Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration du collecteur de données ONTAP SVM

Contributeurs netapp-alavoie dgracenetapp pixelchrome
PDF

Le collecteur de données ONTAP SVM permet à Workload Security de surveiller les activités d'accès aux fichiers et aux utilisateurs sur les machines virtuelles de stockage NetApp ONTAP (SVM). Ce guide vous guide à travers la configuration et la gestion du collecteur de données SVM pour fournir une surveillance de sécurité complète de votre environnement ONTAP .

Remarque Les changements globaux peuvent avoir un impact potentiel sur vos systèmes ONTAP . Il est fortement recommandé d'effectuer des modifications affectant un grand nombre de collecteurs de données pendant les heures creuses.

Avant de commencer

  • Ce collecteur de données est pris en charge avec les éléments suivants :

    • Data ONTAP 9.2 et versions ultérieures. Pour de meilleures performances, utilisez une version Data ONTAP supérieure à 9.13.1.

    • Protocole SMB version 3.1 et antérieure.

    • Versions NFS jusqu'à NFS 4.1 inclus (notez que NFS 4.1 est pris en charge avec ONTAP 9.15 ou version ultérieure).

    • Flexgroup est pris en charge à partir d' ONTAP 9.4 et des versions ultérieures

    • FlexCache est pris en charge pour NFS avec ONTAP 9.7 et les versions ultérieures.

    • FlexCache est pris en charge pour SMB avec ONTAP 9.14.1 et les versions ultérieures.

    • ONTAP Select est pris en charge

  • Seuls les types de données SVM sont pris en charge. Les SVM avec des volumes infinis ne sont pas pris en charge.

  • SVM comporte plusieurs sous-types. Parmi ceux-ci, seuls default, sync_source et sync_destination sont pris en charge.

  • Un agent"doit être configuré" avant de pouvoir configurer les collecteurs de données.

  • Assurez-vous que vous disposez d'un connecteur d'annuaire utilisateur correctement configuré, sinon les événements afficheront les noms d'utilisateur codés et non le nom réel de l'utilisateur (tel que stocké dans Active Directory) dans la page « Analyse forensique des activités ».

  • • ONTAP Persistent Store est pris en charge à partir de la version 9.14.1.

  • Pour des performances optimales, vous devez configurer le serveur FPolicy pour qu'il soit sur le même sous-réseau que le système de stockage.

  • Vous devez ajouter un SVM en utilisant l’une des deux méthodes suivantes :

    • En utilisant l'adresse IP du cluster, le nom SVM et le nom d'utilisateur et le mot de passe de gestion du cluster. C'est la méthode recommandée.

      • Le nom SVM doit être exactement tel qu'il est affiché dans ONTAP et est sensible à la casse.

    • En utilisant l'adresse IP, le nom d'utilisateur et le mot de passe de gestion du serveur virtuel SVM

    • Si vous ne pouvez pas ou ne souhaitez pas utiliser le nom d'utilisateur et le mot de passe complets de gestion du cluster/SVM de l'administrateur, vous pouvez créer un utilisateur personnalisé avec des privilèges moindres comme mentionné dans le« Une note sur les autorisations » section ci-dessous. Cet utilisateur personnalisé peut être créé pour l'accès SVM ou Cluster.

      • o Vous pouvez également utiliser un utilisateur AD avec un rôle qui dispose au moins des autorisations de csrole comme mentionné dans la section « Remarque sur les autorisations » ci-dessous. Se référer également à la"Documentation ONTAP" .

  • Assurez-vous que les applications correctes sont définies pour le SVM en exécutant la commande suivante :

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

Exemple de sortie :Exemple de sortie de commande SVM

  • Assurez-vous que le SVM dispose d'un serveur CIFS configuré : clustershell:> vserver cifs show

    Le système renvoie le nom du serveur virtuel, le nom du serveur CIFS et des champs supplémentaires.

