Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP FPolicyイベント設定について学ぶ

共同作成者 netapp-aaron-holt netapp-barbe netapp-mdavidson netapp-ahibbard netapp-thomi netapp-aherbin
PDF

FPolicyイベントを構成する前に、FPolicyイベントを作成することの意味を理解する必要があります。イベントが監視するプロトコル、監視対象のイベント、使用するイベント フィルタを決定する必要があります。この情報は、設定する値を計画するのに役立ちます。

FPolicyイベントを作成することの意味

FPolicyイベントを作成することは、どのファイル アクセス操作を監視するか、そしてどの監視対象イベント通知を外部FPolicyサーバに送信するかを決定するために、FPolicyプロセスで必要とされる情報を定義することを意味します。FPolicyイベントの設定では、次の設定情報を定義します。

  • Storage Virtual Machine(SVM)名

  • イベント名

  • 監視するプロトコル

    FPolicy は、SMB、NFSv3、NFSv4、および ONTAP 9.15.1 以降では NFSv4.1 ファイル アクセス操作を監視できます。

  • 監視するファイル処理

    すべてのファイル処理が、各プロトコルに対して有効とは限りません。

  • 構成するファイル フィルタ

    ファイル処理とフィルタの特定の組み合わせだけが有効です。プロトコルごとに、サポートされる独自の組み合わせがあります。

  • ボリュームのマウントおよびアンマウント操作を監視するかどうか

メモ

3 つのパラメータ(-protocol -file-operations -filters)には依存関係があります。3 つのパラメータには次の組み合わせが有効です:

  • `-protocol`および `-file-operations`パラメータを指定できます。

  • 3つのパラメータをすべて同時に指定する。

  • 3つのパラメータをどれも指定しない。

FPolicyイベント構成に含まれるもの

次に示す使用可能なFPolicyイベント設定パラメータの一覧は、構成を計画するのに役立ちます。

情報の種類

オプション

SVM

このFPolicyイベントに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの構成要素となる外部エンジン、ポリシー イベント、ポリシーのスコープ、およびポリシーを、すべて同じSVMに関連付ける必要があります。

-vserver vserver_name

イベント名

FPolicyイベントに割り当てる名前を指定します。FPolicyポリシーを作成する際には、イベント名を使用してFPolicyイベントをポリシーと関連付けます。

この名前に指定できる文字数は最大256文字です。

メモ

MetroClusterまたはSVMディザスタ リカバリ設定でイベントを設定する場合、この名前は最大200文字にする必要があります。

名前には、次のASCII文字の任意の組み合わせを含めることができます。

  • `a`から `z`まで

  • `A`から `Z`まで

  • `0`から `9`まで

  • " _ "、“-”, and “.”

-event-name event_name

プロトコル

FPolicyイベントに設定するプロトコルを指定します。 `-protocol`のリストには、次のいずれかの値を含めることができます:

  • cifs

  • nfsv3

  • nfsv4

メモ 
`-protocol`を指定する場合、 `-file-operations`パラメータに有効な値を指定する必要があります。プロトコル バージョンが変更されると、有効な値も変更される可能性があります。
メモ

ONTAP 9.15.1 以降、nfsv4 では NFSv4.0 および NFSv4.1 イベントをキャプチャできます。

-protocol protocol

ファイル操作

FPolicyイベントのファイル処理のリストを指定します。

このイベントは、 `-protocol`パラメータで指定されたプロトコルを使用するすべてのクライアント要求から、このリストで指定された操作をチェックします。カンマ区切りのリストを使用して、1つ以上のファイル操作をリストできます。 `-file-operations`のリストには、以下の1つ以上の値を含めることができます:

  • `close`ファイルのクローズ操作用

  • `create`ファイル作成操作用

  • `create-dir`ディレクトリ作成操作用

  • `delete`ファイル削除操作用

  • `delete_dir`ディレクトリ削除操作用

  • `getattr`属性取得操作用

  • `link`リンク操作用

  • `lookup`ルックアップ操作用

  • `open`ファイル オープン操作用

  • `read`ファイル読み取り操作用

  • `write`ファイル書き込み操作用

  • `rename`ファイル名変更操作用

  • ディレクトリ名の変更操作用`rename_dir`

  • `setattr`set 属性操作の場合

  • `symlink`シンボリック リンク操作の場合

メモ 
`-file-operations`を指定する場合、 `-protocol`パラメータに有効なプロトコルを指定する必要があります。

-file-operations file_operations,…​

フィルター

指定されたプロトコルにおける特定のファイル操作のフィルターリストを指定します。 `-filters`パラメータの値は、クライアント要求のフィルタリングに使用されます。リストには、以下の1つ以上を含めることができます:

メモ 
`-filters`パラメータを指定する場合は、 `-file-operations`および `-protocol`パラメータにも有効な値を指定する必要があります。

  • `monitor-ads`代替データ ストリームのクライアント要求をフィルタリングするオプション。

  • `close-with-modification`変更を加えて閉じるクライアント要求をフィルタリングするオプション。

  • `close-without-modification`クライアント要求を変更せずに閉じるようにフィルタリングするオプション。

  • `first-read`最初の読み取りに対するクライアント要求をフィルタリングするオプション

  • `first-write`最初の書き込みに対するクライアント要求をフィルタリングするオプション。

  • `offline-bit`オフライン ビット セットのクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、オフラインのファイルがアクセスされたときのみFPolicyサーバが通知を受信します。

  • `open-with-delete-intent`削除目的で開くクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、FPolicyサーバーは、ファイルを削除する目的で開こうとした場合にのみ通知を受け取ります。これは、 `FILE_DELETE_ON_CLOSE`フラグが指定されている場合にファイル システムで使用されます。

  • `open-with-write-intent`書き込み意図を持つオープンに対するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、書き込むためにファイルを開いた場合のみFPolicyサーバが通知を受信します。

  • `write-with-size-change`サイズ変更を伴う書き込みに対するクライアント要求をフィルタリングするオプション。

  • `setattr-with-owner-change`ファイルまたはディレクトリの所有者を変更するためのクライアントのsetattrリクエストをフィルタリングするオプション。

  • `setattr-with-group-change`ファイルまたはディレクトリのグループを変更するためのクライアントのsetattrリクエストをフィルタリングするオプション。

  • `setattr-with-sacl-change`ファイルまたはディレクトリのSACLを変更するためのクライアントのsetattr要求をフィルタリングするオプション。

    このフィルタは、SMBプロトコルとNFSv4プロトコルに対してのみ使用できます。

  • `setattr-with-dacl-change`ファイルまたはディレクトリのDACLを変更するためのクライアントのsetattr要求をフィルターするオプション。

    このフィルタは、SMBプロトコルとNFSv4プロトコルに対してのみ使用できます。

  • `setattr-with-modify-time-change`ファイルまたはディレクトリの変更時刻を変更するためのクライアントのsetattr要求をフィルタリングするオプション。

  • `setattr-with-access-time-change`ファイルまたはディレクトリのアクセス時間を変更するためのクライアントのsetattr要求をフィルタリングするオプション。

  • `setattr-with-creation-time-change`ファイルまたはディレクトリの作成時刻を変更するためのクライアントのsetattr要求をフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • `setattr-with-mode-change`ファイルまたはディレクトリのモード ビットを変更するためのクライアントの setattr 要求をフィルターするオプション。

  • `setattr-with-size-change`ファイルのサイズを変更するためのクライアントのsetattrリクエストをフィルタリングするオプション。

  • `setattr-with-allocation-size-change`ファイルの割り当てサイズを変更するためのクライアントのsetattrリクエストをフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • `exclude-directory`ディレクトリ操作に対するクライアント要求をフィルタリングするオプション。

    このフィルタが指定されている場合、ディレクトリ操作は監視されません。

-filters filter, …​

ボリューム操作は必要ですか

ボリュームのマウントおよびアンマウント操作に監視が必要かどうかを指定します。デフォルトは `false`です。

-volume-operation {true

false}

-filters filter, …​

FPolicy アクセス拒否通知

ONTAP 9.13.1以降では、権限がないためにファイル処理が失敗した場合に通知を受け取ることができます。これらの通知は、セキュリティ、ランサムウェア対策、ガバナンスに役立ちます。権限不足でファイル処理が失敗した場合、次のメッセージを含む通知が生成されます。

  • Failures due to NTFS permissions.

  • Failures due to Unix mode bits.

  • Failures due to NFSv4 ACLs.

-monitor-fileop-failure {true

false}