日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVM Data Collector の設定

04/16/2024 共同作成者

PDF

作業を開始する前に
ユーザアクセスブロックの前提条件
アクセス権に関する注意事項
データコレクタを設定します
Metro Clusterの推奨構成
サービスポリシー
Data Collectorの再生-一時停止
トラブルシューティング

ワークロードセキュリティでは、データコレクタを使用して、デバイスからファイルとユーザのアクセスデータを収集します。

作業を開始する前に

このデータコレクタは、次の機能でサポートされています。
- Data ONTAP 9.2 以降のバージョン最高のパフォーマンスを得るには、9.13.1よりも新しいバージョンのData ONTAPを使用してください。
- SMBプロトコルバージョン3.1以前。
- NFSプロトコルバージョン4.0以前
- FlexGroup は ONTAP 9.4 以降のバージョンでサポートされます
- ONTAP Select がサポートされています
サポートされるのはデータタイプの SVM のみです。Infinite Volume を備えた SVM はサポートされません。
SVM には複数のサブタイプがあります。このうち、サポートされるのは_DEFAULT_、SYNC_SOURE、および_SYNC_destination_のみです。
エージェント "を設定する必要があります" データコレクタを設定する前に、
ユーザディレクトリコネクタが正しく設定されていることを確認します。正しく設定されていないと、イベントはエンコードされたユーザ名で表示され、 Active Directory に保存されているユーザの実際の名前ではなく、 [Activity Forensics] ページに表示されます。
最適なパフォーマンスを実現するには、 FPolicy サーバをストレージシステムと同じサブネットに設定する必要があります。
次のどちらかの方法で SVM を追加する必要があります。
- クラスタ IP 、 SVM 名、およびクラスタ管理のユーザ名とパスワードを使用する。これは推奨される方法です。
  - SVM 名は ONTAP に表示されるとおりに指定する必要があり、大文字と小文字が区別されます。
- SVM SVM 管理 IP 、ユーザ名、およびパスワードを使用する
- フル管理者のクラスタ / SVM 管理ユーザ名とパスワードを使用できない場合は、に記載されている権限よりも少ないカスタムユーザを作成できます "「権限に関する注意事項」" セクションを参照してください。このカスタムユーザは、 SVM アクセスまたはクラスタアクセス用に作成できます。
  - 以下の「権限に関する注意」セクションで説明されているように、少なくともcsroleの権限を持つロールを持つADユーザを使用することもできます。も参照してください "ONTAP のドキュメント"。
次のコマンドを実行して、 SVM に正しいアプリケーションが設定されていることを確認します。
```
clustershell::> security login show -vserver <vservername> -user-or-group-name <username>
```

出力例：
SVM コマンドの出力例

SVMにCIFSサーバが設定されていることを確認します。
クラスタシェル：：> vserver cifs show

Vserver 名、 CIFS サーバ名、およびその他のフィールドが返されます。
SVM の vsadmin ユーザのパスワードを設定します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順を省略します。
クラスタシェル：：> security login password -username vsadmin -vserver svmname
SVM の vsadmin ユーザの外部アクセスのロックを解除します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順を省略します。
クラスタシェル：：> security login unlock -username vsadmin -vserver svmname
データ LIF のファイアウォールポリシーが「 GMT 」（「 data 」ではない）に設定されていることを確認します。専用の管理 LIF を使用して SVM を追加する場合は、この手順を省略してください。
クラスタシェル：：> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
ファイアウォールが有効になっている場合は、 Data ONTAP データコレクタを使用してポートの TCP トラフィックを許可する例外を定義する必要があります。

を参照してください "エージェントの要件" を参照してください。この環境オンプレミスエージェントおよびクラウドにインストールされたエージェント。
Cloud ONTAP SVM を監視するために AWS EC2 インスタンスにエージェントがインストールされている場合は、そのエージェントとストレージが同じ VPC 内に存在する必要があります。これらの VPC が個別の VPC 内にある場合は、 VPC 間に有効なルートが必要です。

ユーザアクセスブロックの前提条件

次の点に注意してください。 "ユーザアクセスブロック"：

この機能を使用するには、クラスタレベルのクレデンシャルが必要です。

クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。

ユーザに付与された権限でカスタムユーザ（_csuser_など）を使用している場合は、次の手順に従ってワークロードセキュリティにユーザをブロックする権限を付与します。

クラスタクレデンシャルを持つ csuser の場合、 ONTAP コマンドラインから次の手順を実行します。

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

アクセス権に関する注意事項

クラスタ管理IPを使用して追加する場合の権限：

クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Cluster Management IPを使用するようにWorkload Securityデータコレクタを設定する場合は、「csuser」のユーザ名とパスワードを使用します。

