Skip to main content
Data Infrastructure Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定ONTAP SVM Data Collector

貢獻者 netapp-alavoie dgracenetapp pixelchrome
PDF

ONTAP SVM 資料收集器使工作負載安全能夠監控NetApp ONTAP儲存虛擬機器 (SVM) 上的檔案和使用者存取活動。本指南將引導您完成 SVM 資料收集器的設定和管理,以便為您的ONTAP環境提供全面的安全監控。

註 全域變化可能會對您的ONTAP系統產生潛在影響。強烈建議在非尖峰時段進行影響大量資料收集器的變更。

開始之前

  • 下列項目支援此資料收集器:

    • 更新版本。Data ONTAP為獲得最佳效能、請使用高於 9.13.1 的 Data ONTAP 版本。

    • SMB傳輸協定3.1版及更早版本。

    • NFS 版本(包括 NFS 4.1 )(請注意, ONTAP 9.15 或更新版本支援 NFS 4.1 )。

    • 支援從支援的更新版本為支援FlexGroup ONTAP

    • 支援的支援ONTAP Select

  • 僅支援資料類型SVM。不支援具有無限磁碟區的SVM。

  • SVM有多種子類型。其中僅支援_default_、sync來源_和_sync目的地

  • Agent "必須設定" ,然後再設定資料收集器。

  • 請確定您已正確設定使用者目錄連接器、否則事件會在「活動鑑識」頁面中顯示編碼的使用者名稱、而非使用者的實際名稱(儲存在Active Directory中)。

  • • ONTAP Persistent Store 可從 9.14.1 獲得支援。

  • 為獲得最佳效能、您應將FPolicy伺服器設定為與儲存系統位於同一子網路上。

  • 您必須使用下列兩種方法之一來新增SVM:

    • 使用叢集IP、SVM名稱及叢集管理使用者名稱與密碼。這是建議的方法。_

      • SVM名稱必須完全如ONTAP 圖所示、且區分大小寫。

    • 使用SVM Vserver Management IP、使用者名稱和密碼

    • 如果您無法或不願意使用完整的系統管理員叢集 / SVM 管理使用者名稱和密碼,您可以依照下列章節所述,使用較少的 Privileges 建立自訂使用者「權限注意事項」。您可以為SVM或叢集存取建立此自訂使用者。

      • o您也可以使用具有至少具有csrole權限的AD使用者、如以下「權限注意事項」一節所述。另請參閱"ONTAP 文件"

  • 執行下列命令、確保已針對SVM設定正確的應用程式:

    clustershell:> security login show -vserver <vservername> -user-or-group-name <username>

輸出範例:SVM命令輸出範例

  • 確保 SVM 已設定 CIFS 伺服器: clusterShell : > vserver cifs show

    系統會傳回Vserver名稱、CIFS伺服器名稱及其他欄位。

  • 設定SVM vsadmin使用者的密碼。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell : > security login password -username vsadmin -vserver svmname

  • 解除鎖定SVM vsadmin使用者以進行外部存取。如果使用自訂使用者或叢集管理使用者,請略過此步驟。 clusterShell : > security login unlock -username vsadmin -vserver svmname

  • 確保資料 LIF 的防火牆原則設定為「 GMT 」(非「 ATA 」)。如果使用專用管理 lif 來新增 SVM , clusterShell : > ,請略過此步驟 network interface modify -lif <SVM_data_LIF_name> -firewall-policy mgmt

  • 啟用防火牆時、您必須定義例外狀況、才能使用Data ONTAP 「Data Collector」允許連接埠的TCP流量。

    如需組態資訊,請參閱"代理程式需求"。這適用於安裝在雲端的內部部署代理程式和代理程式。

  • 當代理程式安裝在AWS EC2執行個體中以監控Cloud ONTAP SVM時、代理程式和儲存設備必須位於同一個VPC中。如果它們位於不同的 VPC 中,則 VPC 之間必須有有效的路由。

測試資料收集器的連線能力

測試連線功能(於 2025 年 3 月推出)旨在協助終端使用者在 Data Infrastructure Insights ( DII )工作負載安全性中設定資料收集器時,找出故障的特定原因。這可讓使用者自行修正與網路通訊或遺失角色相關的問題。

