エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

FPolicyイベントの設定の計画 - 概要

FPolicyイベントを構成する前に、FPolicyイベントを作成することの意味を理解する必要があります。イベントが監視するプロトコル、監視対象のイベント、使用するイベント フィルターを決定する必要があります。この情報は、設定する値を計画するのに役立ちます。

FPolicyイベントを作成することの意味

FPolicyイベントを作成することは、どのファイル アクセス操作を監視するか、そしてどの監視対象イベント通知を外部FPolicyサーバーに送信するかを決定するために、FPolicyプロセスで必要とされる情報を定義することを意味します。FPolicyイベントの設定では、次の設定情報を定義します。

  • Storage Virtual Machine(SVM)名

  • イベント名

  • 監視するプロトコル

    FPolicyは、SMB、NFSv3、およびNFSv4のファイル アクセス処理を監視できます。

  • 監視するファイル処理

    すべてのファイル処理が、各プロトコルに対して有効とは限りません。

  • 構成するファイル フィルター

    ファイル処理とフィルターの特定の組み合わせだけが有効です。プロトコルごとに、サポートされる独自の組み合わせがあります。

  • ボリュームのマウントおよびアンマウント操作を監視するか

3つのパラメーター(-protocol-file-operations-filters)の間には依存関係があります。以下に、3つのパラメーターの有効な組み合わせを示します。

  • -protocolパラメーターと-file-operationsパラメーターを同時に指定する。

  • 3つのパラメーターをすべて同時に指定する。

  • 3つのパラメーターをどれも指定しない。

FPolicyイベント構成に含まれるもの

次に示す使用可能なFPolicyイベント設定パラメーターの一覧は、構成を計画するのに役立ちます。

情報の種類

オプション

SVM

このFPolicyイベントに関連付けるSVMの名前を指定します。

各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシーの構成要素となる外部エンジン、ポリシー イベント、ポリシーのスコープ、およびポリシーを、すべて同じSVMに関連付ける必要があります。

-vserver vserver_name

イベント名

FPolicyイベントに割り当てる名前を指定します。FPolicyポリシーを作成する際には、イベント名を使用してFPolicyイベントをポリシーと関連付けます。

この名前に指定できる文字数は最大256文字です。

MetroClusterまたはSVMディザスタ リカバリー設定でイベントを設定する場合、この名前は最大200文字にする必要があります。

名前には、次のASCII文字の任意の組み合わせを含めることができます。

  • az

  • AZ

  • 09

  • _」、「-」、および「.

-event-name event_name

プロトコル

FPolicyイベントで設定するプロトコルを指定します。-protocolパラメーターには、次のいずれかの値を指定できます。

  • cifs

  • nfsv3

  • nfsv4

-protocolを指定する場合、-file-operationsパラメーターに有効な値を指定する必要があります。プロトコルのバージョンによって、有効な値が異なることがあります。

ONTAP 9.15.1以降では、nfsv4でNFSv4.0およびNFSv4.1のイベントをキャプチャーできます。

-protocol protocol

ファイル処理

FPolicyイベントのファイル処理のリストを指定します。

FPolicyイベントは、-protocolパラメーターで指定されたプロトコルを使用して、すべてのクライアント要求についてこのパラメーターに指定された操作をチェックします。複数のファイル処理を指定する場合は、各操作をカンマで区切ります。-file-operationsパラメーターには、次の値を1個以上指定できます。

  • close:ファイル クローズ操作

  • create:ファイル作成操作

  • create-dir:ディレクトリー作成操作

  • delete:ファイル削除操作

  • delete_dir:ディレクトリー削除操作

  • getattr:属性取得操作

  • link:リンク操作

  • lookup:検索操作

  • open:ファイル オープン操作

  • read:ファイル読み取り操作

  • write:ファイル書き込み操作

  • rename:ファイル名変更操作

  • rename_dir:ディレクトリー名変更操作

  • setattr:属性設定操作

  • symlink:シンボリック リンク操作

-file-operationsを指定する場合、-protocolパラメーターに有効なプロトコルを指定する必要があります。

-file-operations file_operations,…​

フィルター

指定したプロトコルにおける所定のファイル処理に対するフィルターのリストを指定します。-filtersパラメーター内の値は、クライアント要求をフィルターリングするために使用されます。リストには次の値を1つ以上指定できます。