  • Définissez un mot de passe pour l'utilisateur SVM vsadmin. Si vous utilisez un utilisateur personnalisé ou un utilisateur administrateur de cluster, ignorez cette étape. clustershell:> security login password -username vsadmin -vserver svmname

  • Déverrouillez l'utilisateur SVM vsadmin pour l'accès externe. Si vous utilisez un utilisateur personnalisé ou un utilisateur administrateur de cluster, ignorez cette étape. clustershell:> security login unlock -username vsadmin -vserver svmname

  • Assurez-vous que la politique de pare-feu du LIF de données est définie sur « mgmt » (et non sur « données »). Ignorez cette étape si vous utilisez un LIF de gestion dédié pour ajouter le SVM. clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • Lorsqu'un pare-feu est activé, vous devez définir une exception pour autoriser le trafic TCP pour le port à l'aide du collecteur de données Data Data ONTAP .

    Voir"Exigences relatives aux agents" pour les informations de configuration. Ceci s’applique aux agents sur site et aux agents installés dans le Cloud.

  • Lorsqu'un agent est installé dans une instance AWS EC2 pour surveiller une SVM Cloud ONTAP , l'agent et le stockage doivent se trouver dans le même VPC. S'ils se trouvent dans des VPC distincts, il doit y avoir un itinéraire valide entre les VPC.

Tester la connectivité pour les collecteurs de données

La fonctionnalité de connectivité de test (introduite en mars 2025) vise à aider les utilisateurs finaux à identifier les causes spécifiques des échecs lors de la configuration des collecteurs de données dans Data Infrastructure Insights (DII) Workload Security. Cela permet aux utilisateurs de corriger eux-mêmes les problèmes liés à la communication réseau ou aux rôles manquants.

Cette fonctionnalité aidera les utilisateurs à déterminer si tous les contrôles liés au réseau sont en place avant de configurer un collecteur de données. De plus, il informera les utilisateurs des fonctionnalités auxquelles ils peuvent accéder en fonction de la version ONTAP , des rôles et des autorisations qui leur sont attribués dans ONTAP.

Remarque La connectivité de test n'est pas prise en charge pour les collecteurs d'annuaires utilisateurs

Conditions préalables aux tests de connexion

  • Les informations d’identification au niveau du cluster sont nécessaires pour que cette fonctionnalité fonctionne pleinement.

  • La vérification de l'accès aux fonctionnalités n'est pas prise en charge en mode SVM.

  • Si vous utilisez les informations d’identification d’administration de cluster, aucune nouvelle autorisation n’est nécessaire.

  • Si vous utilisez un utilisateur personnalisé (par exemple, csuser), fournissez les autorisations obligatoires et les autorisations spécifiques aux fonctionnalités que vous souhaitez utiliser.

bouton de connexion du test de sécurité de la charge de travail

Assurez-vous de revoir leAutorisations section ci-dessous également.

Tester la connexion

L'utilisateur peut accéder à la page d'ajout/modification du collecteur, saisir les détails du niveau du cluster (en mode cluster) ou les détails du niveau SVM (en mode SVM) et cliquer sur le bouton Tester la connexion. Workload Security traitera ensuite la demande et affichera un message de réussite ou d’échec approprié.

Message de réussite « Test de connexion » de Workload Security

Conditions préalables au blocage de l'accès utilisateur

Gardez à l’esprit les points suivants pour"Blocage de l'accès utilisateur" :

Les informations d’identification au niveau du cluster sont nécessaires pour que cette fonctionnalité fonctionne.

Si vous utilisez les informations d’identification d’administration de cluster, aucune nouvelle autorisation n’est nécessaire.

Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec des autorisations accordées à l'utilisateur, suivez les étapes de"Blocage de l'accès utilisateur" pour donner des autorisations à Workload Security pour bloquer l'utilisateur.

