O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurando o coletor de dados ONTAP SVM

10/14/2025 Colaboradores

PDFs

O ONTAP SVM Data Collector permite que o Workload Security monitore atividades de acesso a arquivos e usuários em máquinas virtuais de armazenamento (SVMs) do NetApp ONTAP . Este guia orienta você na configuração e no gerenciamento do coletor de dados SVM para fornecer monitoramento de segurança abrangente do seu ambiente ONTAP .

Mudanças globais podem ter um impacto potencial em seus sistemas ONTAP . É altamente recomendável fazer alterações que afetem um grande número de coletores de dados fora dos horários de pico.

Antes de começar

Este coletor de dados é compatível com o seguinte:
- Data ONTAP 9.2 e versões posteriores. Para melhor desempenho, use uma versão do Data ONTAP superior a 9.13.1.
- Protocolo SMB versão 3.1 e anteriores.
- Versões do NFS até e incluindo o NFS 4.1 (observe que o NFS 4.1 é compatível com o ONTAP 9.15 ou posterior).
- O Flexgroup é compatível com o ONTAP 9.4 e versões posteriores
- O FlexCache é compatível com NFS com ONTAP 9.7 e versões posteriores.
- O FlexCache é compatível com SMB com ONTAP 9.14.1 e versões posteriores.
- ONTAP Select é suportado
Somente SVMs de tipo de dados são suportados. SVMs com volumes infinitos não são suportados.
O SVM tem vários subtipos. Destes, apenas default, sync_source e sync_destination são suportados.
Um agente"deve ser configurado" antes de poder configurar coletores de dados.
Certifique-se de ter um Conector de Diretório de Usuário configurado corretamente, caso contrário, os eventos mostrarão nomes de usuários codificados e não o nome real do usuário (conforme armazenado no Active Directory) na página “Análise Forense de Atividades”.
• O ONTAP Persistent Store é compatível com a versão 9.14.1.
Para um desempenho ideal, você deve configurar o servidor FPolicy para estar na mesma sub-rede que o sistema de armazenamento.
Você deve adicionar um SVM usando um dos dois métodos a seguir:
- Usando o IP do cluster, o nome do SVM e o nome de usuário e a senha de gerenciamento do cluster. Este é o método recomendado.
  - O nome do SVM deve ser exatamente como mostrado no ONTAP e diferencia maiúsculas de minúsculas.
- Usando o IP, nome de usuário e senha de gerenciamento do SVM Vserver
- Se você não puder ou não quiser usar o nome de usuário e a senha completos do administrador de cluster/gerenciamento de SVM, você pode criar um usuário personalizado com privilégios menores, conforme mencionado no“Uma nota sobre permissões” seção abaixo. Este usuário personalizado pode ser criado para acesso SVM ou Cluster.
  - o Você também pode usar um usuário do AD com uma função que tenha pelo menos as permissões de csrole, conforme mencionado na seção “Uma observação sobre permissões” abaixo. Consulte também o"Documentação do ONTAP" .
Certifique-se de que os aplicativos corretos estejam definidos para o SVM executando o seguinte comando:
```
clustershell:> security login show -vserver <vservername> -user-or-group-name <username>
```

Exemplo de saída: Exemplo de saída de comando SVM

Certifique-se de que o SVM tenha um servidor CIFS configurado: clustershell:> vserver cifs show

O sistema retorna o nome do Vserver, o nome do servidor CIFS e campos adicionais.
Defina uma senha para o usuário vsadmin do SVM. Se estiver usando um usuário personalizado ou um usuário administrador de cluster, pule esta etapa. clustershell:> security login password -username vsadmin -vserver svmname
Desbloqueie o usuário vsadmin do SVM para acesso externo. Se estiver usando um usuário personalizado ou um usuário administrador de cluster, pule esta etapa. clustershell:> security login unlock -username vsadmin -vserver svmname
Certifique-se de que a política de firewall do LIF de dados esteja definida como 'mgmt' (não 'data'). Pule esta etapa se estiver usando um gerenciamento dedicado para adicionar o SVM. clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
Quando um firewall estiver habilitado, você deverá ter uma exceção definida para permitir o tráfego TCP para a porta usando o Data ONTAP Data Collector.

