Skip to main content
Cloud Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 ONTAP SVM 数据收集器

贡献者

工作负载安全性使用数据收集器从设备收集文件和用户访问数据。

开始之前

  • 此数据收集器支持以下功能:

    • Data ONTAP 9.2 及更高版本为获得最佳性能、请使用9.13.1.以上的Data ONTAP版本。

    • SMB协议3.1及更早版本。

    • NFS 协议 4.0 及更早版本

    • ONTAP 9.4 及更高版本支持 FlexGroup

    • 支持ONTAP Select

  • 仅支持数据类型 SVM 。不支持具有无限卷的 SVM 。

  • SVM 有多个子类型。其中、仅支持_defaultsync_sourcesync_destination_.

  • 代理 "必须进行配置" 然后才能配置数据收集器。

  • 请确保已正确配置 User Directory Connector ,否则事件将在 " 活动取证 " 页面中显示编码的用户名,而不是实际用户名(存储在 Active Directory 中)。

  • 为了获得最佳性能,您应将 FPolicy 服务器配置为与存储系统位于同一子网中。

  • 您必须使用以下两种方法之一添加 SVM :

    • 使用集群 IP , SVM 名称以及集群管理用户名和密码。。这是建议的方法。_

      • SVM 名称必须与 ONTAP 中显示的名称完全相同,并且区分大小写。

    • 使用 SVM SVM 管理 IP ,用户名和密码

    • 如果您不能或不愿意使用完整管理员集群 /SVM 管理用户名和密码,则可以创建一个权限较低的自定义用户,如中所述 " 关于权限的注释 " 部分。可以为 SVM 或集群访问创建此自定义用户。

      • o 您还可以使用具有至少具有 csrole 权限的角色的 AD 用户,如下面的 " 权限说明 " 一节所述。另请参见 "ONTAP 文档"

  • 执行以下命令,确保为 SVM 设置了正确的应用程序:

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

示例输出:SVM 命令输出示例

  • 确保 SVM 已配置 CIFS 服务器: clustershell :: > vserver cifs show

    系统将返回 Vserver 名称, CIFS 服务器名称和其他字段。

  • 为 SVM vsadmin 用户设置密码。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: > ssecurity login password -username vsadmin -vserver svmname

  • 解锁 SVM vsadmin 用户以进行外部访问。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell ::: > ssecurity login unlock -username vsadmin -vserver svmname

  • 确保数据 LIF 的防火墙策略设置为 ‘mGMT ' (而不是 ‘data ' )。如果使用专用管理 LIF 添加 SVM ,请跳过此步骤。clustershell ::: > network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • 启用防火墙后,必须定义一个异常,以允许使用 Data ONTAP 数据收集器的端口传输 TCP 流量。

    请参见 "代理要求" 有关配置信息,请参见。此适用场景内部部署代理和代理安装在云中。

  • 在 AWS EC2 实例中安装代理以监控 Cloud ONTAP SVM 时,代理和存储必须位于同一个 VPC 中。如果它们位于不同的 VPC 中,则 VPC 之间必须有有效的路由。

阻止用户访问的前提条件

请记住以下内容 "用户访问阻止"

要使此功能正常运行、需要集群级别的凭据。

如果您使用的是集群管理凭据、则不需要任何新权限。

如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限以阻止用户。

对于具有集群凭据的 CSUser ,请从 ONTAP 命令行执行以下操作:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

有关权限的注释

通过*集群管理IP*添加时的权限:

如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用集群管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。

要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令:

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole

通过* Vserver Management IP*添加时的权限:

如果您无法使用集群管理管理员用户允许工作负载安全性访问ONTAP SVM数据收集器、则可以创建一个名为"CSUser"的新用户、其角色如下命令所示。将工作负载安全数据收集器配置为使用Vserver管理IP时、请使用"CSUser"的用户名和"CSUser"的密码。

要创建新用户,请使用集群管理管理员用户名 / 密码登录到 ONTAP ,然后在 ONTAP 服务器上执行以下命令。为了方便,请将这些命令复制到文本编辑器中,并将 <vservername> 替换为您的 Vserver 名称,然后在 ONTAP 上执行这些命令:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>

ONTAP自主防兰软件保护的权限

如果您使用的是集群管理凭据、则不需要任何新权限。

如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限、以便从ONTAP 收集与ARP相关的信息。

对于具有集群凭据的_CSUser_、请从ONTAP 命令行执行以下操作:

security login rest-role create -role arwrole -api /api/storage/volumes -access readonly -vserver <cluster_name>
security login rest-role create -api /api/security/anti-ransomware -access readonly  -role arwrole -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role arwrole

