Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVM Data Collector の設定

共同作成者 netapp-alavoie dgracenetapp pixelchrome
PDF

ONTAP SVM データ コレクターを使用すると、Workload Security はNetApp ONTAPストレージ仮想マシン (SVM) 上のファイルおよびユーザー アクセス アクティビティを監視できます。このガイドでは、 ONTAP環境の包括的なセキュリティ監視を実現するための SVM データ コレクターの前提条件、構成、管理について説明します。

開始する前に

  • このデータコレクタは、次の機能でサポートされています。

    • Data ONTAP 9.2 以降のバージョン最高のパフォーマンスを得るには、9.13.1よりも新しいバージョンのData ONTAPを使用してください。

    • SMBプロトコルバージョン3.1以前。

    • NFS 4.1以前のバージョン(ONTAP 9.15以降ではNFS 4.1がサポートされます)。

    • FlexGroup は ONTAP 9.4 以降のバージョンでサポートされます

    • ONTAP Select がサポートされています

  • サポートされるのはデータタイプの SVM のみです。Infinite Volume を備えた SVM はサポートされません。

  • SVM には複数のサブタイプがあります。このうち、サポートされるのは_DEFAULT_、SYNC_SOURE、および_SYNC_destination_のみです。

  • データコレクタを設定する前のAgent"を設定する必要があります"

  • ユーザディレクトリコネクタが正しく設定されていることを確認します。正しく設定されていないと、イベントはエンコードされたユーザ名で表示され、 Active Directory に保存されているユーザの実際の名前ではなく、 [Activity Forensics] ページに表示されます。

  • •ONTAP永続ストアは9.14.1以降でサポートされています。

  • 最適なパフォーマンスを得るには、FPolicyサーバをストレージシステムと同じサブネットに設定する必要があります。

  • 次のどちらかの方法で SVM を追加する必要があります。

    • クラスタ IP 、 SVM 名、およびクラスタ管理のユーザ名とパスワードを使用する。これは推奨される方法です。

      • SVM 名は ONTAP に表示されるとおりに指定する必要があり、大文字と小文字が区別されます。

    • SVM SVM 管理 IP 、ユーザ名、およびパスワードを使用する

    • 完全な管理者クラスタ/ SVM管理ユーザ名とパスワードを使用できない場合、または使用したくない場合は、以下のセクションで説明するように、Privilegesの小さいカスタムユーザを作成できます。「権限に関する注意事項」このカスタムユーザは、 SVM アクセスまたはクラスタアクセス用に作成できます。

      • o 以下の「権限に関するメモ」セクションに記載されているように、少なくとも csrole の権限を持つ役割を持つ AD ユーザを使用することもできます。も参照してください"ONTAPのドキュメント"

  • 次のコマンドを実行して、 SVM に正しいアプリケーションが設定されていることを確認します。

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

出力例:SVM コマンドの出力例

  • SVMにCIFSサーバが設定されていることを確認します。clustershell:> vserver cifs show

    Vserver 名、 CIFS サーバ名、およびその他のフィールドが返されます。

  • SVM の vsadmin ユーザのパスワードを設定します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順はスキップします。clustershell:> security login password -username vsadmin -vserver svmname

  • SVM の vsadmin ユーザの外部アクセスのロックを解除します。カスタムユーザまたはクラスタ管理者ユーザを使用する場合は、この手順はスキップします。clustershell:> security login unlock -username vsadmin -vserver svmname

  • データLIFのfirewall-policyが(「data」ではなく)「mgmt」に設定されていることを確認してください。専用の管理LIFを使用してSVMを追加する場合は、この手順をスキップします。clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • ファイアウォールが有効になっている場合は、 Data ONTAP データコレクタを使用してポートの TCP トラフィックを許可する例外を定義する必要があります。

    設定については、を参照してください"エージェントの要件"。この環境オンプレミスエージェントおよびクラウドにインストールされたエージェント。

  • Cloud ONTAP SVM を監視するために AWS EC2 インスタンスにエージェントがインストールされている場合は、そのエージェントとストレージが同じ VPC 内に存在する必要があります。これらのVPCが別 々 のVPCにある場合は、VPC間に有効なルートが必要です。

Test Connectivity for Data Collectors

The test connectivity feature (introduced March 2025) aims to help end users identify the specific causes of failures when setting up data collectors in Data Infrastructure Insights (DII) Workload Security. This allows the users to self-correct issues related to network communication or missing roles.

