Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione del raccoglitore dati ONTAP SVM

Collaboratori netapp-alavoie dgracenetapp pixelchrome
PDF

ONTAP SVM Data Collector consente a Workload Security di monitorare le attività di accesso ai file e agli utenti sulle macchine virtuali di storage (SVM) NetApp ONTAP . Questa guida illustra la configurazione e la gestione del raccoglitore dati SVM per garantire un monitoraggio completo della sicurezza del tuo ambiente ONTAP .

Nota I cambiamenti globali potrebbero avere un impatto potenziale sui sistemi ONTAP . Si consiglia vivamente di apportare modifiche che interessano un gran numero di raccoglitori di dati durante le ore di minor traffico.

Prima di iniziare

  • Questo raccoglitore di dati è supportato da quanto segue:

    • Data ONTAP 9.2 e versioni successive. Per prestazioni ottimali, utilizzare una versione Data ONTAP successiva alla 9.13.1.

    • Protocollo SMB versione 3.1 e precedenti.

    • Versioni NFS fino a NFS 4.1 inclusa (si noti che NFS 4.1 è supportato con ONTAP 9.15 o versioni successive).

    • Flexgroup è supportato da ONTAP 9.4 e versioni successive

    • FlexCache è supportato per NFS con ONTAP 9.7 e versioni successive.

    • FlexCache è supportato per SMB con ONTAP 9.14.1 e versioni successive.

    • ONTAP Select è supportato

  • Sono supportati solo i tipi di dati SVM. Le SVM con volumi infiniti non sono supportate.

  • SVM ha diversi sottotipi. Di questi, sono supportati solo default, sync_source e sync_destination.

  • Un agente"deve essere configurato" prima di poter configurare i raccoglitori di dati.

  • Assicurati di avere configurato correttamente un connettore directory utente, altrimenti gli eventi mostreranno nomi utente codificati e non il nome effettivo dell'utente (come memorizzato in Active Directory) nella pagina "Attività forense".

  • • ONTAP Persistent Store è supportato dalla versione 9.14.1.

  • Per prestazioni ottimali, è consigliabile configurare il server FPolicy in modo che si trovi sulla stessa subnet del sistema di archiviazione.

  • È necessario aggiungere una SVM utilizzando uno dei due metodi seguenti:

    • Utilizzando l'IP del cluster, il nome SVM e il nome utente e la password di gestione del cluster. Questo è il metodo consigliato.

      • Il nome SVM deve essere esattamente come mostrato in ONTAP e deve essere sensibile alle maiuscole e alle minuscole.

    • Utilizzando l'IP di gestione del server virtuale SVM, nome utente e password

    • Se non si è in grado o non si desidera utilizzare il nome utente e la password completi di gestione del cluster/SVM dell'amministratore, è possibile creare un utente personalizzato con privilegi inferiori come indicato in“Una nota sui permessi” sezione sottostante. Questo utente personalizzato può essere creato per l'accesso SVM o Cluster.

      • o È anche possibile utilizzare un utente AD con un ruolo che abbia almeno le autorizzazioni di csrole come indicato nella sezione "Nota sulle autorizzazioni" di seguito. Fare riferimento anche a"Documentazione ONTAP" .

  • Assicurarsi che siano impostate le applicazioni corrette per l'SVM eseguendo il seguente comando:

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

Esempio di output:Esempio di output del comando SVM

  • Assicurarsi che l'SVM abbia un server CIFS configurato: clustershell:> vserver cifs show

    Il sistema restituisce il nome del Vserver, il nome del server CIFS e campi aggiuntivi.

  • Imposta una password per l'utente SVM vsadmin. Se si utilizza un utente personalizzato o un utente amministratore del cluster, saltare questo passaggio. clustershell:> security login password -username vsadmin -vserver svmname

  • Sbloccare l'utente SVM vsadmin per l'accesso esterno. Se si utilizza un utente personalizzato o un utente amministratore del cluster, saltare questo passaggio. clustershell:> security login unlock -username vsadmin -vserver svmname

  • Assicurarsi che la policy del firewall dei dati LIF sia impostata su 'mgmt' (non 'data'). Salta questo passaggio se utilizzi un lif di gestione dedicato per aggiungere l'SVM. clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • Quando un firewall è abilitato, è necessario definire un'eccezione per consentire il traffico TCP per la porta utilizzando Data ONTAP Data Collector.

    Vedere"Requisiti dell'agente" per informazioni sulla configurazione. Ciò vale per gli agenti on-premise e per gli agenti installati nel cloud.