Remarque sur les autorisations

Autorisations lors de l'ajout via Cluster Management IP :

Si vous ne pouvez pas utiliser l’utilisateur administrateur de gestion de cluster pour autoriser Workload Security à accéder au collecteur de données ONTAP SVM, vous pouvez créer un nouvel utilisateur nommé « csuser » avec les rôles indiqués dans les commandes ci-dessous. Utilisez le nom d’utilisateur « csuser » et le mot de passe « csuser » lors de la configuration du collecteur de données Workload Security pour utiliser l’adresse IP de gestion de cluster.

Remarque : vous pouvez créer un rôle unique à utiliser pour toutes les autorisations de fonctionnalités pour un utilisateur personnalisé. S'il existe un utilisateur existant, supprimez d'abord l'utilisateur et le rôle existants à l'aide de ces commandes :

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

Pour créer le nouvel utilisateur, connectez-vous à ONTAP avec le nom d'utilisateur/mot de passe de l'administrateur de gestion de cluster et exécutez les commandes suivantes sur le serveur ONTAP :

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Autorisations lors de l'ajout via Vserver Management IP :

Si vous ne pouvez pas utiliser l’utilisateur administrateur de gestion de cluster pour autoriser Workload Security à accéder au collecteur de données ONTAP SVM, vous pouvez créer un nouvel utilisateur nommé « csuser » avec les rôles indiqués dans les commandes ci-dessous. Utilisez le nom d’utilisateur « csuser » et le mot de passe « csuser » lors de la configuration du collecteur de données Workload Security pour utiliser l’adresse IP de gestion du serveur virtuel.

Remarque : vous pouvez créer un rôle unique à utiliser pour toutes les autorisations de fonctionnalités pour un utilisateur personnalisé. S'il existe un utilisateur existant, supprimez d'abord l'utilisateur et le rôle existants à l'aide de ces commandes :

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

Pour créer le nouvel utilisateur, connectez-vous à ONTAP avec le nom d'utilisateur/mot de passe de l'administrateur de gestion de cluster et exécutez les commandes suivantes sur le serveur ONTAP . Pour plus de simplicité, copiez ces commandes dans un éditeur de texte et remplacez <vservername> par le nom de votre Vserver avant d'exécuter ces commandes sur ONTAP:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Mode Protobuf

Workload Security configurera le moteur FPolicy en mode protobuf lorsque cette option est activée dans les paramètres Configuration avancée du collecteur. Le mode Protobuf est pris en charge dans ONTAP version 9.15 et ultérieure.

Vous trouverez plus de détails sur cette fonctionnalité dans le"Documentation ONTAP" .

Des autorisations spécifiques sont requises pour protobuf (certaines ou toutes peuvent déjà exister) :

Mode cluster :

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Mode serveur virtuel :
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

Autorisations pour la protection autonome contre les ransomwares ONTAP et accès ONTAP refusé

Si vous utilisez les informations d’identification d’administration de cluster, aucune nouvelle autorisation n’est nécessaire.

Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec des autorisations accordées à l'utilisateur, suivez les étapes ci-dessous pour accorder des autorisations à Workload Security afin de collecter des informations liées à ARP à partir d' ONTAP.

Pour plus d'informations, lisez à propos de"Intégration avec ONTAP Accès refusé"

et"Intégration avec la protection autonome contre les ransomwares ONTAP"

Configurer le collecteur de données

Étapes de configuration

  1. Connectez-vous en tant qu'administrateur ou propriétaire de compte à votre environnement Data Infrastructure Insights .

  2. Cliquez sur Sécurité de la charge de travail > Collecteurs > +Collecteurs de données

    Le système affiche les collecteurs de données disponibles.

  3. Passez la souris sur la mosaïque * NetApp SVM et cliquez sur +Surveiller.

    Le système affiche la page de configuration ONTAP SVM. Saisissez les données requises pour chaque champ.

Champ

Description

Nom

Nom unique pour le collecteur de données

Agent

Sélectionnez un agent configuré dans la liste.

