Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

规划 FPolicy 事件配置概述

贡献者

在配置 FPolicy 事件之前,您必须了解创建 FPolicy 事件的含义。您必须确定要监控事件的协议,要监控的事件以及要使用的事件筛选器。此信息有助于您规划要设置的值。

创建 FPolicy 事件的含义

创建 FPolicy 事件意味着定义 FPolicy 进程需要用于确定要监控的文件访问操作以及应将哪些受监控事件通知发送到外部 FPolicy 服务器的信息。FPolicy 事件配置定义了以下配置信息:

  • Storage Virtual Machine ( SVM )名称

  • 事件名称

  • 要监控的协议

    从ONTAP 9.151开始、FPolicy可以监控SMB、NFSv3、NFSv4以及NFSv4.1文件访问操作。

  • 要监控的文件操作

    并非所有文件操作对每个协议都有效。

  • 要配置的文件筛选器

    只有某些文件操作和筛选器组合有效。每个协议都有自己一组支持的组合。

  • 是否监控卷挂载和卸载操作

备注

其中三个参数具有相关性 (-protocol-file-operations-filters)。以下组合适用于这三个参数:

  • 您可以指定 -protocol-file-operations parameters

  • 您可以指定所有三个参数。

  • 您不能指定任何参数。

FPolicy 事件配置包含的内容

您可以使用以下可用 FPolicy 事件配置参数列表来帮助您规划配置:

信息类型

选项

SVM

指定要与此 FPolicy 事件关联的 SVM 名称。

每个 FPolicy 配置都在一个 SVM 中定义。为创建 FPolicy 策略配置而组合在一起的外部引擎,策略事件,策略范围和策略都必须与同一 SVM 相关联。

-vserver vserver_name

事件名称 _

指定要分配给 FPolicy 事件的名称。创建 FPolicy 策略时,您可以使用事件名称将 FPolicy 事件与策略相关联。

此名称最长可为 256 个字符。

备注

如果在 MetroCluster 或 SVM 灾难恢复配置中配置事件,则此名称的长度应最多为 200 个字符。

此名称可以包含以下 ASCII 范围字符的任意组合:

  • az

  • AZ

  • 09

  • " _ "、“-”, and "`.`Ω"

-event-name event_name

_ 协议 _

指定要为 FPolicy 事件配置的协议。的列表 -protocol 可以包含以下值之一:

  • cifs

  • nfsv3

  • nfsv4

备注

如果指定 -protocol`则必须在中指定有效值 `-file-operations 参数。协议版本发生变化时,有效值可能会发生变化。

备注

从ONTAP 9.15.1开始、您可以通过NFSv4捕获NFSv4.0和NFSv4.1事件。

-protocol protocol

File operations

指定 FPolicy 事件的文件操作列表。

此事件使用中指定的协议从所有客户端请求中检查此列表中指定的操作 -protocol 参数。您可以使用逗号分隔列表列出一个或多个文件操作。的列表 -file-operations 可以包含以下一个或多个值:

  • close 用于文件关闭操作

  • create 用于文件创建操作

  • create-dir 目录创建操作

  • delete 用于文件删除操作

  • delete_dir 目录删除操作

  • getattr 获取属性操作

  • link 用于链路操作

  • lookup 查找操作

  • open 用于文件打开操作

  • read 用于文件读取操作

  • write 用于文件写入操作

  • rename 用于文件重命名操作

  • rename_dir 目录重命名操作

  • setattr 用于设置属性操作

  • symlink 符号链接操作

备注

如果指定 -file-operations,则必须在中指定有效的协议 -protocol 参数。

-file-operations file_operations

Filters

指定指定协议的给定文件操作的筛选器列表。中的值 -filters 参数用于筛选客户端请求。此列表可以包括以下一项或多项:

备注

如果指定 -filters 参数、则还必须为指定有效值 -file-operations-protocol parameters

  • monitor-ads 用于筛选客户端对备用数据流的请求的选项。

  • close-with-modification 用于筛选客户端请求以关闭并修改的选项。

  • close-without-modification 用于筛选客户端请求以进行关闭而不进行修改的选项。

  • first-read 用于筛选客户端请求以进行首次读取的选项。

  • first-write 用于筛选客户端请求以进行首次写入的选项。

  • offline-bit 用于筛选脱机位集的客户端请求的选项。

    设置此筛选器会使 FPolicy 服务器仅在访问脱机文件时收到通知。

  • open-with-delete-intent 用于筛选客户端请求的选项、以用于具有删除意图的OPEN。

    设置此筛选器后,只有在尝试打开要删除的文件时, FPolicy 服务器才会收到通知。当时、文件系统会使用此选项 FILE_DELETE_ON_CLOSE 已指定标志。

  • open-with-write-intent 用于筛选具有写入意图的OPEN客户端请求的选项。

    设置此筛选器后,只有在尝试打开文件并在其中写入内容时, FPolicy 服务器才会收到通知。

  • write-with-size-change 用于筛选客户端写入请求并更改大小的选项。

  • setattr-with-owner-change 用于筛选客户端SETATTR更改文件或目录所有者的请求的选项。

  • setattr-with-group-change 用于筛选客户端SETATTR更改文件或目录组的请求的选项。

  • setattr-with-sacl-change 用于筛选客户端SETATTR更改文件或目录上的SACL请求的选项。

    此筛选器仅适用于SMB和NFSv4协议。

  • setattr-with-dacl-change 用于筛选客户端SETATTR请求以更改文件或目录上的DACL的选项。

    此筛选器仅适用于SMB和NFSv4协议。

  • setattr-with-modify-time-change 用于筛选客户端SETATTR请求以更改文件或目录的修改时间的选项。

  • setattr-with-access-time-change 用于筛选客户端setattr请求以更改文件或目录访问时间的选项。

  • setattr-with-creation-time-change 用于筛选客户端SETATTR请求以更改文件或目录的创建时间的选项。

    此选项仅适用于SMB协议。

  • setattr-with-mode-change 用于筛选客户端setattr请求以更改文件或目录上的模式位的选项。

  • setattr-with-size-change 用于筛选客户端setattr请求以更改文件大小的选项。

  • setattr-with-allocation-size-change 用于筛选客户端SETATTR请求以更改文件分配大小的选项。

    此选项仅适用于SMB协议。

  • exclude-directory 用于筛选客户端目录操作请求的选项。

    指定此筛选器后,不会监控目录操作。

-filters filter,…​

是否需要执行卷操作 _

指定卷挂载和卸载操作是否需要监控。默认值为 false

-volume-operation {true

false

-filters filter,…​

FPolicy访问被拒绝通知

从ONTAP 9.13.1开始、用户可以收到因缺少权限而导致文件操作失败的通知。这些通知对于安全性、勒索软件防护和监管非常重要。如果文件操作因缺少权限而失败、则会生成通知、其中包括:

  • 由于NTFS权限而失败。

  • 由于Unix模式位而导致失败。

  • 由于NFSv4 ACL而导致失败。

-monitor-fileop-failure {true

false