 'csuser' 3. Usuario de AD que tiene un rol similar al de csuser. Al agregar a través de IP SVM las opciones son: 4. vsadmin 5. 'csuser' 6. Nombre de usuario AD que tiene una función similar a csuser.

Password

Contraseña para el nombre de usuario anterior

Filtrar acciones/volúmenes

Elija si desea incluir o excluir acciones/volúmenes de la recopilación de eventos

Ingrese los nombres completos de los recursos compartidos que desea excluir o incluir

Lista separada por comas de acciones para excluir o incluir (según corresponda) de la recopilación de eventos

Ingrese los nombres completos de los volúmenes que desea excluir o incluir

Lista separada por comas de volúmenes para excluir o incluir (según corresponda) de la recopilación de eventos

Supervisar el acceso a carpetas

Cuando está marcada, habilita eventos para monitorear el acceso a la carpeta. Tenga en cuenta que la creación, el cambio de nombre y la eliminación de carpetas se supervisarán incluso sin esta opción seleccionada. Habilitar esta opción aumentará la cantidad de eventos monitoreados.

Establecer el tamaño del búfer de envío de ONTAP

Establece el tamaño del búfer de envío Fpolicy de ONTAP . Si se utiliza una versión de ONTAP anterior a 9.8p7 y se detectan problemas de rendimiento, se puede modificar el tamaño del búfer de envío de ONTAP para obtener un mejor rendimiento de ONTAP . Comuníquese con el soporte de NetApp si no ve esta opción y desea explorarla.
Después de terminar

  • En la página Recopiladores de datos instalados, utilice el menú de opciones a la derecha de cada recopilador para editar el recopilador de datos. Puede reiniciar el recopilador de datos o editar los atributos de configuración del recopilador de datos.

Configuración recomendada para MetroCluster

Se recomienda lo siguiente para MetroCluster:

  1. Conecte dos recopiladores de datos, uno al SVM de origen y otro al SVM de destino.

  2. Los recopiladores de datos deben estar conectados mediante Cluster IP.

  3. En cualquier momento, el recopilador de datos del SVM "en ejecución" actual se mostrará como En ejecución. El recopilador de datos del SVM "detenido" actual se mostrará como Detenido.

  4. Siempre que se produzca un cambio, el estado del recopilador de datos cambiará de En ejecución a Detenido y viceversa.

  5. El recopilador de datos tardará hasta dos minutos en pasar del estado Detenido al estado En ejecución.

Política de servicio

Si se utiliza la política de servicio con ONTAP versión 9.9.1 o más reciente, para conectarse al recopilador de origen de datos, se requiere el servicio data-fpolicy-client junto con el servicio de datos data-nfs y/o data-cifs.

Ejemplo:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

En versiones de ONTAP anteriores a 9.9.1, no es necesario configurar data-fpolicy-client.

Recopilador de datos de reproducción y pausa

Si el recopilador de datos está en estado En ejecución, puede pausar la recopilación. Abra el menú de "tres puntos" del colector y seleccione PAUSA. Mientras el recopilador está en pausa, no se recopilan datos de ONTAP y no se envían datos del recopilador a ONTAP. Esto significa que no fluirán eventos de Fpolicy desde ONTAP al recopilador de datos, y desde allí a Data Infrastructure Insights.

Tenga en cuenta que si se crean nuevos volúmenes, etc. en ONTAP mientras el recopilador está en pausa, Workload Security no recopilará los datos y esos volúmenes, etc. no se reflejarán en los paneles ni en las tablas.

Nota No se puede pausar un recopilador si tiene usuarios restringidos. Restaure el acceso del usuario antes de pausar el recopilador.

Tenga en cuenta lo siguiente:

  • La purga de instantáneas no se realizará según la configuración configurada en un recopilador en pausa.

  • Los eventos EMS (como ONTAP ARP) no se procesarán en un recopilador en pausa. Esto significa que si ONTAP identifica un ataque de ransomware, Data Infrastructure Insights Workload Security no podrá adquirir ese evento.

  • NO se enviarán correos electrónicos de notificaciones de salud para un recolector en pausa.

  • No se admitirán acciones manuales o automáticas (como instantáneas o bloqueo de usuarios) en un recopilador en pausa.

  • En las actualizaciones del agente o del recopilador, en los reinicios de la máquina virtual del agente o en el reinicio del servicio del agente, un recopilador en pausa permanecerá en estado Pausado.

  • Si el recopilador de datos está en estado Error, no se puede cambiar al estado Pausado. El botón Pausa se habilitará solo si el estado del recopilador es En ejecución.

  • Si el agente está desconectado, el recopilador no se puede cambiar al estado Pausado. El recolector pasará al estado Detenido y el botón Pausa se desactivará.

Almacén persistente

El almacenamiento persistente es compatible con ONTAP 9.14.1 y versiones posteriores. Tenga en cuenta que las instrucciones del nombre del volumen varían de ONTAP 9.14 a 9.15.

El almacenamiento persistente se puede habilitar seleccionando la casilla de verificación en la página de edición/adición del recopilador. Después de seleccionar la casilla de verificación, se muestra un campo de texto para aceptar el nombre del volumen. El nombre del volumen es un campo obligatorio para habilitar el almacenamiento persistente.

  • Para ONTAP 9.14.1, debe crear el volumen antes de habilitar la función y proporcionar el mismo nombre en el campo Nombre del volumen. El tamaño de volumen recomendado es 16 GB.

  • Para ONTAP 9.15.1, el recopilador creará automáticamente el volumen con un tamaño de 16 GB, utilizando el nombre proporcionado en el campo Nombre del volumen.

Se requieren permisos específicos para el almacén persistente (es posible que algunos o todos ellos ya existan):

Modo clúster:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Modo vserver:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

Migrar recolectores

Puede migrar fácilmente un recopilador de seguridad de carga de trabajo de un agente a otro, lo que permite un equilibrio de carga eficiente de los recopiladores entre agentes.

Prerrequisitos

  • El agente de origen debe estar en estado conectado.

  • El recopilador que se va a migrar debe estar en estado en ejecución.

Nota:

  • Migrate es compatible con recopiladores de directorios de datos y de usuarios.

  • No se admite la migración de un recopilador para inquilinos administrados manualmente.

Migrar colector

Para migrar un recopilador, siga estos pasos:

  1. Vaya a la página "Editar recopilador".

  2. Seleccione un agente de destino del menú desplegable de agentes.

  3. Haga clic en el botón "Guardar recopilador".

Seguridad de carga de trabajo procesará la solicitud. Tras una migración exitosa, el usuario será redirigido a la página de la lista de recopiladores. En caso de error, se mostrará un mensaje apropiado en la página de edición.

Nota: Cualquier cambio de configuración realizado previamente en la página "Editar recopilador" permanecerá aplicado cuando el recopilador se migre exitosamente al agente de destino.

migrar un recopilador eligiendo otro agente

Solución de problemas

Ver el"Solución de problemas del recopilador SVM" Página para obtener sugerencias para la solución de problemas.