本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

警報

10/14/2025 貢獻者

PDF

工作負載安全警報頁面顯示最近攻擊和/或警告的時間線，並允許您查看每個問題的詳細資訊。

警報列表

警報

警報清單顯示一個圖表，顯示在選定時間範圍內發生的潛在攻擊和/或警告的總數，後面是該時間範圍內發生的攻擊和/或警告的清單。您可以透過調整圖表中的開始時間和結束時間滑桿來變更時間範圍。

每個警報都會顯示以下內容：

潛在攻擊：

_潛在攻擊_類型（例如，勒索軟體或破壞）
偵測到潛在攻擊的日期和時間
警報的_狀態_：
- 新：這是新警報的預設設定。
- 進行中：團隊成員正在調查該警報。
- 已解決：警報已被團隊成員標記為已解決。
- 已解除：警報已因誤報或預期行為而解除。
  
  管理員可以更改警報的狀態並新增註釋以協助調查。
其行為觸發警報的_用戶_
攻擊的證據（例如，大量文件被加密）
採取的動作（例如，拍攝快照）

警告：

觸發警告的_異常行為_
偵測到該行為的日期和時間
警報的狀態（新、進行中等）
其行為觸發警報的_用戶_
對「變更」的描述（例如，檔案存取異常增加）
已採取的行動

篩選選項

您可以按以下方式過濾警報：

警報的_狀態_
Note 中的具體文本
_攻擊/警告_的類型
其操作觸發警報/警告的_用戶_

警報詳細資訊頁面

您可以點擊警報清單頁面上的警報連結來開啟該警報的詳細資訊頁面。警報詳細資訊可能會根據攻擊或警報的類型而有所不同。例如，勒索軟體攻擊詳細資訊頁面可能會顯示以下資訊：

摘要部分：

攻擊類型（勒索軟體、破壞）和警報 ID（由 Workload Security 指派）
偵測到攻擊的日期和時間
採取的行動（例如，拍攝了自動快照）。快照時間顯示在摘要部分正下方）
狀態（新、進行中等）

攻擊結果部分：

受影響捲和文件的數量
檢測結果摘要
顯示攻擊期間文件活動的圖表

_拍攝快照_動作

工作負載安全性會在偵測到惡意活動時自動拍攝快照來保護您的數據，確保您的資料已安全備份。

您可以定義"自動回應策略"當偵測到勒索軟體攻擊或其他異常使用者活動時拍攝快照。您也可以從警報頁面手動拍攝快照。

自動拍攝快照：警報行動螢幕，1000

手動快照：警報行動螢幕，1000

警報通知

對於針對警報採取的每個操作，都會向警報收件者清單發送警報的電子郵件通知。若要設定警報收件人，請按一下*管理>通知*並輸入每個收件人的電子郵件地址。

保留政策

警報和警告保留 13 個月。超過 13 個月的警報和警告將被刪除。如果刪除了工作負載安全環境，則與該環境相關的所有資料也將被刪除。

故障排除

問題：	試試一下：
有一種情況是， ONTAP每天每小時拍攝一次快照。工作負載安全性 (WS) 快照會影響它嗎？ WS 快照會取代每小時快照嗎？預設每小時快照會停止嗎？	工作負載安全快照不會影響每小時快照。 WS 快照不會佔用每小時快照空間，並且應該像以前一樣繼續。預設每小時快照不會停止。
如果ONTAP中達到最大快照數，會發生什麼事？	如果達到最大快照數，後續快照拍攝將會失敗，且工作負載安全性將顯示錯誤訊息，指出快照已滿。使用者需要定義快照策略來刪除最舊的快照，否則將不會拍攝快照。在ONTAP 9.3 及更早版本中，一個磁碟區最多可以包含 255 個 Snapshot 副本。在ONTAP 9.4 及更高版本中，一個磁碟區最多可以包含 1023 個 Snapshot 副本。有關以下信息，請參閱ONTAP文檔"設定快照刪除策略"。
工作負載安全根本無法拍攝快照。	確保用於建立快照的角色具有連結： https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [已指派適當的權限]。確保已建立的 csrole 具有拍攝快照所需的適當存取權限：security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
對於從工作負載安全性中刪除並隨後重新新增的 SVM，快照對於較舊的警報失敗。對於再次新增 SVM 後出現的新警報，將拍攝快照。	這是一種罕見的情況。如果您遇到這種情況，請登入ONTAP並手動為舊警報拍攝快照。
在「警報詳情」頁面中，「拍攝快照」按鈕下方顯示「上次嘗試失敗」錯誤訊息。將滑鼠懸停在錯誤上會顯示「對於具有 id 的資料收集器，呼叫 API 命令已逾時」。	如果 SVM 的 LIF 在ONTAP中處於 disabled 狀態，則當透過 SVM 管理 IP 將資料收集器新增至工作負載安全性時，可能會發生這種情況。在ONTAP中啟用特定的 LIF，並從工作負載安全觸發_手動拍攝快照_。快照操作將會成功。

問題：

試試一下：

有一種情況是， ONTAP每天每小時拍攝一次快照。工作負載安全性 (WS) 快照會影響它嗎？ WS 快照會取代每小時快照嗎？預設每小時快照會停止嗎？

工作負載安全快照不會影響每小時快照。 WS 快照不會佔用每小時快照空間，並且應該像以前一樣繼續。預設每小時快照不會停止。

如果ONTAP中達到最大快照數，會發生什麼事？

如果達到最大快照數，後續快照拍攝將會失敗，且工作負載安全性將顯示錯誤訊息，指出快照已滿。使用者需要定義快照策略來刪除最舊的快照，否則將不會拍攝快照。在ONTAP 9.3 及更早版本中，一個磁碟區最多可以包含 255 個 Snapshot 副本。在ONTAP 9.4 及更高版本中，一個磁碟區最多可以包含 1023 個 Snapshot 副本。有關以下信息，請參閱ONTAP文檔"設定快照刪除策略"。

工作負載安全根本無法拍攝快照。

確保用於建立快照的角色具有連結： https://docs.netapp.com/us-en/cloudinsights/task_add_collector_svm.html#a-note-about-permissions [已指派適當的權限]。確保已建立的 csrole 具有拍攝快照所需的適當存取權限：security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all

對於從工作負載安全性中刪除並隨後重新新增的 SVM，快照對於較舊的警報失敗。對於再次新增 SVM 後出現的新警報，將拍攝快照。

這是一種罕見的情況。如果您遇到這種情況，請登入ONTAP並手動為舊警報拍攝快照。

在「警報詳情」頁面中，「拍攝快照」按鈕下方顯示「上次嘗試失敗」錯誤訊息。將滑鼠懸停在錯誤上會顯示「對於具有 id 的資料收集器，呼叫 API 命令已逾時」。

如果 SVM 的 LIF 在ONTAP中處於 disabled 狀態，則當透過 SVM 管理 IP 將資料收集器新增至工作負載安全性時，可能會發生這種情況。在ONTAP中啟用特定的 LIF，並從工作負載安全觸發_手動拍攝快照_。快照操作將會成功。

警報

Creating your file...

警報