-filtersパラメーターを指定する場合、-file-operationsパラメーターと-protocolパラメーターに有効な値を指定する必要があります。

  • monitor-adsオプション:代替データ ストリームを要求するクライアント要求をフィルターリングします。

  • close-with-modificationオプション:変更してクローズ操作を要求するクライアント要求をフィルターリングします。

  • close-without-modificationオプション:変更せずにクローズ操作を要求するクライアント要求をフィルターリングします。

  • first-readオプション:初回の読み取りを要求するクライアント要求をフィルターリングします。

  • first-writeオプション:初回の書き込みを要求するクライアント要求をフィルターリングします。

  • offline-bitオプション:オフライン ビットの設定を求めるクライアント要求をフィルターリングします。

    このフィルターを設定すると、オフラインのファイルがアクセスされたときのみFPolicyサーバーが通知を受信します。

  • open-with-delete-intentオプション:削除するためにファイルのオープン操作を要求するクライアント要求をフィルターリングします。

    このフィルターを設定すると、削除するためにファイルが開かれた場合のみFPolicyサーバーが通知を受信します。これはFILE_DELETE_ON_CLOSEフラグを指定した場合に、ファイルシステムによって使用されます。

  • open-with-write-intentオプション:書き込むためにファイルのオープン操作を要求するクライアント要求をフィルターリングします。

    このフィルターを設定すると、書き込むためにファイルを開いた場合のみFPolicyサーバーが通知を受信します。

  • write-with-size-changeオプション:書き込みと同時にサイズの変更を求めるクライアント要求をフィルターリングします。

  • setattr-with-owner-changeオプション:ファイルまたはディレクトリーの所有者を変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-group-changeオプション:ファイルまたはディレクトリーのグループを変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-sacl-changeオプション:ファイルまたはディレクトリーのSACLを変更するクライアント属性設定要求をフィルターリングします。

    このフィルターは、SMBプロトコルとNFSv4プロトコルに対してのみ使用できます。

  • setattr-with-dacl-changeオプション:ファイルまたはディレクトリーのDACLを変更するクライアント属性設定要求をフィルターリングします。

    このフィルターは、SMBプロトコルとNFSv4プロトコルに対してのみ使用できます。

  • setattr-with-modify-time-changeオプション:ファイルまたはディレクトリーの変更日時を変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-access-time-changeオプション:ファイルまたはディレクトリーのアクセス日時を変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-creation-time-changeオプション:ファイルまたはディレクトリーの作成日時を変更するクライアント属性設定要求をフィルターリングします。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • setattr-with-mode-changeオプション:ファイルまたはディレクトリーのモード ビットを変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-size-changeオプション:ファイルのサイズを変更するクライアント属性設定要求をフィルターリングします。

  • setattr-with-allocation-size-changeオプション:ファイルの割り当てサイズを変更するクライアント属性設定要求をフィルターリングします。

    このオプションは、SMBプロトコルに対してのみ使用できます。

  • exclude-directoryオプション:ディレクトリー操作を要求するクライアント要求をフィルターリングします。

    このフィルターが指定されている場合、ディレクトリー操作は監視されません。

-filters filter, …​

ボリューム操作が必要か

ボリュームのマウントおよびアンマウント操作に対して監視が必要かを指定します。デフォルトはfalseです。

-volume-operation {true|false}

-filters filter, …​

FPolicyのアクセス拒否通知

ONTAP 9.13.1以降では、権限がないためにファイル処理が失敗した場合に通知を受け取ることができます。これらの通知は、セキュリティ、ランサムウェア対策、ガバナンスに役立ちます。権限不足でファイル処理が失敗した場合、次のメッセージを含む通知が生成されます。

  • Failures due to NTFS permissions.

  • Failures due to Unix mode bits.

  • Failures due to NFSv4 ACLs.

-monitor-fileop-failure {true|false}

Top of Page