ONTAP Antivirus Connectorの設定
ONTAP Antivirus Connectorを設定して、接続するStorage Virtual Machine(SVM)を1つまたは複数指定します。この設定では、ONTAP管理LIF、ポーリング情報、ONTAP管理者アカウントのクレデンシャルを入力するか、データLIFのみを入力します。また、SVM接続の詳細を変更するか、SVM接続自体を削除することもできます。デフォルトでは、ONTAP管理LIFが設定済みの場合、ONTAP Antivirus ConnectorはREST APIを使用してデータLIFの一覧を取得します。
SVM接続の詳細の変更
Antivirus Connectorに追加済みのStorage Virtual Machine(SVM)の詳細を更新するには、ONTAP管理LIFおよびポーリング情報を変更します。追加済みのデータLIFを更新することはできません。データLIFを更新するには、まず該当のLIFを削除してから、新しいLIFまたはIPアドレスで追加し直す必要があります。
HTTPアプリケーション用のユーザアカウントを作成し、REST APIへの(少なくとも読み取り専用)アクセスを持つロールを割り当てたことを確認します /api/network/ip/interfaces
。
リンクの詳細については、『ONTAPコマンドリファレンス』を参照してください。https://docs NetApp .com /us-en/ ONTAP -cli/security-login-role-create.html#description^][security login role create`およびlink:https://docs NetApp .com /us-en/ ONTAP -cli/ security-login-create.html[`security login create
^]コマンドを参照してください。
管理SVM用に認証トンネルSVMを追加して、ドメインユーザをアカウントとして使用することもできます。リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-login-domain-tunnel-create.html[security login domain-tunnel create
^]コマンドを参照してください。
-
Antivirus Connectorのインストールの完了時にデスクトップに保存されていた*アイコンを右クリックし、[Run as Administrator]*を選択します。[Configure ONTAP LIF]ダイアログボックスが開きます。
-
SVMのIPアドレスを選択し、*[更新]*をクリックします。
-
必要に応じて情報を更新します。
-
[保存]*をクリックして、レジストリの接続の詳細を更新します。
-
接続のリストをレジストリインポートまたはレジストリエクスポートファイルにエクスポートする場合は、*エクスポート*をクリックします。これは、複数のVscanサーバが同じ管理LIFまたはデータLIFのセットを使用する場合に便利です。
Antivirus ConnectorからSVM接続を削除する
不要になったSVM接続は削除できます。
-
Antivirus Connectorのインストールの完了時にデスクトップに保存されていた*アイコンを右クリックし、[Run as Administrator]*を選択します。[Configure ONTAP LIF]ダイアログボックスが開きます。
-
SVMのIPアドレスを1つ以上選択し、*[削除]*をクリックします。
-
[保存]*をクリックして、レジストリの接続の詳細を更新します。
-
接続のリストをレジストリインポートまたはレジストリエクスポートファイルにエクスポートする場合は、*エクスポート*をクリックします。これは、複数のVscanサーバが同じ管理LIFまたはデータLIFのセットを使用する場合に便利です。
トラブルシューティング
この手順でレジストリ値を作成する場合は、右側のペインを使用します。
診断目的でAntivirus Connectorログを有効または無効にすることができます。デフォルトでは、これらのログは無効になっています。パフォーマンスを強化するには、Antivirus Connectorのログを無効なままにし、重大イベントに対してのみ有効にする必要があります。
-
[スタート]*を選択し、検索ボックスに「regedit」と入力して、[プログラム]リストでを選択します
regedit.exe
。 -
レジストリエディタ*で、ONTAP Antivirus Connectorの次のサブキーを探します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0
-
次の表に示すタイプ、名前、および値を指定して、レジストリ値を作成します。
タイプ
名前
値
文字列
トレースパス
C:\ avshim.log
このレジストリ値には、他の有効なパスを指定できます。
-
次の表に示すタイプ、名前、値、およびログ情報を指定して、別のレジストリ値を作成します。
タイプ
名前
重要なロギング
中間ロギング
詳細なロギング
DWORD
Tracelevel
1
2または3
4
これにより、手順3でTracePathに指定したパス値に保存されるAntivirus Connectorログが有効になります。
-
手順3および4で作成したレジストリ値を削除して、Antivirus Connectorログを無効にします。
-
「LogRotation」という名前でタイプ「multi_sz」の別のレジストリ値を作成します(引用符なし)。「LogRotation」で、ローテーションサイズ(1は1MB)のエントリとして「logFileSize:1」を指定し、次の行でローテーションの制限(5は制限)のエントリとして「logFileCount:5」を指定します。
これらの値はオプションです。指定しない場合は、ローテーションサイズとローテーションの上限にそれぞれデフォルト値の20MBと10ファイルが使用されます。指定された整数値には、小数または小数の値は指定されません。デフォルト値よりも大きい値を指定した場合は、代わりにデフォルト値が使用されます。
-
ユーザ設定のログ ローテーションを無効化する場合は、手順6で作成したレジストリ値を削除します。
カスタム バナー
カスタムバナーを使用すると、法的拘束力のあるステートメントとシステムアクセスに関する免責事項を_Configure ONTAP LIFAPI_windowに配置できます。
-
インストールディレクトリのファイルの内容を更新して変更を保存することで、デフォルトバナーを変更し `banner.txt`ます。変更内容がバナーに反映されるようにするには、[Configure ONTAP LIF]ウィンドウを再度開いてください。
