Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Dépannage du collecteur de données ONTAP SVM

Contributeurs netapp-alavoie
PDF

Workload Security utilise des collecteurs de données pour collecter les données d'accès aux fichiers et aux utilisateurs à partir des appareils. Vous trouverez ici des conseils pour résoudre les problèmes liés à ce collecteur.

Voir le"Configuration du collecteur SVM" page pour obtenir des instructions sur la configuration de ce collecteur.

En cas d'erreur, vous pouvez cliquer sur plus de détails dans la colonne Statut de la page Collecteurs de données installés pour obtenir des détails sur l'erreur.

Erreur du collecteur de sécurité de la charge de travail - Lien vers plus de détails

Les problèmes connus et leurs résolutions sont décrits ci-dessous.

Problème : le collecteur de données s'exécute pendant un certain temps et s'arrête après un temps aléatoire, échouant avec : « Message d'erreur : le connecteur est en état d'erreur. Nom du service : audit. Motif de l'échec : serveur fpolicy externe surchargé.

Essayez ceci : le taux d’événements d’ ONTAP était bien supérieur à ce que la boîte d’agent peut gérer. La connexion a donc été interrompue.

Vérifiez le trafic de pointe dans CloudSecure lorsque la déconnexion s'est produite. Vous pouvez le vérifier à partir de la page CloudSecure > Analyse forensique des activités > Toutes les activités.

Si le trafic agrégé de pointe est supérieur à ce que l'Agent Box peut gérer, reportez-vous à la page du vérificateur de taux d'événements pour savoir comment dimensionner le déploiement du collecteur dans une Agent Box.

Si l'agent a été installé dans la boîte Agent avant le 4 mars 2021, exécutez les commandes suivantes dans la boîte Agent :

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Redémarrez le collecteur à partir de l'interface utilisateur après le redimensionnement.

Problème : le collecteur signale le message d’erreur : « Aucune adresse IP locale trouvée sur le connecteur pouvant atteindre les interfaces de données du SVM ». Essayez ceci : cela est probablement dû à un problème de réseau côté ONTAP . Veuillez suivre ces étapes :

  1. Assurez-vous qu'il n'y a pas de pare-feu sur le LIF de données SVM ou sur le LIF de gestion qui bloque la connexion depuis le SVM.

  2. Lors de l'ajout d'un SVM via une adresse IP de gestion de cluster, assurez-vous que la durée de vie des données et la durée de vie de gestion du SVM sont pingables à partir de la machine virtuelle de l'agent. En cas de problème, vérifiez la passerelle, le masque de réseau et les routes du lif.

    Vous pouvez également essayer de vous connecter au cluster via ssh à l'aide de l'adresse IP de gestion du cluster et d'envoyer une requête ping à l'adresse IP de l'agent. Assurez-vous que l'adresse IP de l'agent est pingable :

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si le ping n'est pas possible, assurez-vous que les paramètres réseau dans ONTAP sont corrects, afin que la machine de l'agent soit pingable.

  3. Si vous avez essayé de vous connecter via l'IP du cluster et que cela ne fonctionne pas, essayez de vous connecter directement via l'IP SVM. Veuillez consulter ci-dessus les étapes de connexion via l'IP SVM.

  4. Lors de l'ajout du collecteur via l'adresse IP SVM et les informations d'identification vsadmin, vérifiez si le rôle Données plus Gestion du SVM est activé. Dans ce cas, le ping vers le SVM Lif fonctionnera, mais le SSH vers le SVM Lif ne fonctionnera pas. Si oui, créez un Lif de gestion SVM uniquement et essayez de vous connecter via ce Lif de gestion SVM uniquement.

  5. Si cela ne fonctionne toujours pas, créez un nouveau Lif SVM et essayez de vous connecter via ce Lif. Assurez-vous que le masque de sous-réseau est correctement défini.

