Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Dépannage du Data Collector SVM ONTAP

Contributeurs netapp-alavoie
PDF

La sécurité de la charge de travail utilise des collecteurs de données pour collecter les données d'accès des fichiers et des utilisateurs à partir de terminaux. Vous trouverez ici des conseils pour résoudre les problèmes liés à ce collecteur.

Reportez-vous "Configuration du SVM Collector"à la page pour obtenir des instructions sur la configuration de ce collecteur.

En cas d'erreur, vous pouvez cliquer sur plus de détails dans la colonne Etat de la page collecteurs de données installés pour plus de détails sur l'erreur.

Erreur du collecteur de sécurité de la charge de travail lien plus détaillé

Les problèmes connus et leurs résolutions sont décrits ci-dessous.

Problème: Data Collector s'exécute pendant un certain temps et s'arrête après un temps aléatoire, échouant avec: "Message d'erreur: Le connecteur est en état d'erreur. Nom du service : audit. Cause de la panne : serveur fpolicy externe surchargé. »

Essayez ceci: le taux d'événement de ONTAP était beaucoup plus élevé que ce que la boîte agent peut gérer. Par conséquent, la connexion a été interrompue.

Vérifiez le trafic maximal dans CloudSecure lorsque la déconnexion s'est produite. Vous pouvez effectuer cette vérification à partir de la page CloudSecure > activités approfondies > toutes les activités.

Si le pic de trafic agrégé est supérieur à ce que l'Agent Box peut traiter, reportez-vous à la page Event Rate Checker sur la taille du déploiement collecteur dans une boîte d'agent.

Si l'agent a été installé dans la zone Agent avant le 4 mars 2021, exécutez les commandes suivantes dans la zone Agent :

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Redémarrez le collecteur à partir de l'interface utilisateur après le redimensionnement.

Problème: le Collector signale un message d'erreur: “Aucune adresse IP locale trouvée sur le connecteur qui peut atteindre les interfaces de données du SVM”. Essayez ceci: Ceci est probablement dû à un problème de mise en réseau côté ONTAP. Procédez comme suit :

  1. S'assurer qu'il n'y a aucun pare-feu sur la lif de données du SVM ou la lif de gestion qui bloquent la connexion de la SVM.

  2. Lors de l'ajout d'un SVM via une IP de gestion de cluster, veillez à ce que la lif de données et la lif de gestion du SVM soient pingables depuis la VM Agent. En cas de problème, vérifier la passerelle, le masque de réseau et les routes de la lif.

    Vous pouvez également essayer de vous connecter au cluster via ssh à l'aide de l'IP de gestion de cluster et envoyer une requête ping à l'IP de l'agent. Assurez-vous que l'adresse IP de l'agent peut faire l'objet d'un ping :

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si vous ne pouvez pas effectuer de ping, assurez-vous que les paramètres réseau dans ONTAP sont corrects, de sorte que l'ordinateur de l'agent puisse effectuer des requêtes ping.

  3. Si vous avez essayé de vous connecter via Cluster IP et qu'il ne fonctionne pas, essayez de vous connecter directement via SVM IP. Voir ci-dessus pour les étapes de connexion via SVM IP.

  4. Lors de l'ajout du collecteur via les identifiants SVM IP et vsadmin, vérifier si le rôle Data plus Mgmt est activé dans la LIF du SVM. Dans ce cas, le ping vers la LIF du SVM va fonctionner, mais SSH vers la LIF du SVM ne fonctionnera pas. Si oui, créer une LIF SVM Mgmt uniquement et tenter de se connecter via cette LIF de management SVM uniquement.

  5. Si cela ne fonctionne toujours pas, créer une nouvelle LIF du SVM et essayer de se connecter via cette LIF. Vérifiez que le masque de sous-réseau est correctement défini.

