Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVM Data Collectorのトラブルシューティング

共同作成者 netapp-alavoie
PDF

ワークロードセキュリティでは、データコレクタを使用して、デバイスからファイルとユーザのアクセスデータを収集します。ここでは、このコレクタの問題をトラブルシューティングするためのヒントを紹介します。

このコレクタの設定手順については、ページを参照してください"SVMコレクタの設定"

エラーが発生した場合は、[Installed Data Collectors]ページの[Status]列にある[More detail]をクリックして、エラーの詳細を確認できます。

Workload Security Collector Error More Detailリンク

ここでは、既知の問題とその解決策について説明します。

問題: Data Collectorがしばらく実行され、ランダムな時間が経過すると停止し、「エラーメッセージ:コネクタがエラー状態です。サービス名: audit 。エラーの理由:外部 FPolicy サーバが過負荷状態です。」

これを試してみてください: ONTAPからのイベントレートは、[エージェント]ボックスで処理できる値よりもはるかに高くなりました。そのため、接続が終了しました。

切断が発生したときに、 CloudSecure でピークトラフィックを確認します。これは、 * CloudSecure > Activity Forensics > All Activity * ページで確認できます。

集約されたトラフィックのピークが [ エージェント ] ボックスで処理できるトラフィックよりも大きい場合は、 [ エージェント ] ボックスでのコレクタ展開のサイズ設定方法に関する [ イベントレートチェッカー ] ページを参照してください。

2021年3月4日より前にAgentがAgentボックスにインストールされている場合は、Agentボックスで次のコマンドを実行します。

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

サイズ変更後にUIからコレクタを再起動します。

*問題:*コレクタから、「SVMのデータインターフェイスにアクセスできるコネクタにローカルIPアドレスが見つかりません」というエラーメッセージが報告されます。*これを試してみてください:*これは、ONTAP側のネットワークの問題が原因である可能性が高いです。次の手順を実行してください。

  1. SVM のデータ LIF または SVM からの接続をブロックしている管理 LIF にファイアウォールがないことを確認します。

  2. クラスタ管理IPを使用してSVMを追加する場合は、SVMのデータLIFと管理LIFがAgent VMからping可能であることを確認してください。問題が発生した場合は、 LIF のゲートウェイ、ネットマスク、およびルートを確認してください。

    また、クラスタ管理 IP を使用して SSH 経由でクラスタにログインし、エージェント IP に ping を実行することもできます。エージェントIPがping可能であることを確認します。

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。

  3. クラスタIP経由で接続しようとしたが機能しない場合は、SVM IP経由で直接接続してみてください。SVM IP を使用して接続する手順については、上記を参照してください。

  4. SVM IPおよびvsadminのクレデンシャルを使用してコレクタを追加する際に、SVM LIFでData plus Mgmtロールが有効になっているかどうかを確認します。この場合、 SVM LIF に ping することは可能ですが、 SVM LIF への SSH は機能しません。「はい」の場合は、 SVM 管理のみの LIF を作成し、この SVM 管理のみの LIF を使用して接続してみてください。

  5. それでも動作しない場合は、新しいSVM LIFを作成して、そのLIF経由で接続を試してください。サブネットマスクが正しく設定されていることを確認します。

  6. 高度なデバッグ:

    1. ONTAPでパケットトレースを開始します。

    2. CloudSecure UIからSVMにデータコレクタを接続してみます。

    3. エラーが表示されるまで待ちます。ONTAP でパケットトレースを停止します。

    4. ONTAPからパケットトレースを開きます。この場所で入手できます

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. ONTAPから[Agent]ボックスにSYNがあることを確認します。
.. ONTAPからSYNがない場合は、ONTAPのファイアウォールに問題があります。
.. ONTAPでファイアウォールを開き、ONTAPがエージェントボックスに接続できるようにします。

  7. それでも動作しない場合は、ネットワークチームに問い合わせて、外部ファイアウォールがONTAPからエージェントボックスへの接続をブロックしていないことを確認してください。

  8. 上記のいずれの方法でも問題が解決しない場合は、でケースをオープンしてサポートを依頼し"ネットアップサポート"ます。

問題:*メッセージ:「[hostname:<IP Address>のONTAPタイプを特定できませんでした。理由:ストレージシステム<IP Address>への接続エラー:ホストに到達できません(ホストに到達できません)"*この方法を試してください:

  1. 正しいSVM IP管理アドレスまたはクラスタ管理IPが指定されていることを確認します。

  2. 接続先のSVMまたはクラスタにSSH接続します。接続が完了したら、 SVM またはクラスタ名が正しいことを確認してください。

問題:*エラーメッセージ:"コネクタがエラー状態です。service.name :監査。失敗の理由:外部 FPolicy サーバが終了しました。」 これを試みなさい : *