Connectez-vous via l'IP de gestion pour :

Sélectionnez l'adresse IP du cluster ou l'adresse IP de gestion SVM

Adresse IP de gestion du cluster / SVM

L'adresse IP du cluster ou du SVM, selon votre sélection ci-dessus.

Nom de SVM

Le nom du SVM (ce champ est obligatoire lors de la connexion via l'IP du cluster)

Nom d'utilisateur

Nom d'utilisateur pour accéder au SVM/Cluster Lors de l'ajout via l'IP du cluster, les options sont : 1. Administrateur de cluster 2. 'csutilisateur' 3. Utilisateur AD ayant un rôle similaire à csuser. Lors de l'ajout via SVM IP, les options sont : 4. vsadmin 5. 'csutilisateur' 6. Nom d'utilisateur AD ayant un rôle similaire à csuser.

Mot de passe

Mot de passe pour le nom d'utilisateur ci-dessus

Filtrer les parts/volumes

Choisissez d'inclure ou d'exclure les actions/volumes de la collecte d'événements

Saisissez les noms de partage complets à exclure/inclure

Liste séparée par des virgules des partages à exclure ou à inclure (selon le cas) de la collecte d'événements

Saisissez les noms de volumes complets à exclure/inclure

Liste séparée par des virgules des volumes à exclure ou à inclure (selon le cas) de la collecte d'événements

Surveiller l'accès aux dossiers

Lorsque cette option est cochée, elle active les événements pour la surveillance de l'accès aux dossiers. Notez que la création/le changement de nom et la suppression des dossiers seront surveillés même sans cette option sélectionnée. L'activation de cette option augmentera le nombre d'événements surveillés.

Définir la taille du tampon d'envoi ONTAP

Définit la taille du tampon d'envoi ONTAP Fpolicy. Si une version ONTAP antérieure à 9.8p7 est utilisée et qu'un problème de performances est constaté, la taille du tampon d'envoi ONTAP peut être modifiée pour obtenir de meilleures performances ONTAP . Contactez le support NetApp si vous ne voyez pas cette option et souhaitez l’explorer.
Après avoir terminé

  • Dans la page Collecteurs de données installés, utilisez le menu d’options à droite de chaque collecteur pour modifier le collecteur de données. Vous pouvez redémarrer le collecteur de données ou modifier les attributs de configuration du collecteur de données.

Configuration recommandée pour MetroCluster

Ce qui suit est recommandé pour MetroCluster:

  1. Connectez deux collecteurs de données, l'un au SVM source et l'autre au SVM de destination.

  2. Les collecteurs de données doivent être connectés par Cluster IP.

  3. À tout moment, le collecteur de données du SVM « en cours d'exécution » s'affichera comme Running. Le collecteur de données du SVM « arrêté » actuel s'affichera comme Arrêté.

  4. À chaque basculement, l'état du collecteur de données passe de Running à Stopped et vice versa.

  5. Il faudra jusqu'à deux minutes au collecteur de données pour passer de l'état Arrêté à l'état En cours d'exécution.

Politique de service

Si vous utilisez la stratégie de service avec ONTAP version 9.9.1 ou plus récente, afin de vous connecter au collecteur de sources de données, le service data-fpolicy-client est requis avec le service de données data-nfs et/ou data-cifs.

Exemple:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

Dans les versions d' ONTAP antérieures à 9.9.1, data-fpolicy-client n'a pas besoin d'être défini.

Collecteur de données de lecture-pause

Si le collecteur de données est à l'état En cours d'exécution, vous pouvez suspendre la collecte. Ouvrez le menu « trois points » du collecteur et sélectionnez PAUSE. Pendant que le collecteur est en pause, aucune donnée n'est collectée à partir d' ONTAP et aucune donnée n'est envoyée du collecteur à ONTAP. Cela signifie qu'aucun événement Fpolicy ne circulera d' ONTAP vers le collecteur de données, et de là vers Data Infrastructure Insights.