  6. Débogage avancé :

    1. Démarrez une trace de paquet dans ONTAP.

    2. Essayez de connecter un collecteur de données au SVM à partir de l'interface utilisateur CloudSecure.

    3. Attendez que l'erreur s'affiche. Arrêtez la trace de paquet dans ONTAP.

    4. Ouvrez la trace de paquet à partir de ONTAP. Il est disponible à cet endroit

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Assurez-vous qu'il y a un SYN de ONTAP dans la zone Agent.
.. S'il n'y a pas de SYN dans ONTAP, il s'agit d'un problème avec le pare-feu dans ONTAP.
.. Ouvrez le pare-feu dans ONTAP, afin que ONTAP puisse connecter le boîtier de l'agent.

  7. S'il ne fonctionne toujours pas, veuillez consulter l'équipe réseau pour vous assurer qu'aucun pare-feu externe ne bloque la connexion entre ONTAP et le boîtier Agent.

  8. Si aucune des solutions ci-dessus ne résout le problème, ouvrez un dossier auprès de "Support NetApp" pour obtenir de l'aide.

Problème: message: "Impossible de déterminer le type de ONTAP pour [nom d'hôte: <IP Address>. Raison : erreur de connexion à l'<IP Address> du système de stockage : l'hôte est inaccessible (hôte inaccessible) » essayez ceci :

  1. Vérifier que l'adresse IP de gestion du SVM ou l'adresse IP de gestion du cluster correcte a été fournie.

  2. SSH vers le SVM ou le Cluster auquel vous prévoyez de vous connecter. Une fois connecté, assurez-vous que le SVM ou le nom du cluster est correct.

Problème: message d'erreur: "Le connecteur est en état d'erreur. service.name: Vérification. Cause de la panne : le serveur fpolicy externe est terminé. » Essayez ceci:

  1. Il est très probable qu'un pare-feu bloque les ports nécessaires sur la machine agent. Vérifier que la plage de ports 35000-55000/tcp est ouverte pour que l'ordinateur agent se connecte à partir du SVM. Assurez-vous également qu'aucun pare-feu n'est activé à partir du blocage de la communication côté ONTAP vers l'agent.

  2. Entrez la commande suivante dans la zone Agent et assurez-vous que la plage de ports est ouverte.

    sudo iptables-save | grep 3500*

    La sortie de l'échantillon doit ressembler à :

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Connectez-vous au SVM, entrez les commandes suivantes et vérifiez qu'aucun pare-feu n'est défini pour bloquer la communication avec ONTAP.
    system services firewall show
system services firewall policy show

    "Vérifiez les commandes du pare-feu" Du côté ONTAP.

  3. Connectez-vous au SVM/Cluster que vous souhaitez surveiller en SSH. Envoyer un ping au boîtier Agent depuis la lif de données du SVM (avec prise en charge des protocoles CIFS, NFS) et vérifier que le ping fonctionne :

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Si vous ne pouvez pas effectuer de ping, assurez-vous que les paramètres réseau dans ONTAP sont corrects, de sorte que l'ordinateur de l'agent puisse effectuer des requêtes ping.

  4. Si un seul SVM est ajouté deux fois à un locataire via 2 collecteurs de données, cette erreur s'affiche. Supprimez l'un des collecteurs de données via l'interface utilisateur. Redémarrez ensuite l'autre collecteur de données via l'interface utilisateur. Ensuite, le collecteur de données affiche l'état « EN COURS d'EXÉCUTION » et commence à recevoir des événements du SVM.

    En réalité, dans un locataire, 1 SVM ne doit être ajouté qu'une seule fois, via 1 Data Collector. 1 SVM ne doit pas être ajouté deux fois via 2 collecteurs de données.

  5. Lorsque le même SVM a été ajouté dans deux environnements Workload Security (tenants) différents, le dernier réussira toujours. Le second collecteur configure fpolicy avec sa propre adresse IP et commence le lancement du premier. Ainsi, le collecteur du premier arrête de recevoir des événements et son service d'audit passe en état d'erreur. Pour éviter cela, configurer chaque SVM sur un seul environnement.

  6. Cette erreur peut également se produire si les stratégies de service ne sont pas configurées correctement. Avec ONTAP 9.8 ou version ultérieure, pour se connecter au Data Source Collector, le service client Data-fpolicy est requis avec le service de données Data-nfs et/ou Data-cifs. De plus, le service data-fpolicy-client doit être associé aux lif de données pour le SVM surveillé.

