配置 ONTAP SVM 数据收集器
工作负载安全性使用数据收集器从设备收集文件和用户访问数据。
开始之前
-
此数据收集器支持以下功能:
-
Data ONTAP 9.2 及更高版本为获得最佳性能、请使用9.13.1.以上的Data ONTAP版本。
-
SMB协议3.1及更早版本。
-
NFS版本(不低于NFS 4.1且安装了ONTAP 9.15.1或更高版本)。
-
ONTAP 9.4 及更高版本支持 FlexGroup
-
支持ONTAP Select
-
-
仅支持数据类型 SVM 。不支持具有无限卷的 SVM 。
-
SVM 有多个子类型。其中、仅支持_defaultsync_sourcesync_destination_.
-
代理"必须进行配置"、然后才能配置数据收集器。
-
请确保已正确配置 User Directory Connector ,否则事件将在 " 活动取证 " 页面中显示编码的用户名,而不是实际用户名(存储在 Active Directory 中)。
-
•从9.14.1版开始支持ONTAP持久存储。
-
为了获得最佳性能,您应将 FPolicy 服务器配置为与存储系统位于同一子网中。
-
您必须使用以下两种方法之一添加 SVM :
-
使用集群 IP , SVM 名称以及集群管理用户名和密码。。这是建议的方法。_
-
SVM 名称必须与 ONTAP 中显示的名称完全相同,并且区分大小写。
-
-
使用 SVM SVM 管理 IP ,用户名和密码
-
如果您不能或不愿意使用完整的管理员集群/SVM管理用户名和密码、则可以创建一个Privileges较低的自定义用户、如下一节所述" 关于权限的注释 "。可以为 SVM 或集群访问创建此自定义用户。
-
o 您还可以使用具有至少具有 csrole 权限的角色的 AD 用户,如下面的 " 权限说明 " 一节所述。另请参见"ONTAP 文档"。
-
-
-
执行以下命令,确保为 SVM 设置了正确的应用程序:
clustershell::> security login show -vserver <vservername> -user-or-group-name <username>
示例输出:
-
确保此SVM已配置CIFS服务器:tistershell::>
vserver cifs show
系统将返回 Vserver 名称, CIFS 服务器名称和其他字段。
-
为 SVM vsadmin 用户设置密码。如果使用自定义用户或集群管理员用户、请跳过此步骤。cluster shell::>
security login password -username vsadmin -vserver svmname
-
解锁 SVM vsadmin 用户以进行外部访问。如果使用自定义用户或集群管理员用户、请跳过此步骤。cluster shell::>
security login unlock -username vsadmin -vserver svmname
-
确保数据 LIF 的防火墙策略设置为 ‘mGMT ' (而不是 ‘data ' )。如果使用专用管理lif添加SVM、请跳过此步骤
network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt
-
启用防火墙后,必须定义一个异常,以允许使用 Data ONTAP 数据收集器的端口传输 TCP 流量。
有关配置信息、请参见。"代理要求"此适用场景内部部署代理和代理安装在云中。
-
在 AWS EC2 实例中安装代理以监控 Cloud ONTAP SVM 时,代理和存储必须位于同一个 VPC 中。如果它们位于不同的 VPC 中,则 VPC 之间必须有有效的路由。
阻止用户访问的前提条件
请注意以下事项"用户访问阻止":
要使此功能正常运行、需要集群级别的凭据。
如果您使用的是集群管理凭据、则不需要任何新权限。
如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限以阻止用户。
对于具有集群凭据的 CSUser ,请从 ONTAP 命令行执行以下操作:
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
有关权限的注释
通过*集群管理IP*添加时的权限:
如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用集群管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。
要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令:
security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*" security login role create -role csrole -cmddirname "event catalog" -access all security login role create -role csrole -cmddirname "event filter" -access all security login role create -role csrole -cmddirname "event notification destination" -access all security login role create -role csrole -cmddirname "event notification" -access all security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole security login create -user-or-group-name csuser -application http -authmethod password -role csrole
通过* Vserver Management IP*添加时的权限:
如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用Vserver管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。
要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令。为了方便,请将这些命令复制到文本编辑器中,并将 <vservername> 替换为您的 Vserver 名称,然后在 ONTAP 上执行这些命令:
security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername> security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>