  • Quando un agente viene installato in un'istanza AWS EC2 per monitorare un Cloud ONTAP SVM, l'agente e lo storage devono trovarsi nella stessa VPC. Se si trovano in VPC separate, deve esserci un percorso valido tra le VPC.

Test di connettività per i collettori di dati

La funzionalità di test della connettività (introdotta a marzo 2025) ha lo scopo di aiutare gli utenti finali a identificare le cause specifiche dei guasti durante la configurazione dei raccoglitori di dati in Data Infrastructure Insights (DII) Workload Security. Ciò consente agli utenti di correggere autonomamente i problemi relativi alla comunicazione di rete o ai ruoli mancanti.

Questa funzionalità aiuterà gli utenti a determinare se tutti i controlli relativi alla rete sono stati eseguiti prima di configurare un raccoglitore dati. Inoltre, informerà gli utenti sulle funzionalità a cui possono accedere in base alla versione ONTAP , ai ruoli e alle autorizzazioni loro assegnate in ONTAP.

Nota La connettività di prova non è supportata per i collettori di directory utente

Prerequisiti per il test di connessione

  • Per il pieno funzionamento di questa funzionalità sono necessarie le credenziali a livello di cluster.

  • Il controllo dell'accesso alle funzionalità non è supportato in modalità SVM.

  • Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

  • Se si utilizza un utente personalizzato (ad esempio, csuser), fornire le autorizzazioni obbligatorie e le autorizzazioni specifiche per le funzionalità che si desidera utilizzare.

pulsante di connessione del test di sicurezza del carico di lavoro

Assicurati di rivedere ilPermessi anche nella sezione sottostante.

Testare la connessione

L'utente può andare alla pagina Aggiungi/Modifica collettore, immettere i dettagli a livello di cluster (in modalità Cluster) o i dettagli a livello di SVM (in modalità SVM) e fare clic sul pulsante Test connessione. Workload Security elaborerà quindi la richiesta e visualizzerà un messaggio appropriato di successo o fallimento.

Messaggio di successo "Test connessione" di Workload Security

Prerequisiti per il blocco dell'accesso utente

Tieni presente quanto segue per"Blocco dell'accesso utente" :

Per il funzionamento di questa funzionalità sono necessarie le credenziali a livello di cluster.

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni concesse all'utente, seguire i passaggi in"Blocco dell'accesso utente" per concedere a Workload Security l'autorizzazione a bloccare l'utente.

Una nota sui permessi

Autorizzazioni durante l'aggiunta tramite IP di gestione cluster:

Se non è possibile utilizzare l'utente amministratore di gestione del cluster per consentire a Workload Security di accedere al raccoglitore dati ONTAP SVM, è possibile creare un nuovo utente denominato "csuser" con i ruoli indicati nei comandi seguenti. Utilizzare il nome utente "csuser" e la password per "csuser" quando si configura il raccoglitore dati Workload Security per utilizzare l'IP di gestione cluster.

Nota: è possibile creare un singolo ruolo da utilizzare per tutte le autorizzazioni delle funzionalità per un utente personalizzato. Se esiste già un utente, eliminare prima l'utente e il ruolo esistenti utilizzando questi comandi:

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

Per creare il nuovo utente, accedere a ONTAP con il nome utente/password dell'amministratore di gestione del cluster ed eseguire i seguenti comandi sul server ONTAP :

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Autorizzazioni durante l'aggiunta tramite IP di gestione Vserver:

Se non è possibile utilizzare l'utente amministratore di gestione del cluster per consentire a Workload Security di accedere al raccoglitore dati ONTAP SVM, è possibile creare un nuovo utente denominato "csuser" con i ruoli indicati nei comandi seguenti. Utilizzare il nome utente "csuser" e la password per "csuser" quando si configura il raccoglitore dati Workload Security per utilizzare l'IP di gestione Vserver.

Nota: è possibile creare un singolo ruolo da utilizzare per tutte le autorizzazioni delle funzionalità per un utente personalizzato. Se esiste già un utente, eliminare prima l'utente e il ruolo esistenti utilizzando questi comandi:

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

Per creare il nuovo utente, accedere a ONTAP con il nome utente e la password dell'amministratore di gestione del cluster ed eseguire i seguenti comandi sul server ONTAP . Per semplicità, copia questi comandi in un editor di testo e sostituisci <vservername> con il nome del tuo Vserver prima di eseguire questi comandi su ONTAP:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Modalità Protobuf

Workload Security configurerà il motore FPolicy in modalità protobuf quando questa opzione è abilitata nelle impostazioni Configurazione avanzata del raccoglitore. La modalità Protobuf è supportata nella versione ONTAP 9.15 e successive.

Maggiori dettagli su questa funzionalità possono essere trovati nel"Documentazione ONTAP" .