新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。

security login role create -role csrole -cmddirname DEFAULT -access readonly

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all

security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole

ONTAP ARP統合の権限：

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

ONTAPアクセス拒否の権限：

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole

注: 1つのrest-role (arwrole_or_csrestrole--)がすでに追加されている場合、2つ目のrest-roleを追加する必要はありません。以下の例のように、API権限を追加するだけです。

例：_csrestrole_はすでに存在しているため、ランサムウェア対策を有効にし、既存の_csrestrole_にAPI権限を付与するだけで済みます。

security login rest-role create -role csrestrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>

SVM管理IP *を使用して追加する場合の権限：

クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Workload SecurityデータコレクタでSVM管理IPを使用するように設定する場合は、「csuser」のユーザ名とパスワードを使用します。

新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。これらのコマンドをテキストエディタにコピーし、 <vservername> を SVM 名に置き換えてから、 ONTAP で次のコマンドを実行します。

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none

security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

 security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
ONTAPアクセス拒否の権限：

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name>
security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>

ONTAP自律型ランサムウェア対策の権限

クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。

ユーザに付与された権限でカスタムユーザ（_csuser_など）を使用している場合は、次の手順に従ってワークロードセキュリティにアクセス許可を付与し、ONTAP からARP関連情報を収集します。

クラスタクレデンシャルを使用する_csuser_withの場合、ONTAP コマンドラインから次の操作を実行します。

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

詳細については、 "ONTAP によるランサムウェア対策との統合"

ONTAPアクセスの権限が拒否されました

クラスタ管理資格情報を使用してData Collectorを追加する場合、新しい権限は必要ありません。

ユーザに付与された権限を持つカスタムユーザ（_csuser_など）を使用してコレクタを追加する場合は、次の手順に従って、ONTAPでアクセス拒否イベントに登録するために必要な権限をワークロードセキュリティに付与します。

CSUSER WITH_CLUSTER_CREDENTIALの場合は、ONTAPコマンドラインから次のコマンドを実行します。_csrestrole_はカスタムロールで、_csuser_はONTAPカスタムユーザです。

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole

csuser with _svm_credentialsの場合は、ONTAPコマンドラインから次のコマンドを実行します。

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>

詳細については、 "ONTAPアクセス拒否との統合"

データコレクタを設定します

設定の手順

Cloud Insights 環境に管理者またはアカウント所有者としてログインします。
[Workload Security]>[Collectors]>[+Data Collectors]*をクリックします。

使用可能なデータコレクタが表示されます。
NetApp SVM のタイルにカーソルを合わせ、 * + Monitor * をクリックします。

ONTAP SVM の設定ページが表示されます。各フィールドに必要なデータを入力します。

フィールド

説明

名前

Data Collector の一意の名前

エージェント

リストから設定済みエージェントを選択します。

管理 IP 経由で接続：

クラスタ IP または SVM 管理 IP を選択します

クラスタ / SVM 管理 IP アドレス

上記の選択に応じて、クラスタまたは SVM の IP アドレス。

SVM 名

SVM の名前（このフィールドはクラスタ IP 経由で接続する場合は必須です）

ユーザ名

SVM /クラスタにアクセスするためのユーザ名
クラスタIPを使用して追加する場合のオプションは次のとおりです。
1.クラスタ管理者
2.「csuser」
3. csuserと同様の役割を持つADユーザ。
SVM IPを使用して追加する場合のオプションは次のとおりです。
4. vsadmin
5.「csuser」
6.AD - csuserと同様のロールを持つユーザ名。

パスワード

上記のユーザ名のパスワード

共有 / ボリュームをフィルタリングします

イベントコレクションに共有 / ボリュームを含めるか除外するかを選択します

除外または対象に含める共有名を入力します

イベント収集の対象から除外または対象に含める（必要に応じて）共有をカンマで区切ったリスト

除外または対象に含めるボリュームの完全な名前を入力します

イベント収集の対象から除外または対象に含めるボリュームをカンマで区切ったリスト

フォルダアクセスを監視します

オンにすると、フォルダアクセス監視のイベントが有効になります。このオプションを選択しなくても、フォルダの作成 / 名前変更および削除が監視されることに注意してください。これを有効にすると、監視されるイベントの数が増えます。

ONTAP 送信バッファサイズを設定します

ONTAP FPolicy 送信バッファのサイズを設定します。9.8p7 より前のバージョンの ONTAP を使用していて、 Performance 問題が表示された場合、 ONTAP 送信バッファサイズを変更して ONTAP のパフォーマンスを向上させることができます。このオプションが表示されない場合は、ネットアップサポートにお問い合わせください。

完了後

Installed Data Collectors ページで、各コレクタの右側にあるオプションメニューを使用してデータコレクタを編集します。データコレクタを再起動したり、データコレクタ設定の属性を編集したりできます。