此功能可協助使用者在設定資料收集器之前,判斷是否已執行所有網路相關檢查。此外,它會根據在 ONTAP 中指派給使用者的 ONTAP 版本,角色和權限,通知使用者他們可以存取的功能。

註 使用者目錄收集器不支援測試連線

連線測試的先決條件

  • 此功能必須具備叢集層級認證,才能完整運作。

  • SVM 模式不支援功能存取檢查。

  • 如果您使用叢集管理認證、則不需要新的權限。

  • 如果您使用的是自訂使用者(例如, CsUser ),請針對您要使用的功能,提供必要的權限和特定功能權限。

工作負載安全測試連線按鈕

請務必同時檢閱權限以下部分。

測試連線

使用者可以前往新增 / 編輯收集器頁面,輸入叢集層級詳細資料(在叢集模式中)或 SVM 層級詳細資料(在 SVM 模式中),然後按一下 * 測試連線 * 按鈕。工作負載安全性接著會處理要求,並顯示適當的成功或失敗訊息。

工作負載安全性「測試連線」成功訊息

使用者存取封鎖的先決條件

請記住下列事項"使用者存取封鎖"

此功能需要叢集層級認證、才能正常運作。

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如, CsUser )具有授予使用者的權限,請遵循中的步驟,"使用者存取封鎖"授予工作負載安全性權限以封鎖使用者。

權限相關注意事項

透過*叢集管理IP*新增權限:

如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用叢集管理IP時、請使用「CsUser」的使用者名稱和密碼。

附註:您可以建立單一角色,用於自訂使用者的所有功能權限。如果有現有使用者,請先使用下列命令刪除現有的使用者和角色:

security login delete -user-or-group-name csuser -application *
security login role delete -role csrole -cmddirname *
security login rest-role delete -role csrestrole -api *
security login rest-role delete -role arwrole -api *

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到功能表、然後在ONTAP 功能表伺服器上執行下列命令:

security login role create -role csrole -cmddirname DEFAULT -access readonly
security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "volume snapshot" -access all -query "-snapshot cloudsecure_*"
security login role create -role csrole -cmddirname "event catalog" -access all
security login role create -role csrole -cmddirname "event filter" -access all
security login role create -role csrole -cmddirname "event notification destination" -access all
security login role create -role csrole -cmddirname "event notification" -access all
security login role create -role csrole -cmddirname "security certificate" -access all
security login role create -role csrole -cmddirname "cluster application-record" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole
security login create -user-or-group-name csuser -application ssh -authmethod password -role csrole
security login create -user-or-group-name csuser -application http -authmethod password -role csrole

透過* vserver管理IP*新增權限:

如果您無法使用叢集管理管理員使用者來允許工作負載安全性存取ONTAP 《SVM資料收集器》、您可以建立一個名為「CsUser」的新使用者、其角色如下所示。將工作負載安全資料收集器設定為使用Vserver Management IP時、請使用「CsUser」的使用者名稱和密碼。

附註:您可以建立單一角色,用於自訂使用者的所有功能權限。如果有現有使用者,請先使用下列命令刪除現有的使用者和角色:

security login delete -user-or-group-name csuser -application * -vserver <vservername>
security login role delete -role csrole -cmddirname * -vserver <vservername>
security login rest-role delete -role csrestrole -api * -vserver <vservername>

若要建立新的使用者、ONTAP 請使用叢集管理管理員使用者名稱/密碼登入到位、然後在ONTAP 伺服器上執行下列命令。為了方便起見、請先將這些命令複製到文字編輯器、並在ONTAP 執行下列命令之前、以Vserver名稱取代<vservername>:

security login role create -vserver <vservername> -role csrole -cmddirname DEFAULT -access none
security login role create -vserver <vservername> -role csrole -cmddirname "network interface" -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname version -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname volume -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname vserver -access readonly
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "volume snapshot" -access all
security login create -user-or-group-name csuser -application ontapi -authmethod password -role csrole -vserver <vservername>
security login create -user-or-group-name csuser -application http -authmethod password -role csrole -vserver <vservername>

