ONTAP Antivirus Connector でONTAPとアンチウイルスソフトを連携させる場合に、ONTAPからの接続ステータス確認手法がいまいちよく分からなかったのでメモ書き。
基本的な接続状況確認コマンド
「vserver vscan connection-status show-all」で確認する。
netappcluster::> vserver vscan connection-status show-all
Connection
Vserver Node Server Status Disconnect Reason
----------- ----------------- --------------- -------------- -----------------
svm0 netapp01 192.168.10.110 disconnected remote-closed
svm0 netapp01 192.168.10.111 connected na
svm0 netapp01 192.168.10.112 connected na
svm0 netapp01 192.168.10.113 connected na
svm0 netapp02 192.168.10.110 disconnected -
svm0 netapp02 192.168.10.111 disconnected -
svm0 netapp02 192.168.10.112 disconnected -
svm0 netapp02 192.168.10.113 disconnected -
8 entries were displayed.
netappcluster::>
上記の場合、ONTAP Antivirus Connectorがインストールされていて、接続設定されているのは、「192.168.10.110~192.168.10.113」の4台あって、そのうち、192.168.10.110の1台だけ接続できてない、という状態となっている。
「Disconnect Reason」に「remote-closed」とあるため、NetAppと192.168.10.110間の通信は行えるものの192.168.10.110側で接続を切断している、という意味合いとなるようだ。
詳細ログ確認
上記の「remote-closed」だけだと詳細が分からない。
詳細ログはadvanced権限でみれるようになっているため、権限切り替えした上で「vserver vscan show-events」を実行する。
なお、「rows 0」を実行して24行で止める設定を解除している場合、その時に出ているイベントが全件強制表示されてしまうため「rows 24」などで画面を止めるように設定しておくことを推奨。
netappcluster::> set adv
Warning: These advanced commands are potentially dangerous; use them only when
directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y
netappcluster::*>
netappcluster::*> vserver vscan show-events
Vserver Node Server Event Type Event Time
----------- --------------- --------------- ----------------- -----------------
svm0 netapp01 192.168.10.110 scanner- 1/31/2023
disconnected 18:05:37
svm0 netapp01 192.168.10.110 scanner-connected 1/31/2023
18:01:45
<略>
上記では簡単な理由しかわからないので「-ins」オプションを付けて実行
ossv0059::*> vserver vscan show-events -ins
Node: netapp01
Event Log Time: 1/31/2023 18:05:37
Server: 192.168.10.110
Event Type: scanner-disconnected
File Path: -
Vscanner Vendor: -
Vscanner Version: -
Server Disconnect Reason: remote-closed
Vserver LIF Used for Connection: 192.168.10.10
Node: netapp01
Event Log Time: 1/31/2023 18:01:45
Server: 192.168.10.110
Event Type: scanner-connected
File Path: -
Vscanner Vendor: vendor not registered
Vscanner Version: 0.0
Server Disconnect Reason: -
Vserver LIF Used for Connection: 192.168.10.10
<略>
remote-closedとなる前に「scanner-connected」の時に、「Vscanner Vendor: vendor not registered」という怪しげなステータスとなっている。
じゃあ、各サーバとの接続状態でこの「Vscanner Vendor」の情報を確認する手法はあるか確認するとvscan connection-status で取得出来る情報の中にあった。
「vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since」を実行する
netappcluster::> vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since
node vserver server server-status vendor version connected-since
-------- -------- -------------- ------------- -------------------------- ----------- ------------------
svm0 netapp01 192.168.10.110 disconnected vendor not registered 0.0 -
svm0 netapp01 192.168.10.111 connected symantec protection engine 20230130.19 1/31/2023 17:34:33
svm0 netapp01 192.168.10.112 connected symantec protection engine 20230130.19 1/31/2023 17:35:20
svm0 netapp01 192.168.10.113 connected symantec protection engine 20230130.19 1/31/2023 17:35:25
svm0 netapp02 192.168.10.110 disconnected - - -
svm0 netapp02 192.168.10.111 disconnected - - -
svm0 netapp02 192.168.10.112 disconnected - - -
svm0 netapp02 192.168.10.113 disconnected - - -
8 entries were displayed.
netappcluster::>
remote-closedとなっているサーバ以外は正常な製品名と、おそらくパターンファイルのバージョンっぽいのが表示されている。
disconnectedとなっている 192.168.10.110サーバ上で動作しているONTAP Antivirus connectorとアンチウイルスソフト間の通信に問題があり、ONTAP Antivirus connector側で情報がきちんと取得されていないために発生している、ということのようだった。
NetApp KBのメモ
・ONTAP Vscan(ウィルス対策)およびAntivirus Connector(AVConnector)解決ガイド
antivirus connectorの問題に関するリンク集
・ONTAP Antivirus Connector ロギングを有効にする方法
Windows上で動作するAntivirus Connectorのログを取るためにはレジストリ設定変更が必要
標準ではログ取らない。保存先ログファイル名もレジストリで明示的に設定する
・FAQ :アンチウイルスコネクタのコマンドラインスイッチとして使用できるオプションは何ですか
Windows上で動作するAntivirus Connectorで以下の設定を変更することができる
AVコネクタ動作時にDNS逆引きを行う(デフォルト)のを行わない様に変更する
「net start ontapavc /ipaddrtodns:false」
AVコネクタはhttps(port 443)を使用するが、他のポートを使う場合に変更できる
「net start ontapavc /transport:http /port:80」(http で port 80)
「net start ontapavc /transport:https /port:443」(https で port 443)
・「Vscan サーバが ONTAP に接続できません スキャナプールの設定が正しくない」
ONTAPに登録するprivileged userと、Windowsサーバ上のONTAP AVconnectorとアンチウイルスエンジンの動作ユーザが同じであることを確認
ONTAPに登録するスキャンサーバをホスト名登録した場合、ホスト名と名前解決したIPアドレスが一致すること(一致しない場合接続を拒否=DNSラウンドロビン不可)
特権ユーザの指定は「ドメイン名\ユーザ名」形式で行う(ユーザ名@ドメイン名は使えない)
・「AVコネクタに401 Unauthorizedと表示されます」
Windowsサーバ上のONTAP AVconnectorからONTAPにアクセスする際は、httpアプリケーションとしてアクセスされるので、使用するONTAPのユーザに「-application http」を追加する
また、別資料を見ると「指定したユーザに対して「 ontapi 」アプリケーションが有効になっていません」とか「AV コネクタが https 接続をネゴシエートできない(セキュアでない http を使用して正常に動作する)」という記述もあるため、https,ontapi に関する設定も確認する
・「ONTAP AV コネクタが Vserver のデータインターフェイスに接続できません」
ONTAP Avconnectorの接続をデータLIFにする場合、標準設定のままでは使えない
management-https を追加すること
・Vscan サーバが「 connected 」と表示されていますが、「 vendor not registered 」がになって 表示されます
NetApp的には「Vscan の設定が正しくありません」
「Vscan サービスが停止しました」
「Vscan サービスはループバックアドレス 127.0.0.1 を参照していません。」