Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Solucionar problemas del recopilador de datos de SVM de ONTAP

Colaboradores
PDF

Workload Security utiliza recopiladores de datos para recopilar datos de acceso de archivos y usuarios desde dispositivos. Aquí puede encontrar consejos para solucionar problemas con este recopilador.

Consulte la "Configuración del recopilador de SVM" página para obtener instrucciones sobre la configuración de este recopilador.

En caso de error, puede hacer clic en more detail en la columna Status de la página Installed Data Collectors para obtener detalles sobre el error.

Enlace Más Detalle de Error de Recopilador de Seguridad de Carga de Trabajo

Los problemas conocidos y sus resoluciones se describen a continuación.

Problema: Data Collector se ejecuta durante algún tiempo y se detiene después de un tiempo aleatorio, fallando con: Mensaje de error: El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: Servidor de fpolicy externo sobrecargado."

Prueba esto: La tasa de eventos de ONTAP fue mucho más alta que lo que la caja del Agente puede manejar. Por lo tanto, la conexión finalizó.

Compruebe el tráfico máximo en CloudSecure cuando se haya realizado la desconexión. Esto puede comprobar en la página CloudSecure > Activity Forensics > All Activity.

Si el tráfico agregado pico es superior al que puede controlar Agent Box, consulte la página Comprobador de tasa de eventos sobre cómo ajustar el tamaño de la implementación de Collector en un cuadro de agente.

Si el agente se instaló en el cuadro Agente antes del 4 de marzo de 2021, ejecute los siguientes comandos en el cuadro Agente:

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Reinicie el recopilador desde la interfaz de usuario después de cambiar el tamaño.

Problema: El recopilador informa de un mensaje de error: “No se ha encontrado ninguna dirección IP local en el conector que pueda alcanzar las interfaces de datos de la SVM”. Pruebe esto: Esto es probablemente debido a un problema de red en el lado de ONTAP. Siga estos pasos:

  1. Asegúrese de que no haya firewalls en el LIF de datos de la SVM o el LIF de gestión que bloquee la conexión de la SVM.

  2. Cuando se añade una SVM a través de una IP de gestión de clúster, asegúrese de que el LIF de datos y el LIF de gestión de la SVM se pueden hacer ping desde la máquina virtual del agente. En caso de problemas, compruebe la puerta de enlace, la máscara de red y las rutas del LIF.

    También puede intentar iniciar sesión en el clúster a través de ssh mediante la IP de administración del clúster y hacer ping a la IP del agente. Asegúrese de que la IP del agente es pingable:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si no se puede hacer ping, asegúrese de que la configuración de red en ONTAP sea correcta, de modo que el equipo del agente sea pingable.

  3. Si ha intentado conectarse a través de Cluster IP y no funciona, intente conectarse directamente mediante SVM IP. Consulte los pasos anteriores para conectar mediante IP de SVM.

  4. Al agregar el recopilador a través de IP de SVM y las credenciales de vsadmin, compruebe si el Lif de SVM tiene habilitado el rol Data plus Mgmt. En este caso, ping a la SVM Lif funcionará, sin embargo SSH a la SVM Lif no funcionará. Si la respuesta es sí, cree una Lif de solo para gestión de SVM y pruebe a conectarse a través de esta Lif de gestión de SVM.

  5. Si todavía no funciona, cree un nuevo Lif de SVM e intente conectarse a través de ese Lif. Asegúrese de que la máscara de subred esté configurada correctamente.

  6. Depuración avanzada:

    1. Inicie un seguimiento de paquetes en ONTAP.

    2. Intente conectar un recopilador de datos a la SVM desde la interfaz de usuario de CloudSecure.

    3. Espere hasta que aparezca el error. Detenga el seguimiento de paquetes en ONTAP.

    4. Abra el seguimiento de paquetes desde ONTAP. Está disponible en esta ubicación

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Asegúrese de que hay un SYN de ONTAP en el cuadro Agente.
.. Si no hay SYN de ONTAP, entonces hay un problema con el firewall en ONTAP.
.. Abra el firewall en ONTAP, de modo que ONTAP pueda conectar la caja del agente.