Metro Clusterの推奨構成

Metro Clusterの推奨事項は次のとおりです。

2つのデータコレクタをソースSVMに、別のデータコレクタをデスティネーションSVMに接続します。
データコレクタは、Cluster IP.によって接続する必要があります。
あるデータコレクタを実行する必要がある時点であれば、別のデータコレクタでエラーが発生します。

現在の「実行中」のSVMのデータコレクタは、_RUNNING _と表示されます。現在の「停止」されているSVM
データコレクタには_Error_と表示されます。
スイッチオーバーが発生すると、データコレクタの状態が「Running」から「Error」に変わり、その逆も同様です。
データコレクタがError状態からRunning状態に移行するまでに最大2分かかります。

サービスポリシー

ONTAP バージョン9.9..1のサービスポリシーを使用してData Source Collectorに接続するには、Data Service_data-NFS_、および/or _data-cifs_が必要です。

例

Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

9.6.1より前のバージョンのONTAP では、_data -fpolicy-client_need not be set」を実行します。

Data Collectorの再生-一時停止

2つの新しい操作がコレクタのkebabメニューに表示されるようになりました(一時停止と再開)。

Data Collectorがin_running_stateの場合は、収集を一時停止できます。コレクターの「3つのドット」メニューを開き、一時停止を選択します。コレクタが一時停止している間は、ONTAPからデータが収集されず、コレクタからONTAPにデータが送信されません。つまり、ONTAPからデータコレクタへ、およびそこからCloud InsightsへのFPolicyイベントは流れません。

コレクタの一時停止中に新しいボリュームなどがONTAPに作成されると、ワークロードセキュリティでデータが収集されず、それらのボリュームなどがダッシュボードやテーブルに反映されないことに注意してください。

次の事項に注意してください。

スナップショットのパージは、一時停止中のコレクタに設定されている設定に従って実行されません。
一時停止したコレクタでEMSイベント（ONTAP ARPなど）は処理されません。つまり、ONTAPがランサムウェア攻撃を特定した場合、Cloud Insightsワークロードセキュリティはそのイベントを取得できません。
一時停止中のコレクタについては、ヘルス通知Eメールは送信されません。
一時停止中のコレクタでは'手動または自動のアクション(スナップショットやユーザーブロックなど)はサポートされません
エージェントまたはコレクタのアップグレード、エージェントVMの再起動/再起動、またはエージェントサービスの再起動時に、一時停止したコレクタは_Paused_stateのままになります。
データコレクタが_Error_stateの場合、コレクタを_Paused_stateに変更することはできません。Pauseボタンは'コレクタの状態が_running_の場合にのみ有効になります
エージェントが切断されている場合、コレクタを_Paused_stateに変更することはできません。コレクタが_stopped_stateになり、Pauseボタンが無効になります。

