配置 ONTAP SVM 数据收集器
工作负载安全性使用数据收集器从设备收集文件和用户访问数据。
开始之前
-
此数据收集器支持以下功能:
-
Data ONTAP 9.2 及更高版本为获得最佳性能、请使用9.13.1.以上的Data ONTAP版本。
-
SMB协议3.1及更早版本。
-
NFS 协议 4.0 及更早版本
-
ONTAP 9.4 及更高版本支持 FlexGroup
-
支持ONTAP Select
-
-
仅支持数据类型 SVM 。不支持具有无限卷的 SVM 。
-
SVM 有多个子类型。其中、仅支持_defaultsync_sourcesync_destination_.
-
代理 "必须进行配置" 然后才能配置数据收集器。
-
请确保已正确配置 User Directory Connector ,否则事件将在 " 活动取证 " 页面中显示编码的用户名,而不是实际用户名(存储在 Active Directory 中)。
-
为了获得最佳性能,您应将 FPolicy 服务器配置为与存储系统位于同一子网中。
-
您必须使用以下两种方法之一添加 SVM :
-
使用集群 IP , SVM 名称以及集群管理用户名和密码。。这是建议的方法。_
-
SVM 名称必须与 ONTAP 中显示的名称完全相同,并且区分大小写。
-
-
使用 SVM SVM 管理 IP ,用户名和密码
-
如果您不能或不愿意使用完整管理员集群 /SVM 管理用户名和密码,则可以创建一个权限较低的自定义用户,如中所述 "" 关于权限的注释 "" 部分。可以为 SVM 或集群访问创建此自定义用户。
-
o 您还可以使用具有至少具有 csrole 权限的角色的 AD 用户,如下面的 " 权限说明 " 一节所述。另请参见 "ONTAP 文档"。
-
-
-
执行以下命令,确保为 SVM 设置了正确的应用程序:
clustershell::> security login show -vserver <vservername> -user-or-group-name <username>
示例输出:
-
确保 SVM 已配置 CIFS 服务器: clustershell :: >
vserver cifs show
系统将返回 Vserver 名称, CIFS 服务器名称和其他字段。
-
为 SVM vsadmin 用户设置密码。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: >
ssecurity login password -username vsadmin -vserver svmname
-
解锁 SVM vsadmin 用户以进行外部访问。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: >
ssecurity login unlock -username vsadmin -vserver svmname
-
确保数据 LIF 的防火墙策略设置为 ‘mGMT ' (而不是 ‘data ' )。如果使用专用管理 LIF 添加 SVM ,请跳过此步骤。clustershell ::: >
network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
-
启用防火墙后,必须定义一个异常,以允许使用 Data ONTAP 数据收集器的端口传输 TCP 流量。
请参见 "代理要求" 有关配置信息,请参见。此适用场景内部部署代理和代理安装在云中。
-
在 AWS EC2 实例中安装代理以监控 Cloud ONTAP SVM 时,代理和存储必须位于同一个 VPC 中。如果它们位于不同的 VPC 中,则 VPC 之间必须有有效的路由。
阻止用户访问的前提条件
请记住以下内容 "用户访问阻止":
要使此功能正常运行、需要集群级别的凭据。
如果您使用的是集群管理凭据、则不需要任何新权限。
如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限以阻止用户。
对于具有集群凭据的 CSUser ,请从 ONTAP 命令行执行以下操作:
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
有关权限的注释
通过*集群管理IP*添加时的权限:
如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用集群管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。
要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令:
