Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVM データコレクタのトラブルシューティング

共同作成者 netapp-alavoie
PDF

Workload Security はデータ コレクターを使用して、デバイスからファイルおよびユーザー アクセス データを収集します。ここでは、このコレクターに関する問題のトラブルシューティングのヒントを見つけることができます。

参照"SVMコレクターの設定"このコレクターを構成する手順については、このページをご覧ください。

エラーが発生した場合は、「インストールされたデータ コレクター」ページの [ステータス] 列の [詳細] をクリックすると、エラーの詳細が表示されます。

ワークロード セキュリティ コレクター エラーの詳細リンク

既知の問題とその解決策を以下に説明します。

問題: データ コレクターがしばらく実行され、ランダムな時間の経過後に停止し、次のエラーが発生します: 「エラー メッセージ: コネクタがエラー状態です。サービス名: 監査。失敗の理由: 外部ポリシー サーバーが過負荷です。

これを試してください: ONTAPからのイベント レートは、エージェント ボックスが処理できるレートよりもはるかに高かったです。そのため接続は終了しました。

切断が発生したときの CloudSecure のピーク トラフィックを確認します。これは、CloudSecure > アクティビティフォレンジック > すべてのアクティビティ ページから確認できます。

ピーク集約トラフィックがエージェント ボックスで処理できる量を超える場合は、エージェント ボックスでのコレクター展開のサイズ設定方法について、イベント レート チェッカー ページを参照してください。

2021 年 3 月 4 日より前にエージェントがエージェント ボックスにインストールされていた場合は、エージェント ボックスで次のコマンドを実行します。

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

サイズ変更後、UI からコレクターを再起動します。

問題: コレクターがエラー メッセージを報告します: 「SVM のデータ インターフェイスに到達できるコネクタにローカル IP アドレスが見つかりません」。 これを試してください: これは、 ONTAP側のネットワークの問題が原因である可能性が最も高いです。次の手順に従ってください。

  1. SVM データ LIF または管理 LIF に SVM からの接続をブロックするファイアウォールがないことを確認します。

  2. クラスタ管理 IP 経由で SVM を追加する場合は、SVM のデータ LIF と管理 LIF がエージェント VM から ping 可能であることを確認してください。問題が発生した場合は、LIF のゲートウェイ、ネットマスク、ルートを確認してください。

    クラスター管理 IP を使用して ssh 経由でクラスターにログインし、エージェント IP に ping を実行することもできます。エージェント IP が ping 可能であることを確認します。

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    ping できない場合は、エージェント マシンが ping 可能であるように、 ONTAPのネットワーク設定が正しいことを確認します。

  3. クラスタ IP 経由で接続しようとしたが機能しない場合は、SVM IP 経由で直接接続してみてください。 SVM IP 経由で接続する手順については上記を参照してください。

  4. SVM IP および vsadmin 資格情報を使用してコレクターを追加するときに、SVM Lif でデータ プラス Mgmt ロールが有効になっているかどうかを確認します。この場合、SVM Lif への ping は機能しますが、SVM Lif への SSH は機能しません。はいの場合は、SVM 管理専用 Lif を作成し、この SVM 管理専用 Lif 経由で接続してみます。

  5. それでも動作しない場合は、新しい SVM Lif を作成し、その Lif を介して接続してみてください。サブネットマスクが正しく設定されていることを確認してください。

  6. 高度なデバッグ:

    1. ONTAPでパケット トレースを開始します。

    2. CloudSecure UI からデータ コレクターを SVM に接続してみます。

    3. エラーが表示されるまでお待ちください。 ONTAPでパケット トレースを停止します。

    4. ONTAPからパケット トレースを開きます。この場所で入手可能です

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. ONTAPからエージェント ボックスへの SYN があることを確認します。
.. ONTAPからの SYN がない場合、それはONTAPのファイアウォールに問題があります。
.. ONTAPでファイアウォールを開き、 ONTAP がエージェント ボックスに接続できるようにします。

  7. それでも動作しない場合は、ネットワーク チームに相談して、 ONTAPからエージェント ボックスへの接続が外部ファイアウォールによってブロックされていないことを確認してください。

  8. 上記のいずれの方法でも問題が解決しない場合は、"NetApp サポート"さらにサポートが必要な場合はお問い合わせください。

問題: メッセージ:「[ホスト名: <IP アドレス>] のONTAPタイプを判別できませんでした。理由: ストレージ システム <IP アドレス> への接続エラー: ホストに到達できません (ホストに到達できません)" 次を試してください:

  1. 正しい SVM IP 管理アドレスまたはクラスタ管理 IP が指定されていることを確認します。

  2. 接続先の SVM またはクラスターに SSH で接続します。接続したら、SVM またはクラスター名が正しいことを確認します。

問題: エラー メッセージ:「コネクタはエラー状態です。サービス名: 監査。失敗の理由: 外部ポリシー サーバーが終了しました。 これを試してみてください:

  1. おそらく、ファイアウォールがエージェント マシンの必要なポートをブロックしていると考えられます。エージェント マシンが SVM から接続できるように、ポート範囲 35000 ~ 55000/tcp が開かれていることを確認します。また、 ONTAP側でエージェント マシンへの通信をブロックするファイアウォールが有効になっていないことも確認してください。

  2. エージェント ボックスに次のコマンドを入力し、ポート範囲が開いていることを確認します。

    sudo iptables-save | grep 3500*

    サンプル出力は次のようになります。

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. SVM にログインし、次のコマンドを入力して、 ONTAPとの通信をブロックするファイアウォールが設定されていないことを確認します。
    system services firewall show
system services firewall policy show

    "ファイアウォールコマンドを確認する"ONTAP側で。

  3. 監視する SVM/クラスターに SSH で接続します。 SVM データ LIF (CIFS、NFS プロトコルをサポート) からエージェント ボックスに ping を実行し、ping が機能していることを確認します。

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    ping できない場合は、エージェント マシンが ping 可能であるように、 ONTAPのネットワーク設定が正しいことを確認します。

  4. 1 つの SVM が 2 つのデータ コレクターを介してテナントに 2 回追加されると、このエラーが表示されます。 UI を通じてデータ コレクターの 1 つを削除します。次に、UI を介して他のデータ コレクターを再起動します。その後、データ コレクターは「実行中」ステータスを表示し、SVM からのイベントの受信を開始します。

    基本的に、テナントでは、1 つのデータ コレクターを介して 1 つの SVM を 1 回だけ追加する必要があります。 1 つの SVM を 2 つのデータ コレクター経由で 2 回追加しないでください。

  5. 同じ SVM が 2 つの異なる Workload Security 環境 (テナント) に追加された場合には、最後の SVM が常に成功します。 2 番目のコレクターは独自の IP アドレスを使用して fpolicy を設定し、最初のコレクターを排除します。したがって、最初のコレクターはイベントの受信を停止し、その「監査」サービスはエラー状態になります。これを防ぐには、各 SVM を単一の環境で構成します。

  6. サービス ポリシーが正しく構成されていない場合にも、このエラーが発生する可能性があります。 ONTAP 9.8 以降では、データ ソース コレクターに接続するには、データ サービス data-nfs や data-cifs とともに、data-fpolicy-client サービスが必要です。さらに、data-fpolicy-client サービスは、監視対象 SVM のデータ lif に関連付けられている必要があります。

問題: アクティビティ ページにイベントが表示されません。 これを試してみてください:

  1. ONTAPコレクターが「RUNNING」状態であるかどうかを確認します。はいの場合は、いくつかのファイルを開いて、CIFS クライアント VM 上でいくつかの CIFS イベントが生成されていることを確認します。

  2. アクティビティが見られない場合は、SVM にログインして次のコマンドを入力してください。

    <SVM>event log show -source fpolicy

    fpolicy に関連するエラーがないことを確認してください。

  3. アクティビティが見られない場合は、SVM にログインしてください。次のコマンドを入力します。

    <SVM>fpolicy show

    プレフィックス「cloudsecure_」で名前が付けられた fpolicy ポリシーが設定されており、ステータスが「オン」になっているかどうかを確認します。設定されていない場合、エージェントは SVM でコマンドを実行できない可能性が高くなります。ページの冒頭に記載されているすべての前提条件が満たされていることを確認してください。

問題: SVM データ コレクターがエラー状態にあり、エラー メッセージは「エージェントがコレクターへの接続に失敗しました」です。 次の操作を試してください:

  1. おそらく、エージェントが過負荷になっており、データ ソース コレクターに接続できない状態です。

  2. エージェントに接続されているデータ ソース コレクターの数を確認します。

  3. また、UI の「すべてのアクティビティ」ページでデータ フロー レートを確認します。

  4. 1 秒あたりのアクティビティ数が非常に多い場合は、別のエージェントをインストールし、一部のデータ ソース コレクターを新しいエージェントに移動します。

問題: SVM データ コレクターに「fpolicy.server.connectError: ノードは FPolicy サーバー「12.195.15.146」との接続を確立できませんでした (理由:「選択がタイムアウトしました」)」というエラー メッセージが表示されます。 次のことを試してください: SVM/クラスターでファイアウォールが有効になっています。そのため、fpolicy エンジンは fpolicy サーバーに接続できません。詳細情報を取得するために使用できるONTAPの CLI は次のとおりです。

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"ファイアウォールコマンドを確認する"ONTAP側で。

問題: エラー メッセージ:「コネクタはエラー状態です。サービス名:監査。失敗の理由: SVM に有効なデータ インターフェイス (ロール: データ、データ プロトコル: NFS または CIFS またはその両方、ステータス: アップ) が見つかりません。 次のことを試してください: 動作可能なインターフェース (データとしての役割と CIFS/NFS としてのデータ プロトコルを持つ) があることを確認します。