This feature will help users determine if all network-related checks are in place before setting up a data collector. Additionally, it will inform users about the features they can access based on the ONTAP version, roles, and permissions assigned to them in ONTAP.

メモ Test connectivity is not supported for User Directory collectors

Prerequisites for Connection Testing

  • Cluster level credentials are needed for this feature to work in full.

  • Feature access check is not supported in SVM mode.

  • クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。

  • If you are using a custom user (e.g., csuser), provide the mandatory permissions and feature specific permissions for the features you want to use.

workload security test connection button

Be sure to review the 権限 section below as well.

Test the Connection

The user can go to the add/edit collector page, enter the cluster level details (in Cluster Mode) or SVM level details (in SVM Mode), and click on the Test Connection button. Workload Security will then process the request and display an appropriate success or failure message.

Workload Security 'Test Connection' success message

ユーザアクセスブロックの前提条件

次の点に注意して"ユーザアクセスブロック"ください。

この機能を使用するには、クラスタレベルのクレデンシャルが必要です。

クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。

ユーザに付与された権限を持つカスタムユーザ(_csuser_など)を使用している場合は、の手順に従って、"ユーザアクセスブロック"ユーザをブロックする権限をワークロードセキュリティに付与します。

アクセス権に関する注意事項

クラスタ管理IPを使用して追加する場合の権限:

クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Cluster Management IPを使用するようにWorkload Securityデータコレクタを設定する場合は、「csuser」のユーザ名とパスワードを使用します。

注:カスタムユーザーのすべての機能権限に使用する1つのロールを作成できます。既存のユーザが存在する場合は、まず次のコマンドを使用して既存のユーザとロールを削除します。

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

SVM管理IP *を使用して追加する場合の権限:

クラスタ管理管理者ユーザがワークロードセキュリティを使用してONTAP SVMデータコレクタにアクセスできない場合は、次のコマンドに示すロールを持つ「csuser」という新しいユーザを作成できます。Workload SecurityデータコレクタでSVM管理IPを使用するように設定する場合は、「csuser」のユーザ名とパスワードを使用します。

注:カスタムユーザーのすべての機能権限に使用する1つのロールを作成できます。既存のユーザが存在する場合は、まず次のコマンドを使用して既存のユーザとロールを削除します。

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

新しいユーザを作成するには、クラスタ管理者のユーザ名とパスワードを使用して ONTAP にログインし、 ONTAP サーバで次のコマンドを実行します。これらのコマンドをテキストエディタにコピーし、 <vservername> を SVM 名に置き換えてから、 ONTAP で次のコマンドを実行します。

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

プロトタイプモード

コレクタの_Advanced Configuration_settingsでこのオプションを有効にすると、ワークロードセキュリティによってFPolicyエンジンがprotobufモードで設定されます。ProtobufモードはONTAPバージョン9.15以降でサポートされています。

この機能の詳細については、を参照して"ONTAPのドキュメント"ください。

protobufには特定の権限が必要です(これらの一部またはすべてがすでに存在する場合があります)。

クラスタモード:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
SVMモード:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

ONTAP Autonomous Ransomware Protectionの権限とONTAPへのアクセス拒否

クラスタ管理者のクレデンシャルを使用している場合、新しい権限は不要です。

ユーザに付与された権限でカスタムユーザ(_csuser_など)を使用している場合は、次の手順に従ってワークロードセキュリティにアクセス許可を付与し、ONTAP からARP関連情報を収集します。

