Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Vscan ウイルス対策コネクタを構成する

共同作成者 netapp-maireadn netapp-aaron-holt netapp-dbagwell netapp-barbe netapp-ahibbard
PDF

ONTAP Antivirus Connectorを設定して、接続するStorage Virtual Machine(SVM)を1つまたは複数指定します。この設定では、ONTAP管理LIF、ポーリング情報、ONTAP管理者アカウントのクレデンシャルを入力するか、データLIFのみを入力します。また、SVM接続の詳細を変更するか、SVM接続自体を削除することもできます。デフォルトでは、ONTAP管理LIFが設定済みの場合、ONTAP Antivirus ConnectorはREST APIを使用してデータLIFの一覧を取得します。

SVM接続の詳細の変更

Antivirus Connectorに追加済みのStorage Virtual Machine(SVM)の詳細を更新するには、ONTAP管理LIFおよびポーリング情報を変更します。追加済みのデータLIFを更新することはできません。データLIFを更新するには、まず該当のLIFを削除してから、新しいLIFまたはIPアドレスで追加し直す必要があります。

開始する前に

HTTP アプリケーションのユーザー アカウントを作成し、 /api/network/ip/interfaces REST API への(少なくとも読み取り専用の)アクセス権を持つロールを割り当てたことを確認します。

`security login role create`および `security login create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-create.html["ONTAPコマンド リファレンス"^]をご覧ください。

管理SVMに認証トンネルSVMを追加することで、ドメインユーザーをアカウントとして使用することもできます。 `security login domain-tunnel create`の詳細については、"ONTAPコマンド リファレンス"を参照してください。

手順

  1. Antivirus Connectorのインストール完了時にデスクトップに保存された*Configure ONTAP LIFs*アイコンを右クリックし、*管理者として実行*を選択します。Configure ONTAP LIFsダイアログボックスが開きます。

  2. SVM IP アドレスを選択し、*更新*をクリックします。

  3. 必要に応じて情報を更新します。

  4. 保存 をクリックして、レジストリ内の接続の詳細を更新します。

  5. 接続リストをレジストリインポートファイルまたはレジストリエクスポートファイルにエクスポートする場合は、*エクスポート*をクリックします。これは、複数のVscanサーバが同じ管理LIFまたはデータLIFのセットを使用している場合に便利です。

Antivirus ConnectorからのSVM接続の削除

不要になったSVM接続は削除できます。

手順

  1. Antivirus Connectorのインストール完了時にデスクトップに保存された*Configure ONTAP LIFs*アイコンを右クリックし、*管理者として実行*を選択します。Configure ONTAP LIFsダイアログボックスが開きます。

  2. 1 つ以上の SVM IP アドレスを選択し、*削除*をクリックします。

  3. 保存 をクリックして、レジストリ内の接続の詳細を更新します。

  4. 接続リストをレジストリ インポート ファイルまたはレジストリ エクスポート ファイルにエクスポートするには、*エクスポート*をクリックします。これは、複数のVscanサーバが同じ管理LIFまたはデータLIFセットを使用している場合に便利です。

トラブルシューティング

開始する前に

この手順でレジストリ値を作成する際は、右側ペインを使用してください。

診断のために、Antivirus Connectorログの有効と無効を切り替えることができます。デフォルトでは、このログは無効になっています。高いパフォーマンスが必要な場合は、普段はAntivirus Connectorログを無効化しておき、重大イベントの発生時にのみ有効化することを推奨します。

手順

  1. *スタート*を選択し、検索ボックスに「regedit」と入力して、プログラムの一覧から `regedit.exe`を選択します。

  2. レジストリ エディター で、ONTAP Antivirus Connectorの次のサブキーを見つけます。 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0

  3. 次の表に示す型、名前、値を指定してレジストリ値を作成します。

    タイプ

    Name

    文字列

    Tracepath

    c:\avshim.log

    このレジストリ値には、任意の有効なパスを指定できます。

  4. 次の表に示す型、名前、値、ログ情報を指定して別のレジストリ値を作成します。

    タイプ

    Name

    重大なログ記録

    中間ロギング

    詳細ログ

    DWORD

    Tracelevel

    1

    2または3

    4

    これにより、手順3でTracepath値に指定したパスに保存されているAntivirus Connectorログが有効化されます。

  5. 手順3および4で作成したレジストリ値を削除して、Antivirus Connectorログを無効化します。

  6. 「MULTI_SZ」タイプの別のレジストリ値を「LogRotation」(引用符なし)という名前で作成します。「LogRotation」には、ローテーションサイズ(1は1MBを表す)のエントリとして「logFileSize:1」を指定し、次の行にはローテーション制限(5が制限値)のエントリとして「logFileCount:5」を指定します。

    メモ

    これらの値は省略可能です。値を指定しない場合、ローテーション サイズとローテーション制限には、それぞれデフォルト値の20MBと10ファイルが使用されます。整数値に小数値および分数値を指定することはできません。デフォルト値よりも大きい値を指定した場合は、代わりにデフォルト値が使用されます。

  7. ユーザ設定のログ ローテーションを無効化する場合は、手順6で作成したレジストリ値を削除します。

カスタム バナー

カスタム バナーを使用すると、[Configure ONTAP LIF API] ウィンドウに法的拘束力のある声明とシステム アクセスの免責事項を配置できます。

手順

  1. インストール ディレクトリ内の `banner.txt`ファイルの内容を更新し、変更を保存することで、デフォルトのバナーを変更します。バナーに変更が反映されていることを確認するには、Configure ONTAP LIF APIウィンドウを再度開く必要があります。