Ver"Requisitos do agente" para obter informações de configuração. Isso se aplica a agentes locais e agentes instalados na nuvem.
Quando um agente é instalado em uma instância do AWS EC2 para monitorar um SVM do Cloud ONTAP , o agente e o armazenamento devem estar na mesma VPC. Se estiverem em VPCs separadas, deve haver uma rota válida entre as VPCs.

Teste de conectividade para coletores de dados

O recurso de conectividade de teste (lançado em março de 2025) visa ajudar os usuários finais a identificar as causas específicas de falhas ao configurar coletores de dados no Data Infrastructure Insights (DII) Workload Security. Isso permite que os usuários corrijam problemas relacionados à comunicação de rede ou funções ausentes.

Este recurso ajudará os usuários a determinar se todas as verificações relacionadas à rede estão em vigor antes de configurar um coletor de dados. Além disso, ele informará os usuários sobre os recursos que eles podem acessar com base na versão do ONTAP , funções e permissões atribuídas a eles no ONTAP.

A conectividade de teste não é suportada para coletores de diretório de usuários

Pré-requisitos para teste de conexão

Credenciais em nível de cluster são necessárias para que esse recurso funcione completamente.
A verificação de acesso a recursos não é suportada no modo SVM.
Se você estiver usando credenciais de administração de cluster, nenhuma nova permissão será necessária.
Se você estiver usando um usuário personalizado (por exemplo, csuser), forneça as permissões obrigatórias e as permissões específicas dos recursos que deseja usar.

botão de conexão de teste de segurança de carga de trabalho

Não deixe de revisar oPermissões seção abaixo também.

Teste a conexão

O usuário pode ir para a página adicionar/editar coletor, inserir os detalhes do nível do cluster (no Modo Cluster) ou os detalhes do nível do SVM (no Modo SVM) e clicar no botão Testar conexão. O Workload Security processará a solicitação e exibirá uma mensagem apropriada de sucesso ou falha.

Mensagem de sucesso de 'Testar conexão' do Workload Security

Pré-requisitos para bloqueio de acesso do usuário

Tenha em mente o seguinte para"Bloqueio de acesso do usuário" :

Credenciais em nível de cluster são necessárias para que esse recurso funcione.

Se você estiver usando credenciais de administração de cluster, nenhuma nova permissão será necessária.

Se você estiver usando um usuário personalizado (por exemplo, csuser) com permissões dadas ao usuário, siga as etapas em"Bloqueio de acesso do usuário" para dar permissões ao Workload Security para bloquear o usuário.

Uma nota sobre permissões

Permissões ao adicionar via IP de gerenciamento de cluster:

Se você não puder usar o usuário administrador de gerenciamento de cluster para permitir que o Workload Security acesse o coletor de dados ONTAP SVM, você pode criar um novo usuário chamado “csuser” com as funções mostradas nos comandos abaixo. Use o nome de usuário “csuser” e a senha “csuser” ao configurar o coletor de dados do Workload Security para usar o IP de gerenciamento de cluster.

Observação: você pode criar uma única função para usar em todas as permissões de recursos de um usuário personalizado. Se houver um usuário existente, primeiro exclua o usuário e a função existentes usando estes comandos:

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

Para criar o novo usuário, efetue login no ONTAP com o nome de usuário/senha do Administrador de gerenciamento de cluster e execute os seguintes comandos no servidor ONTAP :

security login role create -role csrole -cmddirname DEFAULT -access readonly

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

Permissões ao adicionar via IP de gerenciamento do Vserver:

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

Para criar o novo usuário, efetue login no ONTAP com o nome de usuário/senha do Administrador de gerenciamento de cluster e execute os seguintes comandos no servidor ONTAP . Para facilitar, copie esses comandos para um editor de texto e substitua <vservername> pelo nome do seu Vserver antes de executar esses comandos no ONTAP:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none

security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Modo Protobuf

O Workload Security configurará o mecanismo FPolicy no modo protobuf quando esta opção estiver habilitada nas configurações de Configuração Avançada do coletor. O modo protobuf é suportado no ONTAP versão 9.15 e posteriores.

Mais detalhes sobre esse recurso podem ser encontrados em"Documentação do ONTAP" .

