修改自动快照选项
建议更改
PDF
从Ransomware 11.1开始、您可以使用命令行界面来控制在发生可疑勒索软件攻击时自动生成的自动保护(Autonomous ONTAP 9 Protection、ARP)快照的保留设置。
您只能修改节点SVM上的ARP快照选项。
-
要显示所有当前ARP快照设置、请输入:
vserver options -vserver <svm_name> -option-name arw*
。 vserver optionscommand是一个隐藏命令。要查看手册页、请输入man vserver options在ONTAP 命令行界面上。 -
要显示选定的当前ARP快照设置、请输入:
vserver options -vserver <svm_name> -option-name <arw_setting_name> -
要修改ARP快照设置、请输入:
vserver options -vserver <svm_name> -option-name <arw_setting_name> -option-value <arw_setting_value>以下设置可修改:
ARW设置 Description arw.snap.max.count指定在任何给定时间卷中可以存在的最大ARP快照数。系统会删除较早的副本、以确保ARP快照总数不超过此指定限制。 `-option-value`参数接受3到8之间的整数(含3到8)。默认值为6。
arw.snap.create.interval.hours指定两次ARP快照之间的间隔以小时为单位。如果怀疑发生了基于数据熵的攻击、而最近创建的ARP快照早于指定的时间间隔、则会创建一个新的ARP快照。 `-option-value`参数接受1到48之间的整数(包括1和48)。默认值为4。
arw.snap.normal.retain.interval.hours指定保留ARP快照的持续时间_以小时为单位_。当ARP快照达到保留阈值时、删除之前创建的任何其他ARP快照副本。保留阈值之前的ARP快照不能超过一个。 `-option-value`参数接受4到96之间的整数(含4和96)。默认值为48。
arw.snap.max.retain.interval.days指定可以保留ARP快照的最长持续时间_in days_。如果卷上未报告攻击、则会删除早于此持续时间的任何ARP快照。
如果检测到中等威胁、则会忽略ARP快照的最大保留间隔。为响应威胁而创建的ARP快照将保留、直到您对威胁做出响应为止。将威胁标记为误报后、ONTAP将删除卷的ARP快照。 `-option-value`参数接受1到365之间的整数(包括1和365)。默认值为5。 arw.snap.create.interval.hours.post.max.count指定卷已包含最大ARP快照数时两次ARP快照之间的间隔_in Hours_。达到最大数量后、系统将删除ARP快照、以便为新副本腾出空间。使用此选项可以降低新ARP快照创建速度、以保留旧副本。如果卷已包含最大数量的ARP快照,则下次创建ARP快照时将使用此选项中指定的时间间隔,而不是
arw.snap.create.interval.hours。 `-option-value`参数接受4到48之间的整数(含4和48)。默认值为8。arw.surge.snap.interval.days指定为响应IO激增而创建的ARP快照之间的间隔_天_。如果IO流量激增、而上次创建的ARP快照早于此指定间隔、则ONTAP会创建一个ARP快照激增副本。此选项还指定ARP激增快照的保留期限_in day_。 `-option-value`参数接受1到365之间的整数(包括1和365)。默认值为5。
arw.snap.new.extns.interval.hours此选项指定检测到新文件扩展名时创建ARP快照的间隔以小时为单位。在观察到新的文件扩展名时、将创建一个新的ARP快照;观察到新的文件扩展名时创建的上一个快照早于此指定的时间间隔。对于频繁创建新文件扩展名的工作负载、此间隔有助于控制ARP快照的频率。此选项独立于
arw.snap.create.interval.hours,后者指定基于数据熵的ARP快照的间隔。 `-option-value`参数接受24到8760之间的整数。默认值为48。