配置ONTAP SVM 資料收集器
建議變更
PDF
ONTAP SVM 資料收集器使工作負載安全能夠監控NetApp ONTAP儲存虛擬機器 (SVM) 上的檔案和使用者存取活動。本指南將引導您完成 SVM 資料收集器的設定和管理,以便為您的ONTAP環境提供全面的安全監控。
|
全域變化可能會對您的ONTAP系統產生潛在影響。強烈建議在非尖峰時段進行影響大量資料收集器的變更。 |
開始之前
-
此數據收集器支援以下功能:
-
Data ONTAP 9.2 及更高版本。為了獲得最佳效能,請使用高於 9.13.1 的Data ONTAP版本。
-
SMB 協定版本 3.1 及更早版本。
-
NFS 版本最高可達 NFS 4.1(請注意, ONTAP 9.15 或更高版本支援 NFS 4.1)。
-
ONTAP 9.4 及更高版本支援 Flexgroup
-
ONTAP 9.7 及更高版本的 NFS 支援FlexCache 。
-
ONTAP 9.14.1 及更高版本的 SMB 支援FlexCache 。
-
支援ONTAP Select
-
-
僅支援資料類型 SVM。不支援具有無限磁碟區的 SVM。
-
SVM 有幾種子類型。其中,僅支援_default_、sync_source_和_sync_destination。
-
一名特務"必須配置"然後才可以配置資料收集器。
-
確保您具有正確配置的使用者目錄連接器,否則事件將在「活動取證」頁面中顯示編碼的使用者名稱而不是使用者的實際名稱(儲存在 Active Directory 中)。
-
• 從 9.14.1 開始支援ONTAP持久性儲存。
-
為了獲得最佳效能,您應該將 FPolicy 伺服器配置為與儲存系統位於相同子網路。
-
您必須使用以下兩種方法之一新增 SVM:
-
透過使用叢集 IP、SVM 名稱以及叢集管理使用者名稱和密碼。 _這是推薦的方法。 _
-
SVM 名稱必須與ONTAP中顯示的完全一致,並且區分大小寫。
-
-
使用 SVM Vserver 管理 IP、使用者名稱和密碼
-
如果您無法或不願意使用完整的管理員叢集/SVM 管理使用者名稱和密碼,您可以建立一個具有較低權限的自訂用戶,如“關於權限的說明”下面的部分。可以為 SVM 或叢集存取權建立此自訂使用者。
-
o 您也可以使用具有至少具有 csrole 權限的角色的 AD 用戶,如下面「關於權限的說明」部分所述。另請參閱"ONTAP 文件"。
-
-
-
透過執行以下命令確保為 SVM 設定了正確的應用程式:
clustershell:> security login show -vserver <vservername> -user-or-group-name <username>
範例輸出:
-
確保 SVM 已配置 CIFS 伺服器:clustershell:>
vserver cifs show系統傳回 Vserver 名稱、CIFS 伺服器名稱和其他欄位。
-
為 SVM vsadmin 使用者設定密碼。如果使用自訂用戶或叢集管理員用戶,請跳過此步驟。 clustershell:>
security login password -username vsadmin -vserver svmname -
解鎖 SVM vsadmin 使用者以進行外部存取。如果使用自訂用戶或叢集管理員用戶,請跳過此步驟。 clustershell:>
security login unlock -username vsadmin -vserver svmname -
確保資料 LIF 的防火牆策略設定為“mgmt”(而不是“資料”)。如果使用專用管理生命週期來新增 SVM,請跳過此步驟。 clustershell:>
network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt -
啟用防火牆後,您必須定義例外值以允許使用Data ONTAP資料收集器的連接埠的 TCP 流量。
看"代理要求"取得配置資訊。這適用於本地代理和安裝在雲端的代理。
-
當在 AWS EC2 執行個體中安裝代理程式以監控 Cloud ONTAP SVM 時,代理程式和儲存必須位於同一個 VPC 中。如果它們位於不同的 VPC 中,則 VPC 之間必須有有效的路由。
測試資料收集器的連通性
測試連線功能(於 2025 年 3 月推出)旨在協助最終用戶在Data Infrastructure Insights(DII) 工作負載安全性中設定資料收集器時識別故障的具體原因。這使得用戶能夠自行修正與網路通訊或缺失角色相關的問題。