詳細については、"ONTAPアクセス拒否との統合"

および "ONTAP によるランサムウェア対策との統合"

データコレクタを設定します

設定の手順

  1. Data Infrastructure Insights環境に管理者またはアカウント所有者としてログインします。

  2. [Workload Security]>[Collectors]>[+Data Collectors]*をクリックします。

    使用可能なデータコレクタが表示されます。

  3. NetApp SVM のタイルにカーソルを合わせ、 * + Monitor * をクリックします。

    ONTAP SVM の設定ページが表示されます。各フィールドに必要なデータを入力します。

フィールド

製品説明

名前

Data Collector の一意の名前

エージェント

リストから設定済みエージェントを選択します。

管理 IP 経由で接続:

クラスタ IP または SVM 管理 IP を選択します

クラスタ / SVM 管理 IP アドレス

上記の選択に応じて、クラスタまたは SVM の IP アドレス。

SVM 名

SVM の名前(このフィールドはクラスタ IP 経由で接続する場合は必須です)

ユーザ名

クラスタ IP を介して追加する場合に SVM / クラスタにアクセスするためのユーザ名。オプションは 1 です。cluster-admin 2.'csuser' 3.csuser と同様のロールを持つ ad-user 。SVM IPを使用して追加する場合のオプションは次のとおりです。4.vsadmin 5.'csuser' 6.csuser と同様のロールを持つ ad-username 。

パスワード

上記のユーザ名のパスワード

共有 / ボリュームをフィルタリングします

イベントコレクションに共有 / ボリュームを含めるか除外するかを選択します

除外または対象に含める共有名を入力します

イベント収集の対象から除外または対象に含める(必要に応じて)共有をカンマで区切ったリスト

除外または対象に含めるボリュームの完全な名前を入力します

イベント収集の対象から除外または対象に含めるボリュームをカンマで区切ったリスト

フォルダアクセスを監視します

オンにすると、フォルダアクセス監視のイベントが有効になります。このオプションを選択しなくても、フォルダの作成 / 名前変更および削除が監視されることに注意してください。これを有効にすると、監視されるイベントの数が増えます。

ONTAP 送信バッファサイズを設定します

ONTAP FPolicy 送信バッファのサイズを設定します。9.8p7 より前のバージョンの ONTAP を使用していて、 Performance 問題が表示された場合、 ONTAP 送信バッファサイズを変更して ONTAP のパフォーマンスを向上させることができます。このオプションが表示されない場合は、ネットアップサポートにお問い合わせください。
終了後

  • Installed Data Collectors ページで、各コレクタの右側にあるオプションメニューを使用してデータコレクタを編集します。データコレクタを再起動したり、データコレクタ設定の属性を編集したりできます。

MetroClusterの推奨構成

MetroClusterの推奨事項は次のとおりです。

  1. 2つのデータコレクタをソースSVMに、別のデータコレクタをデスティネーションSVMに接続します。

  2. データコレクタは、Cluster IP.によって接続する必要があります。

  3. いつでも、現在「実行中」の SVM のデータ コレクターは「実行中」と表示されます。現在「停止」している SVM のデータ コレクターは、Stopped として表示されます。

  4. 切り替えが発生するたびに、データ コレクターの状態は 実行中 から 停止 に変わり、その逆も同様になります。

  5. データ コレクターが 停止 状態から 実行 状態に移行するまで最大 2 分かかります。

サービスポリシー

ONTAP *バージョン9.9.1以降*でサービスポリシーを使用している場合、データソースコレクタに接続するには、データservice_data-nfs_、および/または_data-cifs_とともに_data-fpolicy-client_serviceが必要です。

例:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

9.6.1より前のバージョンのONTAP では、_data -fpolicy-client_need not be set」を実行します。

Data Collectorの再生-一時停止

Data Collectorがin_running_stateの場合は、収集を一時停止できます。コレクターの「3つのドット」メニューを開き、一時停止を選択します。コレクタが一時停止している間は、ONTAPからデータが収集されず、コレクタからONTAPにデータが送信されません。つまり、ONTAPからデータコレクタへ、およびそこからデータインフラストラクチャインサイトへのFPolicyイベントは流れません。

コレクタの一時停止中にONTAPに新しいボリュームなどが作成された場合、ワークロードセキュリティはデータを収集せず、それらのボリュームなどはダッシュボードやテーブルに反映されません。

メモ ユーザが制限されているコレクタは一時停止できません。コレクタを一時停止する前にユーザアクセスを復元します。

次の事項に注意してください。

  • スナップショットのパージは、一時停止中のコレクタに設定されている設定に従って実行されません。

  • ONTAP ARPなどのEMSイベントは、一時停止中のコレクタでは処理されません。これは、ONTAPがランサムウェア攻撃を特定した場合、データインフラ分析情報ワークロードセキュリティはそのイベントを取得できないことを意味します。

  • 一時停止中のコレクタについては、ヘルス通知Eメールは送信されません。

  • 一時停止中のコレクタでは'手動または自動のアクション(スナップショットやユーザーブロックなど)はサポートされません

  • エージェントまたはコレクタのアップグレード、エージェントVMの再起動/再起動、またはエージェントサービスの再起動時に、一時停止したコレクタは_Paused_stateのままになります。

  • データコレクタが_Error_stateの場合、コレクタを_Paused_stateに変更することはできません。Pauseボタンは'コレクタの状態が_running_の場合にのみ有効になります

  • エージェントが切断されている場合、コレクタを_Paused_stateに変更することはできません。コレクタが_stopped_stateになり、Pauseボタンが無効になります。

永続的ストア

永続的ストアは、ONTAP 9.14.1以降でサポートされます。ボリューム名の手順はONTAP 9.14~9.15では異なります。

永続ストアを有効にするには、コレクタの編集/追加ページでチェックボックスをオンにします。チェックボックスを選択すると、ボリューム名を受け入れるためのテキストフィールドが表示されます。永続的ストアを有効にするには、ボリューム名は必須フィールドです。

  • ONTAP 9.14.1では、この機能を有効にする前にボリュームを作成し、_Volume Name_フィールドに同じ名前を指定する必要があります。推奨されるボリュームサイズは16GBです。

  • ONTAP 9.15.1では、_Volume Name_フィールドに指定した名前を使用して、16GBのサイズでボリュームが自動的に作成されます。

Persistent Storeには特定の権限が必要です(これらの一部またはすべてがすでに存在する場合があります)。

クラスタモード:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

SVMモード:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

コレクタの移行

ワークロードセキュリティコレクタをエージェント間で簡単に移行できるため、エージェント間でコレクタの負荷を効率的に分散できます。

前提条件

  • ソースエージェントは_connected_stateである必要があります。

  • 移行するコレクタは、_running_stateである必要があります。

注:

  • 移行は、データコレクタとユーザディレクトリコレクタの両方でサポートされています。

  • コレクタの移行は、手動で管理するテナントではサポートされていません。

移行コレクタ

コレクタを移行するには、次の手順を実行します。

  1. 「コレクタの編集」ページに移動します。

  2. エージェントのドロップダウンから宛先エージェントを選択します。

  3. 「Save Collector」ボタンをクリックしてください。

ワークロードセキュリティが要求を処理します。移行が成功すると、ユーザーはコレクタリストページにリダイレクトされます。失敗した場合は、編集ページに適切なメッセージが表示されます。

注:以前に[Edit Collector]ページで行った設定変更は、コレクタが移行先エージェントに正常に移行されても適用されたままになります。

別のエージェントを選択してコレクタを移行する

トラブルシューティング

トラブルシューティングのヒントについては、ページを参照して"SVMコレクタのトラブルシューティング"ください。