Permissões específicas são necessárias para protobuf (algumas ou todas elas podem já existir):

Modo de cluster:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Modo Vserver:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

Permissões para proteção autônoma contra ransomware ONTAP e acesso negado ao ONTAP

Se você estiver usando credenciais de administração de cluster, nenhuma nova permissão será necessária.

Se você estiver usando um usuário personalizado (por exemplo, csuser) com permissões dadas ao usuário, siga as etapas abaixo para dar permissões ao Workload Security para coletar informações relacionadas ao ARP do ONTAP.

Para mais informações, leia sobre"Integração com ONTAP Acesso negado"

e"Integração com a Proteção Autônoma contra Ransomware ONTAP"

Configurar o coletor de dados

Etapas para configuração

Efetue login como administrador ou proprietário da conta no seu ambiente do Data Infrastructure Insights .
Clique em Segurança de Carga de Trabalho > Coletores > +Coletores de Dados

O sistema exibe os Coletores de Dados disponíveis.
Passe o mouse sobre o bloco * NetApp SVM e clique em +Monitor.

O sistema exibe a página de configuração do ONTAP SVM. Insira os dados necessários para cada campo.

Campo

Descrição

Nome

Nome exclusivo para o coletor de dados

Agente

Selecione um agente configurado na lista.

Conecte-se via IP de gerenciamento para:

Selecione o IP do cluster ou o IP de gerenciamento do SVM

Endereço IP de gerenciamento de cluster/SVM

O endereço IP do cluster ou do SVM, dependendo da sua seleção acima.

Nome SVM

O nome do SVM (este campo é obrigatório ao conectar via IP do cluster)

Nome de usuário

Nome de usuário para acessar o SVM/Cluster Ao adicionar via IP do Cluster, as opções são: 1. Administrador de cluster 2. 'csuser' 3. Usuário AD com função semelhante à do csuser. Ao adicionar via IP SVM, as opções são: 4. vsadmin 5. 'csuser' 6. Nome de usuário do AD com função semelhante ao csuser.

Senha

Senha para o nome de usuário acima

Filtrar Ações/Volumes

Escolha se deseja incluir ou excluir Ações/Volumes da coleta de eventos

Insira os nomes completos dos compartilhamentos para excluir/incluir

Lista separada por vírgulas de ações a serem excluídas ou incluídas (conforme apropriado) da coleta de eventos

Insira os nomes completos dos volumes a serem excluídos/incluídos

Lista separada por vírgulas de volumes a serem excluídos ou incluídos (conforme apropriado) da coleção de eventos

Monitorar acesso à pasta

Quando marcada, habilita eventos para monitoramento de acesso a pastas. Observe que a criação/renomeação e exclusão de pastas serão monitoradas mesmo sem esta opção selecionada. Habilitar isso aumentará o número de eventos monitorados.

Definir tamanho do buffer de envio ONTAP

Define o tamanho do buffer de envio do ONTAP Fpolicy. Se uma versão do ONTAP anterior à 9.8p7 for usada e houver problemas de desempenho, o tamanho do buffer de envio do ONTAP poderá ser alterado para obter melhor desempenho do ONTAP . Entre em contato com o Suporte da NetApp se você não vir esta opção e quiser explorá-la.

Depois que você terminar

Na página Coletores de dados instalados, use o menu de opções à direita de cada coletor para editar o coletor de dados. Você pode reiniciar o coletor de dados ou editar os atributos de configuração do coletor de dados.

Configuração recomendada para MetroCluster

O seguinte é recomendado para MetroCluster:

Conecte dois coletores de dados, um ao SVM de origem e outro ao SVM de destino.
Os coletores de dados devem ser conectados por Cluster IP.
A qualquer momento, o coletor de dados do SVM 'em execução' atual será exibido como Em execução. O coletor de dados do SVM 'parado' atual será exibido como Parado.
Sempre que houver uma alternância, o estado do coletor de dados mudará de Em execução para Parado e vice-versa.
Levará até dois minutos para que o coletor de dados passe do estado Parado para o estado Em execução.

Política de Serviço

Se estiver usando a política de serviço com o ONTAP versão 9.9.1 ou mais recente, para se conectar ao Coletor de Fonte de Dados, o serviço data-fpolicy-client será necessário junto com o serviço de dados data-nfs e/ou data-cifs.