Extended Ordinance(EO)モードの有効化

安全な処理のために、Extended Ordinance(EO)モードの有効と無効を切り替えることができます。

手順

  1. *スタート*を選択し、検索ボックスに「regedit」と入力して、プログラムの一覧から `regedit.exe`を選択します。

  2. レジストリ エディター で、ONTAP Antivirus Connector の次のサブキーを見つけます: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0

  3. 右側のペインで、「DWORD」型のレジストリ値を新しく作成し、名前を「EO_Mode」(「」は不要)として、EOモードを有効にする場合は値を「1」(「」は不要)に、EOモードを無効にする場合は値を「0」(「」は不要)に設定します。

メモ デフォルトでは、 `EO_Mode`レジストリエントリが存在しない場合、EO モードは無効になります。EO モードを有効にする場合は、外部 syslog サーバーと相互証明書認証の両方を設定する必要があります。

外部syslogサーバの設定

開始する前に

この手順でレジストリ値を作成する際は、右側ペインを使用してください。

手順

  1. *スタート*を選択し、検索ボックスに「regedit」と入力して、プログラムの一覧から `regedit.exe`を選択します。

  2. レジストリ エディター で、syslog 構成用の ONTAP Antivirus Connector の次のサブキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0\syslog

  3. 次の表に示す型、名前、値を指定してレジストリ値を作成します。

    タイプ

    Name

    Value

    DWORD

    syslog_enabled

    1または0

    「1」の値はsyslogを有効にし、「0」の値はsyslogを無効にすることに注意してください。

  4. 次の表に示す情報を指定して、別のレジストリ値を作成します。

    タイプ

    Name

    REG_SZ

    Syslog_host

    [値]フィールドには、syslogホストのIPアドレスまたはドメイン名を入力します。

  5. 次の表に示す情報を指定して、別のレジストリ値を作成します。

    タイプ

    Name

    REG_SZ

    Syslog_port

    [値]フィールドには、syslogサーバが稼働しているポート番号を入力します。

  6. 次の表に示す情報を指定して、別のレジストリ値を作成します。

    タイプ

    Name

    REG_SZ

    Syslog_protocol

    [値]フィールドには、syslogサーバで使用しているプロトコル(「tcp」または「udp」)を入力します。

  7. 次の表に示す情報を指定して、別のレジストリ値を作成します。

    タイプ

    Name

    LOG_CRIT

    LOG_NOTICE

    LOG_INFO

    LOG_DEBUG

    DWORD

    Syslog_level

    2

    5

    6

    7

  8. 次の表に示す情報を指定して、別のレジストリ値を作成します。

    タイプ

    Name

    Value

    DWORD

    syslog_tls

    1または0

値が「1」の場合、Transport Layer Security(TLS)を使用した syslog が有効になり、値が「0」の場合、TLS を使用した syslog が無効になることに注意してください。

設定した外部syslogサーバの動作の確認

  • キーが存在しない場合、または値が「null」の場合:

    • プロトコルはデフォルトの「tcp」に設定されます。

    • ポートはデフォルトの「514」(プレーン「TCP / UDP」の場合)または「6514」(TLSの場合)に設定されます。

    • syslogレベルはデフォルトの5(LOG_NOTICE)に設定されます。

  • syslogが有効になっていることを確認するには、 `syslog_enabled`値が「1」であることを確認します。 `syslog_enabled`値が「1」の場合、EOモードが有効かどうかに関係なく、設定された リモート サーバ にログインできるはずです。

  • EO モードが「1」に設定されていて、 syslog_enabled 値を「1」から「0」に変更すると、次のようになります:

    • EOモードでsyslogが無効になると、サービスを開始できなくなります。

    • システムの実行状態が安定している場合、警告が表示され、EOモードではsyslogを無効にできないのでsyslogが強制的に「1」に設定されたと通知されます(この結果はレジストリで確認できます)。この場合は、まずEOモードを無効にしてから、syslogを無効化する必要があります。

  • EOモードとsyslogが有効な状態でsyslogサーバを正常に実行できない場合、サービスが停止します。これは、次のいずれかの理由で発生する可能性があります。

    • syslog_hostが無効であるか設定されていない。

    • UDPとTCP以外の無効なプロトコルが設定されている。

    • ポート番号が無効である。

  • TCP設定またはTCP経由のTLS設定の場合、サーバでIPポートがリスンされていないと、接続に失敗しサービスが終了します。

X.509相互証明書認証の設定

管理パス内でのAntivirus ConnectorとONTAP間のSecure Sockets Layer(SSL)通信には、X.509証明書ベースの相互認証を使用できます。EOモードが有効な状態で証明書が見つからない場合、AV Connectorは強制終了します。Antivirus Connectorで次の手順を実行します。

手順

  1. Antivirus Connectorは、Antivirus Connectorがインストール ディレクトリを実行するディレクトリ パス内で、Antivirus Connectorクライアント証明書およびNetAppサーバの認証局(CA)証明書を検索します。この固定ディレクトリ パスにこれらの証明書をコピーします。

  2. PKCS12形式ファイルにクライアント証明書と秘密鍵を埋め込み、「AV_client.P12」と名付けます。

  3. NetAppサーバの証明書に署名するために使用したCA証明書(およびルートCAまでの中間署名機関)がPrivacy Enhanced Mail(PEM)形式で、「Ontap_CA.pem」という名前になっていることを確認してください。この証明書をAntivirus Connectorのインストールディレクトリに配置してください。ONTAPシステムでは、「ONTAP」のAntivirus Connectorのクライアント証明書に署名するために使用したCA証明書(およびルートCAまでの中間署名機関)を「client-ca」タイプの証明書としてインストールしてください。