ONTAP Antivirus Connector でONTAPとアンチウイルスソフトを連携させる場合に、ONTAPからの接続ステータス確認手法がいまいちよく分からなかったのでメモ書き。
基本的な接続状況確認コマンド
「vserver vscan connection-status show-all」で確認する。
1 | netappcluster::> vserver vscan connection-status show-all |
3 | Vserver Node Server Status Disconnect Reason |
4 | ----------- ----------------- --------------- -------------- ----------------- |
5 | svm0 netapp01 192.168.10.110 disconnected remote-closed |
6 | svm0 netapp01 192.168.10.111 connected na |
7 | svm0 netapp01 192.168.10.112 connected na |
8 | svm0 netapp01 192.168.10.113 connected na |
9 | svm0 netapp02 192.168.10.110 disconnected - |
10 | svm0 netapp02 192.168.10.111 disconnected - |
11 | svm0 netapp02 192.168.10.112 disconnected - |
12 | svm0 netapp02 192.168.10.113 disconnected - |
13 | 8 entries were displayed. |
上記の場合、ONTAP Antivirus Connectorがインストールされていて、接続設定されているのは、「192.168.10.110~192.168.10.113」の4台あって、そのうち、192.168.10.110の1台だけ接続できてない、という状態となっている。
「Disconnect Reason」に「remote-closed」とあるため、NetAppと192.168.10.110間の通信は行えるものの192.168.10.110側で接続を切断している、という意味合いとなるようだ。
2024/05/09追記:show-allでも全部表示されるわけではなかった。
scanner-poolはPrimaryとSecondaryが設定できるのだが(vserver vscan scanner-pool showで確認)、Primaryの方を使っている場合はSecondaryの接続状況について表示されないので注意が必要。
詳細ログ確認
上記の「remote-closed」だけだと詳細が分からない。
詳細ログはadvanced権限でみれるようになっているため、権限切り替えした上で「vserver vscan show-events」を実行する。
なお、「rows 0」を実行して24行で止める設定を解除している場合、その時に出ているイベントが全件強制表示されてしまうため「rows 24」などで画面を止めるように設定しておくことを推奨。
1 | netappcluster::> set adv |
3 | Warning: These advanced commands are potentially dangerous; use them only when |
4 | directed to do so by NetApp personnel. |
5 | Do you want to continue? {y|n}: y |
9 | netappcluster::*> vserver vscan show-events |
11 | Vserver Node Server Event Type Event Time |
12 | ----------- --------------- --------------- ----------------- ----------------- |
13 | svm0 netapp01 192.168.10.110 scanner- 1/31/2023 |
15 | svm0 netapp01 192.168.10.110 scanner-connected 1/31/2023 |
上記では簡単な理由しかわからないので「-ins」オプションを付けて実行
1 | ossv0059::*> vserver vscan show-events -ins |
4 | Event Log Time: 1/31/2023 18:05:37 |
6 | Event Type: scanner-disconnected |
10 | Server Disconnect Reason: remote-closed |
11 | Vserver LIF Used for Connection: 192.168.10.10 |
14 | Event Log Time: 1/31/2023 18:01:45 |
15 | Server: 192.168.10.110 |
16 | Event Type: scanner-connected |
18 | Vscanner Vendor: vendor not registered |
20 | Server Disconnect Reason: - |
21 | Vserver LIF Used for Connection: 192.168.10.10 |
remote-closedとなる前に「scanner-connected」の時に、「Vscanner Vendor: vendor not registered」という怪しげなステータスとなっている。
じゃあ、各サーバとの接続状態でこの「Vscanner Vendor」の情報を確認する手法はあるか確認するとvscan connection-status で取得出来る情報の中にあった。
「vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since」を実行する
1 | netappcluster::> vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since |
2 | node vserver server server-status vendor version connected-since |
3 | -------- -------- -------------- ------------- -------------------------- ----------- ------------------ |
4 | svm0 netapp01 192.168.10.110 disconnected vendor not registered 0.0 - |
5 | svm0 netapp01 192.168.10.111 connected symantec protection engine 20230130.19 1/31/2023 17:34:33 |
6 | svm0 netapp01 192.168.10.112 connected symantec protection engine 20230130.19 1/31/2023 17:35:20 |
