简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 ONTAP SVM 数据收集器

提供者 netapp-alavoie 下载此页面的 PDF

Cloud Secure 使用数据收集器从设备收集文件和用户访问数据。

开始之前

  • 此数据收集器支持以下功能:

    • Data ONTAP 9.2 及更高版本要获得最佳性能,请使用 Data ONTAP 版本,其中 "此问题描述" 已修复。

    • SMB 协议 3.1 及更早版本

    • NFS 协议 4.0 及更早版本

  • 仅支持数据类型 SVM 。不支持具有无限卷 / 灵活组卷的 SVM

  • SVM 有多个子类型。其中,仅支持 default_and _sync_source

  • 代理 "必须进行配置" 然后才能配置数据收集器。

  • 请确保已正确配置 User Directory Connector ,否则事件将在 " 活动取证 " 页面中显示编码的用户名,而不是实际用户名(存储在 Active Directory 中)。

  • 为了获得最佳性能,您应将 FPolicy 服务器配置为与存储系统位于同一子网中。

  • 您必须使用以下两种方法之一添加 SVM :

    • 使用集群 IP , SVM 名称以及集群管理用户名和密码。_this 是建议的方法。 _

      • SVM 名称必须与 ONTAP 中显示的名称完全相同,并且区分大小写。

    • 使用 SVM SVM 管理 IP ,用户名和密码

    • 如果您不能或不愿意使用完整管理员集群 /SVM 管理用户名和密码,则可以创建一个权限较低的自定义用户,如中所述 "" 关于权限的注释 "" 部分。可以为 SVM 或集群访问创建此自定义用户。

      • o 您还可以使用具有至少具有 csrole 权限的角色的 AD 用户,如下面的 " 权限说明 " 一节所述。另请参见 "ONTAP 文档"

  • 执行以下命令,确保为 SVM 设置了正确的应用程序:

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

示例输出:SVM 命令输出示例

  • 确保 SVM 已配置 CIFS 服务器: clustershell :: > vserver cifs show

    系统将返回 Vserver 名称, CIFS 服务器名称和其他字段。

  • 为 SVM vsadmin 用户设置密码。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: > ssecurity login password -username vsadmin -vserver svmname

  • 解锁 SVM vsadmin 用户以进行外部访问。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: > ssecurity login unlock -username vsadmin -vserver svmname

  • 确保数据 LIF 的防火墙策略设置为 ‘mGMT ' (而不是 ‘data ' )。如果使用专用管理 LIF 添加 SVM ,请跳过此步骤。clustershell ::: > network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • 启用防火墙后,必须定义一个异常,以允许使用 Data ONTAP 数据收集器的端口传输 TCP 流量。

    请参见 "代理要求" 有关配置信息,请参见。此适用场景内部部署代理和代理安装在云中。

  • 在 AWS EC2 实例中安装代理以监控 Cloud ONTAP SVM 时,代理和存储必须位于同一个 VPC 中。如果它们位于不同的 VPC 中,则 VPC 之间必须有有效的路由。

有关权限的注释

通过集群管理 IP 添加时的权限:

如果您无法使用集群管理管理员用户允许 Cloud Secure 访问 ONTAP SVM 数据收集器,则可以创建一个名为 "CSUser" 的新用户,其角色如下命令所示。将 Cloud Secure 数据收集器配置为使用集群管理 IP 时,请使用 "CSUser" 的用户名和密码。

要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令:

security login role create -role csrole -cmddirname DEFAULT -access none
security login role create -role csrole -cmddirname "network interface" -access readonly
security login role create -role csrole -cmddirname version -access readonly
security login role create -role csrole -cmddirname volume -access readonly
security login role create -role csrole -cmddirname vserver -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole

通过 Vserver 管理 IP 添加时的权限:

如果您无法使用集群管理管理员用户允许 Cloud Secure 访问 ONTAP SVM 数据收集器,则可以创建一个名为 "CSUser" 的新用户,其角色如下命令所示。将 Cloud Secure 数据收集器配置为使用 Vserver 管理 IP 时,请使用 "CSUser" 的用户名和 "CSUser" 的密码。

