ONTAP Antivirus Connector の接続ステータス確認方法

ONTAP Antivirus Connector でONTAPとアンチウイルスソフトを連携させる場合に、ONTAPからの接続ステータス確認手法がいまいちよく分からなかったのでメモ書き。

基本的な接続状況確認コマンド

「vserver vscan connection-status show-all」で確認する。

netappcluster::> vserver vscan connection-status show-all
                                              Connection
Vserver     Node              Server          Status         Disconnect Reason
----------- ----------------- --------------- -------------- -----------------
svm0        netapp01         192.168.10.110   disconnected   remote-closed
svm0        netapp01         192.168.10.111   connected      na
svm0        netapp01         192.168.10.112   connected      na
svm0        netapp01         192.168.10.113   connected      na
svm0        netapp02         192.168.10.110   disconnected   -
svm0        netapp02         192.168.10.111   disconnected   -
svm0        netapp02         192.168.10.112   disconnected   -
svm0        netapp02         192.168.10.113   disconnected   -
8 entries were displayed.

netappcluster::>

上記の場合、ONTAP Antivirus Connectorがインストールされていて、接続設定されているのは、「192.168.10.110~192.168.10.113」の4台あって、そのうち、192.168.10.110の1台だけ接続できてない、という状態となっている。

「Disconnect Reason」に「remote-closed」とあるため、NetAppと192.168.10.110間の通信は行えるものの192.168.10.110側で接続を切断している、という意味合いとなるようだ。

2024/05/09追記:show-allでも全部表示されるわけではなかった。

scanner-poolはPrimaryとSecondaryが設定できるのだが(vserver vscan scanner-pool showで確認)、Primaryの方を使っている場合はSecondaryの接続状況について表示されないので注意が必要。

詳細ログ確認

上記の「remote-closed」だけだと詳細が分からない。

詳細ログはadvanced権限でみれるようになっているため、権限切り替えした上で「vserver vscan show-events」を実行する。

なお、「rows 0」を実行して24行で止める設定を解除している場合、その時に出ているイベントが全件強制表示されてしまうため「rows 24」などで画面を止めるように設定しておくことを推奨。

netappcluster::> set adv

Warning: These advanced commands are potentially dangerous; use them only when
         directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y

netappcluster::*>

netappcluster::*> vserver vscan show-events

Vserver     Node            Server          Event Type        Event Time
----------- --------------- --------------- ----------------- -----------------
svm0        netapp01        192.168.10.110  scanner-          1/31/2023
                                            disconnected      18:05:37
svm0        netapp01        192.168.10.110  scanner-connected 1/31/2023
                                                              18:01:45
<略>

上記では簡単な理由しかわからないので「-ins」オプションを付けて実行

ossv0059::*> vserver vscan show-events -ins

                           Node: netapp01
                 Event Log Time: 1/31/2023 18:05:37
                         Server: 192.168.10.110
                     Event Type: scanner-disconnected
                      File Path: -
                Vscanner Vendor: -
               Vscanner Version: -
       Server Disconnect Reason: remote-closed
Vserver LIF Used for Connection: 192.168.10.10

                           Node: netapp01
                 Event Log Time: 1/31/2023 18:01:45
                         Server: 192.168.10.110
                     Event Type: scanner-connected
                      File Path: -
                Vscanner Vendor: vendor not registered
               Vscanner Version: 0.0
       Server Disconnect Reason: -
Vserver LIF Used for Connection: 192.168.10.10
<略>

remote-closedとなる前に「scanner-connected」の時に、「Vscanner Vendor: vendor not registered」という怪しげなステータスとなっている。

じゃあ、各サーバとの接続状態でこの「Vscanner Vendor」の情報を確認する手法はあるか確認するとvscan connection-status で取得出来る情報の中にあった。

「vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since」を実行する

netappcluster::> vserver vscan connection-status show-all -fields version,vendor,server-status,connected-since
node     vserver  server         server-status vendor                     version     connected-since
-------- -------- -------------- ------------- -------------------------- ----------- ------------------
svm0     netapp01 192.168.10.110 disconnected  vendor not registered      0.0         -
svm0     netapp01 192.168.10.111 connected     symantec protection engine 20230130.19 1/31/2023 17:34:33
svm0     netapp01 192.168.10.112 connected     symantec protection engine 20230130.19 1/31/2023 17:35:20
svm0     netapp01 192.168.10.113 connected     symantec protection engine 20230130.19 1/31/2023 17:35:25
svm0     netapp02 192.168.10.110 disconnected  -                          -           -
svm0     netapp02 192.168.10.111 disconnected  -                          -           -
svm0     netapp02 192.168.10.112 disconnected  -                          -           -
svm0     netapp02 192.168.10.113 disconnected  -                          -           -
8 entries were displayed.

netappcluster::>

remote-closedとなっているサーバ以外は正常な製品名と、おそらくパターンファイルのバージョンっぽいのが表示されている。

disconnectedとなっている 192.168.10.110サーバ上で動作しているONTAP Antivirus connectorとアンチウイルスソフト間の通信に問題があり、ONTAP Antivirus connector側で情報がきちんと取得されていないために発生している、ということのようだった。


NetApp KBのメモ

ONTAP Vscan(ウィルス対策)およびAntivirus Connector(AVConnector)解決ガイド
 antivirus connectorの問題に関するリンク集

ONTAP Antivirus Connector ロギングを有効にする方法
 Windows上で動作するAntivirus Connectorのログを取るためにはレジストリ設定変更が必要
 標準ではログ取らない。保存先ログファイル名もレジストリで明示的に設定する

FAQ :アンチウイルスコネクタのコマンドラインスイッチとして使用できるオプションは何ですか
 Windows上で動作するAntivirus Connectorで以下の設定を変更することができる
  AVコネクタ動作時にDNS逆引きを行う(デフォルト)のを行わない様に変更する
   「net start ontapavc /ipaddrtodns:false」
  AVコネクタはhttps(port 443)を使用するが、他のポートを使う場合に変更できる
   「net start ontapavc /transport:http /port:80」(http で port 80)
   「net start ontapavc /transport:https /port:443」(https で port 443)

・「Vscan サーバが ONTAP に接続できません スキャナプールの設定が正しくない
 ONTAPに登録するprivileged userと、Windowsサーバ上のONTAP AVconnectorとアンチウイルスエンジンの動作ユーザが同じであることを確認
 ONTAPに登録するスキャンサーバをホスト名登録した場合、ホスト名と名前解決したIPアドレスが一致すること(一致しない場合接続を拒否=DNSラウンドロビン不可)
 特権ユーザの指定は「ドメイン名\ユーザ名」形式で行う(ユーザ名@ドメイン名は使えない)

・「AVコネクタに401 Unauthorizedと表示されます
 Windowsサーバ上のONTAP AVconnectorからONTAPにアクセスする際は、httpアプリケーションとしてアクセスされるので、使用するONTAPのユーザに「-application http」を追加する
 また、別資料を見ると「指定したユーザに対して「 ontapi 」アプリケーションが有効になっていません」とか「AV コネクタが https 接続をネゴシエートできない(セキュアでない http を使用して正常に動作する)」という記述もあるため、https,ontapi に関する設定も確認する

・「ONTAP AV コネクタが Vserver のデータインターフェイスに接続できません
 ONTAP Avconnectorの接続をデータLIFにする場合、標準設定のままでは使えない
 management-https を追加すること

Vscan サーバが「 connected 」と表示されていますが、「 vendor not registered 」がになって 表示されます
 NetApp的には「Vscan の設定が正しくありません」
 「Vscan サービスが停止しました」
 「Vscan サービスはループバックアドレス 127.0.0.1 を参照していません。」


scanner-poolのPrimary/Secondary問題

下記のようにscanner-poolを「GroupA」と「GroupB」の2つを作ったとする。

ontap9131::> vserver vscan scanner-pool show
            Scanner    Pool                         Privileged      Scanner
Vserver     Pool       Owner   Servers              Users           Policy
----------- ---------- ------- -------------------- --------------- ----------
svm9131     GroupA     vserver 172.17.44.156,       AD2\            primary
                               172.17.44.157        administrator
svm9131     GroupB     vserver 172.17.44.159,       AD2\            secondary
                               172.17.44.162        administrator
2 entries were displayed.

