Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Solução de problemas do coletor de dados ONTAP SVM

Colaboradores netapp-alavoie
PDFs

O Workload Security usa coletores de dados para coletar dados de acesso de arquivos e usuários de dispositivos. Aqui você pode encontrar dicas para solucionar problemas com este coletor.

Veja o"Configurando o coletor SVM" página para obter instruções sobre como configurar este coletor.

Em caso de erro, você pode clicar em mais detalhes na coluna Status da página Coletores de Dados Instalados para obter detalhes sobre o erro.

Erro do Coletor de Segurança de Carga de Trabalho - Link com Mais Detalhes

Problemas conhecidos e suas soluções são descritos abaixo.

Problema: O Data Collector é executado por algum tempo e para após um tempo aleatório, falhando com: "Mensagem de erro: O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Servidor fpolicy externo sobrecarregado."

Tente isto: A taxa de eventos do ONTAP era muito maior do que a caixa do Agente pode suportar. Por isso a conexão foi encerrada.

Verifique o pico de tráfego no CloudSecure quando a desconexão ocorreu. Você pode verificar isso na página CloudSecure > Análise forense de atividades > Todas as atividades.

Se o tráfego agregado de pico for maior do que o Agent Box pode suportar, consulte a página Event Rate Checker sobre como dimensionar a implantação do Collector em um Agent Box.

Se o Agente foi instalado na caixa do Agente antes de 4 de março de 2021, execute os seguintes comandos na caixa do Agente:

echo 'net.core.rmem_max=8388608' >> /etc/sysctl.conf
echo 'net.ipv4.tcp_rmem = 4096 2097152 8388608' >> /etc/sysctl.conf
sysctl -p

Reinicie o coletor pela interface do usuário após o redimensionamento.

Problema: O coletor relata a mensagem de erro: “Nenhum endereço IP local encontrado no conector que possa alcançar as interfaces de dados do SVM”. Tente isto: Isso provavelmente ocorre devido a um problema de rede no lado do ONTAP . Siga estes passos:

  1. Certifique-se de que não haja firewalls no servidor de dados do SVM ou no servidor de gerenciamento que estejam bloqueando a conexão do SVM.

  2. Ao adicionar um SVM por meio de um IP de gerenciamento de cluster, certifique-se de que o tempo de vida de dados e o tempo de vida de gerenciamento do SVM possam ser executados por ping a partir da VM do agente. Em caso de problemas, verifique o gateway, a máscara de rede e as rotas do lif.

    Você também pode tentar fazer login no cluster via ssh usando o IP de gerenciamento do cluster e fazer ping no IP do agente. Certifique-se de que o IP do agente pode ser executado em ping:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Se não for possível fazer ping, certifique-se de que as configurações de rede no ONTAP estejam corretas para que a máquina do agente seja possível fazer ping.

  3. Se você tentou se conectar via IP do Cluster e não está funcionando, tente se conectar diretamente via IP do SVM. Veja acima as etapas para conectar via IP SVM.

  4. Ao adicionar o coletor via IP do SVM e credenciais vsadmin, verifique se o SVM Lif tem a função Dados mais Gerenciamento habilitada. Neste caso, o ping para o SVM Lif funcionará, porém o SSH para o SVM Lif não funcionará. Em caso afirmativo, crie um SVM Mgmt Only Lif e tente conectar-se por meio deste SVM management only Lif.

  5. Se ainda não estiver funcionando, crie um novo SVM Lif e tente conectar-se através desse Lif. Certifique-se de que a máscara de sub-rede esteja definida corretamente.

  6. Depuração avançada:

    1. Inicie um rastreamento de pacotes no ONTAP.

    2. Tente conectar um coletor de dados ao SVM pela interface do usuário do CloudSecure.

    3. Aguarde até que o erro apareça. Pare o rastreamento de pacotes no ONTAP.

    4. Abra o rastreamento de pacotes do ONTAP. Está disponível neste local

       https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/
.. Certifique-se de que haja um SYN do ONTAP para a caixa do Agente.
.. Se não houver SYN do ONTAP , então é um problema com o firewall no ONTAP.
.. Abra o firewall no ONTAP para que o ONTAP consiga conectar a caixa do agente.

