Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Risoluzione dei problemi del Data Collector della SVM di ONTAP

Collaboratori netapp-alavoie
PDF

Workload Security utilizza i data colleator per raccogliere i dati di accesso ai file e agli utenti dai dispositivi. Di seguito sono riportati alcuni suggerimenti per la risoluzione dei problemi relativi a questo raccoglitore.

Vedere la "Configurazione di SVM Collector" pagina per istruzioni sulla configurazione di questo raccoglitore.

In caso di errore, è possibile fare clic su More detail nella colonna Status della pagina Installed Data Collectors per i dettagli sull'errore.

Collegamento Dettagli di errore del servizio di raccolta di sicurezza del carico di lavoro

I problemi noti e le loro risoluzioni sono descritti di seguito.

Problema: Data Collector viene eseguito per un certo periodo di tempo e si arresta dopo un periodo di tempo casuale, fallendo con: "Messaggio di errore: Connettore è in stato di errore. Nome del servizio: Audit. Motivo del guasto: Server fpolicy esterno sovraccarico."

Prova questo: la frequenza degli eventi di ONTAP era molto superiore a quella gestita dalla casella Agente. Di conseguenza, la connessione è stata interrotta.

Controllare il picco di traffico in CloudSecure quando si è verificata la disconnessione. Questa opzione è disponibile nella pagina CloudSecure > Activity Forensics > All Activity.

Se il picco di traffico aggregato è superiore a quello che Agent Box è in grado di gestire, fare riferimento alla pagina Event Rate Checker per informazioni su come dimensionare l'implementazione di Collector in un Agent Box.

Se l'Agente è stato installato nella casella Agente prima del 4 marzo 2021, eseguire i seguenti comandi nella casella Agente:

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Riavviare il raccoglitore dall'interfaccia utente dopo il ridimensionamento.

Problema: Collector riporta un messaggio di errore: “Nessun indirizzo IP locale trovato sul connettore che può raggiungere le interfacce dati della SVM”. Provare questo: è molto probabile che ciò sia dovuto a un problema di rete sul lato ONTAP. Attenersi alla seguente procedura:

  1. Assicurarsi che non vi siano firewall sul file di dati SVM o sul file di gestione che bloccano la connessione da SVM.

  2. Quando si aggiunge una SVM tramite un IP per la gestione del cluster, assicurarsi che i lif dei dati e i lif di gestione della SVM siano gestibili dalla VM dell'agente. In caso di problemi, controllare il gateway, la netmask e i percorsi per la lif.

    È anche possibile provare ad accedere al cluster tramite ssh utilizzando l'IP di gestione del cluster e ping dell'IP dell'agente. Verificare che l'indirizzo IP dell'agente sia associabile:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Se non è possibile eseguire il ping, verificare che le impostazioni di rete in ONTAP siano corrette, in modo che il computer dell'agente possa essere collegato.

  3. Se hai provato a connetterti tramite IP cluster e non funziona, prova a connetterti direttamente tramite IP SVM. Vedere sopra per la procedura di connessione tramite SVM IP.

  4. Aggiungendo il collector tramite SVM IP e le credenziali vsadmin, controllare se la LIF SVM ha il ruolo Data Plus Mgmt abilitato. In questo caso il ping alla LIF SVM funzionerà, tuttavia SSH alla LIF SVM non funzionerà. In caso affermativo, creare una LIF solo gestione SVM e provare a connettersi tramite questa LIF solo gestione SVM.

  5. Se ancora non funziona, crea una nuova LIF e prova a connetterti tramite quella LIF. Assicurarsi che la subnet mask sia impostata correttamente.

  6. Debug avanzato:

    1. Avviare una traccia dei pacchetti in ONTAP.

    2. Provare a collegare un data collector alla SVM dall'interfaccia utente di CloudSecure.

    3. Attendere che venga visualizzato l'errore. Interrompere la traccia dei pacchetti in ONTAP.

    4. Aprire la traccia pacchetto da ONTAP. È disponibile in questa località

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Assicurarsi che sia presente un SYN da ONTAP alla casella Agente.
.. Se non è presente alcun SYN da ONTAP, si tratta di un problema con il firewall in ONTAP.
.. Aprire il firewall in ONTAP, in modo che ONTAP sia in grado di connettere la casella dell'agente.

