Skip to main content
Data Infrastructure Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定ONTAP SVM Data Collector

貢獻者

「工作負載安全性」使用資料收集器從裝置收集檔案和使用者存取資料。

開始之前

  • 下列項目支援此資料收集器:

    • 更新版本。Data ONTAP為獲得最佳效能、請使用高於 9.13.1 的 Data ONTAP 版本。

    • SMB傳輸協定3.1版及更早版本。

    • ONTAP 9.15.1 或更新版本的 NFS 4.1 版本、包括 NFS 4.1 。

    • 支援從支援的更新版本為支援FlexGroup ONTAP

    • 支援的支援ONTAP Select

  • 僅支援資料類型SVM。不支援具有無限磁碟區的SVM。

  • SVM有多種子類型。其中僅支援_default_、sync來源_和_sync目的地

  • Agent "必須設定" ,然後再設定資料收集器。

  • 請確定您已正確設定使用者目錄連接器、否則事件會在「活動鑑識」頁面中顯示編碼的使用者名稱、而非使用者的實際名稱(儲存在Active Directory中)。

  • • ONTAP Persistent Store 可從 9.14.1 獲得支援。

  • 為獲得最佳效能、您應將FPolicy伺服器設定為與儲存系統位於同一子網路上。

  • 您必須使用下列兩種方法之一來新增SVM:

    • 使用叢集IP、SVM名稱及叢集管理使用者名稱與密碼。這是建議的方法。_

      • SVM名稱必須完全如ONTAP 圖所示、且區分大小寫。

    • 使用SVM Vserver Management IP、使用者名稱和密碼

    • 如果您無法或不願意使用完整的系統管理員叢集 / SVM 管理使用者名稱和密碼,您可以依照下列章節所述,使用較少的 Privileges 建立自訂使用者「權限注意事項」。您可以為SVM或叢集存取建立此自訂使用者。

      • o您也可以使用具有至少具有csrole權限的AD使用者、如以下「權限注意事項」一節所述。另請參閱"ONTAP 文件"

  • 執行下列命令、確保已針對SVM設定正確的應用程式:

    clustershell::> security login show -vserver <vservername> -user-or-group-name <username>

輸出範例:SVM命令輸出範例

  • 確保 SVM 已設定 CIFS 伺服器: clusterShell :: > vserver cifs show

    系統會傳回Vserver名稱、CIFS伺服器名稱及其他欄位。

  • 設定SVM vsadmin使用者的密碼。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell :: > security login password -username vsadmin -vserver svmname

  • 解除鎖定SVM vsadmin使用者以進行外部存取。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell :: > security login unlock -username vsadmin -vserver svmname

  • 確保資料LIF的防火牆原則設定為「mGMT」(而非「dATA」)。如果使用專用管理 lif 來新增 SVM , clusterShell :: > ,請略過此步驟 network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • 啟用防火牆時、您必須定義例外狀況、才能使用Data ONTAP 「Data Collector」允許連接埠的TCP流量。

    如需組態資訊,請參閱"代理程式需求"。這適用於安裝在雲端的內部部署代理程式和代理程式。

  • 當代理程式安裝在AWS EC2執行個體中以監控Cloud ONTAP SVM時、代理程式和儲存設備必須位於同一個VPC中。如果它們位於獨立的VPC中、則VPC之間必須有有效的路由。

使用者存取封鎖的先決條件

請記住下列事項"使用者存取封鎖"

此功能需要叢集層級認證、才能正常運作。

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以封鎖使用者。

對於具有叢集認證的CsUser、請從ONTAP 下列功能執行:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

權限相關注意事項

透過*叢集管理IP*新增權限:

如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用叢集管理IP時、請使用「CsUser」的使用者名稱和密碼。

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到功能表、然後在ONTAP 功能表伺服器上執行下列命令:

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

透過* vserver管理IP*新增權限:

如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用Vserver Management IP時、請使用「CsUser」的使用者名稱和密碼。

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到位、然後在ONTAP 伺服器上執行下列命令。為了方便起見、請先將這些命令複製到文字編輯器、並在ONTAP 執行下列命令之前、以Vserver名稱取代<vservername>:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

原型模式

在收集器的 Advanced Configuration 設定中啟用此選項時,工作負載安全性會將 FPolicy 引擎設定為原型模式。ONTAP 9.15 版及更新版本均支援原型模式。

如需此功能的詳細資訊"ONTAP 文件",請參閱。

protobuf 需要特定權限(其中部分或全部可能已經存在):

叢集模式:

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster_name>
security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole

Vserver 模式:

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <svm_name>
security login create -user-or-group-name csuser -application http -authmethod password -role csrestrole -vserver <svm_name>

ONTAP 自主勒索軟體保護和 ONTAP 存取權限遭拒

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以便從ONTAP Sfor收集與Arp相關的資訊。

如需詳細資訊,請參閱"與 ONTAP 存取整合遭拒"

設定資料收集器

組態步驟
  1. 以管理員或帳戶擁有者身分登入您的 Data Infrastructure Insights 環境。

  2. 按一下 * 工作負載安全性 > 收集器 > + 資料收集器 *

    系統會顯示可用的資料收集器。

  3. 將游標暫留在* NetApp SVM區塊上、然後按一下*+監控*。

    系統會顯示ONTAP 「SVM組態」頁面。輸入每個欄位的必要資料。

欄位

說明

名稱

資料收集器的唯一名稱

代理程式

從清單中選取已設定的代理程式。

透過管理IP連線:

選取叢集IP或SVM管理IP

叢集/ SVM管理IP位址

叢集或SVM的IP位址、取決於您在上方的選擇。

SVM 名稱

SVM名稱(透過叢集IP連線時、此欄位為必填欄位)

