Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FPolicyイベントの設定の概要を計画する

共同作成者
PDF

FPolicyイベントを設定する前に、FPolicyイベントを作成することの意味を理解する必要があります。イベントで監視するプロトコル、監視するイベント、および使用するイベントフィルタを決定する必要があります。この情報は、設定する値を計画するのに役立ちます。

FPolicyイベントを作成することの意味

FPolicyイベントを作成することは、どのファイルアクセス操作を監視するか、またどの監視対象イベント通知を外部FPolicyサーバに送信するかを決定するためにFPolicyプロセスで必要となる情報を定義することを意味します。FPolicyイベントの設定では、次の設定情報を定義します。

  • Storage Virtual Machine(SVM)名

  • イベント名

  • 監視するプロトコル

    FPolicyは、SMB、NFSv3、NFSv4のファイル アクセス処理を監視できます。ONTAP 9.15.1以降では、NFSv4.1のファイル アクセス処理も監視できます。

  • 監視するファイル処理

    すべてのファイル処理が、各プロトコルに対して有効とは限りません。

  • 構成するファイル フィルタ

    ファイル処理とフィルタの特定の組み合わせだけが有効です。プロトコルごとに、サポートされる独自の組み合わせがあります。

  • ボリュームのマウントおよびアンマウント操作を監視するかどうか

メモ

3つのパラメータ(-protocol、、 -file-operations-filters)との依存関係があります。3つのパラメータの有効な組み合わせは次のとおりです。

  • パラメータと -file-operations`パラメータを指定できます `-protocol

  • 3つのパラメータをすべて指定できます。

  • パラメータはどれも指定できません。

FPolicyイベントの設定内容

次に示す使用可能なFPolicyイベント設定パラメータの一覧は、設定を計画するのに役立ちます。

情報の種類

オプション

SVM

このFPolicyイベントに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの構成要素となる外部エンジン、ポリシーイベント、ポリシーのスコープ、およびポリシーを、すべて同じSVMに関連付ける必要があります。

-vserver vserver_name

_ イベント名 _

FPolicyイベントに割り当てる名前を指定します。FPolicyポリシーを作成するときは、イベント名を使用してFPolicyイベントをポリシーに関連付けます。

名前の最大文字数は256文字です。

メモ

MetroClusterまたはSVMディザスタリカバリ設定でイベントを設定する場合、この名前は最大200文字にする必要があります。

名前には、次のASCII文字の任意の組み合わせを含めることができます。

  • a`から `z

  • A`から `Z

  • 0`から `9

  • _`""、""、""。""-`", and "

-event-name event_name

プロトコル _

FPolicyイベントに設定するプロトコルを指定します。のリスト `-protocol`には、次のいずれかの値を指定できます。

  • cifs

  • nfsv3

  • nfsv4

メモ

を指定する場合は -protocol、パラメータに有効な値を指定する必要があります -file-operations。プロトコルのバージョンが変わると、有効な値が変わることがあります。
メモ

NFSv4.15.1以降でONTAP 9は、NFSv4でNFSv4.0およびNFSv4.1のイベントをキャプチャできます。

-protocol protocol

_ ファイル操作 _

FPolicyイベントのファイル操作のリストを指定します。

このイベントは、パラメータで指定したプロトコルを使用して、すべてのクライアント要求からこのリストに指定された操作をチェックします -protocol。1つ以上のファイル操作をカンマで区切って指定できます。のリスト `-file-operations`には、次の値を1つ以上指定できます。

  • `close`ファイルクローズソウサ

  • `create`ファイルサクセイソウサ

  • `create-dir`ディレクトリサクセイソウサ

  • `delete`ファイルサクジョソウサ

  • `delete_dir`ディレクトリサクジョソウサ

  • `getattr`属性取得操作

  • `link`リンクソウサ

  • `lookup`ケンサクソウサ

  • `open`ファイルオープンソウサ

  • `read`フアイルヨミトリソウサ

  • `write`フアイルカキコミソウサ

  • `rename`ファイルメイヘンコウソウサ

  • `rename_dir`ディレクトリメイヘンコウソウサ

  • `setattr`属性設定操作用

  • `symlink`シンホリツクリンクソウサ

メモ

を指定する場合は -file-operations、パラメータに有効なプロトコルを指定する必要があります -protocol

-file-operations `file_operations`はい。

_ フィルタ _

指定したプロトコルの指定したファイル操作に対するフィルタのリストを指定します。パラメータの値 `-filters`は、クライアント要求をフィルタリングするために使用されます。このリストには、次の1つ以上を指定できます。

