Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Obtenga más información sobre la configuración del evento de FPolicy de ONTAP

Colaboradores
PDF

Antes de configurar los eventos de FPolicy, debe comprender lo que significa para crear un evento de FPolicy. Debe determinar qué protocolos desea que se supervise el evento, qué eventos debe supervisar y qué filtros de eventos debe utilizar. Esta información le ayuda a planificar los valores que desea establecer.

Qué significa crear un evento FPolicy

Crear el evento FPolicy significa definir información que el proceso de FPolicy debe determinar qué operaciones de acceso a archivos supervisar y para cuáles de las notificaciones de eventos supervisadas deben enviarse al servidor de FPolicy externo. La configuración del evento FPolicy define la siguiente información de configuración:

  • El nombre de la máquina virtual de almacenamiento (SVM)

  • Nombre del evento

  • Qué protocolos supervisar

    FPolicy puede supervisar operaciones de acceso a archivos SMB, NFSv3, NFSv4 y, a partir de ONTAP 9.15.1, NFSv4,1.

  • Qué operaciones de archivos supervisar

    No todas las operaciones de archivo son válidas para cada protocolo.

  • Qué archivo se filtra a configurar

    Sólo son válidas determinadas combinaciones de operaciones de archivos y filtros. Cada protocolo tiene su propio conjunto de combinaciones compatibles.

  • Si se supervisan las operaciones de montaje y desmontaje de volúmenes

Nota

Hay una dependencia con tres de los parámetros (-protocol, , -file-operations -filters ). Las siguientes combinaciones son válidas para los tres parámetros:

  • Puede especificar los -protocol -file-operations parámetros y.

  • Es posible especificar los tres parámetros.

  • No es posible especificar ninguno de los parámetros.

Lo que contiene la configuración del evento FPolicy

Es posible usar la siguiente lista de parámetros de configuración de eventos de FPolicy disponibles para ayudar a planificar la configuración:

Tipo de información

Opción

SVM

Especifica el nombre de la SVM que desea asociar a este evento de FPolicy.

Cada configuración de FPolicy se define dentro de una única SVM. El motor externo, el evento de políticas, el ámbito de políticas y la política que se combinan para crear una configuración de políticas de FPolicy deben estar todos asociados con la misma SVM.

-vserver vserver_name

Nombre del evento

Especifica el nombre que se asignará al evento FPolicy. Cuando crea la política de FPolicy, debe asociar el evento FPolicy con la política mediante el nombre del evento.

El nombre puede tener hasta 256 caracteres.

Nota

El nombre debe tener hasta 200 caracteres si configura el evento en una configuración de recuperación ante desastres de MetroCluster o SVM.

El nombre puede contener cualquier combinación de los siguientes caracteres de intervalo ASCII:

  • a a través de z

  • A a través de Z

  • 0 a través de 9

  • _, “-`", and ".`””

-event-name event_name

Protocolo

Especifica el protocolo que se configurará para el evento FPolicy. La lista de -protocol puede incluir uno de los siguientes valores:

  • cifs

  • nfsv3

  • nfsv4

Nota

Si especifica -protocol, debe especificar un valor válido en el -file-operations parámetro. A medida que cambie la versión del protocolo, es posible que los valores válidos cambien.
Nota

A partir de ONTAP 9.15.1, NFSv4 le permite capturar eventos NFSv4,0 y NFSv4,1.

-protocol protocol

Operaciones de archivo

Especifica la lista de operaciones de archivo para el evento FPolicy.

El evento comprueba las operaciones especificadas en esta lista de todas las solicitudes de cliente que utilizan el protocolo especificado en el -protocol parámetro. Puede enumerar una o varias operaciones de archivo usando una lista delimitada por comas. La lista de -file-operations puede incluir uno o más de los siguientes valores:

  • close en el caso de operaciones de cierre de archivos

  • create para operaciones de creación de archivos

  • create-dir para las operaciones de creación de directorios

  • delete para operaciones de eliminación de archivos

  • delete_dir para operaciones de eliminación de directorios

  • getattr para las operaciones de obtención de atributos

  • link para operaciones de enlace

  • lookup para operaciones de consulta

  • open para operaciones de apertura de archivos

  • read para operaciones de lectura de archivos

  • write para operaciones de escritura de archivos

  • rename para operaciones de cambio de nombre de archivos

  • rename_dir para operaciones de cambio de nombre de directorios

  • setattr para operaciones de definición de atributos

  • symlink para operaciones de enlace simbólico

Nota

Si especifica -file-operations, debe especificar un protocolo válido en el -protocol parámetro.