  7. Si todavía no funciona, consulte al equipo de redes para asegurarse de que ningún firewall externo está bloqueando la conexión de ONTAP al cuadro Agente.

  8. Si ninguna de las opciones anteriores resuelve el problema, abra un caso con "Soporte de NetApp" para obtener ayuda adicional.

Problema: Mensaje: “No se pudo determinar el tipo de ONTAP para [nombre de host: <IP Address>. Motivo: Error de conexión al <IP Address> del sistema de almacenamiento: El host es inaccesible (host inaccesible) Prueba esto:

  1. Compruebe que se han proporcionado la dirección de gestión IP de SVM o la IP de administración de clúster correctas.

  2. SSH a la SVM o al clúster al que pretende conectarse. Una vez que esté conectado, asegúrese de que la SVM o el nombre del clúster sean correctos.

Problema: Mensaje de error: “El conector está en estado de error. service.name: Auditoría. Motivo del fallo: El servidor de fpolicy externo ha finalizado." Pruebe esto:

  1. Lo más probable es que un firewall esté bloqueando los puertos necesarios en la máquina del agente. Compruebe que el intervalo de puertos 35000-55000/tcp está abierto para que la máquina del agente se conecte desde la SVM. Asegúrese también de que no hay firewalls habilitados desde la comunicación de bloqueo del lado ONTAP al equipo agente.

  2. Escriba el siguiente comando en el cuadro Agente y asegúrese de que el rango de puertos está abierto.

    sudo iptables-save | grep 3500*

    La salida de ejemplo debe tener el siguiente aspecto:

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Inicie sesión en SVM, introduzca los siguientes comandos y compruebe que no hay ningún firewall configurado para bloquear la comunicación con ONTAP.
    system services firewall show
system services firewall policy show

    "Compruebe los comandos del firewall" En el lado de ONTAP.

  3. SSH al SVM/clúster que desea supervisar. Haga ping en el cuadro Agent desde el LIF de datos de SVM (compatible con protocolos CIFS y NFS) y asegúrese de que ping funciona:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si no se puede hacer ping, asegúrese de que la configuración de red en ONTAP sea correcta, de modo que el equipo del agente sea pingable.

  4. Si se añade dos veces una única SVM a un inquilino a través de recopiladores de datos de 2, se mostrará este error. Elimine uno de los recopiladores de datos a través de la interfaz de usuario. A continuación, reinicie el otro recopilador de datos a través de la interfaz de usuario. A continuación, el recopilador de datos mostrará el estado “RUNNING” y comenzará a recibir eventos de SVM.

    Básicamente, en un inquilino, se debe añadir 1 SVM solo una vez, mediante 1 recopilador de datos. 1 SVM no debe añadirse dos veces a través de 2 recopiladores de datos.

  5. En las instancias en las que se agregó la misma SVM en dos entornos de seguridad de carga de trabajo (inquilinos) diferentes, el último siempre tendrá éxito. El segundo colector configurará fpolicy con su propia dirección IP y la pondrá en marcha la primera. De modo que el cobrador en el primero dejará de recibir eventos y su servicio de "auditoria" entrará en estado de error. Para evitar esto, configure cada SVM en un único entorno.

  6. Este error también se puede producir si las políticas de servicio no están configuradas correctamente. Con ONTAP 9.8 o posterior, para conectarse al recopilador de origen de datos, se necesita el servicio cliente-fpolicy-data junto con el servicio de datos-nfs y/o data-cifs. Además, el servicio de cliente-fpolicy-data debe estar asociado a los LIF de datos de la SVM supervisada.