  7. Se il problema persiste, consultare il team di rete per assicurarsi che nessun firewall esterno blocchi la connessione da ONTAP alla casella Agente.

  8. Se nessuna delle soluzioni precedenti risolve il problema, aprire un caso con "Supporto NetApp" per ulteriore assistenza.

Problema: messaggio: "Impossibile determinare il tipo di ONTAP per [hostname: <IP Address>. Motivo: Errore di connessione al <IP Address> del sistema di archiviazione: Host irraggiungibile (host irraggiungibile)" prova questo:

  1. Verificare che sia stato fornito l'indirizzo di gestione IP SVM o l'IP di gestione cluster corretto.

  2. SSH alla SVM o al cluster a cui si intende connettersi. Una volta stabilita la connessione, assicurarsi che il nome SVM o il nome del cluster sia corretto.

Problema: messaggio di errore: "Il connettore è in stato di errore. Service.name: Audit. Motivo del guasto: Server fpolicy esterno terminato." Provare questo:

  1. È molto probabile che un firewall blocchi le porte necessarie nel computer dell'agente. Verificare che l'intervallo di porte 35000-55000/tcp sia aperto affinché il computer dell'agente si connetta da SVM. Assicurarsi inoltre che non vi siano firewall abilitati dal lato ONTAP che bloccano la comunicazione con il computer dell'agente.

  2. Digitare il seguente comando nella casella Agente e assicurarsi che l'intervallo di porte sia aperto.

    sudo iptables-save | grep 3500*

    L'output del campione dovrebbe essere simile a:

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Accedere a SVM, immettere i seguenti comandi e verificare che nessun firewall sia impostato per bloccare la comunicazione con ONTAP.
    system services firewall show
system services firewall policy show

    "Controllare i comandi del firewall" Sul lato ONTAP.

  3. SSH all'SVM/cluster che si desidera monitorare. Eseguire il ping della casella Agent dal lif dei dati SVM (con CIFS, supporto dei protocolli NFS) e verificare che il ping funzioni:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Se non è possibile eseguire il ping, verificare che le impostazioni di rete in ONTAP siano corrette, in modo che il computer dell'agente possa essere collegato.

  4. Se una SVM singola viene aggiunta due volte a un tenant tramite 2 raccolte dati, viene visualizzato questo errore. Eliminare uno dei data collezionisti attraverso l'interfaccia utente. Quindi riavviare l'altro data collector tramite l'interfaccia utente. Il data collector mostrerà lo stato "IN ESECUZIONE" e inizierà a ricevere gli eventi da SVM.

    In sostanza, in un tenant, 1 SVM deve essere aggiunto una sola volta, tramite 1 data collector. 1 SVM non deve essere aggiunto due volte tramite 2 data collezioner.

  5. Ad esempio, se la stessa SVM è stata aggiunta in due diversi ambienti di sicurezza dei workload (tenant), l'ultimo avrà sempre successo. Il secondo collector configurerà fpolicy con il proprio indirizzo IP e eseguirà il kick out del primo. In questo modo, il collector del primo interrompe la ricezione degli eventi e il servizio di "audit" entra in stato di errore. Per evitare questo problema, configurare ogni SVM in un singolo ambiente.

  6. Questo errore può verificarsi anche se le politiche di servizio non sono configurate correttamente. Con ONTAP 9.8 o versione successiva, per connettersi al Data Source Collector, è necessario il servizio client data-fpolicy insieme al servizio dati data-nfs e/o data-cifs. Inoltre, il servizio data-fpolicy-client deve essere associato ai lif di dati per la SVM monitorata.

