Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

修改ONTAP自动快照的选项

贡献者
PDF

从Ransomware 11.1开始、您可以使用命令行界面来控制在发生可疑勒索软件攻击时自动生成的自动保护(Autonomous ONTAP 9 Protection、ARP)快照的保留设置。

开始之前

您只能修改节点SVM上的ARP快照选项,而不能修改其他上的ARP快照选项"SVM类型"

有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"

步骤

  1. 显示所有当前ARP快照设置:

    options -option-name arw*
    Cli
    Copy

  2. 显示选定的当前ARP快照设置:

    options -option-name <arw_setting_name>
    Cli
    Copy

  3. 修改ARP快照设置:

    options -option-name <arw_setting_name> -option-value <arw_setting_value>
    Cli
    Copy

    以下设置可修改:

    ARW设置 Description

    arw.snap.max.count

    指定在任何给定时间卷中可以存在的最大ARP快照数。系统会删除较早的副本、以确保ARP快照总数不超过此指定限制。

    arw.snap.create.interval.hours

    指定两次ARP快照之间的间隔以小时为单位。如果怀疑发生了基于数据熵的攻击、而最近创建的ARP快照早于指定的时间间隔、则会创建一个新的ARP快照。

    arw.snap.normal.retain.interval.hours

    指定保留ARP快照的持续时间_以小时为单位_。当ARP快照达到保留阈值时、删除之前创建的任何其他ARP快照副本。保留阈值之前的ARP快照不能超过一个。

    arw.snap.max.retain.interval.days

    指定可以保留ARP快照的最长持续时间_in days_。如果卷上未报告攻击、则会删除早于此持续时间的任何ARP快照。

    备注 如果检测到中等威胁、则会忽略ARP快照的最大保留间隔。为响应威胁而创建的ARP快照将保留、直到您对威胁做出响应为止。将威胁标记为误报后、ONTAP将删除卷的ARP快照。

    arw.snap.create.interval.hours.post.max.count

    指定卷已包含最大ARP快照数时两次ARP快照之间的间隔_in Hours_。达到最大数量后、系统将删除ARP快照、以便为新副本腾出空间。使用此选项可以降低新ARP快照创建速度、以保留旧副本。如果卷已包含最大数量的ARP快照,则下次创建ARP快照时将使用此选项中指定的时间间隔,而不是 arw.snap.create.interval.hours

    arw.surge.snap.interval.days

    指定为响应IO激增而创建的ARP快照之间的间隔_天_。如果IO流量激增、而上次创建的ARP快照早于此指定间隔、则ONTAP会创建一个ARP快照激增副本。此选项还指定ARP激增快照的保留期限_in day_。

    arw.snap.new.extns.interval.hours

    此选项指定检测到新文件扩展名时创建ARP快照的间隔以小时为单位。在观察到新的文件扩展名时、将创建一个新的ARP快照;观察到新的文件扩展名时创建的上一个快照早于此指定的时间间隔。对于频繁创建新文件扩展名的工作负载、此间隔有助于控制ARP快照的频率。此选项独立于 arw.snap.create.interval.hours,后者指定基于数据熵的ARP快照的间隔。