  6. Débogage avancé :

    1. Démarrer une trace de paquets dans ONTAP.

    2. Essayez de connecter un collecteur de données au SVM à partir de l'interface utilisateur CloudSecure.

    3. Attendez que l’erreur apparaisse. Arrêtez le suivi des paquets dans ONTAP.

    4. Ouvrez la trace des paquets depuis ONTAP. Il est disponible à cet endroit

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Assurez-vous qu'il existe un SYN d' ONTAP vers la boîte Agent.
.. S'il n'y a pas de SYN d' ONTAP , il s'agit d'un problème de pare-feu dans ONTAP.
.. Ouvrez le pare-feu dans ONTAP, afin ONTAP puisse connecter la boîte d'agent.

  7. Si cela ne fonctionne toujours pas, veuillez consulter l'équipe réseau pour vous assurer qu'aucun pare-feu externe ne bloque la connexion d' ONTAP au boîtier Agent.

  8. Si aucune des solutions ci-dessus ne résout le problème, ouvrez un dossier avec"Assistance Netapp" pour obtenir de l'aide.

Problème : Message : « Échec de la détermination du type ONTAP pour [nom d'hôte : <adresse IP>. Raison : Erreur de connexion au système de stockage <Adresse IP> : L'hôte est inaccessible (Hôte inaccessible)" Essayez ceci :

  1. Vérifiez que l’adresse IP de gestion SVM ou l’adresse IP de gestion de cluster correcte a été fournie.

  2. Connectez-vous en SSH au SVM ou au cluster auquel vous souhaitez vous connecter. Une fois connecté, assurez-vous que le nom du SVM ou du cluster est correct.

Problème : Message d'erreur : « Le connecteur est dans un état d'erreur. Service.nom : audit. Motif de l'échec : serveur fpolicy externe arrêté. Essayez ceci :

  1. Il est très probable qu’un pare-feu bloque les ports nécessaires sur la machine agent. Vérifiez que la plage de ports 35000-55000/tcp est ouverte pour que la machine agent se connecte à partir du SVM. Assurez-vous également qu'aucun pare-feu n'est activé côté ONTAP bloquant la communication avec la machine agent.

  2. Tapez la commande suivante dans la zone Agent et assurez-vous que la plage de ports est ouverte.

    sudo iptables-save | grep 3500*

    Un exemple de sortie devrait ressembler à :

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Connectez-vous à SVM, entrez les commandes suivantes et vérifiez qu'aucun pare-feu n'est configuré pour bloquer la communication avec ONTAP.
    system services firewall show
system services firewall policy show

    "Vérifier les commandes du pare-feu"du côté ONTAP .

  3. Connectez-vous en SSH au SVM/cluster que vous souhaitez surveiller. Envoyez une requête ping à la boîte Agent à partir de la bibliothèque de données SVM (avec prise en charge des protocoles CIFS et NFS) et assurez-vous que la requête ping fonctionne :

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si le ping n'est pas possible, assurez-vous que les paramètres réseau dans ONTAP sont corrects, afin que la machine de l'agent soit pingable.

  4. Si un seul SVM est ajouté deux fois à un locataire via 2 collecteurs de données, cette erreur s'affichera. Supprimez l’un des collecteurs de données via l’interface utilisateur. Redémarrez ensuite l’autre collecteur de données via l’interface utilisateur. Ensuite, le collecteur de données affichera le statut « EN COURS D’EXÉCUTION » et commencera à recevoir des événements de SVM.

    Fondamentalement, dans un locataire, 1 SVM ne doit être ajouté qu'une seule fois, via 1 collecteur de données. 1 SVM ne doit pas être ajouté deux fois via 2 collecteurs de données.

  5. Dans les cas où le même SVM a été ajouté dans deux environnements de sécurité de charge de travail différents (locataires), le dernier réussira toujours. Le deuxième collecteur configurera fpolicy avec sa propre adresse IP et expulsera le premier. Ainsi, le collecteur du premier cessera de recevoir des événements et son service « audit » entrera en état d'erreur. Pour éviter cela, configurez chaque SVM sur un seul environnement.

  6. Cette erreur peut également se produire si les stratégies de service ne sont pas configurées correctement. Avec ONTAP 9.8 ou version ultérieure, pour se connecter au collecteur de sources de données, le service data-fpolicy-client est requis avec le service de données data-nfs et/ou data-cifs. De plus, le service data-fpolicy-client doit être associé aux données lif pour le SVM surveillé.