トラブルシューティング

既知の問題とその解決策を次の表に示します。

エラーの場合は、 Status_column で _more detail をクリックしてエラーの詳細を確認します。

問題	解決策：
Data Collector はしばらくの間実行され、ランダムな時刻の後に停止します。 "Error message: connector is in error state" というエラーメッセージが表示されます。サービス名： audit 。エラーの理由：外部 FPolicy サーバが過負荷状態です。」	ONTAP からのイベントレートは、 [ エージェント ] ボックスで処理できるイベントレートよりもはるかに高くなっています。そのため、接続が終了しました。切断が発生したときに、 CloudSecure でピークトラフィックを確認します。これは、 * CloudSecure > Activity Forensics > All Activity * ページで確認できます。集約されたトラフィックのピークが [ エージェント ] ボックスで処理できるトラフィックよりも大きい場合は、 [ エージェント ] ボックスでのコレクタ展開のサイズ設定方法に関する [ イベントレートチェッカー ] ページを参照してください。 2021年3月4日より前にAgentがAgentボックスにインストールされている場合は、Agentボックスで次のコマンドを実行します。 echo 'net.core.rmem_max=838608'>>/etc/sysctl.conf echo 'net.ipv4.tcp_rmem=4096 2097152 838608'>>/etc/sysctl.conf sysctl -p サイズ変更後にUIからコレクタを再起動します。
コレクタから「 No local IP address found on the Connector that can reach the data interfaces of the SVM 」というエラーメッセージが報告されます。	その理由としては、 ONTAP 側のネットワーク問題が考えられます。次の手順を実行してください。 1. SVMデータLIFまたは管理LIFに、SVMからの接続をブロックしているファイアウォールがないことを確認します。 2. クラスタ管理 IP を使用して SVM を追加する場合、 Agent VM から SVM のデータ LIF と管理 LIF に ping できることを確認します。問題が発生した場合は、 LIF のゲートウェイ、ネットマスク、およびルートを確認してください。また、クラスタ管理 IP を使用して SSH 経由でクラスタにログインし、エージェント IP に ping を実行することもできます。エージェントIPがping可能であることを確認します。 network ping -vserver <vserver name>-destination <Agent IP>-lif <Lif Name>-show-detail pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。 3. クラスタ IP 経由で接続しようとしたが動作しない場合は、 SVM IP 経由で直接接続してみます。SVM IP を使用して接続する手順については、上記を参照してください。 4. SVM の IP と vsadmin のクレデンシャルを使用してコレクタを追加するときに、 SVM の LIF で Data plus Mgmt ロールが有効になっていることを確認します。この場合、 SVM LIF に ping することは可能ですが、 SVM LIF への SSH は機能しません。「はい」の場合は、 SVM 管理のみの LIF を作成し、この SVM 管理のみの LIF を使用して接続してみてください。 5. まだ機能しない場合は、新しい SVM LIF を作成し、その LIF を介して接続します。サブネットマスクが正しく設定されていることを確認します。 6.高度なデバッグ: a）ONTAPでパケットトレースを開始します。 b）CloudSecure UIからSVMにデータコレクタを接続してみます。 c)エラーが表示されるまで待ちます。ONTAP でパケットトレースを停止します。 d）ONTAPからパケットトレースを開きます。この場所で入手できます \ https：//<cluster_mgmt_ip>/spi /<clustername>/etc/log/packet_traces/ e) ONTAPからエージェントボックスへのSYNがあることを確認します。 f）ONTAPからSYNがない場合は、ONTAPにファイアウォールがある問題です。 g) ONTAPでファイアウォールを開き、ONTAPがエージェントボックスに接続できるようにします。 7. まだ動作していない場合は、ネットワーキングチームに問い合わせて、 ONTAP からエージェントボックスへの接続が外部ファイアウォールによってブロックされていないことを確認してください。 8.ポート7が開いていることを確認します。 9.上記のいずれも問題を解決できない場合は、 "ネットアップサポート" を参照してください。
メッセージ： "[hostname:<IP Address>] の ONTAP タイプを特定できませんでした。理由：ストレージシステム <IP アドレス > への接続エラー：ホストに到達できません（ホストに到達できません） "	1. 正しい SVM IP 管理アドレスまたはクラスタ管理 IP が指定されていることを確認します。 2. 接続する SVM またはクラスタに SSH で接続します。接続が完了したら、 SVM またはクラスタ名が正しいことを確認してください。
エラーメッセージ：「コネクタにエラーがあります。service.name ：監査。失敗の理由：外部 FPolicy サーバが終了しました。」	1. 多くの場合、ファイアウォールがエージェントマシンの必要なポートをブロックしています。エージェントマシンが SVM から接続するために、ポート範囲 35000-55000/TCP を開いていることを確認します。また、 ONTAP 側からエージェントマシンへの通信をブロックするファイアウォールが有効になっていないことを確認します。 2. [ エージェント ] ボックスに次のコマンドを入力し、ポート範囲が開いていることを確認します。 _sudo iptables -save
grep 3500 _ 出力例は次のようになります。 -a in_public_allow -p tcp -m tcp — dport 35000 -m conntrack -ctstate new -j accept* 3.SVMにログインし、次のコマンドを入力して、ONTAPとの通信をブロックするファイアウォールが設定されていないことを確認します。 system services firewall show _ _system services firewall policy show _ "ファイアウォールコマンドをチェックしてください" を選択します。 ONTAP 4. 監視する SVM / クラスタに SSH で接続します。SVMデータLIFから[Agent]ボックスにpingを送信し（CIFSプロトコルとNFSプロトコルをサポート）、pingが動作していることを確認します。 _network ping -vserver <vserver name>-destination <Agent IP>-lif <Lif Name>-show-detail pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。 5. 1 つの SVM を 2 つのデータコレクタを使用してテナントに 2 回追加すると、このエラーが表示されます。UI を使用して、いずれかのデータコレクタを削除します。次に、 UI を使用して他のデータコレクタを再起動します。次に、データコレクタのステータスが「 running 」と表示され、 SVM からのイベントの受信が開始されます。基本的に、テナントでは、 1 つのデータコレクタで 1 つの SVM を追加します。1 つの SVM を 2 つのデータコレクタを使用して 2 回追加しないで 6.同じSVMが2つの異なるワークロードセキュリティ環境（テナント）に追加された場合は、最後の1つが常に成功します。2 つ目のコレクタは、独自の IP アドレスで FPolicy を設定し、最初の IP アドレスから開始します。そのため、最初のデータ収集ツールはイベントの受信を停止し、その「監査」サービスはエラー状態になります。これを回避するには、各 SVM を 1 つの環境に設定します。 7.このエラーは、サービスポリシーが正しく設定されていない場合にも発生する可能性があります。ONTAP 9.8以降では、データソースコレクタに接続するために、データサービスdata-fse-clientサービス、またはdata-cifsが必要です。さらに、監視対象SVMのデータLIFにdata-fsFPolicyクライアントサービスを関連付ける必要があります。	アクティビティページにイベントは表示されません。