security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*" security login role create -role csrole -cmddirname "event catalog" -access all security login role create -role csrole -cmddirname "event filter" -access all security login role create -role csrole -cmddirname "event notification destination" -access all security login role create -role csrole -cmddirname "event notification" -access all security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
通过* Vserver Management IP*添加时的权限:
如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用Vserver管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。
要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令。为了方便,请将这些命令复制到文本编辑器中,并将 <vservername> 替换为您的 Vserver 名称,然后在 ONTAP 上执行这些命令:
security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
ONTAP自主防兰软件保护的权限
如果您使用的是集群管理凭据、则不需要任何新权限。
如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限、以便从ONTAP 收集与ARP相关的信息。
对于具有集群凭据的_CSUser_、请从ONTAP 命令行执行以下操作:
security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name> security login rest-role create -api /api/security/anti-ransomware -access readonly -role arwrole -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role arwrole
有关详细信息、请阅读 "与ONTAP 自主勒索软件保护相集成"
ONTAP访问权限被拒绝
如果使用集群管理凭据添加Data Collector、则无需新权限。
如果使用自定义用户(例如、-CsUser_)添加收集器并授予该用户权限、请按照以下步骤为工作负载安全性授予向ONTAP注册"拒绝访问"事件所需的权限。
对于具有_cluster-_凭据的CsUser、从ONTAP命令行执行以下命令。请注意、_csrestrolle_是自定义角色、而-CsUser_是ONTAP自定义用户。
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole
对于凭据为_svm_的CsUser、从ONTAP命令行执行以下命令:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name> security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>
有关详细信息、请阅读 "与ONTAP集成访问被拒绝"
配置数据收集器
-
以管理员或帐户所有者身份登录到您的 Cloud Insights 环境。
-
单击*工作负载安全性>收集器>+数据收集器*
系统将显示可用的数据收集器。
-
将鼠标悬停在 * NetApp SVM 磁贴上,然后单击 * + 监控 * 。
系统将显示 ONTAP SVM 配置页面。为每个字段输入所需数据。
字段 |
说明 |
名称 |
Data Collector 的唯一名称 |
代理 |
从列表中选择一个已配置的代理。 |
通过管理 IP 连接: |
选择集群 IP 或 SVM 管理 IP |
集群 /SVM 管理 IP 地址 |
集群或 SVM 的 IP 地址,具体取决于您的上述选择。 |
SVM 名称 |
SVM 的名称(通过集群 IP 进行连接时,此字段为必填字段) |
用户名 |
通过集群 IP 添加时用于访问 SVM/ 集群的用户名选项为: 1.集群管理员 2.‘用户 3.与 CsUser 具有类似角色的 AD 用户。通过 SVM IP 添加时,选项为: 4.vsadmin 5.‘用户的 6.与 CsUser 角色类似的 AD-username 。 |
密码 |
上述用户名的密码 |
筛选共享 / 卷 |
选择是在事件收集中包含还是排除共享 / 卷 |
输入要排除 / 包括的完整共享名称 |
要在事件收集中排除或包括(根据需要)的共享的逗号分隔列表 |
