Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティトレースフィルタを作成します

共同作成者

Storage Virtual Machine ( SVM )で SMB および NFS のクライアント処理を検出し、フィルタに一致するすべてのアクセスチェックをトレースするセキュリティトレースフィルタを作成できます。セキュリティトレースの結果を使用して、構成の検証や、アクセスに関する問題のトラブルシューティングを行うことができます。

このタスクについて

vserver security trace filter create コマンドには 2 つの必須パラメータがあります。

必須パラメータ

説明

-vserver vserver_name

SVM 名 _

セキュリティトレースフィルタを適用するファイルやフォルダが格納されている SVM の名前。

-index index_number

フィルタインデックス番号 _

フィルタに適用するインデックス番号。トレースフィルタは SVM ごとに 10 個まで使用できます。このパラメータに指定できる値は 1~10 です。

さまざまなオプションのフィルタパラメータでセキュリティトレースフィルタをカスタマイズして、セキュリティトレースによって生成された結果を絞り込むことができます。

フィルタパラメータ

説明

-client-ip IP_Address

IP アドレスを指定します。この IP アドレスから SVM にアクセスしているユーザが対象となります。

-path path

パーミッショントレースフィルタを適用するパスを指定します。の値 -path 次のいずれかの形式を使用できます。

  • 共有またはエクスポートのルートから始まる完全なパス

  • 共有のルートに対する相対パス

パス値では、 NFS 形式のディレクトリ UNIX 形式のディレクトリ区切り文字を使用する必要があります。

-windows-name win_user_name または -unix-name``unix_user_name

アクセス要求をトレースする対象の Windows ユーザ名または UNIX ユーザ名を指定できます。ユーザ名変数では大文字と小文字は区別されません。同じフィルタで Windows ユーザ名と UNIX ユーザ名の両方を指定することはできません。

メモ

トレースできるのは SMB と NFS のアクセスイベントだけですが、 mixed セキュリティ形式または UNIX セキュリティ形式のデータに対してアクセスチェックを実行するときに、マッピングされた UNIX ユーザおよび UNIX グループが使用されることがあります。

-trace-allow {yes

no

セキュリティトレースフィルタでは、拒否イベントのトレースは常に有効です。必要に応じて、許可イベントをトレースすることもできます。許可イベントをトレースするには、このパラメータをに設定します yes

-enabled {enabled

disabled

セキュリティトレースフィルタを有効または無効にすることができます。デフォルトでは、セキュリティトレースフィルタは有効になっています。

-time-enabled integer

フィルタのタイムアウトを指定できます。指定した時間が経過すると、フィルタは無効になります。

手順
  1. セキュリティトレースフィルタを作成します。

    vserver security trace filter create -vserver vserver_name -index index_numberfilter_parameters

    filter_parameters は、オプションのフィルタパラメータのリストです。

    詳細については、コマンドのマニュアルページを参照してください。

  2. セキュリティトレースフィルタのエントリを確認します。

    vserver security trace filter show -vserver vserver_name -index index_number

次のコマンドは、共有パスのファイルにアクセスするすべてのユーザを対象とするセキュリティトレースフィルタを作成します \\server\share1\dir1\dir2\file.txt IPアドレス10.10.10.7から。フィルタはに完全なパスを使用します -path オプションデータへのアクセスに使用されるクライアントの IP アドレスは 10.10.10.7 です。フィルタは 30 分後にタイムアウトします。

cluster1::> vserver security trace filter create -vserver vs1 -index 1 -path /dir1/dir2/file.txt -time-enabled 30 -client-ip 10.10.10.7
cluster1::> vserver security trace filter show -index 1
Vserver  Index   Client-IP            Path            Trace-Allow  Windows-Name
-------- -----  -----------  ----------------------   -----------  -------------
vs1        1    10.10.10.7   /dir1/dir2/file.txt          no       -

次のコマンドは、の相対パスを使用してセキュリティトレースフィルタを作成します -path オプションこのフィルタは、「 joe 」という名前の Windows ユーザのアクセスをトレースします。Joeは共有パスのファイルにアクセスしています \\server\share1\dir1\dir2\file.txt。許可イベントと拒否イベントをトレースします。

cluster1::> vserver security trace filter create -vserver vs1 -index 2 -path /dir1/dir2/file.txt -trace-allow yes -windows-name mydomain\joe

cluster1::> vserver security trace filter show -vserver vs1 -index 2
                                 Vserver: vs1
                            Filter Index: 2
              Client IP Address to Match: -
                                    Path: /dir1/dir2/file.txt
                       Windows User Name: mydomain\joe
                          UNIX User Name: -
                      Trace Allow Events: yes
                          Filter Enabled: enabled
               Minutes Filter is Enabled: 60