日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVMデータコレクターの設定

10/14/2025 共同作成者

PDF

ONTAP SVM データコレクターを使用すると、Workload Security はNetApp ONTAPストレージ仮想マシン (SVM) 上のファイルおよびユーザーアクセスアクティビティを監視できます。このガイドでは、 ONTAP環境の包括的なセキュリティ監視を実現するための SVM データコレクターの構成と管理について説明します。

グローバルな変更はONTAPシステムに影響を及ぼす可能性があります。多数のデータコレクターに影響する変更は、オフピーク時間帯に行うことを強くお勧めします。

開始する前に

このデータコレクターは以下でサポートされています。
- Data ONTAP 9.2 以降のバージョン。最高のパフォーマンスを得るには、 Data ONTAPバージョン 9.13.1 以降を使用してください。
- SMB プロトコルバージョン 3.1 以前。
- NFS 4.1 までの NFS バージョン (NFS 4.1 はONTAP 9.15 以降でサポートされます)。
- FlexgroupはONTAP 9.4以降のバージョンでサポートされています
- FlexCache は、 ONTAP 9.7 以降のバージョンの NFS でサポートされます。
- FlexCache は、 ONTAP 9.14.1 以降のバージョンの SMB でサポートされます。
- ONTAP Selectがサポートされています
データ型 SVM のみがサポートされます。無限ボリュームを持つ SVM はサポートされていません。
SVM にはいくつかのサブタイプがあります。これらのうち、default、sync_source、および sync_destination のみがサポートされています。
エージェント"設定する必要があります"データコレクターを構成する前に。
ユーザーディレクトリコネクタが適切に構成されていることを確認してください。適切に構成されていない場合、「アクティビティフォレンジック」ページのイベントには、実際のユーザーの名前 (Active Directory に保存されている名前) ではなく、エンコードされたユーザー名が表示されます。
• ONTAP永続ストアは 9.14.1 からサポートされます。
最適なパフォーマンスを得るために、FPolicyサーバをストレージシステムと同一のサブネットに設定することを推奨します。
次の 2 つの方法のいずれかを使用して SVM を追加する必要があります。
- クラスタ IP、SVM 名、クラスタ管理ユーザー名とパスワードを使用します。 これが推奨される方法です。
  - SVM 名はONTAPに表示されているものと完全に一致している必要があり、大文字と小文字が区別されます。
- SVM Vserver管理IP、ユーザー名、パスワードを使用する
- 完全な管理者クラスタ/SVM管理ユーザー名とパスワードを使用できない場合、または使用したくない場合は、以下に記載されているように、より低い権限を持つカスタムユーザーを作成できます。「権限に関する注意事項」以下のセクションをご覧ください。このカスタムユーザーは、SVM またはクラスタアクセス用に作成できます。
  - o 以下の「権限に関する注意」セクションで説明されているように、少なくとも csrole の権限を持つロールを持つ AD ユーザーを使用することもできます。また、"ONTAPのドキュメント" 。
次のコマンドを実行して、SVM に正しいアプリケーションが設定されていることを確認します。
```
clustershell:> security login show -vserver <vservername> -user-or-group-name <username>
```

出力例: SVMコマンド出力例

SVMにCIFSサーバが設定されていることを確認します: clustershell:> vserver cifs show

システムは、Vserver 名、CIFS サーバー名、および追加フィールドを返します。
SVM vsadmin ユーザーのパスワードを設定します。カスタムユーザーまたはクラスター管理者ユーザーを使用する場合は、この手順をスキップします。clustershell:> security login password -username vsadmin -vserver svmname
外部アクセス用に SVM vsadmin ユーザーのロックを解除します。カスタムユーザーまたはクラスター管理者ユーザーを使用する場合は、この手順をスキップします。clustershell:> security login unlock -username vsadmin -vserver svmname
データ LIF のファイアウォールポリシーが「mgmt」（「data」ではない）に設定されていることを確認します。専用の管理 LIF を使用して SVM を追加する場合は、この手順をスキップしてください。clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
ファイアウォールが有効になっている場合は、 Data ONTAPデータコレクターを使用するポートの TCP トラフィックを許可する例外を定義する必要があります。