原型模式

在收集器的 Advanced Configuration 設定中啟用此選項時,工作負載安全性會將 FPolicy 引擎設定為原型模式。ONTAP 9.15 版及更新版本均支援原型模式。

如需此功能的詳細資訊"ONTAP 文件",請參閱。

protobuf 需要特定權限(其中部分或全部可能已經存在):

叢集模式:

 security login role create -role csrole -cmddirname "vserver fpolicy" -access all
Vserver 模式:
security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all

ONTAP 自主勒索軟體保護和 ONTAP 存取權限遭拒

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以便從ONTAP Sfor收集與Arp相關的資訊。

如需詳細資訊,請參閱"與 ONTAP 存取整合遭拒"

"整合ONTAP 了功能完善的勒索軟體保護功能"

設定資料收集器

組態步驟

  1. 以管理員或帳戶擁有者身分登入您的 Data Infrastructure Insights 環境。

  2. 按一下 * 工作負載安全性 > 收集器 > + 資料收集器 *

    系統會顯示可用的資料收集器。

  3. 將游標暫留在* NetApp SVM區塊上、然後按一下*+監控*。

    系統會顯示ONTAP 「SVM組態」頁面。輸入每個欄位的必要資料。

欄位

說明

名稱

資料收集器的唯一名稱

代理程式

從清單中選取已設定的代理程式。

透過管理IP連線:

選取叢集IP或SVM管理IP

叢集/ SVM管理IP位址

叢集或SVM的IP位址、取決於您在上方的選擇。

SVM 名稱

SVM名稱(透過叢集IP連線時、此欄位為必填欄位)

使用者名稱

透過叢集IP新增SVM/叢集時、存取SVM/叢集的使用者名稱選項為:1.叢集管理2.'CsUser' 3.扮演類似CsUser角色的AD使用者。透過 SVM IP 新增時,選項為: 4. vsadmin 5.'CsUser' 6.與CsUser角色相似的AD使用者名稱。

密碼

上述使用者名稱的密碼

篩選共用/磁碟區

選擇是否要在事件集合中包含或排除共用/磁碟區

輸入要排除/包含的完整共用名稱

要從事件集合中排除或包含(視情況而定)的共用清單(以英文分隔)

輸入要排除/包含的完整Volume名稱

要從事件集合中排除或包含(視情況而定)的磁碟區清單(以英文分隔)

監控資料夾存取

核取此選項時、會啟用資料夾存取監控的事件。請注意、即使未選取此選項、仍會監控資料夾的建立/重新命名與刪除。啟用此功能將會增加監控的事件數目。

設定ONTAP 「發送緩衝區大小」

設定ONTAP 不規則傳送緩衝區大小。如果ONTAP 使用9.8p7之前的版本且發現效能問題、ONTAP 則可變更此版本的更新緩衝區大小、以改善ONTAP 效能。如果您沒有看到此選項、並且想要探索、請聯絡NetApp支援部門。
完成後

  • 在「安裝的資料收集器」頁面中、使用每個收集器右側的選項功能表來編輯資料收集器。您可以重新啟動資料收集器或編輯資料收集器組態屬性。

MetroCluster 的建議組態

MetroCluster 建議使用下列項目:

  1. 將兩個資料收集器連接至來源SVM、另一個連接至目的地SVM。

  2. 資料收集器應由_叢集IP_連線。

  3. 在任何時間點,目前「正在運行」的 SVM 的資料收集器將顯示為「正在運行」。目前「停止」的 SVM 資料收集器將顯示為「已停止」。

  4. 每當發生切換時,資料收集器的狀態將從_Running_變為_Stopped,反之亦然。

  5. 資料收集器從_停止_狀態轉變為_運行_狀態最多需要兩分鐘。

服務原則

如果將服務原則搭配 ONTAP * 9.9.1 版或更新版本 * 使用、則為了連線至資料來源收集器、需要 data-fpolicy_client 服務、以及資料服務 data-NFS 和 / 或 data-CIFS

範例:

Testcluster-1:*> net int service-policy create -policy only_data_fpolicy -allowed-addresses 0.0.0.0/0 -vserver aniket_svm
-services data-cifs,data-nfs,data,-core,data-fpolicy-client
(network interface service-policy create)

