Creare filtri di traccia per la sicurezza
Suggerisci modifiche
PDF
È possibile creare filtri di traccia per la sicurezza che rilevano le operazioni dei client SMB e NFS sulle macchine virtuali di storage (SVM) e tracciano tutti i controlli di accesso corrispondenti al filtro. È possibile utilizzare i risultati delle tracce di protezione per convalidare la configurazione o risolvere i problemi di accesso.
Sono necessari due parametri per il comando vserver Security trace filter create:
Parametri richiesti |
Descrizione |
|
Nome SVM Il nome della SVM che contiene i file o le cartelle su cui si desidera applicare il filtro di traccia di protezione. |
|
Numero indice del filtro Il numero di indice che si desidera applicare al filtro. È possibile utilizzare un massimo di 10 filtri di traccia per SVM. I valori consentiti per questo parametro sono compresi tra 1 e 10. |
Una serie di parametri di filtro opzionali consente di personalizzare il filtro di traccia di protezione in modo da restringere i risultati prodotti dalla traccia di protezione:
Parametro del filtro |
Descrizione |
||
|
Questo filtro specifica l'indirizzo IP da cui l'utente accede a SVM. |
||
|
Questo filtro specifica il percorso su cui applicare il filtro di traccia delle autorizzazioni. Il valore per
È necessario utilizzare i separatori di directory in stile UNIX di NFS nel valore del percorso. |
||
|
È possibile specificare il nome utente Windows o UNIX di cui si desidera tenere traccia delle richieste di accesso. La variabile del nome utente non fa distinzione tra maiuscole e minuscole. Non è possibile specificare un nome utente Windows e un nome utente UNIX nello stesso filtro.
|
||
|
|
||
La funzione di traccia per gli eventi di negazione è sempre abilitata per un filtro di traccia di protezione. Facoltativamente, è possibile tracciare gli eventi Allow. Per tracciare gli eventi Allow, impostare questo parametro su |
|
||
|
È possibile attivare o disattivare il filtro di traccia di protezione. Per impostazione predefinita, il filtro di traccia di protezione è attivato. |
||
|
È possibile specificare un timeout per il filtro, dopo il quale viene disattivato. |
-
Creazione di un filtro di traccia per la protezione:
vserver security trace filter create -vserver vserver_name -index index_numberfilter_parametersfilter_parametersè un elenco di parametri di filtro opzionali.Per ulteriori informazioni, vedere le pagine man del comando.
-
Verificare la voce Security trace filter:
vserver security trace filter show -vserver vserver_name -index index_number
Il comando seguente crea un filtro di traccia di protezione per qualsiasi utente che accede a un file con un percorso di condivisione \\server\share1\dir1\dir2\file.txt Dall'indirizzo IP 10.10.10.7. Il filtro utilizza un percorso completo per -path opzione. L'indirizzo IP del client utilizzato per accedere ai dati è 10.10.10.7. Il filtro si esaurisce dopo 30 minuti:
cluster1::> vserver security trace filter create -vserver vs1 -index 1 -path /dir1/dir2/file.txt -time-enabled 30 -client-ip 10.10.10.7 cluster1::> vserver security trace filter show -index 1 Vserver Index Client-IP Path Trace-Allow Windows-Name -------- ----- ----------- ---------------------- ----------- ------------- vs1 1 10.10.10.7 /dir1/dir2/file.txt no -
Il comando seguente crea un filtro di traccia di protezione utilizzando un percorso relativo per -path opzione. Il filtro traccia l'accesso di un utente Windows chiamato “joe”. Joe sta accedendo a un file con un percorso di condivisione \\server\share1\dir1\dir2\file.txt. Le tracce del filtro consentono e negano gli eventi:
cluster1::> vserver security trace filter create -vserver vs1 -index 2 -path /dir1/dir2/file.txt -trace-allow yes -windows-name mydomain\joe
cluster1::> vserver security trace filter show -vserver vs1 -index 2
Vserver: vs1
Filter Index: 2
Client IP Address to Match: -
Path: /dir1/dir2/file.txt
Windows User Name: mydomain\joe
UNIX User Name: -
Trace Allow Events: yes
Filter Enabled: enabled
Minutes Filter is Enabled: 60