見る"エージェントの要件"構成情報については。これは、オンプレミスのエージェントとクラウドにインストールされたエージェントに適用されます。
Cloud ONTAP SVM を監視するためにエージェントを AWS EC2 インスタンスにインストールする場合、エージェントとストレージは同じ VPC 内に存在する必要があります。別々の VPC にある場合は、VPC 間に有効なルートが必要です。

データコレクターの接続テスト

テスト接続機能 (2025 年 3 月に導入) は、 Data Infrastructure Insights (DII) ワークロードセキュリティでデータコレクターを設定するときに、エンドユーザーが障害の具体的な原因を特定できるようにすることを目的としています。これにより、ユーザーはネットワーク通信や役割の不足に関連する問題を自己修正できるようになります。

この機能は、データコレクターを設定する前に、ネットワーク関連のすべてのチェックが実施されているかどうかをユーザーが確認するのに役立ちます。さらに、 ONTAPでユーザーに割り当てられたONTAP のバージョン、ロール、および権限に基づいて、ユーザーがアクセスできる機能についても通知します。

ユーザーディレクトリコレクターではテスト接続はサポートされていません

接続テストの前提条件

この機能が完全に動作するには、クラスターレベルの認証情報が必要です。
SVM モードでは機能アクセスチェックはサポートされていません。
クラスター管理資格情報を使用している場合は、新しい権限は必要ありません。
カスタムユーザー (例: csuser) を使用している場合は、使用する機能の必須権限と機能固有の権限を指定します。

ワークロードセキュリティテスト接続ボタン

必ず確認してください権限以下のセクションも同様です。

接続をテストする

ユーザーはコレクターの追加/編集ページに移動し、クラスターレベルの詳細 (クラスターモードの場合) または SVM レベルの詳細 (SVM モードの場合) を入力して、[接続のテスト] ボタンをクリックできます。 Workload Security はリクエストを処理し、適切な成功または失敗のメッセージを表示します。

ワークロードセキュリティの「テスト接続」成功メッセージ

ユーザーアクセスブロックの前提条件

以下の点に留意してください"ユーザーアクセスのブロック":

この機能が動作するには、クラスターレベルの資格情報が必要です。

クラスター管理資格情報を使用している場合は、新しい権限は必要ありません。

ユーザーに権限が付与されたカスタムユーザー（たとえば、csuser）を使用している場合は、次の手順に従ってください。"ユーザーアクセスのブロック" Workload Security にユーザーをブロックする権限を与えます。

権限に関する注意事項

クラスタ管理IP経由で追加する場合の権限:

クラスタ管理管理者ユーザーを使用して Workload Security がONTAP SVM データコレクターにアクセスできるようにできない場合は、以下のコマンドに示すように、ロールを持つ「csuser」という名前の新しいユーザーを作成できます。クラスタ管理 IP を使用するように Workload Security データコレクターを構成するときは、ユーザー名「csuser」と「csuser」のパスワードを使用します。

注: カスタムユーザーのすべての機能権限に使用する単一のロールを作成できます。既存のユーザーが存在する場合は、まず次のコマンドを使用して既存のユーザーとロールを削除します。

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

新しいユーザーを作成するには、クラスタ管理管理者のユーザー名/パスワードを使用してONTAPにログインし、 ONTAPサーバーで次のコマンドを実行します。

security login role create -role csrole -cmddirname DEFAULT -access readonly

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Vserver 管理 IP 経由で追加する場合の権限:

クラスタ管理管理者ユーザーを使用して Workload Security がONTAP SVM データコレクターにアクセスできるようにできない場合は、以下のコマンドに示すように、ロールを持つ「csuser」という名前の新しいユーザーを作成できます。 Vserver 管理 IP を使用するように Workload Security データコレクターを構成するときは、ユーザー名「csuser」と「csuser」のパスワードを使用します。

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

新しいユーザーを作成するには、クラスタ管理管理者のユーザー名/パスワードを使用してONTAPにログインし、 ONTAPサーバーで次のコマンドを実行します。簡単にするために、これらのコマンドをテキストエディターにコピーし、<vservername> を Vserver 名に置き換えてから、 ONTAPでこれらのコマンドを実行します。

