本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定ONTAP SVM Data Collector

使用資料收集器從裝置收集檔案和使用者存取資料。Cloud Secure

開始之前

  • 下列項目支援此資料收集器:

    • 更新版本。Data ONTAP若要獲得最佳效能、請在Data ONTAP 何處使用VMware版本 "此問題" 已修正。

    • SMB傳輸協定3.1版及更早版本

    • NFS傳輸協定4.0版及更早版本

    • 支援從支援的更新版本為支援FlexGroup ONTAP

  • 僅支援資料類型SVM。不支援具有無限磁碟區的SVM。

  • SVM有多種子類型。其中只支援_default_和_sync來源_。

  • 代理程式 "必須設定" 然後再設定資料收集器。

  • 請確定您已正確設定使用者目錄連接器、否則事件會在「活動鑑識」頁面中顯示編碼的使用者名稱、而非使用者的實際名稱(儲存在Active Directory中)。

  • 為獲得最佳效能、您應將FPolicy伺服器設定為與儲存系統位於同一子網路上。

  • 您必須使用下列兩種方法之一來新增SVM:

    • 使用叢集IP、SVM名稱及叢集管理使用者名稱與密碼。這是建議的方法。

      • SVM名稱必須完全如ONTAP 圖所示、且區分大小寫。

    • 使用SVM Vserver Management IP、使用者名稱和密碼

    • 如果您無法或不願意使用完整的管理員叢集/ SVM管理使用者名稱和密碼、您可以建立具有較低權限的自訂使用者、如中所述 "「權限注意事項」" 部分。您可以為SVM或叢集存取建立此自訂使用者。

      • o您也可以使用具有至少具有csrole權限的AD使用者、如以下「權限注意事項」一節所述。另請參閱 "本文檔 ONTAP"

  • 執行下列命令、確保已針對SVM設定正確的應用程式:

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

輸出範例:SVM命令輸出範例

  • 確認SVM已設定CIFS伺服器:clusterShell:>「vserver CIFS show」

    系統會傳回Vserver名稱、CIFS伺服器名稱及其他欄位。

  • 設定SVM vsadmin使用者的密碼。如果使用自訂使用者或叢集管理使用者、請跳過此步驟。clusterShell::>「安全登入密碼-使用者名稱vsadmin -vserver svmname」

  • 解除鎖定SVM vsadmin使用者以進行外部存取。如果使用自訂使用者或叢集管理使用者、請跳過此步驟。clusterShell::>「安全登入解除鎖定-使用者名稱vsadmin -vserver svmname」

  • 確保資料LIF的防火牆原則設定為「mGMT」(而非「dATA」)。如果使用專用管理LIF來新增SVM、請跳過此步驟。clusterShell::>「網路介面修改-lIF <SVM_data_LIF_name>-firewall-policy mgmt」

  • 啟用防火牆時、您必須定義例外狀況、才能使用Data ONTAP 「Data Collector」允許連接埠的TCP流量。

    請參閱 "代理程式需求" 以取得組態資訊。這適用於安裝在雲端的內部部署代理程式和代理程式。

  • 當代理程式安裝在AWS EC2執行個體中以監控Cloud ONTAP SVM時、代理程式和儲存設備必須位於同一個VPC中。如果它們位於獨立的VPC中、則VPC之間必須有有效的路由。

權限相關注意事項

透過叢集管理IP新增權限:

如果您無法使用叢集管理管理員使用者來允許Cloud Secure Sfuse存取ONTAP SVM資料收集器、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。設定Cloud Secure 使用叢集管理IP的資料收集器時、請使用「CsUser」的使用者名稱和密碼。

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到功能表、然後在ONTAP 功能表伺服器上執行下列命令:

security login role create -role csrole -cmddirname DEFAULT -access none
security login role create -role csrole -cmddirname "network interface" -access readonly
security login role create -role csrole -cmddirname version -access readonly
security login role create -role csrole -cmddirname volume -access readonly
security login role create -role csrole -cmddirname vserver -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all -query "-policyname cloudsecure_*"

透過Vserver管理IP新增權限:

如果您無法使用叢集管理管理員使用者來允許Cloud Secure Sfuse存取ONTAP SVM資料收集器、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將Cloud Secure 使用者名稱「CsUser」和密碼設定為使用Vserver Management IP時、請使用「CsUser」。

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到位、然後在ONTAP 伺服器上執行下列命令。為了方便起見、請先將這些命令複製到文字編輯器、並在ONTAP 執行下列命令之前、以Vserver名稱取代<vservername>:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login role create -vserver <vservername> -role csrole -cmddirname "vserver export-policy rule" -access all -query "-policyname cloudsecure_*"