输入要排除 / 包括的完整卷名称 |
要从事件收集中排除或包括(根据需要)的卷的逗号分隔列表 |
监控文件夹访问 |
选中后,将启用文件夹访问监控事件。请注意,即使未选择此选项,也会监控文件夹的创建 / 重命名和删除。启用此选项将增加受监控事件的数量。 |
设置 ONTAP 发送缓冲区大小 |
设置 ONTAP Fpolicy 发送缓冲区大小。如果使用的是 9.8p7 之前的 ONTAP 版本,并且显示了性能问题描述,则可以更改 ONTAP 发送缓冲区大小以提高 ONTAP 性能。如果您未看到此选项,但希望了解此选项,请联系 NetApp 支持部门。 |
-
在 "Installed Data Collectors" 页面中,使用每个收集器右侧的选项菜单编辑数据收集器。您可以重新启动数据收集器或编辑数据收集器配置属性。
建议的Metro Cluster配置
对于Metro Cluster、建议使用以下配置:
-
将两个数据收集器连接起来、一个连接到源SVM、另一个连接到目标SVM。
-
数据收集器应通过_Cluster IP_进行连接。
-
在任何时刻、一个数据收集器应正在运行、另一个数据收集器将出现错误。
当前的‘Running ' SVM的数据收集器将显示为_running。当前‘s的SVM数据收集器将显示为_Error_。
-
只要发生切换、数据收集器的状态就会从‘running '更改为‘error '、反之亦然。
-
数据收集器需要长达两分钟的时间才能从"错误"状态变为"正在运行"状态。
服务策略
如果要使用ONTAP 9.1.1版中的服务策略连接到数据源收集器、则需要_data-fpolicy-client_服务以及数据服务_data-nfs_和/或_data-cifs_。
示例
Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm -services data-cifs,data-nfs,data,-core,data-fpolicy-client (network interface service-policy create)
在9.1.1之前的ONTAP 版本中、不需要设置_data-fpolicy-client_。
播放-暂停Data Collector
现在、2个新操作显示在收集器的"CAE"菜单上(暂停和恢复)。
如果Data Collector处于_running"状态、则可以暂停收集。打开收集器的"三点"菜单、然后选择暂停。暂停收集器时、不会从ONTAP收集任何数据、也不会从收集器向ONTAP发送任何数据。这意味着不会有Fpolicy事件从ONTAP流向数据收集器、也不会从该数据收集器流向Cloud Insights。
请注意、如果在收集器暂停时在ONTAP上创建了任何新卷等、则"工作负载安全性"不会收集数据、这些卷等也不会反映在信息板或表中。
请记住以下几点:
-
根据已暂停收集器上配置的设置、不会执行Snapshot清除。
-
暂停的收集器不会处理EMS事件(如ONTAP ARP)。这意味着、如果ONTAP发现勒索软件攻击、Cloud Insights工作负载安全性将无法获取该事件。
-
不会为已暂停的收集器发送运行状况通知电子邮件。
-
暂停的收集器不支持手动或自动操作(例如Snapshot或用户阻止)。
-
在代理或收集器升级、代理VM重新启动/重新启动或代理服务重新启动时、暂停的收集器将保持_Paused.
-
如果数据收集器处于_Error_状态、则无法将此收集器更改为_Paused _状态。只有当收集器的状态为_running"时、暂停按钮才会启用。
-
如果代理已断开连接、则无法将收集器更改为_Paused _状态。收集器将进入_STOPPED _状态、暂停按钮将被禁用。
故障排除
下表介绍了已知问题及其解决方法。
如果出现错误,请单击 Status 列中的 More detail 以了解有关该错误的详细信息。
问题: | 解决方法: |
---|---|
Data Collector 会运行一段时间,并在随机时间后停止,失败并显示: " 错误消息:连接器处于错误状态。服务名称: audit 。失败原因:外部 fpolicy 服务器过载。 " |
ONTAP 中的事件速率远远高于 Agent Box 可以处理的事件速率。因此,此连接已终止。检查断开连接时 CloudSecure 中的峰值流量。您可以从 * CloudSecure > 活动取证 > 所有活动 * 页面查看此信息。如果聚合流量峰值高于 Agent Box 可以处理的流量,请参阅 Event Rate Checker 页面,了解如何在 Agent Box 中估算收集器部署的规模。如果此代理安装在 2021 年 3 月 4 日之前的 Agent 框中,请在 Agent 框中运行以下命令: echo 'net.core.rmem_max_8388608' >> /etc/sysctl.conf echo 'net.IPv4.tcp_rmem = 4096 2097152 8388608 >> /etc/sysctl.conf 在调整收集器大小后重新启动系统。 |