使用者名稱

透過叢集IP新增SVM/叢集時、存取SVM/叢集的使用者名稱選項為:1.叢集管理2.「CsUser」3.扮演類似CsUser角色的AD使用者。透過 SVM IP 新增時,選項為: 4. vsadmin 5.「CsUser」6.與CsUser角色相似的AD使用者名稱。

密碼

上述使用者名稱的密碼

篩選共用/磁碟區

選擇是否要在事件集合中包含或排除共用/磁碟區

輸入要排除/包含的完整共用名稱

要從事件集合中排除或包含(視情況而定)的共用清單(以英文分隔)

輸入要排除/包含的完整Volume名稱

要從事件集合中排除或包含(視情況而定)的磁碟區清單(以英文分隔)

監控資料夾存取

核取此選項時、會啟用資料夾存取監控的事件。請注意、即使未選取此選項、仍會監控資料夾的建立/重新命名與刪除。啟用此功能將會增加監控的事件數目。

設定ONTAP 「發送緩衝區大小」

設定ONTAP 不規則傳送緩衝區大小。如果ONTAP 使用9.8p7之前的版本且發現效能問題、ONTAP 則可變更此版本的更新緩衝區大小、以改善ONTAP 效能。如果您沒有看到此選項、並且想要探索、請聯絡NetApp支援部門。

完成後
  • 在「安裝的資料收集器」頁面中、使用每個收集器右側的選項功能表來編輯資料收集器。您可以重新啟動資料收集器或編輯資料收集器組態屬性。

MetroCluster 的建議組態

MetroCluster 建議使用下列項目:

  1. 將兩個資料收集器連接至來源SVM、另一個連接至目的地SVM。

  2. 資料收集器應由_叢集IP_連線。

  3. 在任何時候、一個資料收集器都應該在執行中、另一個則會發生錯誤。

    目前「執行中」的SVM資料收集器會顯示為_Running。目前的「最新」SVM資料收集器會顯示為_Error_。

  4. 每當有切換時、資料收集器的狀態會從「執行中」變更為「錯誤」、反之亦然。

  5. 資料收集器從「錯誤」狀態移至「執行中」狀態最多需要兩分鐘的時間。

服務原則

如果將服務原則搭配 ONTAP * 9.9.1 版或更新版本 * 使用、則為了連線至資料來源收集器、需要 data-fpolicy_client 服務、以及資料服務 data-NFS 和 / 或 data-CIFS

範例:

Testcluster-1::*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

在9.9.1之前的ONTAP 版本中、不需要設定_data-fpolice-client_。

Play-Pause Data Collector

2 個新作業現在顯示在收集器的 kebab 功能表上(暫停和繼續)。

如果資料收集器處於 _Running 狀態、您可以暫停收集。開啟收集器的「三點」功能表、然後選取暫停。當收集器暫停時、不會從 ONTAP 收集任何資料、也不會將資料從收集器傳送至 ONTAP 。這表示任何 Fpolicy 事件都不會從 ONTAP 流向資料收集器、也不會從資料基礎架構深入分析。

請注意、如果在 ONTAP 上建立任何新的磁碟區等、而收集器處於暫停狀態、工作負載安全性就不會收集資料、這些磁碟區等資料也不會反映在儀表板或表格中。

請謹記下列事項:

  • 根據暫停收集器上設定的設定、不會執行快照清除。

  • EMS 事件(例如 ONTAP ARP )不會在暫停的收集器上處理。這表示如果 ONTAP 發現勒索軟體攻擊、資料基礎架構洞見工作負載安全性將無法取得該事件。

  • 系統不會傳送已暫停收集器的健全狀況通知電子郵件。

  • 暫停的收集器不支援手動或自動動作(例如 Snapshot 或使用者封鎖)。

  • 在代理程式或收集器升級、代理程式 VM 重新啟動 / 重新開機、或代理程式服務重新啟動時、暫停的收集器會保持在 _Paused 狀態。

  • 如果資料收集器處於 _ 錯誤 _ 狀態、則無法將收集器變更為 _ 已暫停 _ 狀態。只有在收集器的狀態為 _Running 時、才會啟用「暫停」按鈕。

  • 如果代理程式中斷連線、則無法將收集器變更為 _ 已暫停 _ 狀態。收集器將進入 Stopped 狀態、並停用暫停按鈕。

持續儲存區

ONTAP 9.14.1 及更新版本支援持續儲存區。請注意、 Volume 名稱指示會因 ONTAP 9.14 至 9.15 而異。

您可以選取收集器編輯 / 新增頁面中的核取方塊來啟用持續儲存區。選取此核取方塊後、會顯示文字欄位以接受 Volume 名稱。Volume 名稱是啟用持續儲存區的必填欄位。

  • 對於 ONTAP 9.14.1 、您必須先建立磁碟區才能啟用此功能、並在 _ Volume Name_ 欄位中提供相同的名稱。建議的磁碟區大小為 16GB 。

  • 對於 ONTAP 9.15.1 、收集器會使用 _ Volume Name_ 欄位中提供的名稱、自動以 16GB 大小建立 Volume 。

持續儲存區需要特定權限(其中部分或全部可能已經存在):

叢集模式:

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <cluster-name>
security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <cluster-name>

Vserver 模式:

security login rest-role create -role csrestrole -api /api/protocols/fpolicy -access all -vserver <vserver-name>
security login rest-role create -role csrestrole -api /api/cluster/jobs/ -access readonly -vserver <vserver-name>

疑難排解

如需疑難排解秘訣、請參閱"SVM 收集器疑難排解"頁面。