設定資料收集器

組態步驟
  1. 以系統管理員或帳戶擁有者身分登入Cloud Insights 您的支援環境。

  2. 按一下*管理>資料收集器>+資料收集器*

    系統會顯示可用的資料收集器。

  3. 將游標暫留在* NetApp SVM區塊上、然後按一下*+監控*。

    系統會顯示ONTAP 「SVM組態」頁面。輸入每個欄位的必要資料。

欄位

說明

名稱

資料收集器的唯一名稱

代理程式

從清單中選取已設定的代理程式。

透過管理IP連線:

選取叢集IP或SVM管理IP

叢集/ SVM管理IP位址

叢集或SVM的IP位址、取決於您在上方的選擇。

SVM名稱

SVM名稱(透過叢集IP連線時、此欄位為必填欄位)

使用者名稱

透過叢集IP新增SVM/叢集時、存取SVM/叢集的使用者名稱選項為:1.叢集管理2.「CsUser」3.扮演類似CsUser角色的AD使用者。透過SVM IP新增時、選項如下:4.vsadmin 5.「CsUser」6.與CsUser角色相似的AD使用者名稱。

密碼

上述使用者名稱的密碼

篩選共用/磁碟區

選擇是否要在事件集合中包含或排除共用/磁碟區

輸入要排除/包含的完整共用名稱

要從事件集合中排除或包含(視情況而定)的共用清單(以英文分隔)

輸入要排除/包含的完整Volume名稱

要從事件集合中排除或包含(視情況而定)的磁碟區清單(以英文分隔)

監控資料夾存取

核取此選項時、會啟用資料夾存取監控的事件。請注意、即使未選取此選項、仍會監控資料夾的建立/重新命名與刪除。啟用此功能將會增加監控的事件數目。

設定ONTAP 「發送緩衝區大小」

設定ONTAP 不規則傳送緩衝區大小。如果ONTAP 使用9.8p7之前的版本且發現效能問題、ONTAP 則可變更此版本的更新緩衝區大小、以改善ONTAP 效能。如果您沒有看到此選項、並且想要探索、請聯絡NetApp支援部門。

完成後
  • 在「安裝的資料收集器」頁面中、使用每個收集器右側的選項功能表來編輯資料收集器。您可以重新啟動資料收集器或編輯資料收集器組態屬性。

疑難排解

下表說明已知問題及其解決方法。

發生錯誤時、請按一下「_Status」(狀態)欄中的「_Mor詳細 資料」、以取得錯誤的詳細資料。

問題: 解決方法:

資料收集器會執行一段時間、並在隨機時間後停止、失敗時顯示:「錯誤訊息:連接器處於錯誤狀態。服務名稱:稽核。故障原因:外部fpolicy伺服器過載。"

來自於此的事件率ONTAP 遠高於值機員方塊所能處理的事件率。因此連線終止。當中斷連線時、請檢查CloudSecure中的尖峰流量。您可以從* CloudSecure >活動鑑識> All Activ練習*頁面查看。如果尖峰彙總流量高於值機員方塊所能處理的流量、請參閱「事件率檢查器」頁面、瞭解如何在值機員方塊中調整收集器部署的規模。如果代理程式安裝於2021年3月4日之前的Agent方塊中、請在Agent方塊中執行下列命令:回應「net.core。rmem_max = 8388608」>>/etc/syscl.conf回應「net.ipve.tcp_rmem = 40962097152 8388608'>>/etc/syscntl.conf syscl.conf syscp from the collector重新啟動後、重新啟動。