Per protobuf sono richieste autorizzazioni specifiche (alcune o tutte potrebbero già esistere):

Modalità cluster:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Modalità Vserver:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

Autorizzazioni per la protezione autonoma da ransomware ONTAP e l'accesso negato a ONTAP

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni concesse all'utente, seguire i passaggi sottostanti per concedere a Workload Security le autorizzazioni per raccogliere informazioni relative ad ARP da ONTAP.

Per maggiori informazioni, leggi"Integrazione con ONTAP Accesso negato"

E"Integrazione con la protezione autonoma dai ransomware ONTAP"

Configurare il raccoglitore dati

Passaggi per la configurazione

  1. Accedi come amministratore o proprietario dell'account al tuo ambiente Data Infrastructure Insights .

  2. Fare clic su Sicurezza del carico di lavoro > Collettori > +Collettori dati

    Il sistema visualizza i Data Collector disponibili.

  3. Passare il mouse sul riquadro * NetApp SVM e fare clic su +Monitoraggio.

    Il sistema visualizza la pagina di configurazione ONTAP SVM. Inserisci i dati richiesti per ogni campo.

Campo

Descrizione

Nome

Nome univoco per il Data Collector

Agente

Selezionare un agente configurato dall'elenco.

Connettiti tramite IP di gestione per:

Selezionare l'IP del cluster o l'IP di gestione SVM

Indirizzo IP di gestione cluster/SVM

L'indirizzo IP per il cluster o l'SVM, a seconda della selezione effettuata sopra.

Nome SVM

Il nome dell'SVM (questo campo è obbligatorio quando ci si connette tramite IP del cluster)

Nome utente

Nome utente per accedere a SVM/Cluster Quando si aggiunge tramite IP del cluster, le opzioni sono: 1. Cluster-admin 2. 'csuser' 3. AD-user con ruolo simile a csuser. Quando si aggiunge tramite IP SVM le opzioni sono: 4. vsadmin 5. 'csuser' 6. AD-username ha un ruolo simile a csuser.

Password

Password per il nome utente sopra indicato

Filtra Condivisioni/Volumi

Scegli se includere o escludere Condivisioni/Volumi dalla raccolta eventi

Inserisci i nomi completi delle condivisioni da escludere/includere

Elenco separato da virgole delle azioni da escludere o includere (a seconda dei casi) dalla raccolta di eventi

Inserisci i nomi completi dei volumi da escludere/includere

Elenco separato da virgole dei volumi da escludere o includere (a seconda dei casi) dalla raccolta di eventi

Monitora l'accesso alle cartelle

Se selezionata, abilita gli eventi per il monitoraggio dell'accesso alle cartelle. Si noti che la creazione/rinomina e l'eliminazione delle cartelle verranno monitorate anche senza selezionare questa opzione. Abilitando questa opzione aumenterà il numero di eventi monitorati.

Imposta la dimensione del buffer di invio ONTAP

Imposta la dimensione del buffer di invio Fpolicy ONTAP . Se si utilizza una versione ONTAP precedente alla 9.8p7 e si riscontrano problemi di prestazioni, è possibile modificare la dimensione del buffer di invio ONTAP per ottenere prestazioni ONTAP migliori. Se non vedi questa opzione e desideri provarla, contatta l'assistenza NetApp .
Dopo aver finito

  • Nella pagina Collettori dati installati, utilizzare il menu delle opzioni a destra di ciascun collettore per modificare il collettore dati. È possibile riavviare il raccoglitore dati o modificarne gli attributi di configurazione.

Configurazione consigliata per MetroCluster

Per MetroCluster si consiglia quanto segue:

  1. Collegare due raccoglitori di dati, uno all'SVM di origine e l'altro all'SVM di destinazione.

  2. I collettori di dati devono essere connessi tramite Cluster IP.

  3. In qualsiasi momento, il raccoglitore dati dell'SVM attualmente in esecuzione verrà visualizzato come In esecuzione. Il raccoglitore dati dell'SVM attualmente 'arrestato' verrà visualizzato come Arrestato.

  4. Ogni volta che si verifica un passaggio, lo stato del raccoglitore dati cambierà da In esecuzione a Arrestato e viceversa.

  5. Ci vorranno fino a due minuti affinché il raccoglitore dati passi dallo stato Arrestato allo stato In esecuzione.

Politica di servizio

Se si utilizza la policy di servizio con ONTAP versione 9.9.1 o successiva, per connettersi al Data Source Collector è necessario il servizio data-fpolicy-client insieme al servizio dati data-nfs e/o data-cifs.

