Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

規劃FPolicy範圍組態總覽

貢獻者

在設定FPolicy範圍之前、您必須先瞭解建立範圍的意義。您必須瞭解範圍組態包含哪些內容。您也需要瞭解優先順序的範圍規則。此資訊可協助您規劃要設定的值。

建立FPolicy範圍的意義

建立FPolicy範圍是指定義套用FPolicy原則的界限。儲存虛擬機器(SVM)是基本邊界。當您建立FPolicy原則的範圍時、必須定義要套用該原則的FPolicy原則、而且必須指定要套用範圍的SVM。

有許多參數會進一步限制指定SVM內的範圍。您可以指定要納入範圍的內容、或指定要從範圍中排除的項目、來限制範圍。將範圍套用至已啟用的原則之後、原則事件檢查就會套用至此命令所定義的範圍。

系統會針對檔案存取事件產生通知、其中「include'」選項中有相符項目。不會針對檔案存取事件產生通知、其中「exclude」選項中有相符項目。

FPolicy範圍組態定義下列組態資訊:

  • SVM名稱

  • 原則名稱

  • 要納入或排除的共享區

  • 匯出原則、以納入或排除受監控的內容

  • 要納入或排除的磁碟區

  • 要納入或排除的檔案副檔名

  • 是否對目錄物件進行檔案副檔名檢查

註

叢集FPolicy原則的範圍有特殊考量。叢集FPolicy原則是叢集管理員為管理SVM所建立的原則。如果叢集管理員也為該叢集FPolicy原則建立範圍、則SVM管理員無法為該相同原則建立範圍。但是、如果叢集管理員未建立叢集FPolicy原則的範圍、則任何SVM管理員都可以建立該叢集原則的範圍。如果SVM管理員為該叢集FPolicy原則建立範圍、叢集管理員便無法隨後為該相同的叢集原則建立叢集範圍。這是因為叢集管理員無法覆寫同一個叢集原則的範圍。

優先順序的範圍規則為何

下列優先規則適用於範圍組態:

  • 當共享區包含在中時 -shares-to-include 共享區的參數和父Volume會包含在中 -volumes-to-exclude 參數、 -volumes-to-exclude 優先於 -shares-to-include

  • 當中包含匯出原則時 -export-policies-to-include 匯出原則的參數和父Volume會包含在中 -volumes-to-exclude 參數、 -volumes-to-exclude 優先於 -export-policies-to-include

  • 系統管理員可以同時指定兩者 -file-extensions-to-include-file-extensions-to-exclude 清單。

    -file-extensions-to-exclude 參數會在之前檢查 -file-extensions-to-include 參數已核取。

FPolicy範圍組態包含的內容

您可以使用下列可用的FPolicy範圍組態參數清單來協助規劃組態:

註

當設定要納入或排除範圍的共用、匯出原則、磁碟區及副檔名時、包含和排除參數可以包含像是「」之類的元元符號?" and "*。 不支援使用規則運算式。

資訊類型

選項

SVM

指定您要在其中建立FPolicy範圍的SVM名稱。

每個FPolicy組態都是在單一SVM中定義。為了建立FPolicy原則組態、而將外部引擎、原則事件、原則範圍和原則結合在一起的原則、都必須與相同的SVM建立關聯。

-vserver vserver_name

原則名稱

指定要附加範圍的FPolicy原則名稱。FPolicy原則必須已經存在。

-policy-name policy_name

要納入的共享_

指定以逗號分隔的共用清單、以監控套用範圍的FPolicy原則。

-shares-to-include share_name、 …​

要排除的共享_

指定要從套用範圍之FPolicy原則的監控中排除的以逗號分隔的共用清單。

-shares-to-exclude share_name、 …​

_要包含的磁碟區_指定以逗號分隔的磁碟區清單、以監控套用範圍的FPolicy原則。

-volumes-to-include volume_name、 …​

要排除的磁碟區_

指定要從套用範圍之FPolicy原則的監控中排除的以逗號分隔的磁碟區清單。

-volumes-to-exclude volume_name、 …​

匯出要納入的原則_

指定以逗號分隔的匯出原則清單、以監控套用範圍的FPolicy原則。

-export-policies-to-include export_policy_name、 …​

匯出要排除的原則_

指定要從套用範圍之FPolicy原則的監控中排除的匯出原則清單(以英文分隔)。

-export-policies-to-exclude export_policy_name、 …​

要包括的副檔名

指定要監控套用範圍之FPolicy原則的檔案副檔名以逗號分隔的清單。

-file-extensions-to-include file_extensions、 …​

要排除的檔案副檔名_

指定要從套用範圍之FPolicy原則的監控中排除的檔案副檔名以逗號分隔的清單。

-file-extensions-to-exclude file_extensions、 …​

檔案副檔名檢查是否已啟用目錄?

指定副檔名檢查是否也適用於目錄物件。如果此參數設為 true,目錄物件會受到與一般檔案相同的副檔名檢查。如果此參數設為 false,目錄名稱不符合副檔名,即使目錄的副檔名不符,也會傳送通知給目錄。

如果將範圍指派給的 FPolicy 原則設定為使用原生引擎、則必須將此參數設定為 true

-is-file-extension-check-on-directories-enabled {true

false