ONTAP SVM Data Collector の設定
ワークロードセキュリティでは、データコレクタを使用して、デバイスからファイルとユーザのアクセスデータを収集します。
作業を開始する前に
-
このデータコレクタは、次の機能でサポートされています。
-
Data ONTAP 9.2 以降のバージョン最高のパフォーマンスを得るには、9.13.1よりも新しいバージョンのData ONTAPを使用してください。
-
SMBプロトコルバージョン3.1以前。
-
NFSプロトコルバージョン4.0以前
-
FlexGroup は ONTAP 9.4 以降のバージョンでサポートされます
-
ONTAP Select がサポートされています
-
-
サポートされるのはデータタイプの SVM のみです。Infinite Volume を備えた SVM はサポートされません。
-
SVM には複数のサブタイプがあります。このうち、サポートされるのは_DEFAULT_、SYNC_SOURE、および_SYNC_destination_のみです。
-
エージェント "を設定する必要があります" データコレクタを設定する前に、
-
ユーザディレクトリコネクタが正しく設定されていることを確認します。正しく設定されていないと、イベントはエンコードされたユーザ名で表示され、 Active Directory に保存されているユーザの実際の名前ではなく、 [Activity Forensics] ページに表示されます。
-
最適なパフォーマンスを実現するには、 FPolicy サーバをストレージシステムと同じサブネットに設定する必要があります。
-
次のどちらかの方法で SVM を追加する必要があります。
-
クラスタ IP 、 SVM 名、およびクラスタ管理のユーザ名とパスワードを使用する。これは推奨される方法です。
-
SVM 名は ONTAP に表示されるとおりに指定する必要があり、大文字と小文字が区別されます。
-
-
SVM SVM 管理 IP 、ユーザ名、およびパスワードを使用する
-
フル管理者のクラスタ / SVM 管理ユーザ名とパスワードを使用できない場合は、に記載されている権限よりも少ないカスタムユーザを作成できます "「権限に関する注意事項」" セクションを参照してください。このカスタムユーザは、 SVM アクセスまたはクラスタアクセス用に作成できます。
-
以下の「権限に関する注意」セクションで説明されているように、少なくともcsroleの権限を持つロールを持つADユーザを使用することもできます。も参照してください "ONTAP のドキュメント"。
-
-
-
次のコマンドを実行して、 SVM に正しいアプリケーションが設定されていることを確認します。
clustershell::> security login show -vserver <vservername> -user-or-group-name <username>
出力例:
-
SVMにCIFSサーバが設定されていることを確認します。
クラスタシェル::>vserver cifs show
Vserver 名、 CIFS サーバ名、およびその他のフィールドが返されます。
-
SVM の vsadmin ユーザのパスワードを設定します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順を省略します。
クラスタシェル::>security login password -username vsadmin -vserver svmname
-
SVM の vsadmin ユーザの外部アクセスのロックを解除します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順を省略します。
クラスタシェル::>security login unlock -username vsadmin -vserver svmname
-
データ LIF のファイアウォールポリシーが「 GMT 」(「 data 」ではない)に設定されていることを確認します。専用の管理 LIF を使用して SVM を追加する場合は、この手順を省略してください。
クラスタシェル::>network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
-
ファイアウォールが有効になっている場合は、 Data ONTAP データコレクタを使用してポートの TCP トラフィックを許可する例外を定義する必要があります。
を参照してください "エージェントの要件" を参照してください。この環境オンプレミスエージェントおよびクラウドにインストールされたエージェント。
-
Cloud ONTAP SVM を監視するために AWS EC2 インスタンスにエージェントがインストールされている場合は、そのエージェントとストレージが同じ VPC 内に存在する必要があります。これらの VPC が個別の VPC 内にある場合は、 VPC 間に有効なルートが必要です。
ユーザアクセスブロックの前提条件
次の点に注意してください。 "ユーザアクセスブロック":
この機能を使用するには、クラスタレベルのクレデンシャルが必要です。
クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。
ユーザに付与された権限でカスタムユーザ(_csuser_など)を使用している場合は、次の手順に従ってワークロードセキュリティにユーザをブロックする権限を付与します。
クラスタクレデンシャルを持つ csuser の場合、 ONTAP コマンドラインから次の手順を実行します。
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
アクセス権に関する注意事項
クラスタ管理IPを使用して追加する場合の権限:
クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Cluster Management IPを使用するようにWorkload Securityデータコレクタを設定する場合は、「csuser」のユーザ名とパスワードを使用します。
新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。
security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*" security login role create -role csrole -cmddirname "event catalog" -access all security login role create -role csrole -cmddirname "event filter" -access all security login role create -role csrole -cmddirname "event notification destination" -access all security login role create -role csrole -cmddirname "event notification" -access all security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
ONTAP ARP統合の権限:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
ONTAPアクセス拒否の権限:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole
注: 1つのrest-role (arwrole_or_csrestrole--)がすでに追加されている場合、2つ目のrest-roleを追加する必要はありません。以下の例のように、API権限を追加するだけです。
例:_csrestrole_はすでに存在しているため、ランサムウェア対策を有効にし、既存の_csrestrole_にAPI権限を付与するだけで済みます。
security login rest-role create -role csrestrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name>
SVM管理IP *を使用して追加する場合の権限:
クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Workload SecurityデータコレクタでSVM管理IPを使用するように設定する場合は、「csuser」のユーザ名とパスワードを使用します。
新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。これらのコマンドをテキストエディタにコピーし、 <vservername> を SVM 名に置き換えてから、 ONTAP で次のコマンドを実行します。
security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername> ONTAPアクセス拒否の権限:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>
ONTAP自律型ランサムウェア対策の権限
クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。
ユーザに付与された権限でカスタムユーザ(_csuser_など)を使用している場合は、次の手順に従ってワークロードセキュリティにアクセス許可を付与し、ONTAP からARP関連情報を収集します。
クラスタクレデンシャルを使用する_csuser_withの場合、ONTAP コマンドラインから次の操作を実行します。
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
詳細については、 "ONTAP によるランサムウェア対策との統合"
ONTAPアクセスの権限が拒否されました
クラスタ管理資格情報を使用してData Collectorを追加する場合、新しい権限は必要ありません。
ユーザに付与された権限を持つカスタムユーザ(_csuser_など)を使用してコレクタを追加する場合は、次の手順に従って、ONTAPでアクセス拒否イベントに登録するために必要な権限をワークロードセキュリティに付与します。
CSUSER WITH_CLUSTER_CREDENTIALの場合は、ONTAPコマンドラインから次のコマンドを実行します。_csrestrole_はカスタムロールで、_csuser_はONTAPカスタムユーザです。
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole
csuser with _svm_credentialsの場合は、ONTAPコマンドラインから次のコマンドを実行します。
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>
詳細については、 "ONTAPアクセス拒否との統合"
データコレクタを設定します
-
Cloud Insights 環境に管理者またはアカウント所有者としてログインします。
-
[Workload Security]>[Collectors]>[+Data Collectors]*をクリックします。
使用可能なデータコレクタが表示されます。
-
NetApp SVM のタイルにカーソルを合わせ、 * + Monitor * をクリックします。
ONTAP SVM の設定ページが表示されます。各フィールドに必要なデータを入力します。
フィールド |
説明 |