要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令。为了方便,请将这些命令复制到文本编辑器中,并将 <vservername> 替换为您的 Vserver 名称,然后在 ONTAP 上执行这些命令:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>

配置数据收集器

配置步骤
  1. 以管理员或帐户所有者身份登录到您的 Cloud Insights 环境。

  2. 单击 * 管理 > 数据收集器 > + 数据收集器 *

    系统将显示可用的数据收集器。

  3. 将鼠标悬停在 * NetApp SVM 磁贴上,然后单击 * + 监控 * 。

    系统将显示 ONTAP SVM 配置页面。为每个字段输入所需数据。

字段

说明

名称

Data Collector 的唯一名称

代理

从列表中选择一个已配置的代理。

通过管理 IP 连接:

选择集群 IP 或 SVM 管理 IP

集群 /SVM 管理 IP 地址

集群或 SVM 的 IP 地址,具体取决于您的上述选择。

SVM 名称

SVM 的名称(通过集群 IP 进行连接时,此字段为必填字段)

用户名

通过集群 IP 添加时用于访问 SVM/ 集群的用户名选项为: 1.集群管理员 2.‘用户 3.与 CsUser 具有类似角色的 AD 用户。通过 SVM IP 添加时,选项为: 4.vsadmin 5.‘用户的 6.与 CsUser 角色类似的 AD-username 。

密码

上述用户名的密码

筛选共享 / 卷

选择是在事件收集中包含还是排除共享 / 卷

输入要排除 / 包括的完整共享名称

要在事件收集中排除或包括(根据需要)的共享的逗号分隔列表

输入要排除 / 包括的完整卷名称

要从事件收集中排除或包括(根据需要)的卷的逗号分隔列表

监控文件夹访问

选中后,将启用文件夹访问监控事件。请注意,即使未选择此选项,也会监控文件夹的创建 / 重命名和删除。启用此选项将增加受监控事件的数量。

完成后
  • 在 "Installed Data Collectors" 页面中,使用每个收集器右侧的选项菜单编辑数据收集器。您可以重新启动数据收集器或编辑数据收集器配置属性。

故障排除

下表介绍了已知问题及其解决方法。

如果出现错误,请单击 Status 列中的 More detail 以了解有关该错误的详细信息。

问题: 解决方法:

Data Collector 会运行一段时间,并在随机时间后停止,失败并显示: " 错误消息:连接器处于错误状态。服务名称: audit 。失败原因:外部 fpolicy 服务器过载。 "

ONTAP 中的事件速率远远高于 Agent Box 可以处理的事件速率。因此,此连接已终止。检查断开连接时 CloudSecure 中的峰值流量。您可以从 * CloudSecure > 活动取证 > 所有活动 * 页面查看此信息。如果聚合流量峰值高于 Agent Box 可以处理的流量,请参阅 Event Rate Checker 页面,了解如何在 Agent Box 中估算收集器部署的规模。如果此代理安装在 2021 年 3 月 4 日之前的 Agent 框中,请在 Agent 框中运行以下命令: echo 'net.core.rmem_max_8388608' >> /etc/sysctl.conf echo 'net.IPv4.tcp_rmem = 4096 2097152 8388608 >> /etc/sysctl.conf 在调整收集器大小后重新启动系统。

