简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

警报

09/15/2021 提供者

Cloud Secure 警报页面显示最近攻击和 / 或警告的时间线，并可用于查看每个问题描述的详细信息。

警报列表

警报

警报列表显示一个图形，其中显示了选定时间范围内引发的潜在攻击和 / 或警告总数，然后列出了该时间范围内发生的攻击和 / 或警告。您可以通过调整图中的开始时间和结束时间滑块来更改时间范围。

对于每个警报，将显示以下内容：

潜在攻击： *
潜在攻击类型（例如勒索软件）
检测到潜在攻击的日期和时间
警报的 Status ：
- 新增（这是新警报的默认设置）
- 正在进行中
- 已解决
- 已取消
  
  管理员可以更改警报状态并添加注释以协助调查。
其行为触发警报的 User
攻击的 Event （例如，大量文件已加密）
已执行操作 _ （例如，已创建快照）
警告： *
触发警告的 _Abnormal behavior _
检测到行为的日期和时间
警报的 Status ：
- 新增（这是新警报的默认设置）
- 正在进行中
- 已解决
- 已取消
  
  管理员可以更改警报状态并添加注释以协助调查。
其行为触发警报的 User
Change 的问题描述（例如，文件访问异常增加）
已采取操作 _

筛选器选项

您可以按以下方式筛选警报：

警报的 Status
Note 中的特定文本
_ 攻击 / 警告 _ 的类型
操作触发警报 / 警告的 User

警报详细信息页面

您可以单击警报列表页面上的警报链接以打开警报的详细信息页面。警报详细信息可能因攻击或警报类型而异。例如，勒索软件攻击详细信息页面可能会显示以下信息：

摘要部分：

攻击类型（在此示例中为勒索软件）和警报 ID （由 Cloud Secure 分配）
检测到攻击的日期和时间
已执行操作（例如，已创建自动快照。Snapshot 时间显示在摘要部分的正下方）
状态（新增，正在进行等）

攻击结果部分：

受影响卷和文件的数量
随附的检测摘要
显示攻击期间文件活动的图形

执行 Snapshot 操作

Cloud Secure 可在检测到恶意活动时自动创建快照以保护您的数据，并确保安全地备份您的数据。

您可以定义 "自动响应策略" 在检测到勒索软件攻击或其他异常用户活动时创建快照。您也可以从警报页面手动创建快照。

自动创建快照：警报操作屏幕， 1000

手动快照：警报操作屏幕， 1000

警报通知

警报的电子邮件通知会发送到警报的每个操作的警报收件人列表。要配置警报收件人，请单击 * 管理员 > 通知 * 并为每个收件人输入一个电子邮件地址。

保留策略

警报和警告保留 13 个月。超过 13 个月的警报和警告将被删除。如果删除了 Cloud Secure 环境，则与该环境关联的所有数据也将被删除。

故障排除

问题：	请尝试以下操作：
对于 Cloud Secure （ CS ）创建的快照， CS 快照是否有清除 / 归档期限？	否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。
有时， ONTAP 每天每小时创建一次快照。Cloud Secure （ CS ）快照是否会影响它？CS 快照是否会采用每小时快照位置？默认每小时快照是否会停止？	Cloud Secure 快照不会影响每小时快照。CS 快照不会占用每小时快照空间，应像以前一样继续使用。默认的每小时快照不会停止。
如果在 ONTAP 中达到最大快照数，会发生什么情况？	如果达到最大 Snapshot 计数，则后续 Snapshot 生成将失败， Cloud Secure 将显示一条错误消息，指出 Snapshot 已满。用户需要定义 Snapshot 策略以删除最早的快照，否则不会创建快照。在 ONTAP 9.3 及更早版本中，一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息，请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"。
Cloud Secure 根本无法创建快照。	确保用于创建快照的角色具有链接：已分配 proper 权限。确保为 csrole 创建了用于创建快照的正确访问权限： security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
对于 SVM 上较早的警报，快照失败，这些警报已从 Cloud Secure 中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报，将创建快照。	这种情况极少。如果您遇到这种情况，请登录到 ONTAP 并为较早的警报手动创建快照。
在 Alert Details 页面中，在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。	如果通过 SVM 管理 IP 将数据收集器添加到 Cloud Secure 中，并且 ONTAP 中 SVM 的 LIF 处于 _disabled" 状态，则可能会发生这种情况。在 ONTAP 中启用特定 LIF 并从 Cloud Secure 触发 _Take Snapshot Manually _ 。然后， Snapshot 操作将成功。

问题：

请尝试以下操作：

对于 Cloud Secure （ CS ）创建的快照， CS 快照是否有清除 / 归档期限？

否没有为 CS 快照设置清除 / 归档期限。用户需要为 CS 快照定义清除策略。请参见 "ONTAP 文档" 有关如何设置策略的信息。

有时， ONTAP 每天每小时创建一次快照。Cloud Secure （ CS ）快照是否会影响它？CS 快照是否会采用每小时快照位置？默认每小时快照是否会停止？

Cloud Secure 快照不会影响每小时快照。CS 快照不会占用每小时快照空间，应像以前一样继续使用。默认的每小时快照不会停止。

如果在 ONTAP 中达到最大快照数，会发生什么情况？

如果达到最大 Snapshot 计数，则后续 Snapshot 生成将失败， Cloud Secure 将显示一条错误消息，指出 Snapshot 已满。用户需要定义 Snapshot 策略以删除最早的快照，否则不会创建快照。在 ONTAP 9.3 及更早版本中，一个卷最多可包含 255 个 Snapshot 副本。在 ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关的信息，请参见 ONTAP 文档 "正在设置 Snapshot 删除策略"。

Cloud Secure 根本无法创建快照。

确保用于创建快照的角色具有链接：已分配 proper 权限。确保为 csrole 创建了用于创建快照的正确访问权限： security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

对于 SVM 上较早的警报，快照失败，这些警报已从 Cloud Secure 中删除并随后重新添加。对于在重新添加 SVM 后出现的新警报，将创建快照。

这种情况极少。如果您遇到这种情况，请登录到 ONTAP 并为较早的警报手动创建快照。

在 Alert Details 页面中，在 Take Snapshot 按钮下方会显示消息 "Last Attempt Failed" 错误。将鼠标悬停在错误上会显示 "invoke API command has timed out for the data collector with id" 。

如果通过 SVM 管理 IP 将数据收集器添加到 Cloud Secure 中，并且 ONTAP 中 SVM 的 LIF 处于 _disabled" 状态，则可能会发生这种情况。在 ONTAP 中启用特定 LIF 并从 Cloud Secure 触发 _Take Snapshot Manually _ 。然后， Snapshot 操作将成功。

Creating your file...

警报

警报