  7. Se ainda não estiver funcionando, consulte a equipe de rede para garantir que nenhum firewall externo esteja bloqueando a conexão do ONTAP para a caixa do agente.

  8. Se nenhuma das opções acima resolver o problema, abra um caso com"Suporte Netapp" para obter mais assistência.

Problema: Mensagem: "Falha ao determinar o tipo ONTAP para [nome do host: <Endereço IP>. Motivo: Erro de conexão com o Sistema de Armazenamento <Endereço IP>: Host inacessível (Host inacessível)" Tente isto:

  1. Verifique se o endereço IP de gerenciamento do SVM ou o IP de gerenciamento do cluster correto foi fornecido.

  2. SSH para o SVM ou o cluster ao qual você pretende se conectar. Depois de conectado, certifique-se de que o nome do SVM ou do cluster esteja correto.

Problema: Mensagem de erro: "O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Servidor fpolicy externo encerrado." Experimente isto:

  1. É mais provável que um firewall esteja bloqueando as portas necessárias na máquina do agente. Verifique se o intervalo de portas 35000-55000/tcp está aberto para que a máquina do agente se conecte ao SVM. Certifique-se também de que não haja firewalls habilitados no lado do ONTAP bloqueando a comunicação com a máquina do agente.

  2. Digite o seguinte comando na caixa Agente e certifique-se de que o intervalo de portas esteja aberto.

    sudo iptables-save | grep 3500*

    A saída de exemplo deve ser semelhante a:

     -A IN_public_allow -p tcp -m tcp --dport 35000 -m conntrack -ctstate NEW -j ACCEPT
. Efetue login no SVM, insira os seguintes comandos e verifique se nenhum firewall está definido para bloquear a comunicação com o ONTAP.
    system services firewall show
system services firewall policy show

    "Verifique os comandos do firewall"no lado ONTAP .

  3. SSH para o SVM/Cluster que você deseja monitorar. Execute ping na caixa do agente a partir do data life do SVM (com suporte aos protocolos CIFS e NFS) e verifique se o ping está funcionando:

    network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name> -show-detail

    Se não for possível fazer ping, certifique-se de que as configurações de rede no ONTAP estejam corretas para que a máquina do agente seja possível fazer ping.

  4. Se um único SVM for adicionado duas vezes a um locatário por meio de 2 coletores de dados, esse erro será exibido. Exclua um dos coletores de dados por meio da interface do usuário. Em seguida, reinicie o outro coletor de dados por meio da interface do usuário. Em seguida, o coletor de dados mostrará o status “RUNNING” e começará a receber eventos do SVM.

    Basicamente, em um locatário, 1 SVM deve ser adicionado apenas uma vez, por meio de 1 coletor de dados. 1 SVM não deve ser adicionado duas vezes por meio de 2 coletores de dados.

  5. Em casos em que o mesmo SVM foi adicionado em dois ambientes de segurança de carga de trabalho diferentes (locatários), o último sempre terá sucesso. O segundo coletor configurará o fpolicy com seu próprio endereço IP e expulsará o primeiro. Então o coletor no primeiro deixará de receber eventos e seu serviço de "auditoria" entrará em estado de erro. Para evitar isso, configure cada SVM em um único ambiente.

  6. Esse erro também pode ocorrer se as políticas de serviço não estiverem configuradas corretamente. Com o ONTAP 9.8 ou posterior, para se conectar ao Data Source Collector, o serviço data-fpolicy-client é necessário junto com o serviço de dados data-nfs e/ou data-cifs. Além disso, o serviço data-fpolicy-client deve ser associado ao(s) data lif(s) do SVM monitorado.