Problème : Aucun événement n'est visible sur la page d'activité. Essayez ceci :

  1. Vérifiez si le collecteur ONTAP est à l’état « RUNNING ». Si oui, assurez-vous que certains événements cifs sont générés sur les machines virtuelles clientes cifs en ouvrant certains fichiers.

  2. Si aucune activité n'est observée, connectez-vous au SVM et entrez la commande suivante.

    <SVM>event log show -source fpolicy

    Veuillez vous assurer qu'il n'y a pas d'erreurs liées à fpolicy.

  3. Si aucune activité n'est visible, veuillez vous connecter au SVM. Entrez la commande suivante :

    <SVM>fpolicy show

    Vérifiez si la politique fpolicy nommée avec le préfixe « cloudsecure_ » a été définie et si le statut est « on ». Si cette option n'est pas définie, il est fort probable que l'agent ne puisse pas exécuter les commandes dans la SVM. Veuillez vous assurer que toutes les conditions préalables décrites au début de la page ont été respectées.

Problème : Le collecteur de données SVM est en état d’erreur et le message d’erreur est « L’agent n’a pas réussi à se connecter au collecteur » Essayez ceci :

  1. Il est fort probable que l'agent soit surchargé et ne parvienne pas à se connecter aux collecteurs de sources de données.

  2. Vérifiez combien de collecteurs de sources de données sont connectés à l'agent.

  3. Vérifiez également le débit de données dans la page « Toutes les activités » de l’interface utilisateur.

  4. Si le nombre d’activités par seconde est considérablement élevé, installez un autre agent et déplacez certains des collecteurs de sources de données vers le nouvel agent.

Problème : le collecteur de données SVM affiche le message d'erreur suivant : « fpolicy.server.connectError : le nœud n'a pas pu établir de connexion avec le serveur FPolicy « 12.195.15.146 » (raison : « Sélection expirée ») » Essayez ceci : le pare-feu est activé dans SVM/Cluster. Le moteur fpolicy ne peut donc pas se connecter au serveur fpolicy. Les CLI dans ONTAP qui peuvent être utilisées pour obtenir plus d'informations sont :

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Vérifier les commandes du pare-feu"du côté ONTAP .

Problème : Message d’erreur : « Le connecteur est dans un état d’erreur. Nom du service : audit. Motif de l'échec : Aucune interface de données valide (rôle : données, protocoles de données : NFS ou CIFS ou les deux, état : actif) trouvée sur la SVM. Essayez ceci : Assurez-vous qu'il existe une interface opérationnelle (ayant un rôle de données et un protocole de données comme CIFS/NFS).

Problème : le collecteur de données passe à l'état d'erreur, puis passe à l'état d'exécution après un certain temps, puis revient à l'état d'erreur. Ce cycle se répète. Essayez ceci : Cela se produit généralement dans le scénario suivant :

  1. Plusieurs collecteurs de données ont été ajoutés.

  2. Les collecteurs de données qui présentent ce type de comportement auront 1 SVM ajouté à ces collecteurs de données. Cela signifie que 2 ou plusieurs collecteurs de données sont connectés à 1 SVM.

  3. Assurez-vous qu'un seul collecteur de données se connecte à un seul SVM.

  4. Supprimez les autres collecteurs de données connectés au même SVM.

Problème : le connecteur est dans un état d’erreur. Nom du service : audit. Motif de l'échec : échec de la configuration (politique sur SVM svmname. Motif : Valeur non valide spécifiée pour l'élément « shares-to-include » dans « fpolicy.policy.scope-modify : « Federal » Essayez ceci : *Les noms de partage doivent être indiqués sans guillemets. Modifiez la configuration DSC ONTAP SVM pour corriger les noms de partage.

Inclure et exclure des partages n'est pas destiné à une longue liste de noms de partages. Utilisez plutôt le filtrage par volume si vous avez un grand nombre d’actions à inclure ou à exclure.

Problème : il existe des fpolicies existantes dans le cluster qui ne sont pas utilisées. Que faut-il faire avec ceux-ci avant l’installation de Workload Security ? Essayez ceci : Il est recommandé de supprimer tous les paramètres fpolicy inutilisés existants, même s'ils sont dans un état déconnecté. Workload Security créera fpolicy avec le préfixe « cloudsecure_ ». Toutes les autres configurations fpolicy inutilisées peuvent être supprimées.