ontap9131::>

通常動作時、connection-status show-all で表示されるのは Primary側だけとなる。

ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
node         vserver server        vendor     version  disconnect-reason connected-since
------------ ------- ------------- ---------- -------- ----------------- -----------------
ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 14:29:16
ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
2 entries were displayed.

ontap9131::>

(上記は172.17.44.157サーバを停止させているので表示がない)

この状態で、Primaryで唯一稼働中の172.17.44.156のONTAP AV Connectorサービスを停止し、何かファイルを書き込んでウイルス検査をさせると接続が始まり、以下のような表示になる。

ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
node         vserver server        vendor     version  disconnect-reason connected-since
------------ ------- ------------- ---------- -------- ----------------- ---------------
ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 remote-closed     -
ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na                5/9/2024 14:41:59
ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na                5/9/2024 14:41:12
4 entries were displayed.

ontap9131::>

で、Primaryで止めた 172.17.44.156のONTAP AV Connectorサービスを開始してしばらく待つと、下記のようにしばらくはPrimaryとSecondaryの両方が表示されている。

ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
node         vserver server        vendor     version  disconnect-reason connected-since
------------ ------- ------------- ---------- -------- ----------------- -----------------
ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 15:59:26
ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
ontap9131-01 svm9131 172.17.44.159 trendmicro 19.32700 na                5/9/2024 14:41:59
ontap9131-01 svm9131 172.17.44.162 trendmicro 19.32700 na                5/9/2024 14:41:12
4 entries were displayed.

ontap9131::>

しかし、しばらくするとPrimaryのみの表示に切り詰められてしまう。

ontap9131::> vserver vscan connection-status show-all -fields version,vendor,connected-since,disconnect-reason
node         vserver server        vendor     version  disconnect-reason connected-since
------------ ------- ------------- ---------- -------- ----------------- -----------------
ontap9131-01 svm9131 172.17.44.156 trendmicro 19.32700 na                5/9/2024 15:59:26
ontap9131-01 svm9131 172.17.44.157 -          -        -                 -
2 entries were displayed.

ontap9131::>

advanced権限で実行できる「vserver vscan show-events」で状況を確認してみると、Secondary側の接続は約10分で scanner-disconnected と出力されていた。

ontap9131::> set adv

Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp
         personnel.
Do you want to continue? {y|n}: y

ontap9131::*> vserver vscan show-events

Vserver     Node            Server          Event Type        Event Time
----------- --------------- --------------- ----------------- -----------------
svm9131     ontap9131-01    172.17.44.162   scanner-          5/9/2024 16:10:00
                                            disconnected
svm9131     ontap9131-01    172.17.44.159   scanner-          5/9/2024 16:10:00
                                            disconnected
svm9131     ontap9131-01    172.17.44.156   file-infected     5/9/2024 16:01:41
svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 16:00:55
svm9131     ontap9131-01    172.17.44.162   file-infected     5/9/2024 16:00:50
svm9131     ontap9131-01    172.17.44.156   file-infected     5/9/2024 16:00:45
svm9131     ontap9131-01    172.17.44.156   scanner-connected 5/9/2024 15:59:26
svm9131     ontap9131-01    172.17.44.159   scanner-connected 5/9/2024 14:41:59
svm9131     ontap9131-01    172.17.44.162   scanner-connected 5/9/2024 14:41:12
svm9131     ontap9131-01    172.17.44.162   scanner-          5/9/2024 14:41:12
                                            disconnected
svm9131     ontap9131-01    172.17.44.159   scanner-          5/9/2024 14:38:41
                                            disconnected
svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 14:37:38
svm9131     ontap9131-01    172.17.44.162   file-infected     5/9/2024 14:37:33
svm9131     ontap9131-01    172.17.44.159   file-infected     5/9/2024 14:37:29
svm9131     ontap9131-01    172.17.44.162   scanner-connected 5/9/2024 14:36:24
svm9131     ontap9131-01    172.17.44.159   scanner-connected 5/9/2024 14:34:42
svm9131     ontap9131-01    172.17.44.156   scanner-          5/9/2024 14:34:35
                                            disconnected
<略>