Collector會報告錯誤訊息:「在連接器上找不到可連線至SVM資料介面的本機IP位址」。

這很可能是ONTAP 因為位在邊上的網路問題。請遵循下列步驟:1.請確定SVM資料LIF或管理LIF上沒有防火牆、無法與SVM連線。2.透過叢集管理IP新增SVM時、請確保SVM的資料LIF和管理LIF可從代理VM進行Ping。發生問題時、請檢查閘道、網路遮罩和路由以取得LIF。您也可以嘗試使用叢集管理IP透過ssh登入叢集、然後ping代理IP。請確定代理程式IP可調校:network ping -vserver <vserver name>-destination <Agent IP>-lIF <LIF Name>-show-detail _如果無法調校、請確定ONTAP 位於的網路設定正確無誤、以便代理程式機器可調校。3.如果您嘗試透過叢集IP進行連線但無法運作、請嘗試直接透過SVM IP進行連線。請參閱上述步驟、瞭解透過SVM IP進行連線的步驟。4.透過SVM IP和vsadmin認證新增收集器時、請檢查SVM LIF是否已啟用Data plus Mgmt角色。在這種情況下、ping SVM LIF會正常運作、但SSH到SVM LIF則無法運作。如果是、請建立僅限SVM管理LIF、並嘗試透過此SVM管理僅LIF進行連線。5.如果仍無法運作、請建立新的SVM LIF、然後嘗試透過該LIF進行連線。確定子網路遮罩設定正確。6.進階除錯:a)在ONTAP 不執行b)嘗試從CloudSecure UI將資料收集器連接至SVM。c)等待錯誤出現。停止ONTAP 封包追蹤。d)從ONTAP 資訊系統開啟封包追蹤。可在此位置查看:https://<cluster_mgmt_ip>/spi/<clustername>/etc/log/packet_traces/_ e)確認存在從ONTAP Setc到Agent Box的同步。f)ONTAP 如果不存在來自不支援的Syn、ONTAP 則這是指在資訊系統中存在防火牆問題。g)在ONTAP 支援的地方開啟防火牆、ONTAP 以便讓支援鏈接代理程式方塊。7.如果仍無法運作、請洽詢網路團隊、確定沒有外部防火牆封鎖ONTAP 從「VMware連線至代理程式」方塊的連線。8.如果以上皆無法解決問題、請使用開啟案例 "NetApp支援" 以取得進一步協助。

訊息:「無法判斷ONTAP [hostname:<IP Address>的資訊類型。原因:連線錯誤至儲存系統<IP位址>:主機無法連線(主機無法連線)"

1.確認已提供正確的SVM IP管理位址或叢集管理IP。2. SSH連線至您要連線的SVM或叢集。連線後、請確認SVM或叢集名稱正確無誤。

錯誤訊息:「連接器處於錯誤狀態。service.name:稽核。故障原因:外部fpolicy伺服器已終止。"

1.防火牆很可能會封鎖代理程式機器中的必要連接埠。確認已開啟連接埠範圍35000-55000/TCP、讓代理機器從SVM連線。此外、請確保ONTAP 沒有啟用任何防火牆、從「邊」封鎖與代理機器的通訊。2.在「代理程式」方塊中輸入下列命令、並確定連接埠範圍已開啟。_Sudo iptarts-SAVE

Grep 3500*範例輸出應如下所示:_A in_public_allow -p tcp -m tcp -dport 35000 -m conntrack -ctst態new -j Accept_3。登入SVM、輸入下列命令、並檢查是否未設定任何防火牆來封鎖與ONTAP 之通訊。_系統服務防火牆show __系統服務防火牆原則show_"檢查防火牆命令" 就在邊上。ONTAP4. SSH至您要監控的SVM/叢集。從SVM資料LIF Ping Agent Box(支援CIFS、NFS傳輸協定)、並確保ping正常運作: _network ping -vserver <vserver name>-destination <Agent ip>-lIF <LIF Name>-show-detect_如果無法ping通、請確定ONTAP 支援更新的網路設定正確、以便代理機器能夠ping通。如果透過2個資料收集器將單一SVM新增兩次至租戶、則會顯示此錯誤。透過UI刪除其中一個資料收集器。然後透過UI重新啟動其他資料收集器。然後資料收集器會顯示「執行中」狀態、並開始接收來自SVM的事件。基本上、在租戶中、只能透過1個資料收集器新增1個SVM。1 SVM不應透過2個資料收集器新增兩次。6.在兩Cloud Secure 個不同的版本環境(租戶)中新增相同SVM的情況下、最後一個將永遠成功。第二個收集器會使用自己的IP位址來設定fpolicy、然後啟動第一個。因此第一個收集器將停止接收事件、其「稽核」服務將進入錯誤狀態。若要避免這種情況發生、請在單一環境中設定每個SVM。

活動頁面未顯示任何事件。

1.檢查ONTAP 收集器是否處於「執行中」狀態。如果是、請開啟部分檔案、確保CIFS用戶端VM上產生部分CIFS事件。2.如果未看到任何活動、請登入SVM並輸入下列命令。<SVM>EVENT log show -SOURSfpolicy_Please ensure that are no errors related to fpolicy(事件日誌顯示-SOURSfpolicy_請 確保沒有與fpolicy相關的錯誤)。3.如果未看到任何活動、請登入SVM。輸入下列命令:<SVM>fpolicy show_檢查是否已設定名為「clouded_」的fpolicy原則、且狀態為「on」。如果未設定、則代理程式很可能無法在SVM中執行命令。請確認已遵循頁面開頭所述的所有先決條件。