Problema: Nenhum evento visto na página de atividades. Experimente isto:

  1. Verifique se o coletor ONTAP está no estado “RUNNING”. Em caso afirmativo, certifique-se de que alguns eventos cifs estejam sendo gerados nas VMs do cliente cifs abrindo alguns arquivos.

  2. Se nenhuma atividade for vista, faça login no SVM e digite o seguinte comando.

    <SVM>event log show -source fpolicy

    Certifique-se de que não haja erros relacionados à fpolicy.

  3. Se nenhuma atividade for vista, faça login no SVM. Digite o seguinte comando:

    <SVM>fpolicy show

    Verifique se a política fpolicy nomeada com prefixo “cloudsecure_” foi definida e o status é “on”. Se não estiver definido, provavelmente o Agente não conseguirá executar os comandos no SVM. Certifique-se de que todos os pré-requisitos descritos no início da página foram seguidos.

Problema: O coletor de dados SVM está em estado de erro e a mensagem de erro é “O agente falhou ao conectar ao coletor” Tente isto:

  1. Provavelmente o Agente está sobrecarregado e não consegue se conectar aos coletores da Fonte de Dados.

  2. Verifique quantos coletores de fonte de dados estão conectados ao agente.

  3. Verifique também a taxa de fluxo de dados na página “Todas as atividades” na interface do usuário.

  4. Se o número de atividades por segundo for significativamente alto, instale outro Agente e mova alguns dos Coletores de Fonte de Dados para o novo Agente.

Problema: O SVM Data Collector exibe a mensagem de erro "fpolicy.server.connectError: O nó falhou ao estabelecer uma conexão com o servidor FPolicy "12.195.15.146" (motivo: "Tempo limite de seleção esgotado")" Tente isto: O firewall está habilitado no SVM/Cluster. Portanto, o mecanismo fpolicy não consegue se conectar ao servidor fpolicy. Os CLIs no ONTAP que podem ser usados ​​para obter mais informações são:

event log show -source fpolicy which shows the error
event log show -source fpolicy -fields event,action,description which shows more details.

"Verifique os comandos do firewall"no lado ONTAP .

Problema: Mensagem de erro: “O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Nenhuma interface de dados válida (função: dados, protocolos de dados: NFS ou CIFS ou ambos, status: ativo) encontrada no SVM.” Tente isto: Certifique-se de que haja uma interface operacional (com função de dados e protocolo de dados como CIFS/NFS).

Problema: O coletor de dados entra no estado de erro e depois entra no estado de execução após algum tempo, e depois volta ao estado de erro novamente. Este ciclo se repete. Tente isto: Isso normalmente acontece no seguinte cenário:

  1. Vários coletores de dados foram adicionados.

  2. Os coletores de dados que mostram esse tipo de comportamento terão 1 SVM adicionado a esses coletores de dados. Isso significa que 2 ou mais coletores de dados estão conectados a 1 SVM.

  3. Garanta que 1 coletor de dados se conecte a apenas 1 SVM.

  4. Exclua os outros coletores de dados que estão conectados ao mesmo SVM.

Problema: O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Falha na configuração (política no SVM svmname. Motivo: Valor inválido especificado para o elemento 'shares-to-include' em 'fpolicy.policy.scope-modify: "Federal' Tente isto: *Os nomes dos compartilhamentos precisam ser fornecidos sem aspas. Edite a configuração do ONTAP SVM DSC para corrigir os nomes de compartilhamento.

Incluir e excluir compartilhamentos não se destina a uma longa lista de nomes de compartilhamentos. Em vez disso, use a filtragem por volume se você tiver um grande número de compartilhamentos para incluir ou excluir.

Problema: Há fpolicies existentes no Cluster que não estão sendo utilizadas. O que deve ser feito com eles antes da instalação do Workload Security? Tente isto: É recomendável excluir todas as configurações fpolicy existentes e não utilizadas, mesmo que estejam em estado desconectado. O Workload Security criará fpolicy com o prefixo "cloudsecure_". Todas as outras configurações fpolicy não utilizadas podem ser excluídas.