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none

security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

プロトコルバッファモード

このオプションがコレクターの_詳細設定_設定で有効になっている場合、Workload Security は FPolicy エンジンを protobuf モードで設定します。 Protobuf モードは、 ONTAPバージョン 9.15 以降でサポートされています。

この機能の詳細については、"ONTAPのドキュメント" 。

protobuf には特定の権限が必要です (これらの一部またはすべてが既に存在している可能性があります)。

クラスターモード:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Vserver モード:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

ONTAP Autonomous Ransomware Protection およびONTAPアクセスの権限が拒否されました

クラスター管理資格情報を使用している場合は、新しい権限は必要ありません。

ユーザーに権限が付与されたカスタムユーザー (たとえば、csuser) を使用している場合は、以下の手順に従って、Workload Security にONTAPから ARP 関連情報を収集する権限を付与します。

詳細については、以下をご覧ください。"ONTAPとの統合アクセスが拒否されました"

そして"ONTAP Autonomous Ransomware Protectionとの統合"

データコレクターを構成する

設定手順

Data Infrastructure Insights環境に管理者またはアカウント所有者としてログインします。
ワークロードセキュリティ > コレクター > +データコレクター をクリックします。

システムは利用可能なデータコレクターを表示します。
* NetApp SVM タイルにマウスを移動し、+ モニター をクリックします。

ONTAP SVM 設定ページが表示されます。各フィールドに必要なデータを入力します。

フィールド

説明

Name

データコレクターの一意の名前

エージェント

リストから構成済みのエージェントを選択します。

管理 IP 経由で接続:

クラスタIPまたはSVM管理IPのいずれかを選択します

クラスタ/SVM管理IPアドレス

上記の選択に応じて、クラスターまたは SVM の IP アドレス。

SVM 名

SVM の名前 (クラスタ IP 経由で接続する場合はこのフィールドが必須です)

ユーザー名

SVM/クラスターにアクセスするためのユーザー名。クラスター IP 経由で追加する場合のオプションは次のとおりです。1.クラスター管理者 2。「csuser」3. csuser と同様の役割を持つ AD ユーザー。 SVM IP 経由で追加する場合のオプションは次のとおりです: 4. vsadmin 5. 'csuser' 6。 csuser と同様の役割を持つ AD ユーザー名。

パスワード

上記のユーザー名のパスワード

シェア/ボリュームをフィルター

イベント収集に共有/ボリュームを含めるか除外するかを選択します

除外/含める完全な共有名を入力してください

イベント収集から除外または含める共有のコンマ区切りリスト（必要に応じて）

除外/含めるボリューム名を入力してください

イベント収集から除外または含めるボリュームのコンマ区切りリスト（必要に応じて）

フォルダーアクセスを監視する

チェックすると、フォルダーアクセス監視のイベントが有効になります。このオプションを選択しなくても、フォルダーの作成/名前変更および削除は監視されることに注意してください。これを有効にすると、監視されるイベントの数が増えます。

ONTAP送信バッファサイズを設定する

ONTAP Fpolicy 送信バッファサイズを設定します。 9.8p7 より前のONTAPバージョンを使用していてパフォーマンスの問題が発生する場合は、 ONTAP送信バッファサイズを変更してONTAP のパフォーマンスを向上させることができます。このオプションが表示されず、詳しく知りたい場合は、 NetAppサポートにお問い合わせください。

終了後の操作

「インストールされたデータコレクター」ページで、各コレクターの右側にあるオプションメニューを使用して、データコレクターを編集します。データコレクターを再起動したり、データコレクターの構成属性を編集したりできます。

MetroClusterの推奨構成

MetroClusterには以下が推奨されます。

2 つのデータコレクターを、1 つをソース SVM に、もう 1 つを宛先 SVM に接続します。
データコレクターは Cluster IP によって接続する必要があります。
いつでも、現在「実行中」の SVM のデータコレクターは「実行中」と表示されます。現在「停止」している SVM のデータコレクターは、Stopped として表示されます。
切り替えが発生するたびに、データコレクターの状態は 実行中 から停止に変わり、その逆も同様になります。
データコレクターが停止状態から実行状態に移行するまで最大 2 分かかります。