名前 |
Data Collector の一意の名前 |
エージェント |
リストから設定済みエージェントを選択します。 |
管理 IP 経由で接続: |
クラスタ IP または SVM 管理 IP を選択します |
クラスタ / SVM 管理 IP アドレス |
上記の選択に応じて、クラスタまたは SVM の IP アドレス。 |
SVM 名 |
SVM の名前(このフィールドはクラスタ IP 経由で接続する場合は必須です) |
ユーザ名 |
SVM /クラスタにアクセスするためのユーザ名 |
パスワード |
上記のユーザ名のパスワード |
共有 / ボリュームをフィルタリングします |
イベントコレクションに共有 / ボリュームを含めるか除外するかを選択します |
除外または対象に含める共有名を入力します |
イベント収集の対象から除外または対象に含める(必要に応じて)共有をカンマで区切ったリスト |
除外または対象に含めるボリュームの完全な名前を入力します |
イベント収集の対象から除外または対象に含めるボリュームをカンマで区切ったリスト |
フォルダアクセスを監視します |
オンにすると、フォルダアクセス監視のイベントが有効になります。このオプションを選択しなくても、フォルダの作成 / 名前変更および削除が監視されることに注意してください。これを有効にすると、監視されるイベントの数が増えます。 |
ONTAP 送信バッファサイズを設定します |
ONTAP FPolicy 送信バッファのサイズを設定します。9.8p7 より前のバージョンの ONTAP を使用していて、 Performance 問題が表示された場合、 ONTAP 送信バッファサイズを変更して ONTAP のパフォーマンスを向上させることができます。このオプションが表示されない場合は、ネットアップサポートにお問い合わせください。 |
-
Installed Data Collectors ページで、各コレクタの右側にあるオプションメニューを使用してデータコレクタを編集します。データコレクタを再起動したり、データコレクタ設定の属性を編集したりできます。
Metro Clusterの推奨構成
Metro Clusterの推奨事項は次のとおりです。
-
2つのデータコレクタをソースSVMに、別のデータコレクタをデスティネーションSVMに接続します。
-
データコレクタは、Cluster IP.によって接続する必要があります。
-
あるデータコレクタを実行する必要がある時点であれば、別のデータコレクタでエラーが発生します。
現在の「実行中」のSVMのデータコレクタは、_RUNNING _と表示されます。現在の「停止」されているSVM
データコレクタには_Error_と表示されます。 -
スイッチオーバーが発生すると、データコレクタの状態が「Running」から「Error」に変わり、その逆も同様です。
-
データコレクタがError状態からRunning状態に移行するまでに最大2分かかります。
サービスポリシー
ONTAP バージョン9.9..1のサービスポリシーを使用してData Source Collectorに接続するには、Data Service_data-NFS_、および/or _data-cifs_が 必要です。
例
Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm -services data-cifs,data-nfs,data,-core,data-fpolicy-client (network interface service-policy create)
9.6.1より前のバージョンのONTAP では、_data -fpolicy-client_need not be set」を実行します。
Data Collectorの再生-一時停止
2つの新しい操作がコレクタのkebabメニューに表示されるようになりました(一時停止と再開)。
Data Collectorがin_running_stateの場合は、収集を一時停止できます。コレクターの「3つのドット」メニューを開き、一時停止を選択します。コレクタが一時停止している間は、ONTAPからデータが収集されず、コレクタからONTAPにデータが送信されません。つまり、ONTAPからデータコレクタへ、およびそこからCloud InsightsへのFPolicyイベントは流れません。
コレクタの一時停止中に新しいボリュームなどがONTAPに作成されると、ワークロードセキュリティでデータが収集されず、それらのボリュームなどがダッシュボードやテーブルに反映されないことに注意してください。
次の事項に注意してください。
-
スナップショットのパージは、一時停止中のコレクタに設定されている設定に従って実行されません。
-
一時停止したコレクタでEMSイベント(ONTAP ARPなど)は処理されません。つまり、ONTAPがランサムウェア攻撃を特定した場合、Cloud Insightsワークロードセキュリティはそのイベントを取得できません。
-
一時停止中のコレクタについては、ヘルス通知Eメールは送信されません。
-
一時停止中のコレクタでは'手動または自動のアクション(スナップショットやユーザーブロックなど)はサポートされません
-
エージェントまたはコレクタのアップグレード、エージェントVMの再起動/再起動、またはエージェントサービスの再起動時に、一時停止したコレクタは_Paused_stateのままになります。
-
データコレクタが_Error_stateの場合、コレクタを_Paused_stateに変更することはできません。Pauseボタンは'コレクタの状態が_running_の場合にのみ有効になります
-
エージェントが切断されている場合、コレクタを_Paused_stateに変更することはできません。コレクタが_stopped_stateになり、Pauseボタンが無効になります。