有关详细信息、请阅读 "与ONTAP 自主勒索软件保护相集成"

ONTAP访问权限被拒绝

如果使用集群管理凭据添加Data Collector、则无需新权限。

如果使用自定义用户(例如、-CsUser_)添加收集器并授予该用户权限、请按照以下步骤为工作负载安全性授予向ONTAP注册"拒绝访问"事件所需的权限。

对于具有_cluster-_凭据的CsUser、从ONTAP命令行执行以下命令。请注意、_csrestrolle_是自定义角色、而-CsUser_是ONTAP自定义用户。

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole

对于凭据为_svm_的CsUser、从ONTAP命令行执行以下命令:

 security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name>
 security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>

有关详细信息、请阅读 "与ONTAP集成访问被拒绝"

配置数据收集器

配置步骤
  1. 以管理员或帐户所有者身份登录到您的 Cloud Insights 环境。

  2. 单击*工作负载安全性>收集器>+数据收集器*

    系统将显示可用的数据收集器。

  3. 将鼠标悬停在 * NetApp SVM 磁贴上,然后单击 * + 监控 * 。

    系统将显示 ONTAP SVM 配置页面。为每个字段输入所需数据。

字段

说明

名称

Data Collector 的唯一名称

代理

从列表中选择一个已配置的代理。

通过管理 IP 连接:

选择集群 IP 或 SVM 管理 IP

集群 /SVM 管理 IP 地址

集群或 SVM 的 IP 地址,具体取决于您的上述选择。

SVM 名称

SVM 的名称(通过集群 IP 进行连接时,此字段为必填字段)

用户名

通过集群 IP 添加时用于访问 SVM/ 集群的用户名选项为: 1.集群管理员 2.‘用户 3.与 CsUser 具有类似角色的 AD 用户。通过 SVM IP 添加时,选项为: 4.vsadmin 5.‘用户的 6.与 CsUser 角色类似的 AD-username 。

密码

上述用户名的密码

筛选共享 / 卷

选择是在事件收集中包含还是排除共享 / 卷

输入要排除 / 包括的完整共享名称

要在事件收集中排除或包括(根据需要)的共享的逗号分隔列表

输入要排除 / 包括的完整卷名称

要从事件收集中排除或包括(根据需要)的卷的逗号分隔列表

监控文件夹访问

选中后,将启用文件夹访问监控事件。请注意,即使未选择此选项,也会监控文件夹的创建 / 重命名和删除。启用此选项将增加受监控事件的数量。

设置 ONTAP 发送缓冲区大小

设置 ONTAP Fpolicy 发送缓冲区大小。如果使用的是 9.8p7 之前的 ONTAP 版本,并且显示了性能问题描述,则可以更改 ONTAP 发送缓冲区大小以提高 ONTAP 性能。如果您未看到此选项,但希望了解此选项,请联系 NetApp 支持部门。

完成后
  • 在 "Installed Data Collectors" 页面中,使用每个收集器右侧的选项菜单编辑数据收集器。您可以重新启动数据收集器或编辑数据收集器配置属性。

建议的Metro Cluster配置

对于Metro Cluster、建议使用以下配置:

  1. 将两个数据收集器连接起来、一个连接到源SVM、另一个连接到目标SVM。

  2. 数据收集器应通过_Cluster IP_进行连接。

  3. 在任何时刻、一个数据收集器应正在运行、另一个数据收集器将出现错误。

    当前的‘Running ' SVM的数据收集器将显示为_running。当前‘s的SVM数据收集器将显示为_Error_。

  4. 只要发生切换、数据收集器的状态就会从‘running '更改为‘error '、反之亦然。

  5. 数据收集器需要长达两分钟的时间才能从"错误"状态变为"正在运行"状态。

服务策略

如果要使用ONTAP 9.1.1版中的服务策略连接到数据源收集器、则需要_data-fpolicy-client_服务以及数据服务_data-nfs_和/或_data-cifs_。

示例

Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

在9.1.1之前的ONTAP 版本中、不需要设置_data-fpolicy-client_。

播放-暂停Data Collector

现在、2个新操作显示在收集器的"CAE"菜单上(暂停和恢复)。

如果Data Collector处于_running"状态、则可以暂停收集。打开收集器的"三点"菜单、然后选择暂停。暂停收集器时、不会从ONTAP收集任何数据、也不会从收集器向ONTAP发送任何数据。这意味着不会有Fpolicy事件从ONTAP流向数据收集器、也不会从该数据收集器流向Cloud Insights。