1. ONTAP コレクタが「実行中」の状態かどうかを確認します。「はい」の場合は、一部のファイルを開いて、 CIFS クライアント VM 上で一部の CIFS イベントが生成されていることを確認します。 2. アクティビティが表示されない場合は、 SVM にログインして次のコマンドを入力してください。 source fpolicy<SVM> event log show -source fpolicy_ fpolicyに関連するエラーがないことを確認してください。 3. アクティビティが表示されない場合は、 SVM にログインしてください。次のコマンドを入力します。 <SVM> fpolicy show _ プレフィックスが「cloudsecure_」であるという名前のFPolicyポリシーが設定され、ステータスが「on」になっているかどうかを確認します。設定されていないと、 Agent が SVM でコマンドを実行できない可能性が高くなります。ページの先頭に記載されているすべての前提条件を満たしていることを確認してください。	SVM Data Collector がエラー状態で、エラーメッセージ「 Agent failed to connect to the collector 」
1. エージェントが過負荷になっており、データソースコレクタに接続できない可能性が高い。 2. エージェントに接続されているデータソースコレクタの数を確認します。 3. UI の［ All Activity ］ページでデータフローレートを確認します。 4. 1 秒あたりのアクティビティ数が非常に多い場合は、別のエージェントをインストールし、一部のデータソースコレクタを新しいエージェントに移動します。	SVM Data Collector で、「 fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" （ reason ： Select Timed Out" ）」というエラーメッセージが表示される
SVM / クラスタでファイアウォールが有効になっています。そのため、 FPolicy エンジンは FPolicy サーバに接続できません。詳細情報の取得に使用できるONTAPのCLIは次のとおりです。 event log show -source fpolicyでエラーを表示します event log show -source fpolicy -fields event、action、詳細を表示する説明。 "ファイアウォールコマンドをチェックしてください" を選択します。 ONTAP	エラーメッセージ : 「コネクタはエラー状態です。サービス名： audit 。失敗の理由： SVM で有効なデータインターフェイスが見つかりません（ロール：データ、データプロトコル： NFS か CIFS か、両方、ステータス：稼働）。」
動作インターフェイス（データプロトコルおよびデータプロトコルとして CIFS / NFS が設定されている）があることを確認してください。	データコレクタが Error 状態になり、しばらくしてから running 状態になり、 Error に戻ります。このサイクルが繰り返されます。
これは通常、次のシナリオで発生します。 1.複数のデータコレクタが追加されています。 2.このような動作を示すデータコレクタには、これらのデータコレクタにSVMが1つ追加されます。つまり、 2 つ以上のデータコレクタが 1 つの SVM に接続されます。 3. 1つのデータコレクタが1つのSVMにのみ接続されることを確認します。 4.同じSVMに接続されている他のデータコレクタを削除します。	コネクタでエラーが発生しています。サービス名： audit 。失敗の理由：（ SVM SVM 名のポリシー）を設定できませんでした。理由： 'fpolicy.scope-modify ： "federy" 内の 'shares-to-include' 要素に無効な値が指定されています
共有名は、引用符を付けずに指定する必要があります。ONTAP SVM DSC 設定を編集して共有名を修正します。 Include および exclude shares _ は、長い共有名のリストを対象としたものではありません。対象に含める共有や除外する共有が大量にある場合は、ボリュームでフィルタリングします。	クラスタに未使用の既存のポリシーがあります。ワークロードセキュリティをインストールする前に、これらのワークロードに対して何を行う必要がありますか？
切断状態の場合でも、既存の未使用の FPolicy 設定をすべて削除することを推奨します。ワークロードセキュリティで、プレフィックス「cloudsecure_」を付けてFPolicyを作成します。その他の未使用の FPolicy 設定はすべて削除できます。 fpolicy listを表示するCLIコマンド： fpolicy show FPolicy設定を削除する手順は次のとおりです。 fpolicy disable -vserver <svmname>-policy-name <policy_name> fpolicy policy scope delete -vserver <svmname>-policy-name <policy_name> fpolicy policy delete -vserver <svmname>-policy-name <policy_name> fpolicy policy event delete -vserver <svmname>-event-name <event_list> fpolicy policy external-engine delete -vserver <svmname>-engine-name <engine_name>	ワークロードセキュリティを有効にすると、ONTAP のパフォーマンスが低下します。レイテンシは一時的に上昇し、IOPSは散発的に低下します。
ワークロードセキュリティでONTAPを使用しているときに、ONTAPでレイテンシの問題が発生することがあります。これには、次のようないくつかの理由が考えられます。 "1372994"、 "1415152"、 "1438207"、 "1479704"、 "1354659"。これらの問題はすべてONTAP 9.13.1以降で解決されています。これらのいずれかのバージョンを使用することを強く推奨します。	データコレクタでエラーが発生し、次のエラーメッセージが表示されます。「エラー：コネクタがエラー状態です。サービス名： audit 。失敗の理由： SVM svm_backup でポリシーを設定できませんでした。理由： ZAPI フィールド：イベントに対して値が指定されていません。「
NFS サービスのみが設定された新しい SVM から開始します。ワークロードのセキュリティにONTAP SVMのデータコレクタを追加します。ワークロードセキュリティでONTAP SVMデータコレクタを追加する際、CIFSはSVMで許可されるプロトコルとして設定されます。ワークロードセキュリティのデータコレクタでエラーが表示されるまで待ちます。 SVMでCIFSサーバが設定されていないため、左側にあるエラーはワークロードのセキュリティに表示されます。 ONTAP SVM データコレクタを編集し、許可されたプロトコルとして CIFS のチェックを解除します。データコレクタを保存します。NFS プロトコルのみが有効な状態で実行が開始されます。	Data Collectorに次のエラーメッセージが表示されます。「Error：Failed to determine the health of the collector within 2 retries、try restarting the collector again（Error Code：AGENT008）」