トラブルシューティング
既知の問題とその解決策を次の表に示します。
エラーの場合は、 Status_column で _more detail をクリックしてエラーの詳細を確認します。
問題 | 解決策: |
---|---|
Data Collector はしばらくの間実行され、ランダムな時刻の後に停止します。 "Error message: connector is in error state" というエラーメッセージが表示されます。サービス名: audit 。エラーの理由:外部 FPolicy サーバが過負荷状態です。」 |
ONTAP からのイベントレートは、 [ エージェント ] ボックスで処理できるイベントレートよりもはるかに高くなっています。そのため、接続が終了しました。 |
コレクタから「 No local IP address found on the Connector that can reach the data interfaces of the SVM 」というエラーメッセージが報告されます。 |
その理由としては、 ONTAP 側のネットワーク問題が考えられます。次の手順を実行してください。 |
メッセージ: "[hostname:<IP Address>] の ONTAP タイプを特定できませんでした。理由:ストレージシステム <IP アドレス > への接続エラー:ホストに到達できません(ホストに到達できません) " |
1. 正しい SVM IP 管理アドレスまたはクラスタ管理 IP が指定されていることを確認します。 |
エラーメッセージ:「コネクタにエラーがあります。service.name :監査。失敗の理由:外部 FPolicy サーバが終了しました。」 |
1. 多くの場合、ファイアウォールがエージェントマシンの必要なポートをブロックしています。エージェントマシンが SVM から接続するために、ポート範囲 35000-55000/TCP を開いていることを確認します。また、 ONTAP 側からエージェントマシンへの通信をブロックするファイアウォールが有効になっていないことを確認します。 |
grep 3500 *_ |
アクティビティページにイベントは表示されません。 |
1. ONTAP コレクタが「実行中」の状態かどうかを確認します。「はい」の場合は、一部のファイルを開いて、 CIFS クライアント VM 上で一部の CIFS イベントが生成されていることを確認します。 |
SVM Data Collector がエラー状態で、エラーメッセージ「 Agent failed to connect to the collector 」 |
1. エージェントが過負荷になっており、データソースコレクタに接続できない可能性が高い。 |
SVM Data Collector で、「 fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" ( reason : Select Timed Out" )」というエラーメッセージが表示される |
SVM / クラスタでファイアウォールが有効になっています。そのため、 FPolicy エンジンは FPolicy サーバに接続できません。 |
エラーメッセージ : 「コネクタはエラー状態です。サービス名: audit 。失敗の理由: SVM で有効なデータインターフェイスが見つかりません(ロール:データ、データプロトコル: NFS か CIFS か、両方、ステータス:稼働)。」 |
動作インターフェイス(データプロトコルおよびデータプロトコルとして CIFS / NFS が設定されている)があることを確認してください。 |
データコレクタが Error 状態になり、しばらくしてから running 状態になり、 Error に戻ります。このサイクルが繰り返されます。 |
これは通常、次のシナリオで発生します。 |
コネクタでエラーが発生しています。サービス名: audit 。失敗の理由:( SVM SVM 名のポリシー)を設定できませんでした。理由: 'fpolicy.scope-modify : "federy" 内の 'shares-to-include' 要素に無効な値が指定されています |
共有名は、引用符を付けずに指定する必要があります。ONTAP SVM DSC 設定を編集して共有名を修正します。 |
クラスタに未使用の既存のポリシーがあります。ワークロードセキュリティをインストールする前に、これらのワークロードに対して何を行う必要がありますか? |
切断状態の場合でも、既存の未使用の FPolicy 設定をすべて削除することを推奨します。ワークロードセキュリティで、プレフィックス「cloudsecure_」を付けてFPolicyを作成します。その他の未使用の FPolicy 設定はすべて削除できます。 |
ワークロードセキュリティを有効にすると、ONTAP のパフォーマンスが低下します。レイテンシは一時的に上昇し、IOPSは散発的に低下します。 |
ワークロードセキュリティでONTAPを使用しているときに、ONTAPでレイテンシの問題が発生することがあります。これには、次のようないくつかの理由が考えられます。 "1372994"、 "1415152"、 "1438207"、 "1479704"、 "1354659"。これらの問題はすべてONTAP 9.13.1以降で解決されています。これらのいずれかのバージョンを使用することを強く推奨します。 |
データコレクタでエラーが発生し、次のエラーメッセージが表示されます。 |
NFS サービスのみが設定された新しい SVM から開始します。 |
Data Collectorに次のエラーメッセージが表示されます。 |
それでも問題が解決しない場合は、 [ ヘルプ ]>[ サポート *] ページに記載されているサポートリンクにアクセスしてください。