Problema: No se ven eventos en la página de actividad. Pruebe esto:

  1. Compruebe si el recopilador ONTAP está en estado “EN EJECUCIÓN”. Si la respuesta es sí, asegúrese de que algunos eventos de cifs se generan en las máquinas virtuales del cliente cifs abriendo algunos archivos.

  2. Si no se ven actividades, inicie sesión en la SVM e introduzca el siguiente comando.

    <SVM>event log show -source fpolicy

    Asegúrese de que no hay errores relacionados con fpolicy.

  3. Si no se ve ninguna actividad, inicie sesión en el SVM. Introduzca el siguiente comando:

    <SVM>fpolicy show

    Compruebe si se ha establecido la política de fpolicy denominada con el prefijo «cloudsecure_» y si el estado es «on». Si no se establece, lo más probable es que el agente no pueda ejecutar los comandos en la SVM. Asegúrese de que se han seguido todos los requisitos previos descritos al principio de la página.

Problema: SVM Data Collector está en estado de error y el mensaje de error es “Agent failed to connect to the collector” Pruebe esto:

  1. Lo más probable es que el agente esté sobrecargado y no pueda conectarse a los recopiladores de orígenes de datos.

  2. Compruebe cuántos recopiladores de orígenes de datos están conectados al agente.

  3. Compruebe también la velocidad de flujo de datos en la página “Todas las actividades” en la interfaz de usuario.

  4. Si el número de actividades por segundo es significativamente alto, instale otro agente y mueva algunos de los recopiladores de orígenes de datos al nuevo agente.

Problema: SVM Data Collector muestra un mensaje de error como “fpolicy.server.connectError: Node no pudo establecer una conexión con el servidor FPolicy “12.195.15.146” ( Motivo: “Select Timed Out”) Pruebe esto: El firewall está habilitado en SVM/Cluster. Por lo tanto, fpolicy Engine no puede conectarse al servidor fpolicy. Las CLI de ONTAP que se pueden utilizar para obtener más información son:

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Compruebe los comandos del firewall" En el lado de ONTAP.

Problema: Mensaje de error: “El conector está en estado de error. Nombre del servicio:audit. Motivo del fallo: No hay una interfaz de datos válida (función: Datos, protocolos de datos: NFS o CIFS o ambos, estado: Up) encontrado en la SVM.” Pruebe esto: Asegúrese de que haya una interfaz operativa (teniendo el rol de protocolo de datos y datos como CIFS/NFS.

Problema: El recopilador de datos entra en estado de error y luego entra en estado de EJECUCIÓN después de un tiempo, luego vuelve a Error de nuevo. Este ciclo se repite. Prueba esto: Esto suele ocurrir en el siguiente escenario:

  1. Se han agregado varios recopiladores de datos.

  2. Los recolectores de datos que muestran este tipo de comportamiento tendrán 1 SVM agregados a estos recolectores de datos. Esto significa que 2 o más recopiladores de datos están conectados a 1 SVM.

  3. Asegúrese de que el recopilador de datos de 1 se conecte solo a una SVM de 1.

  4. Elimine los otros recopiladores de datos que están conectados a la misma SVM.

Problema: El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: No se puede configurar (política en svmname de SVM. Motivo: Valor no válido especificado para el elemento 'hares-to-include' dentro de 'fpolicy.policy.scope-modify: 'Federal' Intente esto: *Los nombres de los recursos compartidos deben ser dados sin comillas. Edite la configuración DSC de la SVM ONTAP para corregir los nombres de los recursos compartidos.

Include y exclude shares no está destinado a una larga lista de nombres de recursos compartidos. En su lugar, utilice el filtrado por volumen si tiene un gran número de recursos compartidos que incluir o excluir.

