設定ONTAP SVM Data Collector
建議變更
PDF
「工作負載安全性」使用資料收集器從裝置收集檔案和使用者存取資料。
開始之前
-
下列項目支援此資料收集器:
-
更新版本。Data ONTAP為獲得最佳效能、請使用高於 9.13.1 的 Data ONTAP 版本。
-
SMB傳輸協定3.1版及更早版本。
-
ONTAP 9.15.1 或更新版本的 NFS 4.1 版本、包括 NFS 4.1 。
-
支援從支援的更新版本為支援FlexGroup ONTAP
-
支援的支援ONTAP Select
-
-
僅支援資料類型SVM。不支援具有無限磁碟區的SVM。
-
SVM有多種子類型。其中僅支援_default_、sync來源_和_sync目的地。
-
Agent "必須設定" ,然後再設定資料收集器。
-
請確定您已正確設定使用者目錄連接器、否則事件會在「活動鑑識」頁面中顯示編碼的使用者名稱、而非使用者的實際名稱(儲存在Active Directory中)。
-
• ONTAP Persistent Store 可從 9.14.1 獲得支援。
-
為獲得最佳效能、您應將FPolicy伺服器設定為與儲存系統位於同一子網路上。
-
您必須使用下列兩種方法之一來新增SVM:
-
使用叢集IP、SVM名稱及叢集管理使用者名稱與密碼。這是建議的方法。_
-
SVM名稱必須完全如ONTAP 圖所示、且區分大小寫。
-
-
使用SVM Vserver Management IP、使用者名稱和密碼
-
如果您無法或不願意使用完整的系統管理員叢集 / SVM 管理使用者名稱和密碼,您可以依照下列章節所述,使用較少的 Privileges 建立自訂使用者「權限注意事項」。您可以為SVM或叢集存取建立此自訂使用者。
-
o您也可以使用具有至少具有csrole權限的AD使用者、如以下「權限注意事項」一節所述。另請參閱"ONTAP 文件"。
-
-
-
執行下列命令、確保已針對SVM設定正確的應用程式:
clustershell::> security login show -vserver <vservername> -user-or-group-name <username>
輸出範例:
-
確保 SVM 已設定 CIFS 伺服器: clusterShell :: >
vserver cifs show系統會傳回Vserver名稱、CIFS伺服器名稱及其他欄位。
-
設定SVM vsadmin使用者的密碼。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell :: >
security login password -username vsadmin -vserver svmname -
解除鎖定SVM vsadmin使用者以進行外部存取。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell :: >
security login unlock -username vsadmin -vserver svmname -
確保資料LIF的防火牆原則設定為「mGMT」(而非「dATA」)。如果使用專用管理 lif 來新增 SVM , clusterShell :: > ,請略過此步驟
network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt -
啟用防火牆時、您必須定義例外狀況、才能使用Data ONTAP 「Data Collector」允許連接埠的TCP流量。
如需組態資訊,請參閱"代理程式需求"。這適用於安裝在雲端的內部部署代理程式和代理程式。
-
當代理程式安裝在AWS EC2執行個體中以監控Cloud ONTAP SVM時、代理程式和儲存設備必須位於同一個VPC中。如果它們位於獨立的VPC中、則VPC之間必須有有效的路由。
使用者存取封鎖的先決條件
請記住下列事項"使用者存取封鎖":
此功能需要叢集層級認證、才能正常運作。
如果您使用叢集管理認證、則不需要新的權限。
如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以封鎖使用者。
對於具有叢集認證的CsUser、請從ONTAP 下列功能執行:
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
權限相關注意事項
透過*叢集管理IP*新增權限:
如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用叢集管理IP時、請使用「CsUser」的使用者名稱和密碼。
若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到功能表、然後在ONTAP 功能表伺服器上執行下列命令:
security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*" security login role create -role csrole -cmddirname "event catalog" -access all security login role create -role csrole -cmddirname "event filter" -access all security login role create -role csrole -cmddirname "event notification destination" -access all security login role create -role csrole -cmddirname "event notification" -access all security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole security login create -user-or-group-name csuser -application http -authmethod password -role csrole
透過* vserver管理IP*新增權限:
如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用Vserver Management IP時、請使用「CsUser」的使用者名稱和密碼。
若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到位、然後在ONTAP 伺服器上執行下列命令。為了方便起見、請先將這些命令複製到文字編輯器、並在ONTAP 執行下列命令之前、以Vserver名稱取代<vservername>:
security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername> security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>
