Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FPolicy イベントの設定の概要を計画します

共同作成者
PDF

FPolicy イベントを設定する前に、 FPolicy イベントを作成することの意味を理解する必要があります。イベントで監視するプロトコル、監視するイベント、使用するイベントフィルタを決定する必要があります。この情報は、設定する値を計画するのに役立ちます。

FPolicy イベントを作成することの意味

FPolicy イベントを作成することは、どのファイルアクセス操作を監視するか、またどの監視対象イベント通知を外部 FPolicy サーバに送信するかを決定するために、 FPolicy プロセスで必要となる情報を定義することを意味します。FPolicy イベントの設定では、次の設定情報を定義します。

  • Storage Virtual Machine ( SVM )名

  • イベント名

  • 監視するプロトコル

    FPolicy は、 SMB 、 NFSv3 、および NFSv4 のファイルアクセス処理を監視できます。

  • 監視するファイル操作

    すべてのファイル操作が各プロトコルに対して有効であるとは限りません。

  • 構成するファイルフィルタ

    ファイル操作とフィルタの特定の組み合わせのみが有効です。各プロトコルには、サポートされる独自の組み合わせがあります。

  • ボリュームのマウントおよびアンマウント操作を監視するかどうか

メモ

3つのパラメータには依存関係があります (-protocol-file-operations-filters)。以下の組み合わせが 3 つのパラメータで有効です。

  • を指定できます -protocol および -file-operations パラメータ

  • 3 つのパラメータをすべて同時に指定することもできます。

  • いずれのパラメータも指定しないでください。

FPolicy イベント構成に含まれるもの

次に示す使用可能な FPolicy イベント設定パラメータの一覧は、構成を計画するのに役立ちます。

情報のタイプ

オプション

SVM

この FPolicy イベントに関連付ける SVM の名前を指定します。

各 FPolicy 設定は、単一の SVM 内で定義されます。FPolicy ポリシーの構成要素となる外部エンジン、ポリシーイベント、ポリシーのスコープ、およびポリシーを、すべて同じ SVM に関連付ける必要があります。

-vserver vserver_name

_ イベント名 _

FPolicy イベントに割り当てる名前を指定します。FPolicy ポリシーを作成する際には、イベント名を使用して FPolicy イベントをポリシーに関連付けます。

この名前に指定できる文字数は最大 256 文字です。

メモ

MetroCluster または SVM ディザスタリカバリ設定でイベントを設定する場合、この名前は最大 200 文字にする必要があります。

名前には、次の ASCII 文字の任意の組み合わせを含めることができます。

  • a から z

  • A から Z

  • 0 から 9

  • " _ "、"、"-`", and “.”

-event-name event_name

プロトコル _

FPolicy イベント用に設定するプロトコルを指定します。のリスト -protocol 次のいずれかの値を指定できます。

  • cifs

  • nfsv3

  • nfsv4

メモ

を指定する場合 -protocol`をクリックした場合は、で有効な値を指定する必要があります `-file-operations パラメータプロトコルのバージョンによって、有効な値が変わる可能性があります。

-protocol protocol

_ ファイル操作 _

FPolicy イベントのファイル操作のリストを指定します。

イベントは、で指定されたプロトコルを使用して、すべてのクライアント要求からこのリストに指定された操作をチェックします -protocol パラメータ1 つ以上のファイル操作をカンマで区切って指定できます。のリスト -file-operations 次の値を1つ以上指定できます。

  • close ファイルクローズ操作の場合

  • create ファイル作成操作の場合

  • create-dir ディレクトリ作成操作に使用します

  • delete ファイル削除操作に使用します

  • delete_dir ディレクトリ削除操作の場合

  • getattr 属性取得操作の場合

  • link リンク操作の場合

  • lookup 検索操作に使用します

  • open ファイルオープン操作の場合

  • read ファイル読み取り操作に使用します

  • write ファイル書き込み操作の場合

  • rename ファイル名変更操作の場合

  • rename_dir ディレクトリ名変更操作

  • setattr 属性設定操作の場合

  • symlink シンボリックリンク操作に使用します

メモ

を指定する場合 -file-operations`をクリックした場合は、で有効なプロトコルを指定する必要があります `-protocol パラメータ

-file-operations `file_operations`はい。

_ フィルタ _

指定したプロトコルにおける所定のファイル操作に対するフィルタのリストを指定します。の値を指定します -filters パラメータは、クライアント要求をフィルタリングするために使用します。リストには次の値を 1 つ以上指定できます。