サービスポリシー

ONTAP *バージョン 9.9.1 以降*でサービスポリシーを使用する場合、データソースコレクターに接続するには、データサービス data-nfs や data-cifs とともに data-fpolicy-client サービスが必要です。

例：

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

ONTAP 9.9.1 より前のバージョンでは、data-fpolicy-client を設定する必要はありません。

再生・一時停止データコレクター

データコレクターが 実行中 状態の場合、収集を一時停止できます。コレクターの「3 つのドット」メニューを開き、[一時停止] を選択します。コレクターが一時停止している間は、 ONTAPからデータは収集されず、コレクターからONTAPにデータは送信されません。つまり、Fpolicy イベントはONTAPからデータコレクターに流れず、そこからData Infrastructure Insightsに流れません。

コレクターが一時停止中にONTAP上に新しいボリュームなどが作成された場合は、Workload Security はデータを収集せず、それらのボリュームなどはダッシュボードやテーブルに反映されないことに注意してください。

コレクターにユーザーが制限されている場合、コレクターを一時停止することはできません。コレクターを一時停止する前に、ユーザーアクセスを復元します。

次の事項に注意してください。

一時停止中のコレクターで構成された設定に従ってスナップショットの消去は実行されません。
EMS イベント ( ONTAP ARP など) は、一時停止中のコレクターでは処理されません。つまり、 ONTAP がランサムウェア攻撃を識別した場合、 Data Infrastructure Insights Workload Security はそのイベントを取得できません。
一時停止中のコレクターに対しては、ヘルス通知メールは送信されません。
一時停止中のコレクターでは、手動または自動のアクション (スナップショットやユーザーのブロックなど) はサポートされません。
エージェントまたはコレクターのアップグレード、エージェント VM の再起動、またはエージェントサービスの再起動が発生すると、一時停止中のコレクターは 一時停止 状態のままになります。
データコレクターが Error 状態の場合、コレクターを Paused 状態に変更することはできません。一時停止ボタンは、コレクターの状態が 実行中 の場合にのみ有効になります。
エージェントが切断されている場合、コレクターを 一時停止 状態に変更することはできません。コレクターは停止状態になり、[一時停止] ボタンは無効になります。

永続ストア

永続ストアはONTAP 9.14.1 以降でサポートされています。ボリューム名の指示はONTAP 9.14 と 9.15 で異なることに注意してください。

コレクターの編集/追加ページでチェックボックスを選択することで、永続ストアを有効にできます。チェックボックスを選択すると、ボリューム名を入力するためのテキストフィールドが表示されます。ボリューム名は、永続ストアを有効にするための必須フィールドです。

ONTAP 9.14.1 の場合、機能を有効にする前にボリュームを作成し、[ボリューム名] フィールドに同じ名前を入力する必要があります。推奨ボリュームサイズは 16 GB です。
ONTAP 9.15.1 の場合、Volume Name フィールドに指定された名前を使用して、コレクターによって 16 GB サイズのボリュームが自動的に作成されます。

永続ストアには特定の権限が必要です (これらの一部またはすべてが既に存在している可能性があります)。

クラスターモード:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Vserver モード:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

コレクターの移行

Workload Security コレクターをあるエージェントから別のエージェントに簡単に移行できるため、エージェント間でコレクターの負荷を効率的に分散できます。

前提条件

ソースエージェントは connected 状態である必要があります。
移行するコレクターは実行中状態である必要があります。

注：

移行は、データコレクターとユーザーディレクトリコレクターの両方でサポートされています。
手動で管理されるテナントでは、コレクターの移行はサポートされません。

移行コレクター

コレクターを移行するには、次の手順に従います。

「コレクターの編集」ページに移動します。
エージェントドロップダウンから宛先エージェントを選択します。
「コレクターを保存」ボタンをクリックします。

Workload Security がリクエストを処理します。移行が成功すると、ユーザーはコレクターリストページにリダイレクトされます。失敗した場合、編集ページに適切なメッセージが表示されます。

注意: 「コレクターの編集」ページで以前に行われた構成の変更は、コレクターが宛先エージェントに正常に移行されたときに適用されたままになります。

別のエージェントを選択してコレクターを移行する

トラブルシューティング

参照"SVMコレクターのトラブルシューティング"トラブルシューティングのヒントのページ。