Skip to main content
Data Infrastructure Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置ONTAP SVM 数据收集器

贡献者 netapp-alavoie dgracenetapp pixelchrome
PDF

ONTAP SVM 数据收集器使工作负载安全能够监控NetApp ONTAP存储虚拟机 (SVM) 上的文件和用户访问活动。本指南将指导您完成 SVM 数据收集器的配置和管理,以便为您的ONTAP环境提供全面的安全监控。

备注 全局变化可能会对您的ONTAP系统产生潜在影响。强烈建议在非高峰时段进行影响大量数据收集器的更改。

开始之前

  • 该数据收集器支持以下功能:

    • Data ONTAP 9.2 及更高版本。为了获得最佳性能,请使用高于 9.13.1 的Data ONTAP版本。

    • SMB 协议版本 3.1 及更早版本。

    • NFS 版本最高可达 NFS 4.1(请注意, ONTAP 9.15 或更高版本支持 NFS 4.1)。

    • ONTAP 9.4 及更高版本支持 Flexgroup

    • ONTAP 9.7 及更高版本的 NFS 支持FlexCache 。

    • ONTAP 9.14.1 及更高版本的 SMB 支持FlexCache 。

    • 支持ONTAP Select

  • 仅支持数据类型 SVM。不支持具有无限卷的 SVM。

  • SVM 有几种子类型。其中,仅支持_default_、sync_source_和_sync_destination

  • 一名特工"必须配置"然后才可以配置数据收集器。

  • 确保您具有正确配置的用户目录连接器,否则事件将在“活动取证”页面中显示编码的用户名而不是用户的实际名称(存储在 Active Directory 中)。

  • • 从 9.14.1 开始支持ONTAP持久存储。

  • 为了获得最佳性能,您应该将 FPolicy 服务器配置为与存储系统位于同一子网。

  • 您必须使用以下两种方法之一添加 SVM:

    • 通过使用集群 IP、SVM 名称以及集群管理用户名和密码。 这是推荐的方法。

      • SVM 名称必须与ONTAP中显示的完全一致,并且区分大小写。

    • 使用 SVM Vserver 管理 IP、用户名和密码

    • 如果您无法或不愿意使用完整的管理员集群/SVM 管理用户名和密码,您可以创建一个具有较低权限的自定义用户,如“关于权限的说明”下面的部分。可以为 SVM 或集群访问创建此自定义用户。

      • o 您还可以使用具有至少具有 csrole 权限的角色的 AD 用户,如下面“关于权限的说明”部分中所述。另请参阅"ONTAP 文档"

  • 通过执行以下命令确保为 SVM 设置了正确的应用程序:

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

示例输出:SVM 命令输出示例

  • 确保 SVM 已配置 CIFS 服务器:clustershell:> vserver cifs show

    系统返回 Vserver 名称、CIFS 服务器名称和其他字段。

  • 为 SVM vsadmin 用户设置密码。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell:> security login password -username vsadmin -vserver svmname

  • 解锁 SVM vsadmin 用户以进行外部访问。如果使用自定义用户或集群管理员用户,请跳过此步骤。clustershell:> security login unlock -username vsadmin -vserver svmname

  • 确保数据 LIF 的防火墙策略设置为“mgmt”(而不是“数据”)。如果使用专用管理生命周期来添加 SVM,请跳过此步骤。clustershell:> network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • 启用防火墙后,您必须定义例外以允许使用Data ONTAP数据收集器的端口的 TCP 流量。

    "代理要求"获取配置信息。这适用于本地代理和安装在云中的代理。

  • 当在 AWS EC2 实例中安装代理来监控 Cloud ONTAP SVM 时,代理和存储必须位于同一个 VPC 中。如果它们位于不同的 VPC 中,则 VPC 之间必须有有效的路由。

测试数据收集器的连通性

测试连接功能(于 2025 年 3 月推出)旨在帮助最终用户在Data Infrastructure Insights(DII) 工作负载安全中设置数据收集器时识别故障的具体原因。这使得用户能够自行纠正与网络通信或缺失角色相关的问题。

此功能将帮助用户在设置数据收集器之前确定所有与网络相关的检查是否已到位。此外,它还会根据ONTAP版本、角色以及在ONTAP中分配给他们的权限,告知用户可以访问的功能。

备注 用户目录收集器不支持测试连接

连接测试的先决条件

  • 此功能要完全发挥作用,需要集群级凭证。

  • SVM 模式不支持功能访问检查。

  • 如果您使用集群管理凭据,则不需要新的权限。

  • 如果您使用自定义用户(例如,csuser),请为您想要使用的功能提供强制权限和特定功能权限。

工作负载安全测试连接按钮

请务必查看权限下面的部分也是如此。

测试连接

用户可以转到添加/编辑收集器页面,输入集群级别详细信息(在集群模式下)或 SVM 级别详细信息(在 SVM 模式下),然后单击 测试连接 按钮。然后,工作负载安全将处理该请求并显示适当的成功或失败消息。