-file-operations file_operations,…​

Filtros

Especifica la lista de filtros para una operación de archivo determinada para el protocolo especificado. Los valores del -filters parámetro se utilizan para filtrar solicitudes de cliente. La lista puede incluir una o varias de las siguientes opciones:

Nota

Si especifica -filters el parámetro, también debe especificar valores válidos para los -file-operations -protocol parámetros y.

  • monitor-ads opción para filtrar la solicitud de cliente para un flujo de datos alternativo.

  • close-with-modification opción para filtrar la solicitud de cliente para cerrar con modificación.

  • close-without-modification opción para filtrar la solicitud del cliente para cerrar sin modificación.

  • first-read opción para filtrar la solicitud de cliente para la primera lectura.

  • first-write opción de filtrar la solicitud del cliente para la primera escritura.

  • offline-bit opción para filtrar la solicitud del cliente para el juego de bits fuera de línea.

    Al establecer este filtro, el servidor FPolicy recibe una notificación solo cuando se accede a los archivos sin conexión.

  • open-with-delete-intent opción para filtrar la solicitud de cliente para abierta con intención de supresión.

    Al establecer este filtro, el servidor FPolicy recibe la notificación sólo cuando se intenta abrir un archivo con la intención de eliminarlo. Esto lo utilizan los sistemas de archivos cuando FILE_DELETE_ON_CLOSE se especifica el indicador.

  • open-with-write-intent opción para filtrar la solicitud de cliente para abierta con intención de escritura.

    Al establecer este filtro, el servidor FPolicy recibe la notificación sólo cuando se intenta abrir un archivo con la intención de escribir algo en él.

  • write-with-size-change opción de filtrar la solicitud de cliente de escritura con cambio de tamaño.

  • setattr-with-owner-change opción para filtrar las solicitudes de setattr del cliente para cambiar el propietario de un archivo o un directorio.

  • setattr-with-group-change opción para filtrar las solicitudes de setattr del cliente para cambiar el grupo de un archivo o un directorio.

  • setattr-with-sacl-change Opción para filtrar las solicitudes de setattr del cliente para cambiar el SACL en un archivo o directorio.

    Este filtro solo está disponible para los protocolos SMB y NFSv4.

  • setattr-with-dacl-change Opción para filtrar las solicitudes de setattr del cliente para cambiar la DACL en un archivo o directorio.

    Este filtro solo está disponible para los protocolos SMB y NFSv4.

  • setattr-with-modify-time-change opción para filtrar las solicitudes de setattr del cliente para cambiar la hora de modificación de un archivo o un directorio.

  • setattr-with-access-time-change opción para filtrar las solicitudes de setattr del cliente para cambiar la hora de acceso de un archivo o un directorio.

  • setattr-with-creation-time-change opción para filtrar las solicitudes de setattr del cliente para cambiar la hora de creación de un archivo o un directorio.

    Esta opción solo está disponible para el protocolo SMB.

  • setattr-with-mode-change opción para filtrar las solicitudes de setattr del cliente para cambiar los bits de modo en un archivo o directorio.

  • setattr-with-size-change opción para filtrar las solicitudes de setattr del cliente para cambiar el tamaño de un archivo.

  • setattr-with-allocation-size-change opción para filtrar las solicitudes de setattr del cliente para cambiar el tamaño de asignación de un archivo.

    Esta opción solo está disponible para el protocolo SMB.

  • exclude-directory opción para filtrar las solicitudes de cliente para las operaciones de directorio.

    Cuando se especifica este filtro, las operaciones de directorio no se supervisan.

-filters filter, …​

Is operación de volumen requerida

Especifica si se requiere la supervisión para las operaciones de montaje y desmontaje de volúmenes. El valor predeterminado es false.

-volume-operation {true

false}

-filters filter, …​

Notificaciones denegadas de acceso a FPolicy

A partir de ONTAP 9.13.1, los usuarios pueden recibir notificaciones por operaciones de archivos fallidas debido a la falta de permisos. Estas notificaciones son valiosas para la seguridad, la protección contra el ransomware y la gobernanza. Se generarán notificaciones para la operación de archivo fallida debido a la falta de permiso, que incluye:

  • Fallos debidos a permisos NTFS.

  • Fallos debidos a bits de modo Unix.

  • Fallos debidos a NFSv4 ACL.

-monitor-fileop-failure {true

false}