请注意、如果在收集器暂停时在ONTAP上创建了任何新卷等、则"工作负载安全性"不会收集数据、这些卷等也不会反映在信息板或表中。

请记住以下几点:

  • 根据已暂停收集器上配置的设置、不会执行Snapshot清除。

  • 暂停的收集器不会处理EMS事件(如ONTAP ARP)。这意味着、如果ONTAP发现勒索软件攻击、Cloud Insights工作负载安全性将无法获取该事件。

  • 不会为已暂停的收集器发送运行状况通知电子邮件。

  • 暂停的收集器不支持手动或自动操作(例如Snapshot或用户阻止)。

  • 在代理或收集器升级、代理VM重新启动/重新启动或代理服务重新启动时、暂停的收集器将保持_Paused.

  • 如果数据收集器处于_Error_状态、则无法将此收集器更改为_Paused _状态。只有当收集器的状态为_running"时、暂停按钮才会启用。

  • 如果代理已断开连接、则无法将收集器更改为_Paused _状态。收集器将进入_STOPPED _状态、暂停按钮将被禁用。

故障排除

下表介绍了已知问题及其解决方法。

如果出现错误,请单击 Status 列中的 More detail 以了解有关该错误的详细信息。

工作负载安全收集器错误更多详细信息链接

问题: 解决方法:

Data Collector 会运行一段时间,并在随机时间后停止,失败并显示: " 错误消息:连接器处于错误状态。服务名称: audit 。失败原因:外部 fpolicy 服务器过载。 "

ONTAP 中的事件速率远远高于 Agent Box 可以处理的事件速率。因此,此连接已终止。检查断开连接时 CloudSecure 中的峰值流量。您可以从 * CloudSecure > 活动取证 > 所有活动 * 页面查看此信息。如果聚合流量峰值高于 Agent Box 可以处理的流量,请参阅 Event Rate Checker 页面,了解如何在 Agent Box 中估算收集器部署的规模。如果此代理安装在 2021 年 3 月 4 日之前的 Agent 框中,请在 Agent 框中运行以下命令: echo 'net.core.rmem_max_8388608' >> /etc/sysctl.conf echo 'net.IPv4.tcp_rmem = 4096 2097152 8388608 >> /etc/sysctl.conf 在调整收集器大小后重新启动系统。

收集器报告错误消息: " 在可访问 SVM 数据接口的连接器上未找到本地 IP 地址 " 。

这很可能是由于 ONTAP 端存在网络问题描述。请按照以下步骤操作:

1.确保SVM数据lf或管理lf上没有阻止与SVM连接的防火墙。

2. 在通过集群管理 IP 添加 SVM 时,请确保 SVM 的数据 LIF 和管理 LIF 可从 Agent VM 执行 Ping 操作。如果出现问题,请检查网关,网络掩码和 LIF 路由。

您也可以尝试使用集群管理 IP 通过 ssh 登录到集群,并对代理 IP 执行 ping 操作。确保代理IP可执行pingable:

network ping -vserver <vserver name>-Destination <Agent IP>-lf <Lif Name>-show-DEBIL

如果无法执行pingable,请确保ONTAP中的网络设置正确,以便Agent计算机可以执行pingable。

3. 如果您尝试通过集群 IP 进行连接,但此连接无法正常工作,请尝试直接通过 SVM IP 进行连接。有关通过 SVM IP 进行连接的步骤,请参见上文。

4. 通过 SVM IP 和 vsadmin 凭据添加收集器时,请检查 SVM LIF 是否已启用数据加管理角色。在这种情况下,对 SVM LIF 执行 ping 操作将有效,但对 SVM LIF 执行 SSH 将不起作用。
如果是,请创建一个仅 SVM 管理 LIF ,并尝试通过此仅 SVM 管理 LIF 进行连接。

5. 如果此 LIF 仍不起作用,请创建一个新的 SVM LIF 并尝试通过此 LIF 进行连接。确保子网掩码设置正确。

6.高级调试:
A)在ONTAP中启动数据包跟踪。
b)尝试从CloudSecure UI将数据收集器连接到SVM。
c)等待直至出现错误。停止 ONTAP 中的数据包跟踪。
D)从ONTAP打开数据包跟踪。可从该位置获取