工作负载安全“测试连接”成功消息

用户访问阻止的先决条件

请记住以下几点"用户访问阻止"

此功能需要集群级别凭证才能运行。

如果您使用集群管理凭据,则不需要新的权限。

如果您使用自定义用户(例如 csuser)并赋予该用户权限,请按照"用户访问阻止"授予 Workload Security 阻止用户的权限。

关于权限的说明

通过*集群管理 IP*添加时的权限:

如果您无法使用集群管理员用户允许工作负载安全访问ONTAP SVM 数据收集器,则可以创建一个名为“csuser”的新用户,并使用以下命令所示的角色。配置工作负载安全数据收集器以使用集群管理 IP 时,请使用用户名“csuser”和密码“csuser”。

注意:您可以创建一个角色来用于自定义用户的所有功能权限。如果存在现有用户,则首先使用以下命令删除现有用户和角色:

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

要创建新用户,请使用集群管理管理员用户名/密码登录ONTAP ,然后在ONTAP服务器上执行以下命令:

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

通过 Vserver 管理 IP 添加时的权限:

如果您无法使用集群管理员用户允许工作负载安全访问ONTAP SVM 数据收集器,则可以创建一个名为“csuser”的新用户,并使用以下命令所示的角色。配置工作负载安全数据收集器以使用 Vserver 管理 IP 时,请使用用户名“csuser”和密码“csuser”。

注意:您可以创建一个角色来用于自定义用户的所有功能权限。如果存在现有用户,则首先使用以下命令删除现有用户和角色:

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

要创建新用户,请使用集群管理管理员用户名/密码登录ONTAP ,然后在ONTAP服务器上执行以下命令。为方便起见,请将这些命令复制到文本编辑器,然后将 <vservername> 替换为您的 Vserver 名称,然后在ONTAP上执行这些命令:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

Protobuf模式

当在收集器的“高级配置”设置中启用此选项时,工作负载安全将在 protobuf 模式下配置 FPolicy 引擎。 ONTAP 9.15 及更高版本支持 Protobuf 模式。

关于此功能的更多详细信息,请参阅"ONTAP 文档"

protobuf 需要特定的权限(其中一些或全部可能已经存在):

集群模式:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
虚拟服务器模式:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

ONTAP自主勒索软件防护和ONTAP访问的权限被拒绝

如果您使用集群管理凭据,则不需要新的权限。

如果您使用具有指定权限的自定义用户(例如 csuser),则请按照以下步骤授予 Workload Security 从ONTAP收集 ARP 相关信息的权限。

欲了解更多信息,请阅读"与ONTAP集成访问被拒绝"

"与ONTAP自主勒索软件防护集成"

配置数据收集器

配置步骤

  1. 以管理员或帐户所有者的身份登录到您的Data Infrastructure Insights环境。

  2. 单击“工作负载安全>收集器>+数据收集器

    系统显示可用的数据收集器。

  3. 将鼠标悬停在 * NetApp SVM 图块上,然后单击 +Monitor

    系统显示ONTAP SVM 配置页面。为每个字段输入所需的数据。

字段

描述

名称

数据收集器的唯一名称

代理人

从列表中选择一个已配置的代理。

通过管理 IP 连接:

选择集群 IP 或 SVM 管理 IP

集群/SVM 管理 IP 地址

集群或 SVM 的 IP 地址,取决于您上面的选择。

SVM 名称

SVM 的名称(通过 Cluster IP 连接时需要此字段)

用户名

用于访问 SVM/集群的用户名通过集群 IP 添加时,选项为:1.集群管理员 2。 'csuser' 3. AD 用户具有与 csuser 类似的角色。通过 SVM IP 添加时,选项为:4. vsadmin 5. 'csuser' 6. AD 用户名具有与 csuser 类似的角色。

密码

上述用户名的密码

筛选股份/交易量

选择是否在事件收集中包含或排除股票/交易量

输入要排除/包含的完整共享名称

以逗号分隔的共享列表,用于从事件收集中排除或包含(视情况而定)

输入要排除/包含的完整卷名称

以逗号分隔的卷列表,用于从事件收集中排除或包含(视情况而定)