Problema: Nessun evento visualizzato nella pagina di attività. Provare questo:

  1. Controllare se ONTAP Collector è in stato "in ESECUZIONE". In caso affermativo, assicurarsi che alcuni eventi cifs vengano generati sulle macchine virtuali del client cifs aprendo alcuni file.

  2. Se non viene rilevata alcuna attività, effettua l'accesso alla SVM e inserisci il seguente comando.

    <SVM>event log show -source fpolicy

    Assicurarsi che non vi siano errori correlati a fpolicy.

  3. Se non viene rilevata alcuna attività, effettua l'accesso alla SVM. Immettere il seguente comando:

    <SVM>fpolicy show

    Verifica se la policy fpolicy denominata con prefisso "cloudSecure_" è stata impostata e lo stato è "on". Se non impostato, molto probabilmente l'agente non è in grado di eseguire i comandi nella SVM. Assicurarsi di aver seguito tutti i prerequisiti descritti all'inizio della pagina.

Problema: il servizio di raccolta dati SVM è in stato di errore e il messaggio di errore è "l'agente non è riuscito a connettersi al collettore" provare questo:

  1. Molto probabilmente l'agente è sovraccarico e non è in grado di connettersi ai collettori di origine dati.

  2. Verificare il numero di raccoglitori origine dati collegati all'agente.

  3. Controllare anche la portata di dati nella pagina "All Activity" (tutte le attività) dell'interfaccia utente.

  4. Se il numero di attività al secondo è molto elevato, installare un altro agente e spostare alcuni dei Data Source Collector nel nuovo agente.

Problema: SVM Data Collector mostra un messaggio di errore come "fpolicy.server.connectError: Node failed to stabling a Connection with the FPolicy server "12.195.15.146" ( reason: "Select Timed out")" prova questo: il firewall è abilitato in SVM/Cluster. Pertanto, il motore fpolicy non è in grado di connettersi al server fpolicy. CLIS in ONTAP che può essere utilizzato per ottenere maggiori informazioni sono:

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Controllare i comandi del firewall" Sul lato ONTAP.

Problema: messaggio di errore: “Il connettore è in stato di errore. Nome del servizio:audit. Motivo del guasto: Nessuna interfaccia dati valida (ruolo: Dati, protocolli dati: NFS o CIFS o entrambi, stato: Up) trovata su SVM." Prova questo: assicurati che vi sia un'interfaccia operativa (che ha il ruolo di protocollo dati e dati come CIFS/NFS.

Problema: il data collector passa allo stato di errore e poi passa allo stato di FUNZIONAMENTO dopo qualche tempo, quindi torna a errore. Questo ciclo si ripete. Prova questo: questo accade in genere nel seguente scenario:

  1. Sono stati aggiunti più data colleziones.

  2. Ai data collector che mostrano questo tipo di comportamento verranno aggiunte 1 SVM. Ciò significa che 2 o più data collezioner sono collegati a 1 SVM.

  3. Assicurarsi che 1 Data Collector si connetta solo a 1 SVM.

  4. Elimina gli altri collettori di dati connessi alla stessa SVM.

Problema: il connettore è in stato di errore. Nome del servizio: Audit. Motivo dell'errore: Configurazione non riuscita (policy su SVM svmname. Motivo: Valore non valido specificato per l'elemento 'da includere' all'interno di 'fpolicy.policy.scope-modify: "Federale' prova questo: *i nomi delle condivisioni devono essere forniti senza virgolette. Modificare la configurazione DSC SVM ONTAP per correggere i nomi delle condivisioni.

Include ed exclude share non è destinato a un lungo elenco di nomi di share. Utilizzare invece il filtraggio per volume se si dispone di un elevato numero di condivisioni da includere o escludere.

Problema: esistono fpolicy nel cluster che non sono utilizzate. Cosa fare con quelli prima dell'installazione di workload Security? Prova questo: si consiglia di eliminare tutte le impostazioni fpolicy non utilizzate esistenti anche se sono in stato disconnesso. Workload Security creerà fpolicy con il prefisso "cloudSecure_". Tutte le altre configurazioni fpolicy inutilizzate possono essere eliminate.