メモ

パラメータを指定する場合 -filters`は、パラメータと `-protocol`パラメータに有効な値も指定する必要があります `-file-operations

  • `monitor-ads`代替データストリームを要求するクライアント要求をフィルタリングするオプション。

  • `close-with-modification`変更してクローズ操作を要求するクライアント要求をフィルタリングするオプション。

  • `close-without-modification`変更せずにクローズ操作を要求するクライアント要求をフィルタリングするオプション。

  • `first-read`初回の読み取りを要求するクライアント要求をフィルタリングするオプション。

  • `first-write`初回の書き込みを要求するクライアント要求をフィルタリングするオプション。

  • `offline-bit`オフラインビットの設定を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、オフラインのファイルがアクセスされたときにのみFPolicyサーバが通知を受信します。

  • `open-with-delete-intent`削除するためにファイルのオープンを要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、削除するためにファイルを開こうとした場合にのみFPolicyサーバが通知を受信します。これは、フラグが指定されたときにファイルシステムによって使用されます FILE_DELETE_ON_CLOSE

  • `open-with-write-intent`書き込み目的でのオープン操作を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを設定すると、書き込むためにファイルを開こうとした場合にのみFPolicyサーバが通知を受信します。

  • `write-with-size-change`書き込みと同時にサイズの変更を要求するクライアント要求をフィルタリングするオプション。

  • `setattr-with-owner-change`ファイルまたはディレクトリの所有者を変更するクライアント属性設定要求をフィルタリングするオプション。

  • `setattr-with-group-change`ファイルまたはディレクトリのグループを変更するクライアント属性設定要求をフィルタリングするオプション。

  • `setattr-with-sacl-change`ファイルまたはディレクトリのSACLを変更するクライアント属性設定要求をフィルタリングします。

    このフィルタは、SMBプロトコルとNFSv4プロトコルでのみ使用できます。

  • `setattr-with-dacl-change`ファイルまたはディレクトリのDACLを変更するクライアント属性設定要求をフィルタリングします。

    このフィルタは、SMBプロトコルとNFSv4プロトコルでのみ使用できます。

  • `setattr-with-modify-time-change`ファイルまたはディレクトリの変更日時を変更するクライアント属性設定要求をフィルタリングするオプション。

  • `setattr-with-access-time-change`ファイルまたはディレクトリのアクセス時間を変更するクライアント属性設定要求をフィルタリングするオプション。

  • `setattr-with-creation-time-change`ファイルまたはディレクトリの作成日時を変更するクライアント属性設定要求をフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • `setattr-with-mode-change`オプション:ファイルまたはディレクトリのモードビットを変更するクライアント属性設定要求をフィルタリングします。

  • `setattr-with-size-change`ファイルサイズを変更するクライアント属性設定要求をフィルタリングするオプション。

  • `setattr-with-allocation-size-change`ファイルの割り当てサイズを変更するクライアント属性設定要求をフィルタリングするオプション。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • `exclude-directory`ディレクトリ操作を要求するクライアント要求をフィルタリングするオプション。

    このフィルタを指定すると、ディレクトリ操作は監視されません。

-filters `filter`はい。

は、ボリューム処理が必要です _

ボリュームのマウントおよびアンマウント操作に対して監視が必要かどうかを指定します。デフォルトはです false

-volume-operation{true

false}

-filters `filter`はい。

FPolicyアクセスが通知を拒否しました

ONTAP 9.13.1以降では、権限がないためにファイル処理が失敗した場合に通知を受け取ることができます。これらの通知は、セキュリティ、ランサムウェア対策、ガバナンスに役立ちます。権限不足でファイル処理が失敗した場合、次のメッセージを含む通知が生成されます。

  • Failures due to NTFS permissions.

  • Failures due to Unix mode bits.

  • Failures due to NFSv4 ACLs.

-monitor-fileop-failure{true

false}