在9.9.1之前的ONTAP 版本中、不需要設定_data-fpolice-client_。

Play-Pause Data Collector

如果資料收集器處於 _Running 狀態、您可以暫停收集。開啟收集器的「三點」功能表、然後選取暫停。當收集器暫停時、不會從 ONTAP 收集任何資料、也不會將資料從收集器傳送至 ONTAP 。這表示任何 Fpolicy 事件都不會從 ONTAP 流向資料收集器、也不會從資料基礎架構深入分析。

請注意,如果在 ONTAP 上建立任何新的磁碟區等,而收集器處於暫停狀態,工作負載安全性就不會收集資料,這些磁碟區等也不會反映在儀表板或表格中。

註 如果收集器已限制使用者,則無法暫停。在暫停收集器之前還原使用者存取權。

請謹記下列事項:

  • 根據暫停收集器上設定的設定,不會執行快照清除。

  • EMS 事件(例如 ONTAP ARP )不會在暫停的收集器上處理。這表示如果 ONTAP 發現勒索軟體攻擊,資料基礎架構洞見工作負載安全性將無法取得該事件。

  • 系統不會傳送已暫停收集器的健全狀況通知電子郵件。

  • 暫停的收集器不支援手動或自動動作(例如 Snapshot 或使用者封鎖)。

  • 在代理程式或收集器升級、代理程式 VM 重新啟動 / 重新開機、或代理程式服務重新啟動時、暫停的收集器會保持在 _Paused 狀態。

  • 如果資料收集器處於 _ 錯誤 _ 狀態、則無法將收集器變更為 _ 已暫停 _ 狀態。只有在收集器的狀態為 _Running 時、才會啟用「暫停」按鈕。

  • 如果代理程式中斷連線、則無法將收集器變更為 _ 已暫停 _ 狀態。收集器將進入 Stopped 狀態、並停用暫停按鈕。

持續儲存區

ONTAP 9.14.1 及更新版本支援持續儲存區。請注意、 Volume 名稱指示會因 ONTAP 9.14 至 9.15 而異。

您可以選取收集器編輯 / 新增頁面中的核取方塊來啟用持續儲存區。選取此核取方塊後、會顯示文字欄位以接受 Volume 名稱。Volume 名稱是啟用持續儲存區的必填欄位。

  • 對於 ONTAP 9.14.1 、您必須先建立磁碟區才能啟用此功能、並在 _ Volume Name_ 欄位中提供相同的名稱。建議的磁碟區大小為 16GB 。

  • 對於 ONTAP 9.15.1 、收集器會使用 _ Volume Name_ 欄位中提供的名稱、自動以 16GB 大小建立 Volume 。

持續儲存區需要特定權限(其中部分或全部可能已經存在):

叢集模式:

security login role create -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -role csrole -cmddirname "job show" -access readonly

Vserver 模式:

security login role create -vserver <vservername> -role csrole -cmddirname "vserver fpolicy" -access all
security login role create -vserver <vservername> -role csrole -cmddirname "job show" -access readonly

移轉收集器

您可以輕鬆地將工作負載安全收集器從一個代理程式移轉到另一個代理程式,以便在代理程式之間有效地平衡收集器的負載。

先決條件

  • 來源代理必須處於 _Connected 狀態。

  • 要移轉的收集器必須處於 _Running 狀態。

附註:

  • Data 和 User Directory 收集器都支援移轉。

  • 不支援手動託管租戶移轉收集器。

移轉收集器

若要移轉收集器,請遵循下列步驟:

  1. 前往「編輯收集器」頁面。

  2. 從值機員下拉式清單中選取目的地代理。

  3. 按一下「儲存收集器」按鈕。

工作負載安全性將會處理要求。成功移轉後,使用者將重新導向至收集器清單頁面。若發生故障,編輯頁面上會顯示適當的訊息。

附註:當收集器成功移轉至目的地代理程式時,先前在「編輯收集器」頁面上所做的任何組態變更都會繼續套用。

選擇其他代理程式來移轉收集器

疑難排解

如需疑難排解秘訣、請參閱"SVM 收集器疑難排解"頁面。