此功能將幫助用戶在設定資料收集器之前確定所有與網路相關的檢查是否已到位。此外,它還會根據ONTAP版本、角色以及在ONTAP中分配給他們的權限,告知使用者可以存取的功能。
|
|
使用者目錄收集器不支援測試連接 |
連接測試的先決條件
-
此功能要完全發揮作用,需要集群級憑證。
-
SVM 模式不支援功能存取檢查。
-
如果您使用叢集管理憑證,則不需要新的權限。
-
如果您使用自訂使用者(例如,csuser),請為您想要使用的功能提供強制權限和特定功能權限。
請務必查看權限下面的部分也是如此。
測試連接
使用者可以前往新增/編輯收集器頁面,輸入叢集層級詳細資料(在叢集模式下)或 SVM 層級詳細資料(在 SVM 模式下),然後按一下 測試連線 按鈕。然後,工作負載安全性將處理該請求並顯示適當的成功或失敗訊息。
使用者存取阻止的先決條件
關於權限的說明
透過*群集管理 IP*新增時的權限:
如果您無法使用叢集管理員用戶允許工作負載安全地存取ONTAP SVM 資料收集器,則可以建立名為「csuser」的新用戶,並使用以下命令所示的角色。設定工作負載安全資料收集器以使用叢集管理 IP 時,請使用使用者名稱「csuser」和密碼「csuser」。
注意:您可以建立一個角色來用於自訂使用者的所有功能權限。如果存在現有用戶,則首先使用以下命令刪除現有用戶和角色:
security login delete -user-or-group-name csuser -application * security login role delete -role csrole -cmddirname * security login rest-role delete -role csrestrole -api * security login rest-role delete -role arwrole -api *
若要建立新用戶,請使用叢集管理管理員使用者名稱/密碼登入ONTAP ,然後在ONTAP伺服器上執行下列命令:
security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*" security login role create -role csrole -cmddirname "event catalog" -access all security login role create -role csrole -cmddirname "event filter" -access all security login role create -role csrole -cmddirname "event notification destination" -access all security login role create -role csrole -cmddirname "event notification" -access all security login role create -role csrole -cmddirname "security certificate" -access all security login role create -role csrole -cmddirname "cluster application-record" -access all security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole security login create -user-or-group-name csuser -application http -authmethod password -role csrole
透過 Vserver 管理 IP 新增時的權限:
如果您無法使用叢集管理員用戶允許工作負載安全地存取ONTAP SVM 資料收集器,則可以建立名為「csuser」的新用戶,並使用以下命令所示的角色。設定工作負載安全資料收集器以使用 Vserver 管理 IP 時,請使用使用者名稱「csuser」和密碼「csuser」。
注意:您可以建立一個角色來用於自訂使用者的所有功能權限。如果存在現有用戶,則首先使用以下命令刪除現有用戶和角色:
security login delete -user-or-group-name csuser -application * -vserver <vservername> security login role delete -role csrole -cmddirname * -vserver <vservername> security login rest-role delete -role csrestrole -api * -vserver <vservername>
若要建立新用戶,請使用叢集管理管理員使用者名稱/密碼登入ONTAP ,然後在ONTAP伺服器上執行下列命令。為方便起見,請將這些命令複製到文字編輯器,然後將 <vservername> 替換為您的 Vserver 名稱,然後在ONTAP上執行這些命令:
security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername> security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>
Protobuf模式
當在收集器的「進階配置」設定中啟用此選項時,工作負載安全性將在 protobuf 模式下配置 FPolicy 引擎。 ONTAP 9.15 及更高版本支援 Protobuf 模式。
關於此功能的更多詳細信息,請參閱"ONTAP 文件"。
protobuf 需要特定的權限(其中一些或全部可能已經存在):
集群模式:
security login role create -role csrole -cmddirname "vserver fpolicy" -access all 虛擬伺服器模式:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
ONTAP自主勒索軟體防護和ONTAP存取的權限被拒絕
如果您使用叢集管理憑證,則不需要新的權限。
如果您使用具有指定權限的自訂使用者(例如 csuser),請依照下列步驟授予 Workload Security 從ONTAP收集 ARP 相關資訊的權限。
欲了解更多信息,請閱讀"與ONTAP整合存取被拒絕"
配置資料收集器
-
以管理員或帳戶擁有者的身分登入您的Data Infrastructure Insights環境。
-
按一下“工作負載安全性>收集器>+資料收集器”
系統顯示可用的資料收集器。
-
將滑鼠懸停在 * NetApp SVM 圖塊上,然後按一下 +Monitor。
系統顯示ONTAP SVM 設定頁面。為每個欄位輸入所需的資料。
場地 |
描述 |
Name |
資料收集器的唯一名稱 |
代理人 |
從清單中選擇一個已配置的代理程式。 |
透過管理 IP 連線: |
選擇叢集 IP 或 SVM 管理 IP |
叢集/SVM 管理 IP 位址 |
叢集或 SVM 的 IP 位址,取決於您上面的選擇。 |
SVM 名稱 |
SVM 的名稱(透過 Cluster IP 連線時需要此欄位) |
使用者名稱 |
用於存取 SVM/叢集的使用者名稱透過叢集 IP 新增時,選項為:1.集群管理員 2。 'csuser' 3. AD 使用者俱有與 csuser 類似的角色。透過 SVM IP 新增時,選項為:4. vsadmin 5. 'csuser' 6. AD 使用者名稱具有與 csuser 類似的角色。 |
密碼 |
上述使用者名稱的密碼 |
篩選股份/交易量 |
選擇是否在事件收集中包含或排除股票/交易量 |
輸入要排除/包含的完整共享名稱 |
以逗號分隔的共享列表,用於從事件收集中排除或包含(視情況而定) |
輸入要排除/包含的完整磁碟區名稱 |
以逗號分隔的捲列表,用於從事件收集中排除或包含(視情況而定) |
監控資料夾訪問 |
選取後,啟用資料夾存取監控事件。請注意,即使未選擇此選項,資料夾的建立/重新命名和刪除也會受到監控。啟用此功能將增加監控的事件數量。 |
設定ONTAP發送緩衝區大小 |
設定ONTAP Fpolicy 發送緩衝區大小。如果使用 9.8p7 之前的ONTAP版本並發現效能問題,則可以變更ONTAP發送緩衝區大小以提高ONTAP效能。如果您沒有看到此選項並希望探索它,請聯絡NetApp支援。 |
-
在已安裝的資料收集器頁面中,使用每個收集器右側的選項功能表來編輯資料收集器。您可以重新啟動資料收集器或編輯資料收集器配置屬性。
MetroCluster的推薦配置
以下是針對MetroCluster的建議:
-
連接兩個資料收集器,一個連接到來源 SVM,另一個連接到目標 SVM。
-
資料收集器應透過_集群 IP_ 連接。
-
在任何時間點,目前「正在運行」的 SVM 的資料收集器將顯示為「正在運行」。目前「停止」的 SVM 資料收集器將顯示為「已停止」。