收集器报告错误消息: " 在可访问 SVM 数据接口的连接器上未找到本地 IP 地址 " 。 |
这很可能是由于 ONTAP 端存在网络问题描述。请按照以下步骤操作: |
消息: "Failed to determine ONTAP type for [hostname : <IP Address> 。原因:与存储系统 <IP 地址 > 的连接错误:主机不可访问(主机不可访问) " |
1. 验证是否提供了正确的 SVM IP 管理地址或集群管理 IP 。2. 通过 SSH 连接到要连接的 SVM 或集群。连接后,请确保 SVM 或集群名称正确无误。 |
错误消息: "Connector is in error state.service.name :审核。失败原因:外部 fpolicy 服务器已终止。 " |
1. 防火墙很可能会阻止代理计算机中的必要端口。验证是否已为代理计算机打开端口范围 35000-55000/TCP ,以便从 SVM 进行连接。此外,请确保 ONTAP 端未启用防火墙,从而无法与代理计算机进行通信。2. 在代理框中键入以下命令,并确保端口范围处于打开状态。_sudo iptables-save |
grep 3500* _ 示例输出应如下所示: A in_public_allow -p tcp -m tcp -dport 35000 -m conntrack -ctstate new -j accept 3.登录到 SVM ,输入以下命令并检查是否未设置防火墙以阻止与 ONTAP 的通信。system services firewall show system services firewall policy show_"检查防火墙命令" 在 ONTAP 端。4. 通过 SSH 连接到要监控的 SVM/ 集群。从 SVM 数据 LIF 对 Agent 框执行 Ping 操作(支持 CIFS , NFS 协议),并确保 ping 操作正常: _network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name>-show-detail 如果无法执行 Ping 操作,请确保 ONTAP 中的网络设置正确,以便代理计算机可以执行 Ping 操作。如果通过 2 个数据收集器将一个 SVM 添加到租户中两次,则会显示此错误。通过用户界面删除其中一个数据收集器。然后,通过 UI 重新启动另一个数据收集器。然后,数据收集器将显示 " 正在运行 " 状态,并开始从 SVM 接收事件。基本上,在租户中, 1 个 SVM 只能通过 1 个数据收集器添加一次。1 个 SVM 不应通过 2 个数据收集器添加两次。6.如果在两个不同的工作负载安全环境(租户)中添加了相同的SVM、则最后一个SVM将始终成功。第二个收集器将使用自己的 IP 地址配置 fpolicy ,并启动第一个收集器。因此,第一个收集器将停止接收事件,其 " 审核 " 服务将进入错误状态。要防止这种情况发生,请在一个环境中配置每个 SVM 。7.如果服务策略配置不正确、也可能发生此错误。对于ONTAP 9.8或更高版本、要连接到数据源收集器、需要提供data-fpolicy-client服务以及数据服务data-nfs和/或data-cifs。此外、data-fpolicy-client服务必须与受监控SVM的数据LIF关联。 |
活动页面中未显示任何事件。 |
1. 检查 ONTAP 收集器是否处于 " 正在运行 " 状态。如果是,请通过打开某些文件确保在 CIFS 客户端 VM 上生成某些 CIFS 事件。2. 如果未看到任何活动,请登录到 SVM 并输入以下命令。<svm> event log show -source fpolicy 请确保没有与 fpolicy 相关的错误。3. 如果未看到任何活动,请登录到 SVM 。输入以下命令 <svm>fpolicy show 检查是否已设置以前缀 "cloudsecure _ " 命名的 fpolicy 策略且状态为 "on" 。如果未设置,则代理很可能无法在 SVM 中执行这些命令。请确保已遵循页面开头所述的所有前提条件。 |
SVM Data Collector 处于错误状态,错误消息为 "Agent failed to connect to the collector" |
1. 代理很可能已过载,无法连接到数据源收集器。2. 检查连接到代理的数据源收集器数量。3. 另请在用户界面的 " 所有活动 " 页面中查看数据流速。4. 如果每秒的活动数非常高,请安装另一个代理并将某些数据源收集器移动到新代理。 |
SVM Data Collector 显示错误消息,显示为 "fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" ( reason : "select Timed Out" ) " |
