Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

規劃FPolicy事件組態總覽

貢獻者
PDF

在設定FPolicy事件之前、您必須先瞭解建立FPolicy事件的意義。您必須決定要監控事件的傳輸協定、要監控的事件、以及要使用的事件篩選器。此資訊可協助您規劃要設定的值。

建立FPolicy事件的意義

建立FPolicy事件是指定義FPolicy程序所需的資訊、以決定要監控的檔案存取作業、以及應將哪些受監控事件通知傳送至外部FPolicy伺服器。FPolicy事件組態定義下列組態資訊:

  • 儲存虛擬機器(SVM)名稱

  • 事件名稱

  • 要監控的傳輸協定

    FPolicy 可監控 SMB 、 NFSv3 、 NFSv4 、以及從 ONTAP 9.15.1 開始的 NFSv4.1 檔案存取作業。

  • 要監控的檔案作業

    並非所有檔案作業都適用於每個傳輸協定。

  • 要設定哪些檔案篩選器

    只有特定的檔案作業與篩選組合有效。每個傳輸協定都有自己的一組支援組合。

  • 是否要監控磁碟區掛載和卸載作業

註

其中三個參數有相依性 (-protocol-file-operations-filters)。下列組合對三個參數有效:

  • 您可以指定 -protocol-file-operations 參數。

  • 您可以指定全部三個參數。

  • 您不能指定任何參數。

FPolicy事件組態包含的內容

您可以使用下列可用的FPolicy事件組態參數清單來協助規劃組態:

資訊類型

選項

SVM

指定您要與此FPolicy事件相關聯的SVM名稱。

每個FPolicy組態都是在單一SVM中定義。為了建立FPolicy原則組態、而將外部引擎、原則事件、原則範圍和原則結合在一起的原則、都必須與相同的SVM建立關聯。

-vserver vserver_name

事件名稱_

指定要指派給FPolicy事件的名稱。當您建立FPolicy原則時、會使用事件名稱將FPolicy事件與原則建立關聯。

名稱最長可達256個字元。

註

如果在MetroCluster 還原或SVM災難恢復組態中設定事件、名稱最長應為200個字元。

名稱可以包含下列任何Ascii範圍字元的組合:

  • a 透過 z

  • A 透過 Z

  • 0 透過 9

  • " _ " 、 "-`", and “.”

-event-name event_name

傳輸協定

指定要為FPolicy事件設定的傳輸協定。的清單 -protocol 可以包含下列其中一個值:

  • cifs

  • nfsv3

  • nfsv4

註

如果您指定 -protocol、然後您必須在中指定有效值 -file-operations 參數。隨著傳輸協定版本變更、有效值可能會變更。
註

從 ONTAP 9.15.1 開始、 NFSv4 可讓您擷取 NFSv4.0 和 NFSv4.1 事件。

-protocol protocol

_File operations _

指定FPolicy事件的檔案作業清單。

事件會使用中指定的通訊協定、從所有用戶端要求檢查此清單中指定的作業 -protocol 參數。您可以使用以逗號分隔的清單來列出一或多個檔案作業。的清單 -file-operations 可以包含下列一或多個值:

  • close 用於檔案關閉作業

  • create 用於檔案建立作業

  • create-dir 用於目錄建立作業

  • delete 用於檔案刪除作業

  • delete_dir 用於目錄刪除作業

  • getattr 以取得屬性作業

  • link 用於連結作業

  • lookup 用於查詢作業

  • open 適用於檔案開啟作業

  • read 檔案讀取作業

  • write 適用於檔案寫入作業

  • rename 用於檔案重新命名作業

  • rename_dir 用於目錄重新命名作業

  • setattr 用於 Set 屬性作業

  • symlink 用於符號連結作業

註

如果您指定 -file-operations、然後您必須在中指定有效的傳輸協定 -protocol 參數。

-file-operations file_operations、 …​

篩選

指定指定傳輸協定之特定檔案作業的篩選器清單。中的值 -filters 參數用於篩選用戶端要求。清單可包含下列一項或多項內容:

註

如果您指定 -filters 參數、您也必須為指定有效值 -file-operations-protocol 參數。

  • monitor-ads 用於篩選用戶端要求的替代資料串流選項。

  • close-with-modification 篩選用戶端要求以進行修改以關閉的選項。

  • close-without-modification 篩選用戶端要求以關閉而不修改的選項。

  • first-read 篩選用戶端要求以進行第一讀取的選項。

  • first-write 篩選用戶端要求進行第一次寫入的選項。

  • offline-bit 用於篩選用戶端離線位元集要求的選項。

    設定此篩選器後、FPolicy伺服器只會在存取離線檔案時收到通知。

  • open-with-delete-intent 用於篩選用戶端要求以進行「刪除目的」開啟的選項。

    設定此篩選器後、FPolicy伺服器只會在嘗試開啟檔案以刪除檔案時收到通知。檔案系統會在使用時使用此功能 FILE_DELETE_ON_CLOSE 已指定旗標。

  • open-with-write-intent 篩選用戶端要求以進行寫入目的開啟的選項。

    設定此篩選器後、FPolicy伺服器只會在嘗試開啟檔案時收到通知、以便在其中寫入內容。

  • write-with-size-change 選項可篩選用戶端寫入要求、並變更大小。

  • setattr-with-owner-change 用於篩選用戶端設定檔要求以變更檔案或目錄擁有者的選項。

  • setattr-with-group-change 用於篩選用戶端集點要求以變更檔案或目錄群組的選項。

  • setattr-with-sacl-change 用於篩選用戶端集點要求以變更檔案或目錄上的 SACL 的選項。

    此篩選器僅適用於SMB和NFSv4傳輸協定。

  • setattr-with-dacl-change 用於篩選用戶端集點要求以變更檔案或目錄上的 DACL 的選項。

    此篩選器僅適用於SMB和NFSv4傳輸協定。

  • setattr-with-modify-time-change 用於篩選用戶端 setattr 要求以變更檔案或目錄的修改時間的選項。

  • setattr-with-access-time-change 用於篩選用戶端 setattr 要求以變更檔案或目錄的存取時間的選項。

  • setattr-with-creation-time-change 用於篩選用戶端 setattr 要求以變更檔案或目錄的建立時間的選項。

    此選項僅適用於SMB傳輸協定。

  • setattr-with-mode-change 用於篩選用戶端 setattr 要求以變更檔案或目錄上的模式位元的選項。

  • setattr-with-size-change 用於篩選用戶端 setattr 要求以變更檔案大小的選項。

  • setattr-with-allocation-size-change 用於篩選用戶端集點要求以變更檔案分配大小的選項。

    此選項僅適用於SMB傳輸協定。

  • exclude-directory 用於篩選用戶端目錄作業要求的選項。

    指定此篩選器時、不會監控目錄作業。

-filters filter、 …​

需要磁碟區作業

指定磁碟區掛載和卸載作業是否需要監控。預設值為 false

-volume-operation {true

false}

-filters filter、 …​

_FPolicy 存取遭拒通知 _

從 ONTAP 9.13.1 開始、使用者可以收到因權限不足而導致檔案作業失敗的通知。這些通知對於安全性、勒索軟體保護和治理來說非常重要。由於缺乏權限、將會產生檔案作業失敗的通知、其中包括:

  • NTFS 權限導致的失敗。

  • 因 Unix 模式位元而發生故障。

  • NFSv4 ACL 導致故障。

-monitor-fileop-failure {true

false}