7 | svm0 netapp01 192.168.10.113 connected symantec protection engine 20230130.19 1/31/2023 17:35:25 |
8 | svm0 netapp02 192.168.10.110 disconnected - - - |
9 | svm0 netapp02 192.168.10.111 disconnected - - - |
10 | svm0 netapp02 192.168.10.112 disconnected - - - |
11 | svm0 netapp02 192.168.10.113 disconnected - - - |
12 | 8 entries were displayed. |
remote-closedとなっているサーバ以外は正常な製品名と、おそらくパターンファイルのバージョンっぽいのが表示されている。
disconnectedとなっている 192.168.10.110サーバ上で動作しているONTAP Antivirus connectorとアンチウイルスソフト間の通信に問題があり、ONTAP Antivirus connector側で情報がきちんと取得されていないために発生している、ということのようだった。
NetApp KBのメモ
・ONTAP Vscan(ウィルス対策)およびAntivirus Connector(AVConnector)解決ガイド
antivirus connectorの問題に関するリンク集
・ONTAP Antivirus Connector ロギングを有効にする方法
Windows上で動作するAntivirus Connectorのログを取るためにはレジストリ設定変更が必要
標準ではログ取らない。保存先ログファイル名もレジストリで明示的に設定する
・FAQ :アンチウイルスコネクタのコマンドラインスイッチとして使用できるオプションは何ですか
Windows上で動作するAntivirus Connectorで以下の設定を変更することができる
AVコネクタ動作時にDNS逆引きを行う(デフォルト)のを行わない様に変更する
「net start ontapavc /ipaddrtodns:false」
AVコネクタはhttps(port 443)を使用するが、他のポートを使う場合に変更できる
「net start ontapavc /transport:http /port:80」(http で port 80)
「net start ontapavc /transport:https /port:443」(https で port 443)
・「Vscan サーバが ONTAP に接続できません スキャナプールの設定が正しくない」
ONTAPに登録するprivileged userと、Windowsサーバ上のONTAP AVconnectorとアンチウイルスエンジンの動作ユーザが同じであることを確認
ONTAPに登録するスキャンサーバをホスト名登録した場合、ホスト名と名前解決したIPアドレスが一致すること(一致しない場合接続を拒否=DNSラウンドロビン不可)
特権ユーザの指定は「ドメイン名\ユーザ名」形式で行う(ユーザ名@ドメイン名は使えない)
・「AVコネクタに401 Unauthorizedと表示されます」
Windowsサーバ上のONTAP AVconnectorからONTAPにアクセスする際は、httpアプリケーションとしてアクセスされるので、使用するONTAPのユーザに「-application http」を追加する
また、別資料を見ると「指定したユーザに対して「 ontapi 」アプリケーションが有効になっていません」とか「AV コネクタが https 接続をネゴシエートできない(セキュアでない http を使用して正常に動作する)」という記述もあるため、https,ontapi に関する設定も確認する
・「ONTAP AV コネクタが Vserver のデータインターフェイスに接続できません」
ONTAP Avconnectorの接続をデータLIFにする場合、標準設定のままでは使えない
management-https を追加すること
・Vscan サーバが「 connected 」と表示されていますが、「 vendor not registered 」がになって 表示されます
NetApp的には「Vscan の設定が正しくありません」
「Vscan サービスが停止しました」
「Vscan サービスはループバックアドレス 127.0.0.1 を参照していません。」
scanner-poolのPrimary/Secondary問題
下記のようにscanner-poolを「GroupA」と「GroupB」の2つを作ったとする。
1 | ontap9131::> vserver vscan scanner-pool show |
2 | Scanner Pool Privileged Scanner |
3 | Vserver Pool Owner Servers Users Policy |
4 | ----------- ---------- ------- -------------------- --------------- ---------- |
5 | svm9131 GroupA vserver 172.17.44.156, AD2\ primary |
6 | 172.17.44.157 administrator |
7 | svm9131 GroupB vserver 172.17.44.159, AD2\ secondary |
8 | 172.17.44.162 administrator |
9 | 2 entries were displayed. |
通常動作時、connection-status show-all で表示されるのは Primary側だけとなる。
1 | ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason |
2 | node vserver server vendor version disconnect-reason connected-since |
3 | ------------ ------- ------------- ---------- -------- ----------------- ----------------- |
4 | ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na 5/9/2024 14:29:16 |
5 | ontap9131-01 svm9131 172.17.44.157 - - - - |
6 | 2 entries were displayed. |
(上記は172.17.44.157サーバを停止させているので表示がない)
この状態で、Primaryで唯一稼働中の172.17.44.156のONTAP AV Connectorサービスを停止し、何かファイルを書き込んでウイルス検査をさせると接続が始まり、以下のような表示になる。
1 | ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason |
