简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

警报

10/14/2025 贡献者

PDF

工作负载安全警报页面显示最近攻击和/或警告的时间线，并允许您查看每个问题的详细信息。

警报列表

警报

警报列表显示一个图表，显示在选定时间范围内发生的潜在攻击和/或警告的总数，后面是该时间范围内发生的攻击和/或警告的列表。您可以通过调整图表中的开始时间和结束时间滑块来更改时间范围。

每个警报都会显示以下内容：

潜在攻击：

_潜在攻击_类型（例如，勒索软件或破坏）
检测到潜在攻击的日期和时间
警报的_状态_：
- 新：这是新警报的默认设置。
- 进行中：团队成员正在调查该警报。
- 已解决：警报已被团队成员标记为已解决。
- 已解除：警报已因误报或预期行为而被解除。
  
  管理员可以更改警报的状态并添加注释以协助调查。
其行为触发警报的_用户_
攻击的证据（例如，大量文件被加密）
采取的操作（例如，拍摄快照）

警告：

触发警告的_异常行为_
检测到该行为的日期和时间
警报的状态（新、进行中等）
其行为触发警报的_用户_
对“变化”的描述（例如，文件访问异常增加）
已采取的行动

筛选选项

您可以按以下方式过滤警报：

警报的_状态_
Note 中的具体文本
_攻击/警告_的类型
其操作触发警报/警告的_用户_

警报详细信息页面

您可以单击警报列表页面上的警报链接来打开该警报的详细信息页面。警报详细信息可能根据攻击或警报的类型而有所不同。例如，勒索软件攻击详细信息页面可能会显示以下信息：

摘要部分：

攻击类型（勒索软件、破坏）和警报 ID（由 Workload Security 分配）
检测到攻击的日期和时间
采取的操作（例如，拍摄了自动快照。快照时间显示在摘要部分正下方）
状态（新、进行中等）

攻击结果部分：

受影响卷和文件的数量
检测结果摘要
显示攻击期间文件活动的图表

_拍摄快照_动作

工作负载安全会在检测到恶意活动时自动拍摄快照来保护您的数据，确保您的数据得到安全备份。

您可以定义"自动响应策略"当检测到勒索软件攻击或其他异常用户活动时拍摄快照。您也可以从警报页面手动拍摄快照。

自动拍摄快照：警报行动屏幕，1000

手动快照：警报行动屏幕，1000

警报通知

对于针对警报采取的每个操作，都会向警报收件人列表发送警报的电子邮件通知。要配置警报收件人，请单击*管理>通知*并输入每个收件人的电子邮件地址。

保留政策

警报和警告保留 13 个月。超过 13 个月的警报和警告将被删除。如果删除了工作负载安全环境，则与该环境相关的所有数据也将被删除。

故障排除

问题：	尝试一下：
有一种情况是， ONTAP每天每小时拍摄一次快照。工作负载安全 (WS) 快照会影响它吗？ WS 快照会取代每小时快照吗？默认每小时快照会停止吗？	工作负载安全快照不会影响每小时快照。 WS 快照不会占用每小时快照空间，并且应该像以前一样继续。默认每小时快照不会停止。
如果ONTAP中达到最大快照数，会发生什么情况？	如果达到最大快照数，后续快照拍摄将会失败，并且工作负载安全将显示一条错误消息，指出快照已满。用户需要定义快照策略来删除最旧的快照，否则将不会拍摄快照。在ONTAP 9.3 及更早版本中，一个卷最多可以包含 255 个 Snapshot 副本。在ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关以下信息，请参阅ONTAP文档"设置快照删除策略"。
工作负载安全根本无法拍摄快照。	确保用于创建快照的角色具有链接： https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [已分配适当的权限]。确保创建的 csrole 具有拍摄快照所需的适当访问权限：security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
对于从工作负载安全中删除并随后重新添加的 SVM，快照对于较旧的警报失败。对于再次添加 SVM 后出现的新警报，将拍摄快照。	这是一种罕见的情况。如果您遇到这种情况，请登录ONTAP并手动为旧警报拍摄快照。
在“警报详情”页面中，“拍摄快照”按钮下方显示“上次尝试失败”错误消息。将鼠标悬停在错误上会显示“对于具有 id 的数据收集器，调用 API 命令已超时”。	如果 SVM 的 LIF 在ONTAP中处于 disabled 状态，则当通过 SVM 管理 IP 将数据收集器添加到工作负载安全时，可能会发生这种情况。在ONTAP中启用特定的 LIF，并从工作负载安全触发_手动拍摄快照_。快照操作将会成功。

问题：

尝试一下：

有一种情况是， ONTAP每天每小时拍摄一次快照。工作负载安全 (WS) 快照会影响它吗？ WS 快照会取代每小时快照吗？默认每小时快照会停止吗？

工作负载安全快照不会影响每小时快照。 WS 快照不会占用每小时快照空间，并且应该像以前一样继续。默认每小时快照不会停止。

如果ONTAP中达到最大快照数，会发生什么情况？

如果达到最大快照数，后续快照拍摄将会失败，并且工作负载安全将显示一条错误消息，指出快照已满。用户需要定义快照策略来删除最旧的快照，否则将不会拍摄快照。在ONTAP 9.3 及更早版本中，一个卷最多可以包含 255 个 Snapshot 副本。在ONTAP 9.4 及更高版本中，一个卷最多可以包含 1023 个 Snapshot 副本。有关以下信息，请参阅ONTAP文档"设置快照删除策略"。

工作负载安全根本无法拍摄快照。

确保用于创建快照的角色具有链接： https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [已分配适当的权限]。确保创建的 csrole 具有拍摄快照所需的适当访问权限：security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

对于从工作负载安全中删除并随后重新添加的 SVM，快照对于较旧的警报失败。对于再次添加 SVM 后出现的新警报，将拍摄快照。

这是一种罕见的情况。如果您遇到这种情况，请登录ONTAP并手动为旧警报拍摄快照。

在“警报详情”页面中，“拍摄快照”按钮下方显示“上次尝试失败”错误消息。将鼠标悬停在错误上会显示“对于具有 id 的数据收集器，调用 API 命令已超时”。

如果 SVM 的 LIF 在ONTAP中处于 disabled 状态，则当通过 SVM 管理 IP 将数据收集器添加到工作负载安全时，可能会发生这种情况。在ONTAP中启用特定的 LIF，并从工作负载安全触发_手动拍摄快照_。快照操作将会成功。

警报

Creating your file...

警报