Problema: Existen fpolicies en el Cluster que no se utilizan. ¿Qué debería hacer con esas personas antes de instalar Workload Security? Pruebe esto: Se recomienda eliminar todos los ajustes de fpolicy no utilizados existentes incluso si están en estado desconectado. Workload Security creará fpolicy con el prefijo "cloudsecure_". Se pueden eliminar todas las demás configuraciones de fpolicy no utilizadas.

Comando de la CLI para mostrar la lista de fpolicy:

 fpolicy show
Pasos para eliminar configuraciones de fpolicy:
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|Después de habilitar la seguridad de las cargas de trabajo, el rendimiento de ONTAP se ve afectado: La latencia se vuelve esporádicamente alta, las IOPS se vuelven esporádicamente bajas. |Mientras se utiliza ONTAP con seguridad de carga de trabajo, a veces se pueden ver problemas de latencia en ONTAP. Hay una serie de posibles motivos para ello, como se indica en los siguientes apartados: "1372994" "1415152", , , "1438207" "1479704" "1354659" . Todos estos problemas se solucionan en ONTAP 9.13.1 y versiones posteriores; se recomienda encarecidamente usar una de estas versiones posteriores.

Problema: El recopilador de datos está en error, muestra este mensaje de error. “Error: El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: No se puede configurar la política en SVM_test. Motivo: Falta el valor del campo zapi: Eventos. “ Prueba esto:

  1. Empiece con una nueva SVM solo con el servicio NFS configurado.

  2. Añadir un recopilador de datos de SVM de ONTAP en Workload Security. CIFS se configura como un protocolo permitido para la SVM mientras se añade el recopilador de datos de la SVM de ONTAP en Workload Security.

  3. Espere hasta que el recopilador de datos de Workload Security muestre un error.

  4. Dado que el servidor CIFS NO está configurado en la SVM, este error, tal como se muestra en la izquierda, se muestra con Workload Security.

  5. Edite el recopilador de datos de la SVM de ONTAP y anule la comprobación de CIFS como protocolo permitido. Guarde el recopilador de datos. Empezará a funcionar únicamente con el protocolo NFS habilitado.

Problema: Data Collector muestra el mensaje de error: “Error: Fallo al determinar el estado del recopilador en 2 reintentos, intente reiniciar el recopilador de nuevo (Código de error: AGENT008)”. Pruebe esto:

  1. En la página colectores de datos, desplácese a la derecha del recopilador de datos indicando el error y haga clic en el menú 3 puntos. Seleccione Edit. Vuelva a introducir la contraseña del recopilador de datos. Guarde el recopilador de datos pulsando el botón Save. El recopilador de datos se reiniciará y se debería solucionar el error.

  2. Es posible que la máquina del agente no tenga suficiente espacio de CPU o RAM, por lo que los DSCs están fallando. Compruebe el número de colectores de datos que se agregan al agente en la máquina. Si es superior a 20, aumente la capacidad de CPU y RAM de la máquina del agente. Una vez que la CPU y la RAM se aumentan, los DSCs se inicializarán y luego se pondrán en funcionamiento automáticamente. Consulte la guía de tamaños en "esta página".

Problema: El recolector de datos está ererde cuando se selecciona el modo SVM. Prueba esto: Al conectarse en modo SVM, si se utiliza la IP de administración de clúster para conectarse en lugar de la IP de administración de SVM, la conexión se producirá un error. Asegúrese de que se usa la IP de SVM correcta.

Problema: El recopilador de datos muestra un mensaje de error cuando la función Acceso denegado está habilitada: “El conector está en estado de error. Nombre del servicio: Auditoría. Motivo del fallo: No se pudo configurar fpolicy en la SVM test_svm. Motivo: El usuario no está autorizado. Prueba esto: El usuario podría estar perdiendo los permisos REST necesarios para la función Acceso denegado. Siga las instrucciones de "esta página" para establecer los permisos.

Reinicie el recopilador una vez definidos los permisos.

Si todavía tiene problemas, póngase en contacto con los enlaces de soporte mencionados en la página Ayuda > Soporte.