セキュリティトレースの仕組み
変更を提案
PDF
パーミッショントレーシングフィルタを追加すると、クライアントまたはユーザによるStorage Virtual Machine(SVM)上のSMBサーバおよびNFSサーバに対する処理要求が許可または拒否された理由がONTAPで記録されるようになります。これは、ファイルアクセスのセキュリティ方式が適切であることを確認する場合や、ファイルアクセスに関する問題のトラブルシューティングを行う場合に役立ちます。
セキュリティトレースを使用すると、SVM上でのSMBおよびNFS経由のクライアント処理を検出するフィルタを設定して、そのフィルタに一致するすべてのアクセスチェックをトレースできます。トレース結果には、アクセスが許可または拒否された理由がわかりやすくまとめられています。
SVMのファイルやフォルダに対するSMBアクセスやNFSアクセスのセキュリティ設定を確認する場合や、アクセスに関する問題がある場合は、パーミッショントレーシングを有効にするフィルタをすばやく追加できます。
次のリストに、セキュリティトレースの仕組みに関する重要な特性を示します。
-
ONTAP は、セキュリティトレースを SVM レベルで適用します。
-
各受信要求がスクリーニングされ、有効になっているセキュリティトレースのフィルタ条件に一致するかどうかが確認されます。
-
トレースは、ファイルとフォルダの両方のアクセス要求に対して実行されます。
-
トレースでは、次の条件に基づいてフィルタリングできます。
-
クライアントIP
-
SMB または NFS パス
-
Windows 名
-
UNIX 名
-
-
要求は、 _allowed_or_Denied_access 応答結果でスクリーニングされます。
-
有効なトレースのフィルタ条件に一致する各要求が、トレース結果ログに記録されます。
-
ストレージ管理者は、フィルタが自動的に無効になるようにタイムアウトを設定できます。
-
要求が複数のフィルタに一致する場合は、インデックス番号が最も大きいフィルタの結果が記録されます。
-
ストレージ管理者は、トレース結果ログを出力し、アクセス要求が許可または拒否された理由を確認できます。