Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVMでセキュリティトレースフィルタを作成する

共同作成者 netapp-aherbin netapp-barbe netapp-aaron-holt netapp-thomi
PDF

Storage Virtual Machine(SVM)でSMBとNFSのクライアント処理を検出し、フィルタに一致するすべてのアクセスチェックをトレースするセキュリティトレースフィルタを作成できます。セキュリティトレースの結果を使用して、設定の検証やアクセスに関する問題のトラブルシューティングを行うことができます。

タスクの内容

vserver security trace filter createコマンドには、次の2つの必須パラメータがあります。

必須パラメータ

説明

-vserver vserver_name

SVM 名 _

セキュリティトレースフィルタを適用するファイルやフォルダが格納されているSVMの名前。

-index index_number

フィルタインデックス番号 _

フィルタに適用するインデックス番号。トレースフィルタはSVMごとに10個まで使用できます。このパラメータに指定できる値は1~10です。

オプションのフィルタパラメータをいくつか使用すると、セキュリティトレースのフィルタをカスタマイズして、セキュリティトレースの結果を絞り込むことができます。

フィルタパラメータ

説明

-client-ip IP_Address

IPアドレスを指定します。このIPアドレスからSVMにアクセスしているユーザが対象です。

-path path

パーミッショントレースフィルタを適用するパスを指定します。の値 `-path`には、次のいずれかの形式を使用できます。

  • 共有またはエクスポートのルートから始まる完全パス

  • 共有のルートに対する相対パス

パス値には、NFS形式のディレクトリUNIX形式のディレクトリ区切り文字を使用する必要があります。

-windows-name win_user_name`または `-unix-name``unix_user_name

アクセス要求をトレースするWindowsユーザ名またはUNIXユーザ名を指定できます。ユーザ名変数では大文字と小文字は区別されません。同じフィルタにWindowsユーザ名とUNIXユーザ名の両方を指定することはできません。

メモ

トレースできるのはSMBおよびNFSのアクセスイベントですが、mixedセキュリティ形式またはUNIXセキュリティ形式のデータに対してアクセスチェックを実行するときに、マッピングされたUNIXユーザおよびUNIXグループが使用されることがあります。

-trace-allow{yes

no}

セキュリティトレースフィルタでは、拒否イベントのトレースが常に有効になります。必要に応じて、許可イベントをトレースすることもできます。許可イベントをトレースするには、このパラメータをに設定し `yes`ます。

-enabled{enabled

disabled}

セキュリティトレースフィルタを有効または無効にすることができます。デフォルトでは、セキュリティトレースフィルタは有効になっています。

-time-enabled integer

フィルタのタイムアウトを指定できます。指定した時間が経過すると、フィルタは無効になります。
手順

  1. セキュリティトレースフィルタを作成します。

    vserver security trace filter create -vserver vserver_name -index index_numberfilter_parameters

    `filter_parameters`は、オプションのフィルタパラメータのリストです。

    の詳細については vserver security trace filter create、を"ONTAPコマンド リファレンス"参照してください。

  2. セキュリティトレースフィルタエントリを確認します。

    vserver security trace filter show -vserver vserver_name -index index_number

次のコマンドは、IPアドレス10.10.10.7から共有パスのファイルにアクセスするすべてのユーザを対象としたセキュリティトレースフィルタを作成し `\\server\share1\dir1\dir2\file.txt`ます。フィルタでは、オプションに完全なパスが使用され `-path`ます。データへのアクセスに使用されるクライアントのIPアドレスは10.10.10.7です。フィルタは30分後にタイムアウトします。

cluster1::> vserver security trace filter create -vserver vs1 -index 1 -path /dir1/dir2/file.txt -time-enabled 30 -client-ip 10.10.10.7
cluster1::> vserver security trace filter show -index 1
Vserver  Index   Client-IP            Path            Trace-Allow  Windows-Name
-------- -----  -----------  ----------------------   -----------  -------------
vs1        1    10.10.10.7   /dir1/dir2/file.txt          no       -

次のコマンドは、オプションの相対パスを使用してセキュリティトレースフィルタを作成し -path`ます。このフィルタは、「 joe 」という名前の Windows ユーザのアクセスをトレースします。Joeは共有パスのファイルにアクセスしています `\\server\share1\dir1\dir2\file.txt。許可イベントと拒否イベントをトレースします。

cluster1::> vserver security trace filter create -vserver vs1 -index 2 -path /dir1/dir2/file.txt -trace-allow yes -windows-name mydomain\joe

cluster1::> vserver security trace filter show -vserver vs1 -index 2
                                 Vserver: vs1
                            Filter Index: 2
              Client IP Address to Match: -
                                    Path: /dir1/dir2/file.txt
                       Windows User Name: mydomain\joe
                          UNIX User Name: -
                      Trace Allow Events: yes
                          Filter Enabled: enabled
               Minutes Filter is Enabled: 60