ONTAP 自主勒索軟體保護和 ONTAP 存取權限遭拒
如果您使用叢集管理認證、則不需要新的權限。
如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以便從ONTAP Sfor收集與Arp相關的資訊。
如需詳細資訊,請參閱"與 ONTAP 存取整合遭拒"
設定資料收集器
-
以管理員或帳戶擁有者身分登入您的 Data Infrastructure Insights 環境。
-
按一下 * 工作負載安全性 > 收集器 > + 資料收集器 *
系統會顯示可用的資料收集器。
-
將游標暫留在* NetApp SVM區塊上、然後按一下*+監控*。
系統會顯示ONTAP 「SVM組態」頁面。輸入每個欄位的必要資料。
欄位 |
說明 |
名稱 |
資料收集器的唯一名稱 |
代理程式 |
從清單中選取已設定的代理程式。 |
透過管理IP連線: |
選取叢集IP或SVM管理IP |
叢集/ SVM管理IP位址 |
叢集或SVM的IP位址、取決於您在上方的選擇。 |
SVM 名稱 |
SVM名稱(透過叢集IP連線時、此欄位為必填欄位) |
使用者名稱 |
透過叢集IP新增SVM/叢集時、存取SVM/叢集的使用者名稱選項為:1.叢集管理2.「CsUser」3.扮演類似CsUser角色的AD使用者。透過 SVM IP 新增時,選項為: 4. vsadmin 5.「CsUser」6.與CsUser角色相似的AD使用者名稱。 |
密碼 |
上述使用者名稱的密碼 |
篩選共用/磁碟區 |
選擇是否要在事件集合中包含或排除共用/磁碟區 |
輸入要排除/包含的完整共用名稱 |
要從事件集合中排除或包含(視情況而定)的共用清單(以英文分隔) |
輸入要排除/包含的完整Volume名稱 |
要從事件集合中排除或包含(視情況而定)的磁碟區清單(以英文分隔) |
監控資料夾存取 |
核取此選項時、會啟用資料夾存取監控的事件。請注意、即使未選取此選項、仍會監控資料夾的建立/重新命名與刪除。啟用此功能將會增加監控的事件數目。 |
設定ONTAP 「發送緩衝區大小」 |
設定ONTAP 不規則傳送緩衝區大小。如果ONTAP 使用9.8p7之前的版本且發現效能問題、ONTAP 則可變更此版本的更新緩衝區大小、以改善ONTAP 效能。如果您沒有看到此選項、並且想要探索、請聯絡NetApp支援部門。 |
-
在「安裝的資料收集器」頁面中、使用每個收集器右側的選項功能表來編輯資料收集器。您可以重新啟動資料收集器或編輯資料收集器組態屬性。
MetroCluster 的建議組態
MetroCluster 建議使用下列項目:
-
將兩個資料收集器連接至來源SVM、另一個連接至目的地SVM。
-
資料收集器應由_叢集IP_連線。
-
在任何時候、一個資料收集器都應該在執行中、另一個則會發生錯誤。
目前「執行中」的SVM資料收集器會顯示為_Running。目前的「最新」SVM資料收集器會顯示為_Error_。
-
每當有切換時、資料收集器的狀態會從「執行中」變更為「錯誤」、反之亦然。
-
資料收集器從「錯誤」狀態移至「執行中」狀態最多需要兩分鐘的時間。
服務原則
如果將服務原則搭配 ONTAP * 9.9.1 版或更新版本 * 使用、則為了連線至資料來源收集器、需要 data-fpolicy_client 服務、以及資料服務 data-NFS 和 / 或 data-CIFS 。
範例:
Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm -services data-cifs,data-nfs,data,-core,data-fpolicy-client (network interface service-policy create)
在9.9.1之前的ONTAP 版本中、不需要設定_data-fpolice-client_。
Play-Pause Data Collector
2 個新作業現在顯示在收集器的 kebab 功能表上(暫停和繼續)。
如果資料收集器處於 _Running 狀態、您可以暫停收集。開啟收集器的「三點」功能表、然後選取暫停。當收集器暫停時、不會從 ONTAP 收集任何資料、也不會將資料從收集器傳送至 ONTAP 。這表示任何 Fpolicy 事件都不會從 ONTAP 流向資料收集器、也不會從資料基礎架構深入分析。
請注意、如果在 ONTAP 上建立任何新的磁碟區等、而收集器處於暫停狀態、工作負載安全性就不會收集資料、這些磁碟區等資料也不會反映在儀表板或表格中。
請謹記下列事項:
-
根據暫停收集器上設定的設定、不會執行快照清除。
-
EMS 事件(例如 ONTAP ARP )不會在暫停的收集器上處理。這表示如果 ONTAP 發現勒索軟體攻擊、資料基礎架構洞見工作負載安全性將無法取得該事件。
-
系統不會傳送已暫停收集器的健全狀況通知電子郵件。
-
暫停的收集器不支援手動或自動動作(例如 Snapshot 或使用者封鎖)。
-
在代理程式或收集器升級、代理程式 VM 重新啟動 / 重新開機、或代理程式服務重新啟動時、暫停的收集器會保持在 _Paused 狀態。
-
如果資料收集器處於 _ 錯誤 _ 狀態、則無法將收集器變更為 _ 已暫停 _ 狀態。只有在收集器的狀態為 _Running 時、才會啟用「暫停」按鈕。
-
如果代理程式中斷連線、則無法將收集器變更為 _ 已暫停 _ 狀態。收集器將進入 Stopped 狀態、並停用暫停按鈕。
持續儲存區
ONTAP 9.14.1 及更新版本支援持續儲存區。請注意、 Volume 名稱指示會因 ONTAP 9.14 至 9.15 而異。
您可以選取收集器編輯 / 新增頁面中的核取方塊來啟用持續儲存區。選取此核取方塊後、會顯示文字欄位以接受 Volume 名稱。Volume 名稱是啟用持續儲存區的必填欄位。
-
對於 ONTAP 9.14.1 、您必須先建立磁碟區才能啟用此功能、並在 _ Volume Name_ 欄位中提供相同的名稱。建議的磁碟區大小為 16GB 。
-
對於 ONTAP 9.15.1 、收集器會使用 _ Volume Name_ 欄位中提供的名稱、自動以 16GB 大小建立 Volume 。
持續儲存區需要特定權限(其中部分或全部可能已經存在):
叢集模式:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster-name> security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <cluster-name>
Vserver 模式:
security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <vserver-name> security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <vserver-name>
疑難排解
如需疑難排解秘訣、請參閱"SVM 收集器疑難排解"頁面。