Problème: aucun événement vu dans la page d'activité. Essayez ceci:

  1. Vérifiez si le collecteur ONTAP est à l'état « EN COURS D'EXÉCUTION ». Si oui, assurez-vous alors que certains événements cifs sont générés sur les machines virtuelles client cifs en ouvrant certains fichiers.

  2. Si aucune activité n'est visible, veuillez vous connecter au SVM et saisir la commande suivante.

    <SVM>event log show -source fpolicy

    Assurez-vous qu'il n'y a pas d'erreur liée à fpolicy.

  3. Si aucune activité n'est constatée, veuillez vous connecter au SVM. Saisissez la commande suivante :

    <SVM>fpolicy show

    Vérifiez si la politique fpolicy nommée avec le préfixe « cloudsecure_ » a été définie et que le statut est « activé ». Si non défini, il est fort probable que l'agent ne puisse pas exécuter les commandes dans la SVM. Veuillez vous assurer que toutes les conditions préalables décrites au début de la page ont été respectées.

Problème: le Data Collector SVM est en état d'erreur et le message d'erreur est "l'agent n'a pas pu se connecter au collecteur" essayez ceci:

  1. L'agent est probablement surchargé et ne peut pas se connecter aux collecteurs de la source de données.

  2. Vérifiez le nombre de collecteurs de sources de données connectés à l'agent.

  3. Vérifiez également le débit de données dans la page “toutes les activités” de l'interface utilisateur.

  4. Si le nombre d'activités par seconde est très élevé, installez un autre agent et déplacez certains des collecteurs de sources de données vers le nouvel agent.

Problème: le Data Collector SVM affiche le message d'erreur comme "fpolicy.server.connectError: nœud n'a pas pu établir de connexion avec le serveur FPolicy "12.195.15.146" ( motif: "Select Timed out")" essayez ceci: le pare-feu est activé dans SVM/Cluster. Le moteur fpolicy ne peut donc pas se connecter au serveur fpolicy. Les interfaces de ligne de commande de ONTAP qui peuvent être utilisées pour obtenir plus d'informations sont les suivantes :

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Vérifiez les commandes du pare-feu" Du côté ONTAP.

Problème: message d'erreur: “Le connecteur est en état d'erreur. Nom du service:audit. Motif de l'échec : aucune interface de données valide (rôle : données,protocoles de données : NFS ou CIFS ou les deux, état : up) trouvée sur le SVM ». Essayez ceci: Assurez-vous qu'il existe une interface opérationnelle (ayant le rôle de protocole de données et de données comme CIFS/NFS.

Problème: le collecteur de données passe à l'état d'erreur et passe ensuite à l'état D'EXÉCUTION après un certain temps, puis revient à l'état d'erreur. Ce cycle se répète. Essayez ceci: cela se produit généralement dans le scénario suivant:

  1. Plusieurs collecteurs de données sont ajoutés.

  2. Les collecteurs de données qui montrent ce type de comportement auront 1 SVM ajouté à ces collecteurs de données. Signification : 2 collecteurs de données ou plus sont connectés à 1 SVM.

  3. Assurez-vous que 1 collecteur de données se connecte à 1 seul SVM.

  4. Supprimer les autres collecteurs de données qui sont connectés au même SVM.

Problème : le connecteur est en état d'erreur. Nom du service : audit. Motif de l'échec : échec de la configuration (politique sur la SVM svmname. Raison : valeur non valide spécifiée pour l'élément « shares-to-include » dans « fpolicy.policy.scope-modify : « Federal » essayez ceci : *les noms de partage doivent être donnés sans guillemets. Modifiez la configuration du SVM DSC de ONTAP pour corriger les noms de partage.

Inclure et exclure des partages n'est pas destiné à une longue liste de noms de partage. Utilisez le filtrage par volume à la place si vous avez un grand nombre de partages à inclure ou exclure.

Problème : il existe dans le cluster des stratégies de gestion de polices qui ne sont pas utilisées. Que faut-il faire avant l'installation de la sécurité des charges de travail ? Essayez ceci: il est recommandé de supprimer tous les paramètres fpolicy inutilisés existants, même s'ils sont déconnectés. La sécurité des charges de travail crée fpolicy avec le préfixe « cloudSecure_ ». Toutes les autres configurations fpolicy non utilisées peuvent être supprimées.

