ONTAP監査の前提条件
変更を提案
PDF
Storage Virtual Machine(SVM)で監査を設定して有効にする前に、一定の要件と考慮事項について理解しておく必要があります。
-
NFS および S3 監査対応 SVM の合計制限は ONTAP のバージョンによって異なります:
ONTAPのバージョン
最大
9.8以前
50
9.9.1以降
400
-
監査はSMBまたはNFSのライセンスとは関係ありません。
SMBとNFSのライセンスがクラスタにインストールされていない場合でも、監査を設定して有効にすることができます。
-
NFS監査では、セキュリティACE(タイプU)をサポートしています。
-
NFS監査では、モード ビットと監査ACEの間のマッピングはありません。
ACLをモード ビットに変換する場合、監査ACEはスキップされます。モード ビットをACLに変換する場合、監査ACEは生成されません。
-
監査設定で指定するディレクトリが存在している必要があります。
存在しない場合、監査設定を作成するコマンドは失敗します。
-
監査設定で指定するディレクトリは、次の要件を満たしている必要があります。
-
ディレクトリにシンボリック リンクを含めることはできません。
監査設定で指定するディレクトリにシンボリック リンクが含まれている場合、監査設定を作成するコマンドは失敗します。
-
絶対パスを使用してディレクトリを指定する必要があります。
相対パスを指定しないでください。例:
/vs1/../。
-
-
監査は、ステージング ボリューム内に利用可能なスペースがあるかどうかに依存します。
監査対象のボリュームを含むアグリゲートのステージング ボリュームに十分なスペースを確保できるよう注意する必要があります。
-
監査は、変換されたイベント ログの格納先ディレクトリを含むボリューム内に利用可能なスペースがあるかどうかに依存します。
イベントログを保存するために使用するボリュームに十分な空き容量があることを認識し、その確保のための計画を立てておく必要があります。監査設定を作成する際に `-rotate-limit`パラメータを使用して、監査ディレクトリに保持するイベントログの数を指定できます。これにより、ボリューム内にイベントログ用の十分な空き容量を確保できます。
-
監査設定では、SMBサーバでDynamic Access Control(DAC;ダイナミック アクセス制御)を有効にしなくても、集約型アクセス ポリシーのステージングを有効にできますが、集約型アクセス ポリシーのステージング イベントを生成するには、ダイナミック アクセス制御を有効にしておく必要があります。
ダイナミック アクセス制御は、デフォルトでは有効になっていません。
監査を有効化する場合のアグリゲート スペースの考慮事項
監査設定が作成されていてクラスタ内の少なくとも1つのStorage Virtual Machine(SVM)で監査が有効になっている場合、監査サブシステムは、既存のすべてのアグリゲートと、作成されるすべての新しいアグリゲートにステージング ボリュームを作成します。クラスタ上で監査を有効にする際は、アグリゲート スペースに関する考慮事項に注意する必要があります。
アグリゲートに十分な空き容量がない場合、ステージング ボリュームの作成に失敗することがあります。監査を構成しても、既存のアグリゲートにステージング ボリュームの格納に必要な空き容量がない場合に、このエラーが起きることがあります。
SVMで監査を有効にする前に、既存のアグリゲート上にステージング ボリューム用の十分な空き容量があることを確認する必要があります。