問題

解決策：

Data Collector はしばらくの間実行され、ランダムな時刻の後に停止します。 "Error message: connector is in error state" というエラーメッセージが表示されます。サービス名： audit 。エラーの理由：外部 FPolicy サーバが過負荷状態です。」

ONTAP からのイベントレートは、 [ エージェント ] ボックスで処理できるイベントレートよりもはるかに高くなっています。そのため、接続が終了しました。

切断が発生したときに、 CloudSecure でピークトラフィックを確認します。これは、 * CloudSecure > Activity Forensics > All Activity * ページで確認できます。

集約されたトラフィックのピークが [ エージェント ] ボックスで処理できるトラフィックよりも大きい場合は、 [ エージェント ] ボックスでのコレクタ展開のサイズ設定方法に関する [ イベントレートチェッカー ] ページを参照してください。

2021年3月4日より前にAgentがAgentボックスにインストールされている場合は、Agentボックスで次のコマンドを実行します。

echo 'net.core.rmem_max=838608'>>/etc/sysctl.conf
echo 'net.ipv4.tcp_rmem=4096 2097152 838608'>>/etc/sysctl.conf
sysctl -p

サイズ変更後にUIからコレクタを再起動します。

コレクタから「 No local IP address found on the Connector that can reach the data interfaces of the SVM 」というエラーメッセージが報告されます。

その理由としては、 ONTAP 側のネットワーク問題が考えられます。次の手順を実行してください。

1. SVMデータLIFまたは管理LIFに、SVMからの接続をブロックしているファイアウォールがないことを確認します。

2. クラスタ管理 IP を使用して SVM を追加する場合、 Agent VM から SVM のデータ LIF と管理 LIF に ping できることを確認します。問題が発生した場合は、 LIF のゲートウェイ、ネットマスク、およびルートを確認してください。

また、クラスタ管理 IP を使用して SSH 経由でクラスタにログインし、エージェント IP に ping を実行することもできます。エージェントIPがping可能であることを確認します。

network ping -vserver <vserver name>-destination <Agent IP>-lif <Lif Name>-show-detail

pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。

3. クラスタ IP 経由で接続しようとしたが動作しない場合は、 SVM IP 経由で直接接続してみます。SVM IP を使用して接続する手順については、上記を参照してください。

4. SVM の IP と vsadmin のクレデンシャルを使用してコレクタを追加するときに、 SVM の LIF で Data plus Mgmt ロールが有効になっていることを確認します。この場合、 SVM LIF に ping することは可能ですが、 SVM LIF への SSH は機能しません。
「はい」の場合は、 SVM 管理のみの LIF を作成し、この SVM 管理のみの LIF を使用して接続してみてください。

5. まだ機能しない場合は、新しい SVM LIF を作成し、その LIF を介して接続します。サブネットマスクが正しく設定されていることを確認します。

6.高度なデバッグ:
a）ONTAPでパケットトレースを開始します。
b）CloudSecure UIからSVMにデータコレクタを接続してみます。
c)エラーが表示されるまで待ちます。ONTAP でパケットトレースを停止します。
d）ONTAPからパケットトレースを開きます。この場所で入手できます

\ https：//<cluster_mgmt_ip>/spi /<clustername>/etc/log/packet_traces/

e) ONTAPからエージェントボックスへのSYNがあることを確認します。
f）ONTAPからSYNがない場合は、ONTAPにファイアウォールがある問題です。
g) ONTAPでファイアウォールを開き、ONTAPがエージェントボックスに接続できるようにします。