Commande CLI pour afficher la liste fpolicy :

 fpolicy show
Étapes de suppression des configurations fpolicy :
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|après l'activation de la sécurité des charges de travail, les performances de ONTAP sont affectées : la latence devient de façon sporadique, les IOPS sont réduites de façon sporadique. |lors de l'utilisation de ONTAP avec la sécurité des charges de travail, des problèmes de latence sont parfois visibles dans ONTAP. Il y a un certain nombre de raisons possibles pour cela, comme indiqué dans les points suivants : "1372994" "1415152" "1438207", , , "1479704" "1354659" . Tous ces problèmes sont résolus dans ONTAP 9.13.1 et versions ultérieures ; il est fortement recommandé d'utiliser l'une de ces versions ultérieures.

Problème: le collecteur de données est en erreur, affiche ce message d'erreur. “Erreur : le connecteur est en état d'erreur. Nom du service : audit. Motif de l'échec : échec de la configuration de la règle sur le SVM svm_test. Motif : valeur manquante pour le champ zapi : événements. “ Essayez ceci:

  1. Commencez par un nouveau SVM avec uniquement le service NFS configuré.

  2. Ajoutez un collecteur de données SVM ONTAP dans la sécurité des charges de travail. CIFS est configuré en tant que protocole autorisé pour la SVM lors de l'ajout du SVM Data Collector de ONTAP dans Workload Security.

  3. Attendez que le collecteur de données de la sécurité de la charge de travail affiche une erreur.

  4. Étant donné que le serveur CIFS n'est PAS configuré sur le SVM, cette erreur comme indiquée sur la gauche est indiquée par Workload Security.

  5. Modifiez le collecteur de données du SVM ONTAP et décochez la case CIFS en tant que protocole autorisé. Enregistrer le collecteur de données. Il démarre alors que seul le protocole NFS est activé.

Problème : Data Collector affiche le message d'erreur : “erreur : échec de la détermination de l'intégrité du collecteur dans les 2 tentatives, essayez de redémarrer le collecteur (Code d'erreur : AGENT008)”. Essayez ceci:

  1. Sur la page collecteurs de données, faites défiler l'écran vers la droite du collecteur de données donnant l'erreur et cliquez sur le menu 3 points. Sélectionnez Modifier. Saisissez à nouveau le mot de passe du collecteur de données. Enregistrez le collecteur de données en appuyant sur le bouton Save. Data Collector redémarre et l'erreur doit être résolue.

  2. La machine Agent peut ne pas disposer de suffisamment de ressources CPU ou RAM, c'est pourquoi les DSC sont défaillants. Veuillez vérifier le nombre de collecteurs de données ajoutés à l'agent de la machine. Si elle est supérieure à 20, augmentez la capacité CPU et RAM de l'ordinateur Agent. Une fois l'UC et la RAM augmentées, les DSC sont en cours d'initialisation, puis s'exécutent automatiquement. Consultez le guide de dimensionnement sur "cette page".

Problème: le Data Collector est en erreur lorsque le mode SVM est sélectionné. Essayer ceci: lors de la connexion en mode SVM, si l'IP de gestion du cluster est utilisée pour se connecter à la place de l'IP de gestion du SVM, alors la connexion sera erronée. S'assurer que l'IP de SVM correct est utilisé.

Problème : le collecteur de données affiche un message d'erreur lorsque la fonction accès refusé est activée : "le connecteur est en état d'erreur. Nom du service : audit. Motif de l'échec : la configuration de fpolicy sur le svm test_svm a échoué. Raison : l'utilisateur n'est pas autorisé. » Essayez ceci: l'utilisateur manque peut-être les autorisations de REPOS nécessaires pour la fonction accès refusé. Veuillez suivre les instructions de la section "cette page" pour définir les autorisations.

Redémarrez le collecteur une fois les autorisations définies.

Si vous rencontrez toujours des problèmes, accédez aux liens d'assistance mentionnés dans la page aide > support.