Comando CLI per visualizzare l'elenco fpolicy:

 fpolicy show
Procedura per eliminare le configurazioni di fpolicy:
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|dopo aver attivato la sicurezza del carico di lavoro, le prestazioni ONTAP sono influenzate: La latenza diventa sporadicamente alta e gli IOPS diventano sporadicamente bassi. |durante l'utilizzo di ONTAP con la protezione del carico di lavoro, a volte i problemi di latenza possono essere riscontrati in ONTAP. Vi sono diverse ragioni possibili per questo, come indicato di seguito: "1372994", , "1415152", "1438207" "1479704" "1354659" . Tutti questi problemi sono stati risolti in ONTAP 9.13.1 e versioni successive; si consiglia vivamente di utilizzare una di queste versioni successive.

Problema: raccolta dati è in errore, visualizza questo messaggio di errore. "Errore: Il connettore è in stato di errore. Nome del servizio: Audit. Motivo dell'errore: Impossibile configurare il criterio su SVM svm_test. Motivo: Valore mancante per il campo zapi: Eventi. “ Prova questo:

  1. Inizia con una nuova SVM con solo il servizio NFS configurato.

  2. Aggiungere un data collector SVM ONTAP in sicurezza del carico di lavoro. CIFS viene configurato come protocollo consentito per SVM mentre si aggiunge il Data Collector SVM ONTAP in sicurezza del carico di lavoro.

  3. Attendere che il Data Collector in workload Security visualizzi un errore.

  4. Poiché il server CIFS NON è configurato su SVM, questo errore, come mostrato a sinistra, viene visualizzato da workload Security.

  5. Modificare il data collector ONTAP SVM e deselezionare CIFS come protocollo consentito. Salvare il data collector. Verrà avviato solo con il protocollo NFS attivato.

Problema: Data Collector visualizza il messaggio di errore: “Errore: Impossibile determinare lo stato di salute del raccoglitore entro 2 tentativi, provare a riavviare il raccoglitore di nuovo (Codice errore: AGENT008)”. Provare questo:

  1. Nella pagina Data Collector, scorrere a destra del data Collector indicando l'errore e fare clic sul menu 3 punti. Selezionare Edit. Immettere nuovamente la password del data collector. Salvare il data collector premendo il pulsante Save. Data Collector verrà riavviato e l'errore dovrebbe essere risolto.

  2. Il computer dell'agente potrebbe non disporre di spazio sufficiente per CPU o RAM, motivo per cui i DSC non funzionano. Verificare il numero di Data Collector aggiunti all'Agente nel computer. Se è superiore a 20, aumentare la capacità della CPU e della RAM del computer dell'agente. Una volta aumentate la CPU e la RAM, i DSC entrano automaticamente in Inizializzazione e quindi in esecuzione. Consultare la guida alle dimensioni su "questa pagina".

Problema: il Data Collector sta eseguendo un errore quando viene selezionata la modalità SVM. Prova questo: durante la connessione in modalità SVM, se l'IP di gestione cluster viene utilizzato per la connessione invece dell'IP di gestione SVM, la connessione verrà interrotta. Verificare di utilizzare l'IP SVM corretto.

Problema: Data Collector visualizza un messaggio di errore quando la funzione accesso negato è attivata: "Il connettore è in stato di errore. Nome del servizio: Audit. Motivo dell'errore: Configurazione di fpolicy su SVM test_svm non riuscita. Motivo: L'utente non è autorizzato." Prova questo: l'utente potrebbe non disporre delle autorizzazioni REST necessarie per la funzione accesso negato. Seguire le istruzioni a "questa pagina" per impostare le autorizzazioni.

Riavviare il raccoglitore una volta impostate le autorizzazioni.

Se i problemi persistono, accedere ai collegamenti di supporto indicati nella pagina Guida > supporto.