エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

セキュリティ トレース フィルターの作成

Storage Virtual Machine(SVM)でSMBおよびNFSのクライアント処理を検出し、フィルターに一致するすべてのアクセス チェックをトレースするセキュリティ トレース フィルターを作成できます。セキュリティ トレースの結果を使用して、構成の検証や、アクセスに関する問題のトラブルシューティングを行うことができます。

タスク概要

vserver security trace filter createコマンドには2つの必須パラメーターがあります。

必須パラメーター

説明

-vserver vserver_name

SVM名

セキュリティ トレース フィルターを適用するファイルやフォルダーが格納されているSVMの名前。

-index index_number

フィルター インデックス番号

フィルターに適用するインデックス番号。トレース フィルターはSVMごとに10個まで使用できます。このパラメーターに指定できる値は1~10です。

さまざまなオプションのフィルター パラメーターでセキュリティ トレース フィルターをカスタマイズして、セキュリティ トレースによって生成された結果を絞り込むことができます。

フィルター パラメーター

説明

-client-ip IP_Address

IPアドレスを指定します。このIPアドレスからSVMにアクセスしているユーザーが対象となります。

-path path

パーミッション トレース フィルターを適用するパスを指定します。-path の値には次の形式を使用できます。

  • 共有またはエクスポートのルートから始まる絶対パス

  • 共有のルートに対する相対パス

パスには、NFS(UNIX)形式のディレクトリー区切り文字を使用する必要があります。

-windows-name win_user_name または -unix-name unix_user_name

アクセス要求をトレースする対象のWindowsユーザー名またはUNIXユーザー名を指定できます。このユーザー名変数では大文字と小文字が区別されません。同じフィルターでWindowsユーザー名とUNIXユーザー名の両方を指定することはできません。

トレースできるのはSMBおよびNFSのアクセス イベントだけですが、mixedセキュリティ形式またはUNIXセキュリティ形式のデータに対してアクセス チェックを実行するときに、マッピングされたUNIXユーザーおよびUNIXグループが使用されることがあります。

-trace-allow {yes|no}

セキュリティ トレース フィルターでは、拒否イベントのトレースは常に有効です。必要に応じて、許可イベントをトレースすることもできます。許可イベントをトレースするには、このパラメーターを yes に設定します。

-enabled {enabled|disabled}

セキュリティ トレース フィルターを有効または無効にできます。デフォルトでは、セキュリティ トレース フィルターは有効になっています。

-time-enabled integer

フィルターのタイムアウトを指定できます。指定した時間が経過すると、フィルターは無効になります。

手順
  1. セキュリティ トレース フィルターを作成します。

    vserver security trace filter create -vserver vserver_name -index index_numberfilter_parameters

    filter_parameters は、オプションのフィルター パラメーターのリストです。

    詳細については、このコマンドのマニュアル ページを参照してください。

  2. セキュリティ トレース フィルターのエントリを確認します。

    vserver security trace filter show -vserver vserver_name -index index_number

次のコマンドは、IPアドレス10.10.10.7から共有パス \\server\share1\dir1\dir2\file.txt のファイルにアクセスしているすべてのユーザーを対象とするセキュリティ トレース フィルターを作成します。このフィルターは、-path オプションに完全パスを使用します。データへのアクセスに使用されるクライアントのIPアドレスは10.10.10.7です。フィルターは30分後にタイムアウトします。

cluster1::> vserver security trace filter create -vserver vs1 -index 1 -path /dir1/dir2/file.txt -time-enabled 30 -client-ip 10.10.10.7
cluster1::> vserver security trace filter show -index 1
Vserver  Index   Client-IP            Path            Trace-Allow  Windows-Name
-------- -----  -----------  ----------------------   -----------  -------------
vs1        1    10.10.10.7   /dir1/dir2/file.txt          no       -

次のコマンドは、-path オプションに相対パスを使用してセキュリティ トレース フィルターを作成します。このフィルターは、「joe」という名前のWindowsユーザーのアクセスをトレースします。joeは共有パス \\server\share1\dir1\dir2\file.txt のファイルにアクセスしています。許可イベントと拒否イベントをトレースします。

cluster1::> vserver security trace filter create -vserver vs1 -index 2 -path /dir1/dir2/file.txt -trace-allow yes -windows-name mydomain\joe

cluster1::> vserver security trace filter show -vserver vs1 -index 2
                                 Vserver: vs1
                            Filter Index: 2
              Client IP Address to Match: -
                                    Path: /dir1/dir2/file.txt
                       Windows User Name: mydomain\joe
                          UNIX User Name: -
                      Trace Allow Events: yes
                          Filter Enabled: enabled
               Minutes Filter is Enabled: 60
Top of Page