Exemplo:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

Em versões do ONTAP anteriores à 9.9.1, data-fpolicy-client não precisa ser definido.

Coletor de dados de reprodução e pausa

Se o Coletor de Dados estiver no estado Em execução, você pode pausar a coleta. Abra o menu "três pontos" do coletor e selecione PAUSAR. Enquanto o coletor estiver pausado, nenhum dado será coletado do ONTAP e nenhum dado será enviado do coletor para o ONTAP. Isso significa que nenhum evento Fpolicy fluirá do ONTAP para o coletor de dados e de lá para o Data Infrastructure Insights.

Observe que se novos volumes, etc., forem criados no ONTAP enquanto o coletor estiver em pausa, o Workload Security não coletará os dados e esses volumes, etc., não serão refletidos nos painéis ou tabelas.

Um coletor não pode ser pausado se tiver usuários restritos. Restaure o acesso do usuário antes de pausar o coletor.

Tenha em mente o seguinte:

A limpeza de instantâneos não ocorrerá de acordo com as configurações definidas em um coletor pausado.
Eventos EMS (como ONTAP ARP) não serão processados em um coletor pausado. Isso significa que se o ONTAP identificar um ataque de ransomware, o Data Infrastructure Insights Workload Security não conseguirá adquirir esse evento.
E-mails de notificação de saúde NÃO serão enviados para um coletor pausado.
Ações manuais ou automáticas (como Snapshot ou Bloqueio de usuário) não serão suportadas em um coletor pausado.
Em atualizações de agente ou coletor, reinicializações/reinicializações de VM de agente ou reinicialização de serviço de agente, um coletor pausado permanecerá no estado Pausado.
Se o coletor de dados estiver no estado Erro, o coletor não poderá ser alterado para o estado Pausado. O botão Pausar será habilitado somente se o estado do coletor for Em execução.
Se o agente for desconectado, o coletor não poderá ser alterado para o estado Pausado. O coletor entrará no estado Parado e o botão Pausar será desabilitado.

Armazenamento Persistente

O armazenamento persistente é compatível com o ONTAP 9.14.1 e posteriores. Observe que as instruções de nome de volume variam do ONTAP 9.14 para o 9.15.

O Armazenamento Persistente pode ser habilitado marcando a caixa de seleção na página de edição/adição do coletor. Após selecionar a caixa de seleção, um campo de texto é exibido para aceitar o nome do volume. O nome do volume é um campo obrigatório para habilitar o Armazenamento Persistente.

Para o ONTAP 9.14.1, você deve criar o volume antes de habilitar o recurso e fornecer o mesmo nome no campo Nome do volume. O tamanho de volume recomendado é 16 GB.
Para o ONTAP 9.15.1, o volume será criado automaticamente com tamanho de 16 GB pelo coletor, usando o nome fornecido no campo Nome do volume.

Permissões específicas são necessárias para o Persistent Store (algumas ou todas elas podem já existir):

Modo de cluster:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Modo Vserver:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

Migrar Coletores

Você pode migrar facilmente um coletor de segurança de carga de trabalho de um agente para outro, permitindo um balanceamento de carga eficiente de coletores entre agentes.

Pré-requisitos

O agente de origem deve estar no estado conectado.
O coletor a ser migrado deve estar no estado em execução.

Observação:

O Migrate é suportado tanto para coletores de Dados quanto para coletores de Diretório de Usuário.
A migração de um coletor não é suportada para locatários gerenciados manualmente.

Migrar coletor

Para migrar um coletor, siga estas etapas:

Vá para a página "Editar Colecionador".
Selecione um agente de destino no menu suspenso de agentes.
Clique no botão "Salvar Coletor".

O Workload Security processará a solicitação. Após a migração bem-sucedida, o usuário será redirecionado para a página da lista de coletores. Em caso de falha, uma mensagem apropriada será exibida na página de edição.

Observação: quaisquer alterações de configuração feitas anteriormente na página "Editar coletor" permanecerão aplicadas quando o coletor for migrado com sucesso para o agente de destino.

migrar um coletor escolhendo outro agente

Solução de problemas

Veja o"Solução de problemas do coletor SVM" página para dicas de solução de problemas.