Extended Ordinance(EO)モードを有効にする
セキュアな運用のために、拡張規則(EO)モードを有効または無効にすることができます。
-
[スタート]*を選択し、検索ボックスに「regedit」と入力し、[プログラム]リストでを選択します
regedit.exe
。 -
レジストリエディタ*で、ONTAP Antivirus Connectorの次のサブキーを探します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0
-
右側のペインで、EOモードを有効にするには「EO_Mode」(引用符なし)と値「1」(引用符なし)という名前の「DWORD」タイプの新しいレジストリ値を作成し、EOモードを無効にするには「0」(引用符なし)を作成します。
デフォルトでは、レジストリエントリが存在しない場合、 `EO_Mode`EOモードは無効になっています。EOモードをイネーブルにする場合は、外部syslogサーバと相互証明書認証の両方を設定する必要があります。 |
外部syslogサーバの設定
この手順でレジストリ値を作成する場合は、右側のペインを使用することに注意してください。
-
[スタート]*を選択し、検索ボックスに「regedit」と入力し、[プログラム]リストでを選択します
regedit.exe
。 -
レジストリエディタ*で、syslog設定用のONTAP Antivirus Connector用の次のサブキーを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data ONTAP\Clustered Data ONTAP Antivirus Connector\v1.0\syslog
-
次の表に示すように、タイプ、名前、および値を指定してレジストリ値を作成します。
タイプ
名前
値
DWORD
syslog_enabled
1または0
値「1」を指定するとsyslogが有効になり、値「0」を指定するとsyslogが無効になります。
-
次の表に示す情報を指定して、別のレジストリ値を作成します。
タイプ
名前
REG_SZ
Syslog_host
[値]フィールドには、syslogホストのIPアドレスまたはドメイン名を入力します。
-
次の表に示す情報を指定して、別のレジストリ値を作成します。
タイプ
名前
REG_SZ
syslog_port
[Value]フィールドに、syslogサーバが実行されているポート番号を入力します。
-
次の表に示す情報を指定して、別のレジストリ値を作成します。
タイプ
名前
REG_SZ
syslog_protocol
syslogサーバで使用中のプロトコル(「tcp」または「udp」)を[Value]フィールドに入力します。
-
次の表に示す情報を指定して、別のレジストリ値を作成します。
タイプ
名前
LOG_CRIT
LOG_NOTICE
ログ情報
LOG_DEBUG
DWORD
syslog_level
2
5
6
7
-
次の表に示す情報を指定して、別のレジストリ値を作成します。
タイプ
名前
値
DWORD
syslog_tls
1または0
値が「1」の場合はTransport Layer Security(TLS)でsyslogが有効になり、値が「0」の場合はTLSでsyslogが無効になります。
設定された外部syslogサーバがスムーズに動作することを確認する
-
キーが存在しない場合、またはnull値がある場合は、次の手順を実行します。
-
プロトコルのデフォルトは「TCP」です。
-
ポートのデフォルトは、プレーンな「TCP/UDP」の場合は「514」、TLSの場合は「6514」です。
-
syslogレベルのデフォルト値は5(log_notice)です。
-
-
syslogが有効になっていることを確認するには、値が「1」であることを確認し
syslog_enabled`ます。値が「1」の場合は `syslog_enabled
、EOモードが有効かどうかに関係なく、設定されたリモートサーバにログインできます。 -
EOモードが「1」に設定されていて、値を「1」から「0」に変更すると、 `syslog_enabled`以下が適用されます。
-
syslogがEOモードでイネーブルになっていない場合は、サービスを開始できません。
-
システムが安定した状態で実行されている場合は、EOモードでsyslogを無効にできず、syslogが強制的に「1」に設定されていることを示す警告が表示されます。これはレジストリに表示されます。この場合は、まずEOモードをディセーブルにしてから、syslogをディセーブルにする必要があります。
-
-
EOモードおよびsyslogが有効になっているときにsyslogサーバが正常に実行できない場合、サービスの実行は停止します。これは、次のいずれかの理由で発生する可能性があります。
-
syslog_hostが無効であるか設定されていない。
-
UDPとTCP以外の無効なプロトコルが設定されている。
-
ポート番号が無効である。
-
-
TCP設定またはTCP経由のTLS設定の場合、サーバでIPポートがリスンされていないと、接続に失敗しサービスが終了します。
X.509相互証明書認証の設定
管理パス内でのAntivirus ConnectorとONTAP間のSecure Sockets Layer(SSL)通信には、X.509証明書ベースの相互認証を使用できます。EOモードが有効な状態で証明書が見つからない場合、AV Connectorは強制終了します。Antivirus Connectorで次の手順を実行します。
-
Antivirus Connectorは、Antivirus Connectorのインストールディレクトリを実行するディレクトリパスで、Antivirus Connectorクライアント証明書とNetAppサーバの認証局(CA)証明書を検索します。証明書をこの固定ディレクトリパスにコピーします。
-
クライアント証明書とその秘密鍵をPKCS12形式で埋め込み、「av_client.p12」という名前を付けます。
-
NetAppサーバの証明書への署名に使用したCA証明書(およびルートCAまでの中間署名機関)が、ONTAP拡張メール(PEM)形式で「PEM_CA.pem」という名前のものであることを確認します。Antivirus Connectorインストールディレクトリに配置します。NetApp ONTAPシステムで、Antivirus Connectorのクライアント証明書に「client-ca」タイプの証明書として署名するためのCA証明書(およびルートCAまでの中間署名機関)を「ONTAP」にインストールします。