Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP SVMでセキュリティ トレース フィルタを作成する

共同作成者 netapp-aherbin netapp-barbe netapp-aaron-holt netapp-thomi
PDF

Storage Virtual Machine(SVM)でSMBおよびNFSのクライアント処理を検出し、フィルタに一致するすべてのアクセス チェックをトレースするセキュリティ トレース フィルタを作成できます。セキュリティ トレースの結果を使用して、構成の検証や、アクセスに関する問題のトラブルシューティングを行うことができます。

タスク概要

vserver security trace filter createコマンドには2つの必須パラメータがあります。

必須パラメータ

概要

-vserver vserver_name

SVM 名

セキュリティ トレース フィルタを適用するファイルやフォルダが格納されているSVMの名前。

-index index_number

フィルターインデックス番号

フィルタに適用するインデックス番号。トレース フィルタはSVMごとに10個まで使用できます。このパラメータに指定できる値は1~10です。

さまざまなオプションのフィルタ パラメータでセキュリティ トレース フィルタをカスタマイズして、セキュリティ トレースによって生成された結果を絞り込むことができます。

フィルター パラメーター

概要

-client-ip IP_Address

IPアドレスを指定します。このIPアドレスからSVMにアクセスしているユーザが対象となります。

-path path

このフィルタは、パーミッション トレーシング フィルタを適用するパスを指定します。 `-path`の値には、次のいずれかの形式を使用できます:

  • 共有またはエクスポートのルートから始まる絶対パス

  • 共有のルートに対する相対パス

パスには、NFS(UNIX)形式のディレクトリ区切り文字を使用する必要があります。

-windows-name win_user_name または -unix-name``unix_user_name

アクセス要求をトレースする対象のWindowsユーザ名またはUNIXユーザ名を指定できます。このユーザ名変数では大文字と小文字が区別されません。同じフィルタでWindowsユーザ名とUNIXユーザ名の両方を指定することはできません。

メモ

トレースできるのはSMBおよびNFSのアクセス イベントだけですが、mixedセキュリティ形式またはUNIXセキュリティ形式のデータに対してアクセス チェックを実行するときに、マッピングされたUNIXユーザおよびUNIXグループが使用されることがあります。

-trace-allow {yes

no}

セキュリティトレースフィルタでは、拒否イベントのトレースは常に有効になっています。オプションで許可イベントのトレースも有効にできます。許可イベントをトレースするには、このパラメータを `yes`に設定します。

-enabled {enabled

disabled}

セキュリティ トレース フィルタを有効または無効にすることができます。デフォルトでは、セキュリティ トレース フィルタは有効になっています。

-time-enabled integer

フィルタのタイムアウトを指定できます。指定した時間が経過すると、フィルタは無効になります。
手順

  1. セキュリティ トレース フィルタを作成します。

    vserver security trace filter create -vserver vserver_name -index index_numberfilter_parameters

    filter_parameters は、オプションのフィルター パラメータのリストです。

    `vserver security trace filter create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/vserver-security-trace-filter-create.html["ONTAPコマンド リファレンス"^]をご覧ください。

  2. セキュリティ トレース フィルタのエントリを確認します。

    vserver security trace filter show -vserver vserver_name -index index_number

次のコマンドは、IPアドレス10.10.10.7から共有パス `\\server\share1\dir1\dir2\file.txt`を持つファイルにアクセスするすべてのユーザーに対してセキュリティトレースフィルタを作成します。フィルタは `-path`オプションに完全パスを使用します。データへのアクセスに使用されたクライアントのIPアドレスは10.10.10.7です。フィルタは30分後にタイムアウトします:

cluster1::> vserver security trace filter create -vserver vs1 -index 1 -path /dir1/dir2/file.txt -time-enabled 30 -client-ip 10.10.10.7
cluster1::> vserver security trace filter show -index 1
Vserver  Index   Client-IP            Path            Trace-Allow  Windows-Name
-------- -----  -----------  ----------------------   -----------  -------------
vs1        1    10.10.10.7   /dir1/dir2/file.txt          no       -

次のコマンドは、 -path`オプションに相対パスを使用してセキュリティ トレース フィルタを作成します。このフィルタは、「`joe」という名前のWindowsユーザーのアクセスをトレースします。Joeは、共有パス `\\server\share1\dir1\dir2\file.txt`を持つファイルにアクセスしています。このフィルタは、許可イベントと拒否イベントをトレースします:

cluster1::> vserver security trace filter create -vserver vs1 -index 2 -path /dir1/dir2/file.txt -trace-allow yes -windows-name mydomain\joe

cluster1::> vserver security trace filter show -vserver vs1 -index 2
                                 Vserver: vs1
                            Filter Index: 2
              Client IP Address to Match: -
                                    Path: /dir1/dir2/file.txt
                       Windows User Name: mydomain\joe
                          UNIX User Name: -
                      Trace Allow Events: yes
                          Filter Enabled: enabled
               Minutes Filter is Enabled: 60