-
每當發生切換時,資料收集器的狀態將從_Running_變為_Stopped,反之亦然。
-
資料收集器從_停止_狀態轉變為_運行_狀態最多需要兩分鐘。
服務政策
如果使用ONTAP 9.9.1 版或更新版本 的服務策略,為了連接到資料來源收集器,需要 data-fpolicy-client 服務以及資料服務 data-nfs 和/或 data-cifs。
範例:
Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm -services data-cifs,data-nfs,data,-core,data-fpolicy-client (network interface service-policy create)
在ONTAP 9.9.1 之前的版本中,無需設定 data-fpolicy-client 。
播放-暫停數據收集器
如果資料收集器處於_運行_狀態,您可以暫停收集。打開收集器的“三個點”選單並選擇暫停。當收集器暫停時,不會從ONTAP收集任何數據,也不會從收集器向ONTAP發送任何數據。這意味著沒有 Fpolicy 事件會從ONTAP流向資料收集器,再從那裡流向Data Infrastructure Insights。
請注意,如果在收集器暫停時在ONTAP上建立任何新磁碟區等,則工作負載安全性將不會收集數據,並且這些磁碟區等將不會反映在儀表板或表格中。
|
|
如果收集器有限制用戶,則無法暫停收集器。在暫停收集器之前恢復使用者存取權限。 |
請記住以下幾點:
-
快照清除不會按照暫停收集器上配置的設定進行。
-
暫停的收集器將不會處理 EMS 事件(如ONTAP ARP)。這意味著如果ONTAP識別出勒索軟體攻擊,Data Infrastructure Insights工作負載安全將無法取得該事件。
-
對於已暫停的收集器,將不會發送健康通知電子郵件。
-
暫停的收集器不支援手動或自動操作(例如快照或使用者封鎖)。
-
當代理程式或收集器升級、代理 VM 重新啟動/重新啟動或代理服務重新啟動時,暫停的收集器將保持_暫停_狀態。
-
如果資料收集器處於_Error_狀態,則收集器無法變更為_Paused_狀態。只有當收集器的狀態為「正在運作」時,「暫停」按鈕才會啟用。
-
如果代理程式斷開連接,則收集器無法變更為_Paused_狀態。收集器將進入_停止_狀態並且暫停按鈕將被停用。
持久性儲存
ONTAP 9.14.1 及更高版本支援持久性儲存。請注意,磁碟區名稱說明從ONTAP 9.14 到 9.15 有所不同。
可以透過選取收集器編輯/新增頁面中的複選框來啟用持久性儲存。勾選方塊後,將顯示一個用於接受磁碟區名稱的文字欄位。磁碟區名稱是啟用持久性儲存的必填欄位。
-
對於ONTAP 9.14.1,您必須在啟用該功能之前建立卷,並在「卷宗名稱」欄位中提供相同的名稱。建議的磁碟區大小為 16GB。
-
對於ONTAP 9.15.1,收集器將使用「磁碟區名稱」欄位中提供的名稱自動建立大小為 16 GB 的磁碟區。
持久性儲存需要特定權限(其中一些或全部可能已經存在):
集群模式:
security login role create -role csrole -cmddirname "vserver fpolicy" -access all security login role create -role csrole -cmddirname "job show" -access readonly
虛擬伺服器模式:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly
遷移收集器
您可以輕鬆地將工作負載安全收集器從一個代理遷移到另一個代理,從而實現跨代理的收集器的有效負載平衡。
先決條件
-
來源代理必須處於_連線_狀態。
-
要遷移的收集器必須處於_running_狀態。
筆記:
-
資料和使用者目錄收集器均支援遷移。
-
不支援手動管理的租戶遷移收集器。
遷移收集器
若要遷移收集器,請依照下列步驟操作:
-
前往“編輯收藏家”頁面。
-
從代理下拉選單中選擇目標代理。
-
點選「儲存收集器」按鈕。
工作負載安全性將處理該請求。遷移成功後,使用者將被重定向到收藏家清單頁面。如果失敗,編輯頁面上將顯示相應的訊息。
注意:當收集器成功移轉到目標代理程式時,「編輯收集器」頁面上先前所做的任何設定變更都會保留應用程式。
故障排除
查看"SVM 收集器故障排除"頁面以取得故障排除提示。