7. まだ動作していない場合は、ネットワーキングチームに問い合わせて、 ONTAP からエージェントボックスへの接続が外部ファイアウォールによってブロックされていないことを確認してください。

8.ポート7が開いていることを確認します。

9.上記のいずれも問題を解決できない場合は、 "ネットアップサポート" を参照してください。

メッセージ： "[hostname:<IP Address>] の ONTAP タイプを特定できませんでした。理由：ストレージシステム <IP アドレス > への接続エラー：ホストに到達できません（ホストに到達できません） "

1. 正しい SVM IP 管理アドレスまたはクラスタ管理 IP が指定されていることを確認します。
2. 接続する SVM またはクラスタに SSH で接続します。接続が完了したら、 SVM またはクラスタ名が正しいことを確認してください。

エラーメッセージ：「コネクタにエラーがあります。service.name ：監査。失敗の理由：外部 FPolicy サーバが終了しました。」

1. 多くの場合、ファイアウォールがエージェントマシンの必要なポートをブロックしています。エージェントマシンが SVM から接続するために、ポート範囲 35000-55000/TCP を開いていることを確認します。また、 ONTAP 側からエージェントマシンへの通信をブロックするファイアウォールが有効になっていないことを確認します。

2. [ エージェント ] ボックスに次のコマンドを入力し、ポート範囲が開いていることを確認します。

_sudo iptables -save

grep 3500 *_

出力例は次のようになります。

-a in_public_allow -p tcp -m tcp — dport 35000 -m conntrack -ctstate new -j accept

3.SVMにログインし、次のコマンドを入力して、ONTAPとの通信をブロックするファイアウォールが設定されていないことを確認します。

system services firewall show _
_system services firewall policy show _

"ファイアウォールコマンドをチェックしてください" を選択します。 ONTAP

4. 監視する SVM / クラスタに SSH で接続します。SVMデータLIFから[Agent]ボックスにpingを送信し（CIFSプロトコルとNFSプロトコルをサポート）、pingが動作していることを確認します。

_network ping -vserver <vserver name>-destination <Agent IP>-lif <Lif Name>-show-detail

pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。

5. 1 つの SVM を 2 つのデータコレクタを使用してテナントに 2 回追加すると、このエラーが表示されます。UI を使用して、いずれかのデータコレクタを削除します。次に、 UI を使用して他のデータコレクタを再起動します。次に、データコレクタのステータスが「 running 」と表示され、 SVM からのイベントの受信が開始されます。

基本的に、テナントでは、 1 つのデータコレクタで 1 つの SVM を追加します。1 つの SVM を 2 つのデータコレクタを使用して 2 回追加しないで

6.同じSVMが2つの異なるワークロードセキュリティ環境（テナント）に追加された場合は、最後の1つが常に成功します。2 つ目のコレクタは、独自の IP アドレスで FPolicy を設定し、最初の IP アドレスから開始します。そのため、最初のデータ収集ツールはイベントの受信を停止し、その「監査」サービスはエラー状態になります。
これを回避するには、各 SVM を 1 つの環境に設定します。

7.このエラーは、サービスポリシーが正しく設定されていない場合にも発生する可能性があります。ONTAP 9.8以降では、データソースコレクタに接続するために、データサービスdata-fse-clientサービス、またはdata-cifsが必要です。さらに、監視対象SVMのデータLIFにdata-fsFPolicyクライアントサービスを関連付ける必要があります。

アクティビティページにイベントは表示されません。

1. ONTAP コレクタが「実行中」の状態かどうかを確認します。「はい」の場合は、一部のファイルを開いて、 CIFS クライアント VM 上で一部の CIFS イベントが生成されていることを確認します。

2. アクティビティが表示されない場合は、 SVM にログインして次のコマンドを入力してください。
source fpolicy<SVM> event log show -source fpolicy_
fpolicyに関連するエラーがないことを確認してください。

3. アクティビティが表示されない場合は、 SVM にログインしてください。次のコマンドを入力します。
<SVM> fpolicy show _
プレフィックスが「cloudsecure_」であるという名前のFPolicyポリシーが設定され、ステータスが「on」になっているかどうかを確認します。設定されていないと、 Agent が SVM でコマンドを実行できない可能性が高くなります。ページの先頭に記載されているすべての前提条件を満たしていることを確認してください。

SVM Data Collector がエラー状態で、エラーメッセージ「 Agent failed to connect to the collector 」

1. エージェントが過負荷になっており、データソースコレクタに接続できない可能性が高い。
2. エージェントに接続されているデータソースコレクタの数を確認します。
3. UI の［ All Activity ］ページでデータフローレートを確認します。
4. 1 秒あたりのアクティビティ数が非常に多い場合は、別のエージェントをインストールし、一部のデータソースコレクタを新しいエージェントに移動します。