\https:<cluster_mgmt_ip>://SPI/SPI/packet/etc/log/packet_traces/<clustername>

e)确保有一个从ONTAP到代理框的“SNT”。
F)如果没有来自ONTAP的问题描述,则它是中带有防火墙的ONTAP。
g)在ONTAP中打开防火墙,以便ONTAP能够连接代理盒。

7. 如果此功能仍不起作用,请咨询网络团队,以确保没有外部防火墙阻止从 ONTAP 到代理框的连接。

8.确认端口7已打开。

9.如果上述方法均无法解决问题描述问题、请使用创建案例 "NetApp 支持" 以获得进一步帮助。

消息: "Failed to determine ONTAP type for [hostname : <IP Address> 。原因:与存储系统 <IP 地址 > 的连接错误:主机不可访问(主机不可访问) "

1. 验证是否提供了正确的 SVM IP 管理地址或集群管理 IP 。2. 通过 SSH 连接到要连接的 SVM 或集群。连接后,请确保 SVM 或集群名称正确无误。

错误消息: "Connector is in error state.service.name :审核。失败原因:外部 fpolicy 服务器已终止。 "

1. 防火墙很可能会阻止代理计算机中的必要端口。验证是否已为代理计算机打开端口范围 35000-55000/TCP ,以便从 SVM 进行连接。此外,请确保 ONTAP 端未启用防火墙,从而无法与代理计算机进行通信。2. 在代理框中键入以下命令,并确保端口范围处于打开状态。_sudo iptables-save

grep 3500* _ 示例输出应如下所示: A in_public_allow -p tcp -m tcp -dport 35000 -m conntrack -ctstate new -j accept 3.登录到 SVM ,输入以下命令并检查是否未设置防火墙以阻止与 ONTAP 的通信。system services firewall show system services firewall policy show_"检查防火墙命令" 在 ONTAP 端。4. 通过 SSH 连接到要监控的 SVM/ 集群。从 SVM 数据 LIF 对 Agent 框执行 Ping 操作(支持 CIFS , NFS 协议),并确保 ping 操作正常: _network ping -vserver <vserver name> -destination <Agent IP> -lif <Lif Name>-show-detail 如果无法执行 Ping 操作,请确保 ONTAP 中的网络设置正确,以便代理计算机可以执行 Ping 操作。如果通过 2 个数据收集器将一个 SVM 添加到租户中两次,则会显示此错误。通过用户界面删除其中一个数据收集器。然后,通过 UI 重新启动另一个数据收集器。然后,数据收集器将显示 " 正在运行 " 状态,并开始从 SVM 接收事件。基本上,在租户中, 1 个 SVM 只能通过 1 个数据收集器添加一次。1 个 SVM 不应通过 2 个数据收集器添加两次。6.如果在两个不同的工作负载安全环境(租户)中添加了相同的SVM、则最后一个SVM将始终成功。第二个收集器将使用自己的 IP 地址配置 fpolicy ,并启动第一个收集器。因此,第一个收集器将停止接收事件,其 " 审核 " 服务将进入错误状态。要防止这种情况发生,请在一个环境中配置每个 SVM 。7.如果服务策略配置不正确、也可能发生此错误。对于ONTAP 9.8或更高版本、要连接到数据源收集器、需要提供data-fpolicy-client服务以及数据服务data-nfs和/或data-cifs。此外、data-fpolicy-client服务必须与受监控SVM的数据LIF关联。

活动页面中未显示任何事件。

1. 检查 ONTAP 收集器是否处于 " 正在运行 " 状态。如果是,请通过打开某些文件确保在 CIFS 客户端 VM 上生成某些 CIFS 事件。2. 如果未看到任何活动,请登录到 SVM 并输入以下命令。<svm> event log show -source fpolicy 请确保没有与 fpolicy 相关的错误。3. 如果未看到任何活动,请登录到 SVM 。输入以下命令 <svm>fpolicy show 检查是否已设置以前缀 "cloudsecure _ " 命名的 fpolicy 策略且状态为 "on" 。如果未设置,则代理很可能无法在 SVM 中执行这些命令。请确保已遵循页面开头所述的所有前提条件。

SVM Data Collector 处于错误状态,错误消息为 "Agent failed to connect to the collector"