监控文件夹访问

选中后,启用文件夹访问监控事件。请注意,即使未选择此选项,文件夹的创建/重命名和删除也会受到监控。启用此功能将增加监控的事件数量。

设置ONTAP发送缓冲区大小

设置ONTAP Fpolicy 发送缓冲区大小。如果使用 9.8p7 之前的ONTAP版本并发现性能问题,则可以更改ONTAP发送缓冲区大小以提高ONTAP性能。如果您没有看到此选项并希望探索它,请联系NetApp支持。
完成后

  • 在已安装的数据收集器页面中,使用每个收集器右侧的选项菜单来编辑数据收集器。您可以重新启动数据收集器或编辑数据收集器配置属性。

MetroCluster的推荐配置

以下是针对MetroCluster的建议:

  1. 连接两个数据收集器,一个连接到源 SVM,另一个连接到目标 SVM。

  2. 数据收集器应通过_集群 IP_ 连接。

  3. 在任何时间点,当前“正在运行”的 SVM 的数据收集器将显示为“正在运行”。当前“停止”的 SVM 数据收集器将显示为“已停止”。

  4. 每当发生切换时,数据收集器的状态将从_Running_变为_Stopped,反之亦然。

  5. 数据收集器从_停止_状态转变为_运行_状态最多需要两分钟。

服务策略

如果使用ONTAP 9.9.1 版或更新版本 的服务策略,为了连接到数据源收集器,需要 data-fpolicy-client 服务以及数据服务 data-nfs 和/或 data-cifs

示例:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

在ONTAP 9.9.1 之前的版本中,无需设置 data-fpolicy-client

播放-暂停数据收集器

如果数据收集器处于_运行_状态,您可以暂停收集。打开收集器的“三个点”菜单并选择暂停。当收集器暂停时,不会从ONTAP收集任何数据,也不会从收集器向ONTAP发送任何数据。这意味着没有 Fpolicy 事件会从ONTAP流向数据收集器,再从那里流向Data Infrastructure Insights。

请注意,如果在收集器暂停时在ONTAP上创建任何新卷等,则工作负载安全性将不会收集数据,并且这些卷等将不会反映在仪表板或表格中。

备注 如果收集器有限制用户,则无法暂停收集器。在暂停收集器之前恢复用户访问权限。

请记住以下几点:

  • 快照清除不会按照暂停收集器上配置的设置进行。

  • 暂停的收集器将不会处理 EMS 事件(如ONTAP ARP)。这意味着如果ONTAP识别出勒索软件攻击,Data Infrastructure Insights工作负载安全将无法获取该事件。

  • 对于已暂停的收集器,将不会发送健康通知电子邮件。

  • 暂停的收集器不支持手动或自动操作(例如快照或用户阻止)。

  • 在代理或收集器升级、代理 VM 重新启动/重启或代理服务重新启动时,暂停的收集器将保持_暂停_状态。

  • 如果数据收集器处于_Error_状态,则收集器无法更改为_Paused_状态。仅当收集器的状态为“正在运行”时,“暂停”按钮才会启用。

  • 如果代理断开连接,则收集器无法更改为_Paused_状态。收集器将进入_停止_状态并且暂停按钮将被禁用。

持久存储

ONTAP 9.14.1 及更高版本支持持久存储。请注意,卷名称说明从ONTAP 9.14 到 9.15 有所不同。

可以通过选择收集器编辑/添加页面中的复选框来启用持久存储。选中复选框后,将显示一个用于接受卷名称的文本字段。卷名称是启用持久存储的必填字段。

  • 对于ONTAP 9.14.1,您必须在启用该功能之前创建卷,并在“卷名称”字段中提供相同的名称。建议的卷大小为 16GB。

  • 对于ONTAP 9.15.1,收集器将使用“卷名称”字段中提供的名称自动创建大小为 16 GB 的卷。

持久存储需要特定权限(其中一些或全部可能已经存在):

集群模式:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

虚拟服务器模式:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

迁移收集器

您可以轻松地将工作负载安全收集器从一个代理迁移到另一个代理,从而实现跨代理的收集器的有效负载平衡。

前提条件

  • 源代理必须处于_连接_状态。

  • 要迁移的收集器必须处于_running_状态。

注:

  • 数据和用户目录收集器均支持迁移。

  • 不支持手动管理的租户迁移收集器。

迁移收集器

要迁移收集器,请按照以下步骤操作:

  1. 转到“编辑收藏家”页面。

  2. 从代理下拉菜单中选择目标代理。

  3. 点击“保存收集器”按钮。

工作负载安全将处理该请求。迁移成功后,用户将被重定向到收藏家列表页面。如果失败,编辑页面上将显示相应的消息。

注意:当收集器成功迁移到目标代理时,“编辑收集器”页面上之前所做的任何配置更改都将保留应用。

通过选择另一个代理来迁移收集器

故障排除

查看"SVM 收集器故障排除"页面以获取故障排除提示。