2 | node vserver server vendor version disconnect-reason connected-since |
3 | ------------ ------- ------------- ---------- -------- ----------------- --------------- |
4 | ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 remote-closed - |
5 | ontap9131-01 svm9131 172.17.44.157 - - - - |
6 | ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na 5/9/2024 14:41:59 |
7 | ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na 5/9/2024 14:41:12 |
8 | 4 entries were displayed. |
で、Primaryで止めた 172.17.44.156のONTAP AV Connectorサービスを開始してしばらく待つと、下記のようにしばらくはPrimaryとSecondaryの両方が表示されている。
1 | ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason |
2 | node vserver server vendor version disconnect-reason connected-since |
3 | ------------ ------- ------------- ---------- -------- ----------------- ----------------- |
4 | ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na 5/9/2024 15:59:26 |
5 | ontap9131-01 svm9131 172.17.44.157 - - - - |
6 | ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na 5/9/2024 14:41:59 |
7 | ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na 5/9/2024 14:41:12 |
8 | 4 entries were displayed. |
しかし、しばらくするとPrimaryのみの表示に切り詰められてしまう。
1 | ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason |
2 | node vserver server vendor version disconnect-reason connected-since |
3 | ------------ ------- ------------- ---------- -------- ----------------- ----------------- |
4 | ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na 5/9/2024 15:59:26 |
5 | ontap9131-01 svm9131 172.17.44.157 - - - - |
6 | 2 entries were displayed. |
advanced権限で実行できる「vserver vscan show-events」で状況を確認してみると、Secondary側の接続は約10分で scanner-disconnected と出力されていた。
3 | Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp |
5 | Do you want to continue? {y|n}: y |
7 | ontap9131::*> vserver vscan show-events |
9 | Vserver Node Server Event Type Event Time |
10 | ----------- --------------- --------------- ----------------- ----------------- |
11 | svm9131 ontap9131-01 172.17.44.162 scanner- 5/9/2024 16:10:00 |
13 | svm9131 ontap9131-01 172.17.44.159 scanner- 5/9/2024 16:10:00 |
15 | svm9131 ontap9131-01 172.17.44.156 file-infected 5/9/2024 16:01:41 |
16 | svm9131 ontap9131-01 172.17.44.159 file-infected 5/9/2024 16:00:55 |
17 | svm9131 ontap9131-01 172.17.44.162 file-infected 5/9/2024 16:00:50 |
18 | svm9131 ontap9131-01 172.17.44.156 file-infected 5/9/2024 16:00:45 |
19 | svm9131 ontap9131-01 172.17.44.156 scanner-connected 5/9/2024 15:59:26 |
20 | svm9131 ontap9131-01 172.17.44.159 scanner-connected 5/9/2024 14:41:59 |
21 | svm9131 ontap9131-01 172.17.44.162 scanner-connected 5/9/2024 14:41:12 |
22 | svm9131 ontap9131-01 172.17.44.162 scanner- 5/9/2024 14:41:12 |
24 | svm9131 ontap9131-01 172.17.44.159 scanner- 5/9/2024 14:38:41 |
26 | svm9131 ontap9131-01 172.17.44.159 file-infected 5/9/2024 14:37:38 |
27 | svm9131 ontap9131-01 172.17.44.162 file-infected 5/9/2024 14:37:33 |
28 | svm9131 ontap9131-01 172.17.44.159 file-infected 5/9/2024 14:37:29 |
29 | svm9131 ontap9131-01 172.17.44.162 scanner-connected 5/9/2024 14:36:24 |
30 | svm9131 ontap9131-01 172.17.44.159 scanner-connected 5/9/2024 14:34:42 |
31 | svm9131 ontap9131-01 172.17.44.156 scanner- 5/9/2024 14:34:35 |