Commande CLI pour afficher la liste fpolicy :

 fpolicy show
Étapes pour supprimer les configurations fpolicy :
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|Après l'activation de la sécurité de la charge de travail, les performances ONTAP sont affectées : la latence devient sporadiquement élevée, les IOP deviennent sporadiquement faibles. |Lors de l'utilisation ONTAP avec Workload Security, des problèmes de latence peuvent parfois être observés dans ONTAP. Il existe un certain nombre de raisons possibles à cela, comme indiqué ci-dessous :"1372994" , "1415152" , "1438207" , "1479704" , "1354659" . Tous ces problèmes sont résolus dans ONTAP 9.13.1 et versions ultérieures ; il est fortement recommandé d’utiliser l’une de ces versions ultérieures.

Problème : le collecteur de données est en erreur, affiche ce message d'erreur. « Erreur : le connecteur est en état d’erreur. Nom du service : audit. Motif de l'échec : échec de la configuration de la stratégie sur SVM svm_test. Raison : Valeur manquante pour le champ zapi : événements. « Essayez ceci :

  1. Démarrez avec une nouvelle SVM avec uniquement le service NFS configuré.

  2. Ajoutez un collecteur de données ONTAP SVM dans Workload Security. CIFS est configuré comme protocole autorisé pour le SVM lors de l'ajout du collecteur de données ONTAP SVM dans Workload Security.

  3. Attendez que le collecteur de données dans Workload Security affiche une erreur.

  4. Étant donné que le serveur CIFS n'est PAS configuré sur le SVM, cette erreur, comme indiqué à gauche, est affichée par Workload Security.

  5. Modifiez le collecteur de données ONTAP SVM et décochez les CIF comme protocole autorisé. Sauvegarder le collecteur de données. Il commencera à fonctionner avec uniquement le protocole NFS activé.

Problème : le collecteur de données affiche le message d’erreur : « Erreur : échec de la détermination de l’état du collecteur en 2 tentatives, essayez de redémarrer le collecteur (code d’erreur : AGENT008) ». Essayez ceci :

  1. Sur la page Collecteurs de données, faites défiler vers la droite du collecteur de données générant l'erreur et cliquez sur le menu à 3 points. Sélectionnez Modifier. Saisissez à nouveau le mot de passe du collecteur de données. Enregistrez le collecteur de données en appuyant sur le bouton Enregistrer. Le collecteur de données redémarrera et l’erreur devrait être résolue.

  2. Il se peut que la machine Agent ne dispose pas de suffisamment de CPU ou de RAM, c'est pourquoi les DSC échouent. Veuillez vérifier le nombre de collecteurs de données ajoutés à l'agent dans la machine. Si le nombre est supérieur à 20, veuillez augmenter la capacité du processeur et de la RAM de la machine Agent. Une fois le CPU et la RAM augmentés, les DSC passeront automatiquement en état d'initialisation puis en état d'exécution. Consultez le guide des tailles sur"cette page" .

Problème : le collecteur de données génère une erreur lorsque le mode SVM est sélectionné. Essayez ceci : lors de la connexion en mode SVM, si l'IP de gestion du cluster est utilisée pour se connecter au lieu de l'IP de gestion SVM, la connexion échouera. Assurez-vous que l'adresse IP SVM correcte est utilisée.

Problème : le collecteur de données affiche un message d'erreur lorsque la fonction Accès refusé est activée : « Le connecteur est en état d'erreur. Nom du service : audit. Motif de l'échec : échec de la configuration de fpolicy sur SVM test_svm. Motif : l'utilisateur n'est pas autorisé. Essayez ceci : l’utilisateur ne dispose peut-être pas des autorisations REST nécessaires à la fonctionnalité Accès refusé. Veuillez suivre les instructions sur"cette page" pour définir les autorisations.

Redémarrez le collecteur une fois les autorisations définies.

Si vous rencontrez toujours des problèmes, contactez les liens d'assistance mentionnés dans la page Aide > Assistance.