Esempio:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

Nelle versioni di ONTAP precedenti alla 9.9.1, non è necessario impostare data-fpolicy-client.

Raccolta dati di riproduzione e pausa

Se il Data Collector è in stato In esecuzione, è possibile mettere in pausa la raccolta. Aprire il menu "tre punti" del raccoglitore e selezionare PAUSA. Mentre il collettore è in pausa, nessun dato viene raccolto da ONTAP e nessun dato viene inviato dal collettore a ONTAP. Ciò significa che nessun evento Fpolicy verrà trasmesso da ONTAP al raccoglitore dati e da lì a Data Infrastructure Insights.

Si noti che se vengono creati nuovi volumi, ecc. su ONTAP mentre il raccoglitore è in pausa, Workload Security non raccoglierà i dati e tali volumi, ecc. non verranno visualizzati nei dashboard o nelle tabelle.

Nota Un collector non può essere messo in pausa se ha utenti limitati. Ripristinare l'accesso dell'utente prima di mettere in pausa il raccoglitore.

Tieni presente quanto segue:

  • L'eliminazione degli snapshot non avverrà secondo le impostazioni configurate su un collector in pausa.

  • Gli eventi EMS (come ONTAP ARP) non verranno elaborati su un collector in pausa. Ciò significa che se ONTAP identifica un attacco ransomware, Data Infrastructure Insights Workload Security non sarà in grado di acquisire tale evento.

  • Le email di notifica sullo stato di salute NON verranno inviate per un raccoglitore in pausa.

  • Le azioni manuali o automatiche (ad esempio Snapshot o Blocco utente) non saranno supportate su un collector in pausa.

  • Durante gli aggiornamenti dell'agente o del collettore, i riavvii/riavvii della VM dell'agente o il riavvio del servizio dell'agente, un collettore in pausa rimarrà nello stato Paused.

  • Se il raccoglitore dati è nello stato Errore, non è possibile modificarlo nello stato Pausa. Il pulsante Pausa sarà abilitato solo se lo stato del raccoglitore è In esecuzione.

  • Se l'agente è disconnesso, non è possibile modificare lo stato del collettore in Pausa. Il raccoglitore passerà allo stato Arrestato e il pulsante Pausa verrà disabilitato.

Archivio persistente

L'archivio persistente è supportato con ONTAP 9.14.1 e versioni successive. Si noti che le istruzioni relative al nome del volume variano da ONTAP 9.14 a 9.15.

È possibile abilitare Persistent Store selezionando la casella di controllo nella pagina di modifica/aggiunta del raccoglitore. Dopo aver selezionato la casella di controllo, viene visualizzato un campo di testo per accettare il nome del volume. Il nome del volume è un campo obbligatorio per abilitare Persistent Store.

  • Per ONTAP 9.14.1, è necessario creare il volume prima di abilitare la funzionalità e fornire lo stesso nome nel campo Nome volume. La dimensione consigliata del volume è 16 GB.

  • Per ONTAP 9.15.1, il volume verrà creato automaticamente con una dimensione di 16 GB dal collettore, utilizzando il nome fornito nel campo Nome volume.

Per Persistent Store sono necessarie autorizzazioni specifiche (alcune o tutte potrebbero già esistere):

Modalità cluster:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Modalità Vserver:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

Migrazione dei collezionisti

È possibile migrare facilmente un collettore Workload Security da un agente all'altro, consentendo un efficiente bilanciamento del carico dei collettori tra gli agenti.

Prerequisiti

  • L'agente sorgente deve essere nello stato connesso.

  • Il collector da migrare deve essere nello stato running.

Nota:

  • La migrazione è supportata sia per i raccoglitori di dati che per quelli di directory utente.

  • La migrazione di un collector non è supportata per i tenant gestiti manualmente.

Migrare il raccoglitore

Per migrare un collector, seguire questi passaggi:

  1. Vai alla pagina "Modifica raccoglitore".

  2. Selezionare un agente di destinazione dal menu a discesa degli agenti.

  3. Fare clic sul pulsante "Salva raccoglitore".

Workload Security elaborerà la richiesta. Una volta completata la migrazione, l'utente verrà reindirizzato alla pagina dell'elenco dei collezionisti. In caso di errore, verrà visualizzato un messaggio appropriato nella pagina di modifica.

Nota: tutte le modifiche alla configurazione apportate in precedenza nella pagina "Modifica raccoglitore" rimarranno applicate quando il raccoglitore verrà migrato correttamente all'agente di destinazione.

migrare un collezionista scegliendo un altro agente

Risoluzione dei problemi

Vedi il"Risoluzione dei problemi del collettore SVM" pagina per suggerimenti sulla risoluzione dei problemi.