SVM Data Collector で、「 fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" （ reason ： Select Timed Out" ）」というエラーメッセージが表示される

SVM / クラスタでファイアウォールが有効になっています。そのため、 FPolicy エンジンは FPolicy サーバに接続できません。
詳細情報の取得に使用できるONTAPのCLIは次のとおりです。

event log show -source fpolicyでエラーを表示します
event log show -source fpolicy -fields event、action、詳細を表示する説明。

"ファイアウォールコマンドをチェックしてください" を選択します。 ONTAP

エラーメッセージ : 「コネクタはエラー状態です。サービス名： audit 。失敗の理由： SVM で有効なデータインターフェイスが見つかりません（ロール：データ、データプロトコル： NFS か CIFS か、両方、ステータス：稼働）。」

動作インターフェイス（データプロトコルおよびデータプロトコルとして CIFS / NFS が設定されている）があることを確認してください。

データコレクタが Error 状態になり、しばらくしてから running 状態になり、 Error に戻ります。このサイクルが繰り返されます。

これは通常、次のシナリオで発生します。
1.複数のデータコレクタが追加されています。
2.このような動作を示すデータコレクタには、これらのデータコレクタにSVMが1つ追加されます。つまり、 2 つ以上のデータコレクタが 1 つの SVM に接続されます。
3. 1つのデータコレクタが1つのSVMにのみ接続されることを確認します。
4.同じSVMに接続されている他のデータコレクタを削除します。

コネクタでエラーが発生しています。サービス名： audit 。失敗の理由：（ SVM SVM 名のポリシー）を設定できませんでした。理由： 'fpolicy.scope-modify ： "federy" 内の 'shares-to-include' 要素に無効な値が指定されています

共有名は、引用符を付けずに指定する必要があります。ONTAP SVM DSC 設定を編集して共有名を修正します。

Include および exclude shares _ は、長い共有名のリストを対象としたものではありません。対象に含める共有や除外する共有が大量にある場合は、ボリュームでフィルタリングします。

クラスタに未使用の既存のポリシーがあります。ワークロードセキュリティをインストールする前に、これらのワークロードに対して何を行う必要がありますか？

切断状態の場合でも、既存の未使用の FPolicy 設定をすべて削除することを推奨します。ワークロードセキュリティで、プレフィックス「cloudsecure_」を付けてFPolicyを作成します。その他の未使用の FPolicy 設定はすべて削除できます。

fpolicy listを表示するCLIコマンド：

fpolicy show

FPolicy設定を削除する手順は次のとおりです。

fpolicy disable -vserver <svmname>-policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname>-policy-name <policy_name>
fpolicy policy delete -vserver <svmname>-policy-name <policy_name>
fpolicy policy event delete -vserver <svmname>-event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname>-engine-name <engine_name>

ワークロードセキュリティを有効にすると、ONTAP のパフォーマンスが低下します。レイテンシは一時的に上昇し、IOPSは散発的に低下します。

ワークロードセキュリティでONTAPを使用しているときに、ONTAPでレイテンシの問題が発生することがあります。これには、次のようないくつかの理由が考えられます。 "1372994"、 "1415152"、 "1438207"、 "1479704"、 "1354659"。これらの問題はすべてONTAP 9.13.1以降で解決されています。これらのいずれかのバージョンを使用することを強く推奨します。

データコレクタでエラーが発生し、次のエラーメッセージが表示されます。
「エラー：コネクタがエラー状態です。サービス名： audit 。失敗の理由： SVM svm_backup でポリシーを設定できませんでした。理由： ZAPI フィールド：イベントに対して値が指定されていません。「

NFS サービスのみが設定された新しい SVM から開始します。
ワークロードのセキュリティにONTAP SVMのデータコレクタを追加します。ワークロードセキュリティでONTAP SVMデータコレクタを追加する際、CIFSはSVMで許可されるプロトコルとして設定されます。
ワークロードセキュリティのデータコレクタでエラーが表示されるまで待ちます。
SVMでCIFSサーバが設定されていないため、左側にあるエラーはワークロードのセキュリティに表示されます。
ONTAP SVM データコレクタを編集し、許可されたプロトコルとして CIFS のチェックを解除します。データコレクタを保存します。NFS プロトコルのみが有効な状態で実行が開始されます。

Data Collectorに次のエラーメッセージが表示されます。
「Error：Failed to determine the health of the collector within 2 retries、try restarting the collector again（Error Code：AGENT008）」

それでも問題が解決しない場合は、 [ ヘルプ ]>[ サポート *] ページに記載されているサポートリンクにアクセスしてください。