メモ

を指定する場合は -filters パラメータを指定すると、の有効な値も指定する必要があります -file-operations および -protocol パラメータ

  • monitor-ads 代替データストリームを要求するクライアント要求をフィルタリングするオプション。

  • close-with-modification 変更してクローズ操作を要求するクライアント要求をフィルタリングするオプション。

  • close-without-modification 変更せずにクローズ操作を要求するクライアント要求をフィルタリングするオプション。

  • first-read 初回の読み取りを要求するクライアント要求をフィルタリングするオプション。

  • first-write 初回の書き込みを要求するクライアント要求をフィルタリングするオプション。

  • offline-bit オフラインビットの設定を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、オフラインのファイルがアクセスされた場合のみ FPolicy サーバが通知を受信します。

  • open-with-delete-intent 削除するためにファイルのオープンを要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、削除するためにファイルが開かれた場合のみ FPolicy サーバが通知を受信します。これは、ファイルシステムでが使用されるときに使用されます FILE_DELETE_ON_CLOSE フラグが指定されています。

  • open-with-write-intent 書き込み目的でのオープン操作を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、書き込むためにファイルを開いた場合のみ FPolicy サーバが通知を受信します。

  • write-with-size-change 書き込みと同時にサイズの変更を要求するクライアント要求をフィルタリングするオプション。

-filters `filter`はい。

_ フィルタ _ 続き

  • setattr-with-owner-change ファイルまたはディレクトリの所有者を変更するクライアント属性設定要求をフィルタリングするオプション。

  • setattr-with-group-change ファイルまたはディレクトリのグループを変更するクライアント属性設定要求をフィルタリングするオプション。

  • setattr-with-sacl-change ファイルまたはディレクトリのSACLを変更するクライアント属性設定要求をフィルタリングします。

    このフィルタは、SMBプロトコルとNFSv4プロトコルでのみ使用できます。

  • setattr-with-dacl-change ファイルまたはディレクトリのDACLを変更するクライアント属性設定要求をフィルタリングします。

    このフィルタは、SMBプロトコルとNFSv4プロトコルでのみ使用できます。

  • setattr-with-modify-time-change ファイルまたはディレクトリの変更日時を変更するクライアント属性設定要求をフィルタリングするオプション。

  • setattr-with-access-time-change ファイルまたはディレクトリのアクセス時間を変更するクライアント属性設定要求をフィルタリングするオプション。

  • setattr-with-creation-time-change ファイルまたはディレクトリの作成日時を変更するクライアント属性設定要求をフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • setattr-with-mode-change オプション:ファイルまたはディレクトリのモードビットを変更するクライアント属性設定要求をフィルタリングします。

  • setattr-with-size-change ファイルサイズを変更するクライアント属性設定要求をフィルタリングするオプション。

  • setattr-with-allocation-size-change ファイルの割り当てサイズを変更するクライアント属性設定要求をフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • exclude-directory ディレクトリ操作を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを指定すると、ディレクトリ操作は監視されません。

-filters `filter`はい。

は、ボリューム処理が必要です _

ボリュームのマウントおよびアンマウント操作に対して監視が必要かどうかを指定します。デフォルトはです false

-volume-operation {true

false

-filters `filter`はい。

FPolicyアクセスが通知を拒否しました

ONTAP 9.13.1以降では、権限がないためにファイル処理が失敗した場合に通知を受け取ることができます。これらの通知は、セキュリティ、ランサムウェア対策、ガバナンスに役立ちます。権限がないためにファイル操作が失敗した場合は、次のような通知が生成されます。

  • NTFS権限が原因でエラーが発生しました。

  • UNIXモードビットによるエラー。

  • NFSv4 ACLに起因するエラー。

-monitor-fileop-failure {true

false