收集器报告错误消息: " 在可访问 SVM 数据接口的连接器上未找到本地 IP 地址 " 。

这很可能是由于 ONTAP 端存在网络问题描述。请按照以下步骤操作: 1.确保 SVM 数据 LIF 或管理 LIF 上没有防火墙阻止与 SVM 的连接。2. 在通过集群管理 IP 添加 SVM 时,请确保 SVM 的数据 LIF 和管理 LIF 可从 Agent VM 执行 Ping 操作。如果出现问题,请检查网关,网络掩码和 LIF 路由。您也可以尝试使用集群管理 IP 通过 ssh 登录到集群,并对代理 IP 执行 ping 操作。确保代理 IP 可执行 pingable : network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif name> -show-detail 如果不可执行 ping、 请确保 ONTAP 中的网络设置正确,以便代理计算机可执行 pingable 。3. 如果您尝试通过集群 IP 进行连接,但此连接无法正常工作,请尝试直接通过 SVM IP 进行连接。有关通过 SVM IP 进行连接的步骤,请参见上文。4. 通过 SVM IP 和 vsadmin 凭据添加收集器时,请检查 SVM LIF 是否已启用数据加管理角色。在这种情况下,对 SVM LIF 执行 ping 操作将有效,但对 SVM LIF 执行 SSH 将不起作用。如果是,请创建一个仅 SVM 管理 LIF ,并尝试通过此仅 SVM 管理 LIF 进行连接。5. 如果此 LIF 仍不起作用,请创建一个新的 SVM LIF 并尝试通过此 LIF 进行连接。确保子网掩码设置正确。6. 高级调试: A )在 ONTAP 中启动数据包跟踪。b )尝试从 CloudSecure UI 将数据收集器连接到 SVM 。c )等待错误出现。停止 ONTAP 中的数据包跟踪。d )从 ONTAP 打开数据包跟踪。可从以下位置获取: https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/ e )确保从 ONTAP 到代理框有一个 SYN 。f )如果 ONTAP 未提供任何 SYN ,则它是 ONTAP 中具有防火墙的问题描述。g )在 ONTAP 中打开防火墙,以便 ONTAP 能够连接代理箱。7. 如果此功能仍不起作用,请咨询网络团队,以确保没有外部防火墙阻止从 ONTAP 到代理框的连接。8. 如果上述任何一项都无法解决问题描述,请使用创建案例 "NetApp 支持" 以获得进一步帮助。

消息: "Failed to determine ONTAP type for [hostname : <IP Address> 。原因:与存储系统 <IP 地址 > 的连接错误:主机不可访问(主机不可访问) "

1. 验证是否提供了正确的 SVM IP 管理地址或集群管理 IP 。2. 通过 SSH 连接到要连接的 SVM 或集群。连接后,请确保 SVM 或集群名称正确无误。

错误消息: "Connector is in error state.service.name :审核。失败原因:外部 fpolicy 服务器已终止。 "

1. 防火墙很可能会阻止代理计算机中的必要端口。验证是否已为代理计算机打开端口范围 35000-55000/TCP ,以便从 SVM 进行连接。此外,请确保 ONTAP 端未启用防火墙,从而无法与代理计算机进行通信。2. 在代理框中键入以下命令,并确保端口范围处于打开状态。_sudo iptables-save

grep 3500* _ 示例输出应如下所示: A in_public_allow -p tcp -m tcp -dport 35000 -m conntrack -ctstate new -j accept 3.登录到 SVM ,输入以下命令并检查是否未设置防火墙以阻止与 ONTAP 的通信。system services firewall show system services firewall policy show_"检查防火墙命令" 在 ONTAP 端。4. 通过 SSH 连接到要监控的 SVM/ 集群。从 SVM 管理 LIF 对 Agent 框执行 Ping 操作(支持 CIFS , NFS 协议),并确保 ping 操作正常: _network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name>-show-detail 如果无法执行 Ping 操作,请确保 ONTAP 中的网络设置正确,以便代理计算机可以执行 Ping 操作。如果通过 2 个数据收集器将一个 SVM 添加到租户中两次,则会显示此错误。通过用户界面删除其中一个数据收集器。然后,通过 UI 重新启动另一个数据收集器。然后,数据收集器将显示 " 正在运行 " 状态,并开始从 SVM 接收事件。基本上,在租户中, 1 个 SVM 只能通过 1 个数据收集器添加一次。1 个 SVM 不应通过 2 个数据收集器添加两次。6. 如果在两个不同的 Cloud Secure 环境(租户)中添加了相同的 SVM ,则最后一个 SVM 将始终成功。第二个收集器将使用自己的 IP 地址配置 fpolicy ,并启动第一个收集器。因此,第一个收集器将停止接收事件,其 " 审核 " 服务将进入错误状态。要防止这种情况发生,请在一个环境中配置每个 SVM 。