  1. ファイアウォールがエージェントマシン内の必要なポートをブロックしている可能性があります。エージェントマシンが SVM から接続するために、ポート範囲 35000-55000/TCP を開いていることを確認します。また、 ONTAP 側からエージェントマシンへの通信をブロックするファイアウォールが有効になっていないことを確認します。

  2. [エージェント]ボックスに次のコマンドを入力し、ポート範囲が開いていることを確認します。

    sudo iptables-save | grep 3500*

    出力例は次のようになります。

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. SVM にログインし、次のコマンドを入力して、 ONTAP との通信をブロックするファイアウォールが設定されていないことを確認します。
    system services firewall show
system services firewall policy show

    "ファイアウォールコマンドをチェックしてください"ONTAP側。

  3. 監視するSVM /クラスタにSSHで接続します。SVMデータLIFから[Agent]ボックスにpingを送信し(CIFSプロトコルとNFSプロトコルをサポート)、pingが動作していることを確認します。

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    pingできない場合は、ONTAPのネットワーク設定が正しいことを確認して、エージェントマシンにpingできるようにします。

  4. 1つのSVMが2つのデータコレクタを使用してテナントに2回追加された場合、このエラーが表示されます。UI を使用して、いずれかのデータコレクタを削除します。次に、 UI を使用して他のデータコレクタを再起動します。次に、データコレクタのステータスが「 running 」と表示され、 SVM からのイベントの受信が開始されます。

    基本的に、テナントでは、 1 つのデータコレクタで 1 つの SVM を追加します。1 つの SVM を 2 つのデータコレクタを使用して 2 回追加しないで

  5. 同じSVMを2つの異なるワークロードセキュリティ環境(テナント)に追加した場合、最後のSVMは常に成功します。2 つ目のコレクタは、独自の IP アドレスで FPolicy を設定し、最初の IP アドレスから開始します。そのため、最初のデータ収集ツールはイベントの受信を停止し、その「監査」サービスはエラー状態になります。これを回避するには、各 SVM を 1 つの環境に設定します。

  6. このエラーは、サービスポリシーが正しく設定されていない場合にも発生することがあります。ONTAP 9.8以降では、データソースコレクタに接続するために、データサービスdata-fse-clientサービス、またはdata-cifsが必要です。さらに、監視対象SVMのデータLIFにdata-fsFPolicyクライアントサービスを関連付ける必要があります。

問題:*アクティビティページにイベントが表示されません。 これを試みなさい : *

  1. ONTAPコレクタが「running」状態になっているかどうかを確認します。「はい」の場合は、一部のファイルを開いて、 CIFS クライアント VM 上で一部の CIFS イベントが生成されていることを確認します。

  2. 処理が表示されない場合は、SVMにログインして次のコマンドを入力してください。

    <SVM>event log show -source fpolicy

    fpolicyに関連するエラーがないことを確認してください。

  3. アクティビティが表示されない場合は、SVMにログインしてください。次のコマンドを入力します。

    <SVM>fpolicy show

    プレフィックスが「cloudsecure_」であるという名前のFPolicyポリシーが設定され、ステータスが「on」になっているかどうかを確認します。設定されていないと、 Agent が SVM でコマンドを実行できない可能性が高くなります。ページの先頭に記載されているすべての前提条件を満たしていることを確認してください。

問題: SVM Data Collectorがエラー状態で、エラーメッセージが「Agent failed to connect to the collector」次を試してください:

  1. エージェントが過負荷状態であり、データソースコレクタに接続できない可能性があります。

  2. Agentに接続されているデータソースコレクタの数を確認します。

  3. また、UIの[All Activity]ページでデータフローレートを確認します。

  4. 1秒あたりのアクティビティ数が非常に多い場合は、別のエージェントをインストールし、一部のデータソースコレクタを新しいエージェントに移動します。

問題: SVM Data Collectorに、「fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server」12.195.15.146(理由:「Select Timed Out」)というエラーメッセージが表示される*試してみてください:*ファイアウォールはSVM /クラスタで有効になっています。そのため、 FPolicy エンジンは FPolicy サーバに接続できません。詳細情報の取得に使用できるONTAPのCLIは次のとおりです。

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"ファイアウォールコマンドをチェックしてください"ONTAP側。

*問題:*エラーメッセージ:「コネクタがエラー状態です。サービス名: audit 。失敗の理由: SVM で有効なデータインターフェイスが見つかりません(ロール:データ、データプロトコル: NFS か CIFS か、両方、ステータス:稼働)。」*これを試してみてください。*動作可能なインターフェイス(データおよびデータプロトコルとしての役割を持つCIFS/NFS)があることを確認してください。

*問題:*データコレクタがエラー状態になり、しばらくすると実行状態になり、再びエラーに戻ります。このサイクルが繰り返されます。*これを試してみてください:*これは通常、次のシナリオで発生します。