SVM Data Collector處於錯誤狀態、錯誤訊息為「代理程式無法連線至收集器」

1.代理程式可能過載、無法連線至資料來源收集器。2.檢查有多少資料來源收集器連接至代理程式。3.也請在UI的「All Active"(所有活動)頁面中檢查資料流率。4、如果每秒活動數量大幅增加、請安裝另一個代理程式、並將部分資料來源收集器移至新的代理程式。

SVM Data Collector會顯示錯誤訊息「fpolicy.server.connectError: Node失敗、無法與FPolicy伺服器建立連線:12.195.15.146」(原因:「Select Timed Out」(選擇逾時))

在SVM/叢集中啟用防火牆。因此fpolicy引擎無法連線至fpolicy伺服器。可用於取得更多資訊的CLI包括:事件記錄檔show -SOUR叢fpolicy、其中顯示錯誤事件記錄檔show -source fpolicy -功能 變數事件、行動、說明、其中顯示更多詳細資料。ONTAP"檢查防火牆命令" 就在邊上。ONTAP

錯誤訊息:「Connector處於錯誤狀態。服務名稱:稽核。故障原因:SVM上找不到有效的資料介面(角色:資料、資料傳輸協定:NFS或CIFS或兩者、狀態:UP)。」

確保有作業介面(做為CIFS/NFS的資料和資料傳輸協定角色)。

資料收集器會進入「錯誤」狀態、然後在一段時間後進入「執行中」狀態、然後再次返回「錯誤」。此週期會重複。

這通常發生在下列案例中:1.新增多個資料收集器。2.顯示這類行為的資料收集器、將會在這些資料收集器中新增1個SVM。表示2個以上的資料收集器連接至1個SVM。3.確保1個資料收集器只連接1個SVM。4.刪除其他連線至相同SVM的資料收集器。

連接器處於錯誤狀態。服務名稱:稽核。失敗原因:無法設定(SVM svmname上的原則。原因:在’fpolicy.policy.scoe-modify:"felf"中為「res-to -include’元素指定的值無效

共用名稱必須在沒有任何報價的情況下提供。編輯ONTAP 「SVM DSC」組態以修正共用名稱。_包括和排除共享_不適用於長清單的共享區名稱。如果您要納入或排除大量共用、請改用依磁碟區篩選。

叢集中有未使用的現有fPolicies。安裝Cloud Secure 完不安裝的不知道該怎麼做?

建議刪除所有現有未使用的fpolicy設定、即使它們處於中斷連線狀態。以「cloudseced_」開頭的字元建立fpolicy。Cloud Secure可以刪除所有其他未使用的fpolicy組態。用於顯示fpolicy清單的CLI命令:_fpolicy show_刪除fpolicy組態的步驟:_fpolicy disable-vserver <svmname>-police-name <policy_name>_fpolicy刪除-vserver <svmname>-policy_name>-policy_name <policy_name_vpolicy <vmname -policy -vms_delete policy -policy <vpolicy -name_external policy -name>

啟用Cloud Secure 了不穩定功能之後ONTAP 、效能受到影響:延遲偶爾會變得很高、IOP偶爾會變得很低。

確保您使用Data ONTAP 的是版本不一致的版本 "此問題" 已修正。推薦使用的最低版本為9.8P7。ONTAP如果ONTAP 使用的是9.8p7之前的版本、而且發現此效能問題、ONTAP 則可以變更此版本的更新緩衝區大小、以改善ONTAP 不實的效能。如果您想要瀏覽此選項、但在新增新的資料收集器或編輯現有的資料收集器時卻看不到此設定、請聯絡NetApp支援部門。

資料收集器發生錯誤、顯示此錯誤訊息。「錯誤:連接器處於錯誤狀態。服務名稱:稽核。失敗原因:無法在SVM SVM_TEST上設定原則。原因:缺少ZAPI欄位值:事件。「

從只設定NFS服務的新SVM開始著手。在ONTAP 功能不均的情況下新增一個功能不整的SVM資料收集器Cloud Secure 。CIFS被設定為SVM允許的傳輸協定、同時將ONTAP SVM Data Collector加入Cloud Secure 到等到Cloud Secure 資訊收集器顯示錯誤為止。由於未在SVM上設定CIFS伺服器、Cloud Secure 所以如左側所示的錯誤會由SIRSH.顯示。編輯ONTAP 《SVM資料收集器》、並視允許的傳輸協定取消CIFS檢查。儲存資料收集器。它會在僅啟用NFS傳輸協定的情況下開始執行。

資料收集器會顯示錯誤訊息:「錯誤:無法在2次重試中判斷收集器的健全狀況、請再次嘗試重新啟動收集器(錯誤代碼:AGENT008)」。

如果您仍遇到問題、請聯絡*「說明」>「支援*」頁面中提及的支援連結。