問題: データ コレクターがエラー状態になり、しばらくすると実行状態になり、その後再びエラー状態に戻ります。このサイクルが繰り返されます。 これを試してみてください: これは通常、次のシナリオで発生します。

  1. 複数のデータコレクターが追加されています。

  2. このような動作を示すデータ コレクターには、1 つの SVM が追加されます。つまり、2 つ以上のデータ コレクターが 1 つの SVM に接続されます。

  3. 1 つのデータ コレクターが 1 つの SVM にのみ接続することを確認します。

  4. 同じ SVM に接続されている他のデータ コレクターを削除します。

問題: コネクタがエラー状態です。サービス名: 監査。失敗の理由: SVM svmname のポリシーの設定に失敗しました。理由: 'fpolicy.policy.scope-modify: "Federal" 内の 'shares-to-include' 要素に無効な値が指定されました。 次を試してください: *共有名は引用符なしで指定する必要があります。 ONTAP SVM DSC 設定を編集して共有名を修正します。

共有を含めるおよび除外する は、共有名の長いリストを対象としていません。含めるまたは除外する株式が多数ある場合は、代わりに数量によるフィルタリングを使用します。

問題: クラスター内に未使用の既存の fpolicies が存在します。 Workload Security をインストールする前に、これらに対して何をすべきでしょうか? これを試してください: 切断状態であっても、既存の未使用の fpolicy 設定をすべて削除することをお勧めします。 Workload Security は、プレフィックス「cloudsecure_」を持つ fpolicy を作成します。その他の未使用の fpolicy 構成はすべて削除できます。

fpolicy リストを表示する CLI コマンド:

 fpolicy show
fpolicy 構成を削除する手順:
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|Workload Security を有効にすると、 ONTAP のパフォーマンスに影響が出ます。レイテンシが散発的に高くなり、IOPS が散発的に低くなります。 | ONTAP をWorkload Security と組み合わせて使用​​している場合、 ONTAPで遅延の問題が発生することがあります。これには、次に示すように、いくつかの理由が考えられます。"1372994""1415152""1438207""1479704""1354659" 。これらの問題はすべてONTAP 9.13.1 以降で修正されているため、これらの新しいバージョンのいずれかを使用することを強くお勧めします。

問題: データコレクターにエラーがあり、このエラーメッセージが表示されます。 「エラー: コネクタはエラー状態です。サービス名: 監査。失敗の理由: SVM svm_test でポリシーを構成できませんでした。理由: zapi フィールド events の値が見つかりません。 「これを試してください:

  1. NFS サービスのみが設定された新しい SVM から開始します。

  2. Workload Security にONTAP SVM データ コレクターを追加します。 Workload Security でONTAP SVM データ コレクターを追加するときに、CIFS が SVM の許可されたプロトコルとして設定されます。

  3. Workload Security のデータ コレクターにエラーが表示されるまで待ちます。

  4. CIFS サーバーは SVM 上に設定されていないため、左側に示すように、このエラーが Workload Security によって表示されます。

  5. ONTAP SVM データ コレクターを編集し、許可されたプロトコルとして CIF のチェックを外します。データコレクターを保存します。 NFS プロトコルのみを有効にして実行を開始します。

問題: データ コレクターに次のエラー メッセージが表示されます:「エラー: 2 回の再試行でコレクターの状態を判別できませんでした。コレクターをもう一度再起動してください (エラー コード: AGENT008)」。 これを試してみてください:

  1. 「データ コレクター」ページで、エラーが発生しているデータ コレクターの右までスクロールし、3 つのドット メニューをクリックします。 編集_を選択します。データコレクターのパスワードをもう一度入力してください。 _Save ボタンを押してデータ コレクターを保存します。データ コレクターが再起動し、エラーが解決されるはずです。

  2. エージェント マシンに十分な CPU または RAM の余裕がないため、DSC が失敗する可能性があります。マシン内のエージェントに追加されているデータ コレクターの数を確認してください。 20 を超える場合は、エージェント マシンの CPU および RAM 容量を増やしてください。 CPU と RAM が増加すると、DSC は自動的に初期化状態になり、その後実行状態になります。サイズガイドをご覧ください"このページ"

問題: SVM モードを選択すると、データ コレクターでエラーが発生します。 これを試してください: SVM モードで接続しているときに、SVM 管理 IP ではなくクラスター管理 IP を使用して接続すると、接続でエラーが発生します。正しい SVM IP が使用されていることを確認してください。

問題: アクセス拒否機能が有効になっている場合、データ コレクターに次のエラー メッセージが表示されます:「コネクタはエラー状態です。サービス名: 監査。失敗の理由: SVM test_svm で fpolicy を設定できませんでした。理由: ユーザーは承認されていません。 これを試してください: ユーザーにアクセス拒否機能に必要な REST 権限がない可能性があります。以下の指示に従ってください"このページ"権限を設定します。

権限が設定されたら、コレクターを再起動します。

それでも問題が解決しない場合は、[ヘルプ > サポート] ページに記載されているサポート リンクにアクセスしてください。