ONTAP自动防网络软件保护和ONTAP访问权限被拒绝
如果您使用的是集群管理凭据、则不需要任何新权限。
如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限、以便从ONTAP 收集与ARP相关的信息。
有关详细信息、请阅读"与ONTAP集成访问被拒绝"
配置数据收集器
-
以管理员或帐户所有者身份登录到您的Data Infrastructure Insight环境。
-
单击*工作负载安全性>收集器>+数据收集器*
系统将显示可用的数据收集器。
-
将鼠标悬停在 * NetApp SVM 磁贴上,然后单击 * + 监控 * 。
系统将显示 ONTAP SVM 配置页面。为每个字段输入所需数据。
字段 |
说明 |
名称 |
Data Collector 的唯一名称 |
代理 |
从列表中选择一个已配置的代理。 |
通过管理 IP 连接: |
选择集群 IP 或 SVM 管理 IP |
集群 /SVM 管理 IP 地址 |
集群或 SVM 的 IP 地址,具体取决于您的上述选择。 |
SVM名称 |
SVM 的名称(通过集群 IP 进行连接时,此字段为必填字段) |
用户名 |
通过集群 IP 添加时用于访问 SVM/ 集群的用户名选项为: 1.集群管理员 2.‘用户的 3.与 CsUser 具有类似角色的 AD 用户。通过SVM IP添加时、选项为:4. vsadmin 5.‘用户的 6.与 CsUser 角色类似的 AD-username 。 |
密码 |
上述用户名的密码 |
筛选共享 / 卷 |
选择是在事件收集中包含还是排除共享 / 卷 |
输入要排除 / 包括的完整共享名称 |
要在事件收集中排除或包括(根据需要)的共享的逗号分隔列表 |
输入要排除 / 包括的完整卷名称 |
要从事件收集中排除或包括(根据需要)的卷的逗号分隔列表 |
监控文件夹访问 |
选中后,将启用文件夹访问监控事件。请注意,即使未选择此选项,也会监控文件夹的创建 / 重命名和删除。启用此选项将增加受监控事件的数量。 |
设置 ONTAP 发送缓冲区大小 |
设置 ONTAP Fpolicy 发送缓冲区大小。如果使用的是 9.8p7 之前的 ONTAP 版本,并且显示了性能问题描述,则可以更改 ONTAP 发送缓冲区大小以提高 ONTAP 性能。如果您未看到此选项,但希望了解此选项,请联系 NetApp 支持部门。 |
-
在 "Installed Data Collectors" 页面中,使用每个收集器右侧的选项菜单编辑数据收集器。您可以重新启动数据收集器或编辑数据收集器配置属性。
MetroCluster的建议配置
对于MetroCluster、建议执行以下操作:
-
将两个数据收集器连接起来、一个连接到源SVM、另一个连接到目标SVM。
-
数据收集器应通过_Cluster IP_进行连接。
-
在任何时刻、一个数据收集器应正在运行、另一个数据收集器将出现错误。
当前的‘Running ' SVM的数据收集器将显示为_running。当前‘s的SVM数据收集器将显示为_Error_。
-
只要发生切换、数据收集器的状态就会从‘running '更改为‘error '、反之亦然。
-
数据收集器需要长达两分钟的时间才能从"错误"状态变为"正在运行"状态。
服务策略
如果将服务策略与ONTAP * 9.9.1或更高版本*结合使用、则要连接到数据源收集器、需要使用_data-fpolicy-client_服务以及数据服务_data-nfs_和/或_data-CIFS_。
示例:
Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm -services data-cifs,data-nfs,data,-core,data-fpolicy-client (network interface service-policy create)
在9.1.1之前的ONTAP 版本中、不需要设置_data-fpolicy-client_。
播放-暂停Data Collector
现在、2个新操作显示在收集器的"CAE"菜单上(暂停和恢复)。
如果Data Collector处于_running"状态、则可以暂停收集。打开收集器的"三点"菜单、然后选择暂停。暂停收集器时、不会从ONTAP收集任何数据、也不会从收集器向ONTAP发送任何数据。这意味着、不会有Fpolicy事件从ONTAP流向数据收集器、也不会从数据收集器流向数据基础架构洞察。
请注意、如果在收集器暂停时在ONTAP上创建了任何新卷等、则"工作负载安全性"不会收集数据、这些卷等也不会反映在信息板或表中。
请记住以下几点:
-
根据已暂停收集器上配置的设置、不会执行Snapshot清除。
-
暂停的收集器不会处理EMS事件(如ONTAP ARP)。这意味着、如果ONTAP发现勒索软件攻击、Data Infrastructure Insight Workload Security将无法获得该事件。
-
不会为已暂停的收集器发送运行状况通知电子邮件。
-
暂停的收集器不支持手动或自动操作(例如Snapshot或用户阻止)。
-
在代理或收集器升级、代理VM重新启动/重新启动或代理服务重新启动时、暂停的收集器将保持_Paused.
-
如果数据收集器处于_Error_状态、则无法将此收集器更改为_Paused _状态。只有当收集器的状态为_running"时、暂停按钮才会启用。
-
如果代理已断开连接、则无法将收集器更改为_Paused _状态。收集器将进入_STOPPED _状态、暂停按钮将被禁用。
永久性存储
ONTAP 9.14.1及更高版本支持永久性存储。请注意、卷名称说明从ONTAP 9.14到9.15不等。
通过选中收集器编辑/添加页面中的复选框、可以启用永久性存储。选中此复选框后、将显示一个文本字段、用于接受卷名称。卷名称是启用永久性存储的必填字段。
-
对于ONTAP 9.14.1、必须先创建卷、然后再启用此功能、并在_Volume Name_字段中提供相同的名称。建议的卷大小为16 GB。
-
对于ONTAP 9.151、收集器将使用_Volume Name_字段中提供的名称自动创建大小为16 GB的卷。
永久性存储需要特定权限(其中部分或全部可能已存在):
集群模式:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster-name> security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <cluster-name>
Vserver模式:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <vserver-name> security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <vserver-name>
故障排除
有关故障排除提示、请参见"SVM收集器故障排除"页面。