  1. データコレクタが複数追加されています。

  2. このような動作を示すデータコレクタでは、1つのSVMがこれらのデータコレクタに追加されます。つまり、 2 つ以上のデータコレクタが 1 つの SVM に接続されます。

  3. 1つのデータコレクタを1つのSVMだけに接続する

  4. 同じSVMに接続されている他のデータコレクタを削除します。

問題:*コネクターがエラー状態です。サービス名: audit 。失敗の理由:( SVM SVM 名のポリシー)を設定できませんでした。理由:「fpolicy.policy.scope-modify」内の「shares-to-include」要素に無効な値が指定されています:「Federal」*試用:*共有名は引用符なしで指定する必要があります。ONTAP SVM DSC 設定を編集して共有名を修正します。

Include および exclude shares _ は、長い共有名のリストを対象としたものではありません。対象に含める共有や除外する共有が大量にある場合は、ボリュームでフィルタリングします。

*問題:*クラスタに未使用の既存のFPolicyポリシーがあります。ワークロードセキュリティをインストールする前に、これらのワークロードに対して何を行う必要がありますか?*使用してみてください:*未使用の既存のfpolicy設定は、切断された状態であってもすべて削除することを推奨します。ワークロードセキュリティで、プレフィックス「cloudsecure_」を付けてFPolicyを作成します。その他の未使用の FPolicy 設定はすべて削除できます。

fpolicy listを表示するCLIコマンド:

 fpolicy show
FPolicy設定を削除する手順は次のとおりです。
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|ワークロードセキュリティを有効にすると、ONTAPのパフォーマンスが低下します。レイテンシが散発的に高くなり、IOPSが散発的に低くなります。|ワークロードセキュリティでONTAPを使用しているときに、ONTAPでレイテンシの問題が発生することがあります。これには"1372994"、、 "1415152" "1438207"、、 "1479704"に記載されているように、いくつかの理由が考えられます。 "1354659"これらの問題はすべてONTAP 9.13.1以降で解決されています。これらのいずれかのバージョンを使用することを強く推奨します。

問題:*データコレクタにエラーがあり、このエラーメッセージが表示されます。「エラー:コネクタがエラー状態です。サービス名: audit 。失敗の理由: SVM svm_backup でポリシーを設定できませんでした。理由: ZAPI フィールド:イベントに対して値が指定されていません。“*これを試してみてください:

  1. NFS サービスのみが設定された新しい SVM から開始します。

  2. ワークロードのセキュリティにONTAP SVMのデータコレクタを追加します。ワークロードセキュリティでONTAP SVMデータコレクタを追加する際、CIFSはSVMで許可されるプロトコルとして設定されます。

  3. ワークロードセキュリティのデータコレクタでエラーが表示されるまで待ちます。

  4. SVMでCIFSサーバが設定されていないため、左側にあるエラーはワークロードのセキュリティに表示されます。

  5. ONTAP SVM データコレクタを編集し、許可されたプロトコルとして CIFS のチェックを解除します。データコレクタを保存します。NFS プロトコルのみが有効な状態で実行が開始されます。

問題: Data Collectorに「Error: Failed to determine the health of the collector within 2 retries, try restarting the collector again(エラーコード:AGENT008)」というエラーメッセージが表示される。* これを試みなさい : *

  1. [ データコレクタ ] ページで、エラーが表示されているデータコレクタの右にスクロールし、 3 つのドットメニューをクリックします。選択した編集 _ 。データコレクタのパスワードをもう一度入力します。[Save] ボタンを押して、データコレクタを保存します。Data Collector が再起動し、エラーが解決されます。

  2. Agentマシンに十分なCPUまたはRAMヘッドルームがない可能性があるため、DSCに障害が発生しています。マシンのエージェントに追加されているデータコレクタの数を確認してください。20を超える場合は、エージェントマシンのCPUとRAM容量を増やしてください。CPUとRAMが増加すると、DSCは初期化状態になり、その後自動的に実行状態になります。のサイジングガイドを参照してください"このページです"

問題: SVMモードを選択するとData Collectorがエラー終了します。試してみてください: SVMモードで接続中に、SVM管理IPではなくクラスタ管理IPを使用して接続すると接続エラーが発生します。正しいSVM IPが使用されていることを確認します。

*問題:*アクセス拒否機能が有効になっていると、データコレクタにエラーメッセージが表示される:「コネクタがエラー状態です。サービス名: audit 。失敗理由:SVM test_svmでfpolicyを設定できませんでした。理由:ユーザーは許可されていません。"*試してみてください:*アクセス拒否機能に必要なREST権限がユーザにない可能性があります。の手順に従って権限を設定してください"このページです"

権限が設定されたら、コレクタを再起動します。

それでも問題が解決しない場合は、 [ ヘルプ ]>[ サポート *] ページに記載されているサポートリンクにアクセスしてください。