Notez que si de nouveaux volumes, etc. sont créés sur ONTAP alors que le collecteur est en pause, Workload Security ne collectera pas les données et ces volumes, etc. ne seront pas reflétés dans les tableaux de bord ou les tables.

Remarque Un collecteur ne peut pas être mis en pause s'il a des utilisateurs restreints. Restaurez l'accès utilisateur avant de suspendre le collecteur.

Gardez à l’esprit les points suivants :

  • La purge des instantanés ne se produira pas selon les paramètres configurés sur un collecteur en pause.

  • Les événements EMS (comme ONTAP ARP) ne seront pas traités sur un collecteur en pause. Cela signifie que si ONTAP identifie une attaque de ransomware, Data Infrastructure Insights Workload Security ne pourra pas acquérir cet événement.

  • Les e-mails de notifications de santé ne seront PAS envoyés pour un collecteur en pause.

  • Les actions manuelles ou automatiques (telles que le snapshot ou le blocage d'utilisateur) ne seront pas prises en charge sur un collecteur en pause.

  • Lors des mises à niveau de l'agent ou du collecteur, des redémarrages/redémarrages de la machine virtuelle de l'agent ou du redémarrage du service de l'agent, un collecteur en pause restera dans l'état Paused.

  • Si le collecteur de données est dans l'état Erreur, le collecteur ne peut pas être modifié en état En pause. Le bouton Pause ne sera activé que si l'état du collecteur est Running.

  • Si l'agent est déconnecté, le collecteur ne peut pas être modifié en état Paused. Le collecteur passera à l'état Arrêté et le bouton Pause sera désactivé.

Magasin persistant

Le magasin persistant est pris en charge avec ONTAP 9.14.1 et versions ultérieures. Notez que les instructions de nom de volume varient d' ONTAP 9.14 à 9.15.

Le magasin persistant peut être activé en sélectionnant la case à cocher dans la page d'édition/ajout du collecteur. Après avoir coché la case, un champ de texte s'affiche pour accepter le nom du volume. Le nom du volume est un champ obligatoire pour activer le magasin persistant.

  • Pour ONTAP 9.14.1, vous devez créer le volume avant d'activer la fonctionnalité et fournir le même nom dans le champ Nom du volume. La taille de volume recommandée est de 16 Go.

  • Pour ONTAP 9.15.1, le volume sera créé automatiquement avec une taille de 16 Go par le collecteur, en utilisant le nom fourni dans le champ Nom du volume.

Des autorisations spécifiques sont requises pour le magasin persistant (certaines ou toutes ces autorisations peuvent déjà exister) :

Mode cluster :

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Mode serveur virtuel :

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

Migrer les collecteurs

Vous pouvez facilement migrer un collecteur Workload Security d'un agent à un autre, permettant ainsi un équilibrage efficace de la charge des collecteurs entre les agents.

Prérequis

  • L'agent source doit être dans l'état connecté.

  • Le collecteur à migrer doit être dans l'état running.

Note:

  • Migrate est pris en charge pour les collecteurs de données et d'annuaires d'utilisateurs.

  • La migration d’un collecteur n’est pas prise en charge pour les locataires gérés manuellement.

Migrer le collecteur

Pour migrer un collecteur, suivez ces étapes :

  1. Accédez à la page « Modifier le collecteur ».

  2. Sélectionnez un agent de destination dans la liste déroulante des agents.

  3. Cliquez sur le bouton « Enregistrer le collecteur ».

Workload Security traitera la demande. Une fois la migration réussie, l'utilisateur sera redirigé vers la page de la liste des collecteurs. En cas d'échec, un message approprié sera affiché sur la page d'édition.

Remarque : toutes les modifications de configuration précédemment effectuées sur la page « Modifier le collecteur » resteront appliquées lorsque le collecteur sera migré avec succès vers l'agent de destination.

migrer un collecteur en choisissant un autre agent

Dépannage

Voir le"Dépannage du collecteur SVM" page pour des conseils de dépannage.