已在 SVM/ 集群中启用防火墙。因此, fpolicy 引擎无法连接到 fpolicy 服务器。ONTAP 中可用于获取详细信息的 CLI 包括: event log show -source fpolicy ,其中显示错误事件日志 show -source fpolicy -fields event , action , description ,其中显示了更多详细信息。"检查防火墙命令" 在 ONTAP 端。 |
错误消息: "Connector is in error state.服务名称: audit 。失败原因:在 SVM 上未找到有效的数据接口(角色:数据,数据协议: NFS 或 CIFS 或两者,状态:已启动)。 " |
确保有一个可操作的接口(充当 CIFS/NFS 的数据和数据协议角色)。 |
数据收集器将进入 " 错误 " 状态,一段时间后进入 " 正在运行 " 状态,然后再次返回 " 错误 " 。此周期将重复。 |
这通常发生在以下情形中: 1.添加了多个数据收集器。2. 显示此类行为的数据收集器将向这些数据收集器添加 1 个 SVM 。表示将 2 个或更多数据收集器连接到 1 个 SVM 。3. 确保 1 个数据收集器仅连接到 1 个 SVM 。4. 删除连接到同一 SVM 的其他数据收集器。 |
连接器处于错误状态。服务名称: audit 。失败原因:无法配置( SVM svmname 上的策略。原因:为 "fpolicy.policy.scope-modify : "Federal " 中的 "share-to include" 元素指定的值无效 |
共享名称必须在不带任何引号的情况下提供。编辑 ONTAP SVM DSC 配置以更正共享名称。include 和 exclude shares 不适用于长列表的共享名称。如果要包含或排除大量共享,请改用按卷筛选。 |
集群中存在未使用的现有 fpolicies 。在安装工作负载安全性之前、应如何处理这些问题? |
建议删除所有现有未使用的 fpolicy 设置,即使它们处于已断开连接状态也是如此。工作负载安全性将创建前缀为"cloudsure_"的fpolicy。可以删除所有其他未使用的 fpolicy 配置。用于显示 fpolicy list 的 CLI 命令: fpolicy show-steps to delete fpolicy configurations : _fpolicy disable -vserver <svmname> -policy-name <policy_name> _fpolicy policy policy scope delete -vserver <svmname> -policy-name <policy_name>_fpolicy policy policy policy policy delete -vserver <svmname> -policy -policy -engine -<policy_name> -policy -<vmname> -node -engine -<policy_name> -policy_name> -vserver -vserver -policy> <policy_name> -vpolicy -policy -engine -<vm> <policy_name> -node -policy_name> -vpolicy -engine -vpolicy -<policy_name> -vpolicy |
启用工作负载安全性后、ONTAP 性能将受到影响:延迟偶尔会高、IOPS偶尔会低。 |
在将ONTAP与工作负载安全性结合使用时、有时可能会在ONTAP中出现延迟问题。出现这种情况的可能原因如下: "第1294.", "1415152.", "1438207.", "1479704.", "1354659"。所有这些问题在ONTAP 9.13.1.及更高版本中均已修复;强烈建议使用这些更高版本之一。 |
数据收集器出错,显示此错误消息。" 错误:连接器处于错误状态。服务名称: audit 。失败原因:无法在 SVM SVM_test 上配置策略。原因: ZAPI 字段: Events 缺少值。" |
从仅配置 NFS 服务的新 SVM 开始。在工作负载安全性中添加ONTAP SVM数据收集器。在工作负载安全性中添加ONTAP SVM数据收集器时、CIFS会配置为SVM的允许协议。请等待、直到工作负载安全性中的数据收集器显示错误。由于未在SVM上配置CIFS服务器、因此Workload Security将显示左侧所示的此错误。编辑 ONTAP SVM 数据收集器并取消选中 CIFS 作为允许的协议。保存数据收集器。它将在仅启用 NFS 协议的情况下开始运行。 |
Data Collector 显示错误消息:错误:无法在 2 次重试内确定收集器的运行状况,请重新尝试重新启动收集器(错误代码: AGENT008 )。 |
如果您仍遇到问题,请访问 * 帮助 > 支持 * 页面中提到的支持链接。