Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Vscanオンアクセス ポリシーを作成する

共同作成者 netapp-powr netapp-dbagwell netapp-ahibbard netapp-maireadn netapp-barbe netapp-aaron-holt netapp-aherbin
PDF

オンアクセス ポリシーはオンアクセス スキャンの範囲を定義します。オンアクセス ポリシーは、個々のSVM用またはクラスタ内のすべてのSVM用に作成できます。クラスタ内のすべてのSVM用のオンアクセス ポリシーを作成した場合は、各SVMでポリシーを個別に有効にする必要があります。

タスク概要

  • スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子とパス、スキャンから除外するファイルの拡張子とパスを指定できます。

  • `scan-mandatory`オプションをオフに設定すると、ウイルス スキャンに使用できる Vscan サーバーがない場合でもファイル アクセスを許可するように指定できます。

  • デフォルトでは、「default_CIFS」という名前のオンアクセス ポリシーが作成され、クラスタ内のすべてのSVMに対して有効になります。

  • paths-to-excludefile-ext-to-exclude、または `max-file-size`パラメータに基づいてスキャン除外の対象となるファイルは、 `scan-mandatory`オプションがオンに設定されている場合でも、スキャン対象として考慮されません。( `scan-mandatory`オプションに関連する接続の問題については、この"トラブルシューティング"セクションを確認してください。)

  • デフォルトでは、読み取り/ 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルタや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルタを指定することができます。

  • continuously-availableパラメータがYesに設定されているSMB共有ではウイルス スキャンは実行されません。

  • Vscan ファイル操作プロファイル の詳細については、"ウイルス対策アーキテクチャ" セクションを参照してください。

  • SVMごとに、最大10個のオンアクセス ポリシーを作成できます。ただし、一度に有効にできるオンアクセス ポリシーは1つだけです。

    • オンアクセス ポリシーでは、最大100個のパスとファイル拡張子をウイルス スキャンの対象から除外できます。

  • 除外するファイルに関するいくつかの推奨事項:

    • 大容量ファイル(ファイル サイズは指定可能)は、応答に時間がかかったり、CIFSユーザのスキャン要求がタイムアウトになったりする可能性があるため、ウイルス スキャンの対象から除外することを検討します。除外されるファイルのサイズは、デフォルトでは2GBです。

    • `.vhd`や `.tmp`などのファイル拡張子を持つファイルはスキャンに適さない可能性があるため、これらの拡張子を除外することを検討してください。

    • 隔離ディレクトリなどのファイル パスや、仮想ハード ドライブやデータベースのみが格納されているパスは、除外することを検討します。

    • 一度に有効にできるポリシーは1つだけなので、すべての除外が同じポリシーで指定されていることを確認します。NetAppは、除外する対象をウイルス対策エンジンで指定されているものと一致させることを強く推奨しています。

    • ONTAP 9.14.1 以降では、ワイルドカードを使用して除外するオンアクセス パスを指定できます。

  • オンデマンド スキャンにはオンアクセス ポリシーが必要です。のオンアクセス スキャンを回避するには、 `-scan-files-with-no-ext`をfalseに設定し、 `-file-ext-to-exclude`を*に設定してすべての拡張子を除外する必要があります。

手順

  1. オンアクセス ポリシーを作成します。

    vserver vscan on-access-policy create -vserver data_SVM|cluster_admin_SVM -policy-name policy_name -protocol CIFS -max-file-size max_size_of_files_to_scan –filters [scan-ro-volume,][scan-execute-access] -file-ext-to-include extensions_of_files_to_include -file-ext-to-exclude extensions_of_files_to_exclude -scan-files-with-no-ext true|false -paths-to-exclude paths_of_files_to_exclude -scan-mandatory on|off

    • 個々の SVM に対して定義されたポリシーの場合はデータ SVM を指定し、クラスタ内のすべての SVM に対して定義されたポリシーの場合はクラスタ管理 SVM を指定します。

    • `-file-ext-to-exclude`設定は `-file-ext-to-include`設定を上書きします。

    • -scan-files-with-no-ext`を true に設定すると、拡張子のないファイルがスキャンされます。次のコマンドは、 `vs1 SVM 上に `Policy1`という名前のオンアクセスポリシーを作成します:

    cluster1::> vserver vscan on-access-policy create -vserver vs1 -policy-name Policy1 -protocol CIFS -filters scan-ro-volume -max-file-size 3GB -file-ext-to-include "mp*","tx*" -file-ext-to-exclude "mp3","txt" -scan-files-with-no-ext false -paths-to-exclude "\vol\a b\","\vol\a,b\"

  2. on-access ポリシーが作成されたことを確認します: vserver vscan on-access-policy show -instance data_SVM|cluster_admin_SVM -policy-name name

    `vserver vscan on-access-policy`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/vserver-vscan-on-access-policy-show.html["ONTAPコマンド リファレンス"^]をご覧ください。

    次のコマンドは、 `Policy1`ポリシーの詳細を表示します:

    cluster1::> vserver vscan on-access-policy show -instance vs1 -policy-name Policy1

                           Vserver: vs1
                            Policy: Policy1
                     Policy Status: off
               Policy Config Owner: vserver
              File-Access Protocol: CIFS
                           Filters: scan-ro-volume
                    Mandatory Scan: on
Max File Size Allowed for Scanning: 3GB
            File Paths Not to Scan: \vol\a b\, \vol\a,b\
       File Extensions Not to Scan: mp3, txt
           File Extensions to Scan: mp*, tx*
      Scan Files with No Extension: false