Comando CLI para mostrar a lista fpolicy:

 fpolicy show
Etapas para excluir configurações do fpolicy:
fpolicy disable -vserver <svmname> -policy-name <policy_name>
fpolicy policy scope delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy delete -vserver <svmname> -policy-name <policy_name>
fpolicy policy event delete -vserver <svmname> -event-name <event_list>
fpolicy policy external-engine delete -vserver <svmname> -engine-name <engine_name>

|Após habilitar a Segurança de Carga de Trabalho, o desempenho do ONTAP é afetado: a latência se torna esporadicamente alta, os IOPs se tornam esporadicamente baixos. |Ao usar o ONTAP com o Workload Security, às vezes podem ser observados problemas de latência no ONTAP. Há uma série de razões possíveis para isso, conforme observado a seguir:"1372994" , "1415152" , "1438207" , "1479704" , "1354659" . Todos esses problemas foram corrigidos no ONTAP 9.13.1 e posteriores; é altamente recomendável usar uma dessas versões posteriores.

Problema: O coletor de dados está com erro, exibe esta mensagem de erro. “Erro: O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Falha ao configurar a política no SVM svm_test. Motivo: Valor ausente para o campo zapi: eventos. “Experimente isto:

  1. Comece com um novo SVM com apenas o serviço NFS configurado.

  2. Adicione um coletor de dados ONTAP SVM no Workload Security. O CIFS é configurado como um protocolo permitido para o SVM ao adicionar o ONTAP SVM Data Collector no Workload Security.

  3. Aguarde até que o coletor de dados no Workload Security mostre um erro.

  4. Como o servidor CIFS NÃO está configurado no SVM, esse erro, conforme mostrado à esquerda, é exibido pelo Workload Security.

  5. Edite o coletor de dados ONTAP SVM e desmarque CIFs como protocolo permitido. Salve o coletor de dados. Ele começará a ser executado somente com o protocolo NFS habilitado.

Problema: O Data Collector mostra a mensagem de erro: “Erro: Falha ao determinar a integridade do coletor em 2 tentativas, tente reiniciar o coletor novamente (Código de erro: AGENT008)”. Experimente isto:

  1. Na página Coletores de dados, role para a direita do coletor de dados que está apresentando o erro e clique no menu de 3 pontos. Selecione Editar. Digite a senha do coletor de dados novamente. Salve o coletor de dados pressionando o botão Salvar. O Data Collector será reiniciado e o erro deverá ser resolvido.

  2. A máquina do agente pode não ter espaço suficiente para CPU ou RAM, e é por isso que os DSCs estão falhando. Verifique o número de Coletores de Dados adicionados ao Agente na máquina. Se for maior que 20, aumente a capacidade da CPU e da RAM da máquina do agente. Quando a CPU e a RAM forem aumentadas, os DSCs entrarão no estado Inicializando e depois em Execução automaticamente. Consulte o guia de tamanhos em"esta página" .

Problema: O coletor de dados está apresentando erro quando o modo SVM é selecionado. Tente isto: Ao conectar no modo SVM, se o IP de gerenciamento do cluster for usado para conectar em vez do IP de gerenciamento do SVM, a conexão falhará. Certifique-se de que o IP SVM correto seja usado.

Problema: O coletor de dados mostra uma mensagem de erro quando o recurso Acesso negado está habilitado: "O conector está em estado de erro. Nome do serviço: auditoria. Motivo da falha: Falha ao configurar fpolicy no SVM test_svm. Motivo: O usuário não está autorizado." Tente isto: O usuário pode não ter as permissões REST necessárias para o recurso Acesso negado. Por favor, siga as instruções em"esta página" para definir as permissões.

Reinicie o coletor depois que as permissões forem definidas.

Se você ainda estiver enfrentando problemas, entre em contato com os links de suporte mencionados na página Ajuda > Suporte.