1. 代理很可能已过载,无法连接到数据源收集器。2. 检查连接到代理的数据源收集器数量。3. 另请在用户界面的 " 所有活动 " 页面中查看数据流速。4. 如果每秒的活动数非常高,请安装另一个代理并将某些数据源收集器移动到新代理。

SVM Data Collector 显示错误消息,显示为 "fpolicy.server.connectError: Node failed to establish a connection with the FPolicy server "12.195.15.146" ( reason : "select Timed Out" ) "

已在 SVM/ 集群中启用防火墙。因此, fpolicy 引擎无法连接到 fpolicy 服务器。ONTAP 中可用于获取详细信息的 CLI 包括: event log show -source fpolicy ,其中显示错误事件日志 show -source fpolicy -fields event , action , description ,其中显示了更多详细信息。"检查防火墙命令" 在 ONTAP 端。

错误消息: "Connector is in error state.服务名称: audit 。失败原因:在 SVM 上未找到有效的数据接口(角色:数据,数据协议: NFS 或 CIFS 或两者,状态:已启动)。 "

确保有一个可操作的接口(充当 CIFS/NFS 的数据和数据协议角色)。

数据收集器将进入 " 错误 " 状态,一段时间后进入 " 正在运行 " 状态,然后再次返回 " 错误 " 。此周期将重复。

这通常发生在以下情形中: 1.添加了多个数据收集器。2. 显示此类行为的数据收集器将向这些数据收集器添加 1 个 SVM 。表示将 2 个或更多数据收集器连接到 1 个 SVM 。3. 确保 1 个数据收集器仅连接到 1 个 SVM 。4. 删除连接到同一 SVM 的其他数据收集器。

连接器处于错误状态。服务名称: audit 。失败原因:无法配置( SVM svmname 上的策略。原因:为 "fpolicy.policy.scope-modify : "Federal " 中的 "share-to include" 元素指定的值无效

共享名称必须在不带任何引号的情况下提供。编辑 ONTAP SVM DSC 配置以更正共享名称。include 和 exclude shares 不适用于长列表的共享名称。如果要包含或排除大量共享,请改用按卷筛选。

集群中存在未使用的现有 fpolicies 。在安装工作负载安全性之前、应如何处理这些问题?

建议删除所有现有未使用的 fpolicy 设置,即使它们处于已断开连接状态也是如此。工作负载安全性将创建前缀为"cloudsure_"的fpolicy。可以删除所有其他未使用的 fpolicy 配置。用于显示 fpolicy list 的 CLI 命令: fpolicy show-steps to delete fpolicy configurations : _fpolicy disable -vserver <svmname> -policy-name <policy_name> _fpolicy policy policy scope delete -vserver <svmname> -policy-name <policy_name>_fpolicy policy policy policy policy delete -vserver <svmname> -policy -policy -engine -<policy_name> -policy -<vmname> -node -engine -<policy_name> -policy_name> -vserver -vserver -policy> <policy_name> -vpolicy -policy -engine -<vm> <policy_name> -node -policy_name> -vpolicy -engine -vpolicy -<policy_name> -vpolicy

启用工作负载安全性后、ONTAP 性能将受到影响:延迟偶尔会高、IOPS偶尔会低。

在将ONTAP与工作负载安全性结合使用时、有时可能会在ONTAP中出现延迟问题。出现这种情况的可能原因如下: "第1294.""1415152.""1438207.""1479704.""1354659"。所有这些问题在ONTAP 9.13.1.及更高版本中均已修复;强烈建议使用这些更高版本之一。

数据收集器出错,显示此错误消息。" 错误:连接器处于错误状态。服务名称: audit 。失败原因:无法在 SVM SVM_test 上配置策略。原因: ZAPI 字段: Events 缺少值。"

从仅配置 NFS 服务的新 SVM 开始。在工作负载安全性中添加ONTAP SVM数据收集器。在工作负载安全性中添加ONTAP SVM数据收集器时、CIFS会配置为SVM的允许协议。请等待、直到工作负载安全性中的数据收集器显示错误。由于未在SVM上配置CIFS服务器、因此Workload Security将显示左侧所示的此错误。编辑 ONTAP SVM 数据收集器并取消选中 CIFS 作为允许的协议。保存数据收集器。它将在仅启用 NFS 协议的情况下开始运行。

Data Collector 显示错误消息:错误:无法在 2 次重试内确定收集器的运行状况,请重新尝试重新启动收集器(错误代码: AGENT008 )。

如果您仍遇到问题,请访问 * 帮助 > 支持 * 页面中提到的支持链接。