活动页面中未显示任何事件。

1. 检查 ONTAP 收集器是否处于 " 正在运行 " 状态。如果是,请通过打开某些文件确保在 CIFS 客户端 VM 上生成某些 CIFS 事件。2. 如果未看到任何活动,请登录到 SVM 并输入以下命令。<svm> event log show -source fpolicy 请确保没有与 fpolicy 相关的错误。3. 如果未看到任何活动,请登录到 SVM 。输入以下命令 <svm>fpolicy show Please check if the fpolicy policy named with prefix "metadata_service" has been set and status is "on" 。如果未设置,则代理很可能无法在 SVM 中执行这些命令。请确保已遵循页面开头所述的所有前提条件。

SVM Data Collector 处于错误状态,错误消息为 "Agent failed to connect to the collector"

1. 代理很可能已过载,无法连接到数据源收集器。2. 检查连接到代理的数据源收集器数量。3. 另请在用户界面的 " 所有活动 " 页面中查看数据流速。4. 如果每秒的活动数非常高,请安装另一个代理并将某些数据源收集器移动到新代理。

SVM Data Collector 显示错误消息,显示为 "fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" ( reason : "select Timed Out" ) "

已在 SVM/ 集群中启用防火墙。因此, fpolicy 引擎无法连接到 fpolicy 服务器。ONTAP 中可用于获取详细信息的 CLI 包括: event log show -source fpolicy ,其中显示错误事件日志 show -source fpolicy -fields event , action , description ,其中显示了更多详细信息。"检查防火墙命令" 在 ONTAP 端。

错误消息: "Connector is in error state.服务名称: audit 。失败原因:在 SVM 上未找到有效的数据接口(角色:数据,数据协议: NFS 或 CIFS 或两者,状态:已启动)。 "

确保有一个可操作的接口(充当 CIFS/NFS 的数据和数据协议角色)。

数据收集器将进入 " 错误 " 状态,一段时间后进入 " 正在运行 " 状态,然后再次返回 " 错误 " 。此周期将重复。

这通常发生在以下情形中: 1.添加了多个数据收集器。2. 显示此类行为的数据收集器将向这些数据收集器添加 1 个 SVM 。表示将 2 个或更多数据收集器连接到 1 个 SVM 。3. 确保 1 个数据收集器仅连接到 1 个 SVM 。4. 删除连接到同一 SVM 的其他数据收集器。

连接器处于错误状态。服务名称: audit 。失败原因:无法配置( SVM svmname 上的策略。原因:为 "fpolicy.policy.scope-modify : "Federal " 中的 "share-to include" 元素指定的值无效

共享名称必须在不带任何引号的情况下提供。编辑 ONTAP SVM DSC 配置以更正共享名称。include 和 exclude shares 不适用于长列表的共享名称。如果要包含或排除大量共享,请改用按卷筛选。

集群中存在未使用的现有 fpolicies 。在安装 Cloud Secure 之前,应如何处理这些问题?

建议删除所有现有未使用的 fpolicy 设置,即使它们处于已断开连接状态也是如此。Cloud Secure 将创建前缀为 "cloudsure_" 的 fpolicy 。可以删除所有其他未使用的 fpolicy 配置。用于显示 fpolicy list 的 CLI 命令: fpolicy show-steps to delete fpolicy configurations : _fpolicy disable -vserver <svmname> -policy-name <policy_name> _fpolicy policy policy scope delete -vserver <svmname> -policy-name <policy_name>_fpolicy policy policy policy policy delete -vserver <svmname> -policy -policy -engine -<policy_name> -policy -<vmname> -node -engine -<policy_name> -policy_name> -vserver -vserver -policy> <policy_name> -vpolicy -policy -engine -<vm> <policy_name> -node -policy_name> -vpolicy -engine -vpolicy -<policy_name> -vpolicy

启用 Cloud Secure 后, ONTAP 性能将受到影响:延迟偶尔会高, IOPS 偶尔会低。

如果您仍遇到问题,请访问 * 帮助 > 支持 * 页面中提到的支持链接。