跳转到主内容

VScan 的常见 EMS 消息

Views:
35
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

适用于

  • ONTAP 9
  • 集群模式 Data ONTAP 8.3
  • 集群模式 Data ONTAP 8.2

解答


以下是有关 Vscan 及其关联含义的常见 EMS 消息:
已启用 vscan
  • 说明: 如果 Storage Virtual Machine ( SVM )或集群管理员在 SVM 上启用 Vscan ,则会显示此消息。根据配置、后续客户端请求可以触发病毒扫描。
  • 示例消息 - Vscan is enabled on Vserver 'vserver_1'.
vscan 。已禁用
  • 说明: 如果 SVM 或集群管理员在 SVM 上禁用 Vscan ,则会显示此消息。后续客户端请求不会触发病毒扫描。
  • 示例消息 - Vscan is disabled on Vserver 'vserver_1'.
vscan.privshahrecreate 失败
  • 说明: 如果创建特权共享 $ontap_admin 失败,则会显示此消息。Vscan 服务器尝试连接到系统时将失败。
  • 示例消息 - Failed to create privileged share $ONTAP_ADMIN for Vserver 'vserver_1'.
  • 更正操作:
vscan.rdbupdregister" 失败
  • 说明: 如果 Vscan 配置复制机制无法注册 RDB 更新回调,则会显示此消息。此节点可能无法使用 vscan 配置中的修改。
  • 示例消息 - Vscan configuration replication mechanism failed to register RDB update callback. Modification in the Vscan configuration might not be available to this node.
  • 更正操作:重新启动节点或联系 <vendor-name-support/> 以获得帮助。
vscan.job.failed
  • 说明: 如果 Vscan 作业失败,则会显示此消息。将自动重试。运行job history show -name Vscan*该命令可获得更多详细信息。
  • 示例消息 - Vscan job failed. It will automatically be retried.
  • 更正操作:
vscan.pool.autobactivated
  • 说明: 自动激活 Vscan 扫描程序池时会显示此消息。
  • 示例消息 - Vscan scanner pool 'sp1' is automatically activated on Vserver 'vserver_1'.
  • 更正操作:
vscan.pool.autodelactivated
  • 说明: 如果自动停用 Vscan 扫描程序池,则会显示此消息。
  • 示例消息 - Vscan scanner pool 'sp1' is automatically deactivated on Vserver 'vserver_1'.
  • 更正操作:
vscan.newversion.Allocated
  • 说明: 如果 Vscan 版本机制分配与 Vscan 服务器版本对应的新版本 ID ,则会出现此消息。
  • 示例消息 - Vscan version mechanism added new version-ID for Vserver 'vserver_1' corresponding to vendor 'McAfee', version '5.62'.
  • 更正操作:
从集群模式 Data ONTAP 8.2.2 及更高版本开始提供
nble.vscannoscannerconn 的文件
  • 说明: 如果 Data ONTAP ( R )没有用于处理病毒扫描请求的扫描程序连接,则会出现此消息。
  • 示例消息 - Nblade.vscanNoScannerConn: vserverId="2".
    • EMS 消息中捕获的信息: vserverId Identifier for the Vserver associated with this operation.
  • 更正操作:确保扫描程序池已正确配置,扫描程序计算机处于活动状态并连接到 Data ONTAP 。
nble.vscannoischer
  • 说明: 如果无法创建 vscan-dispatcher 组件,则会显示此消息。这可能是由于系统上的内部错误(例如内存不可用)造成的。
  • 示例消息 - Nblade.vscanNoDispatcher: vserverId="2".
    • EMS 消息中捕获的信息: vserverId Identifier for the Vserver associated with this operation.
  • 更正操作:尚未发现可导致此错误的已知问题。请相应地对其进行分类和故障排除。
nblade 。 vScanConnInactive
  • 说明: 如果 Data ONTAP ( R )检测到无响应的扫描程序连接并强制关闭该连接,则会出现此消息。
  • 示例消息 - Nblade.vscanConnInactive: vserverId="2", scannerIp="10.72.204.244".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • 扫描程序 Ip "IP address of the scanner connection."
  • 更正操作:确保 AV 连接器可以连接系统,向系统传输和接收消息,并且 "vscanConnBackPressure" 事件不会频繁发生。

:如果频繁发生此事件、请在主扫描程序池中添加更多扫描程序、以确保有足够的扫描程序来处理病毒扫描负载。

nble.vscannoregdscanner
  • 说明: 如果 Data ONTAP ( R )从未注册扫描程序的 AV 连接器收到连接,则会出现此消息。
  • 示例消息 - Nblade.vscanNoRegdScanner: vserverId="2", scannerIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • 扫描程序 Ip "IP address of the client running the AV connector."
  • 更正操作:确保病毒扫描程序软件安装正确,正在运行,并且可以使用所述 IP 地址连接到客户端上的 AV Connector 。
nblade 。 VScanConnBackPressure
  • 说明: 如果扫描程序连接太忙,无法接受新的扫描请求,则会显示此消息。
  • 示例消息 - Nblade.vscanConnBackPressure: vserverId="2", scannerIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • 扫描程序 Ip "IP address of the scanner connection."
  • 更正操作:如果出现此消息,请向 Vscan 供应商创建一个案例,以调查扫描程序为何无法处理为所述 SVM 生成的病毒扫描负载。
nblad.vscanbadprotomagicnum
  • 说明: 如果从 AV Connector 收到格式不正确的消息,则会显示此消息。
  • 示例消息 - Nblade.vscanBadProtoMagicNum: vserverId="2", scannerIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      •  扫描程序 Ip "IP address of the scanner connection."
  • 更正操作:确保扫描程序主机上运行的 AV Connector 版本正确,并且没有其他用户或软件尝试连接到 SVM 上的 "\PIPEvscy" 资源。
nblad.vscanbadipprivaccess
  • 说明: 如果在允许的 IP 地址列表中找不到尝试连接到具有特权的 ontap_admin$ 共享的客户端的 IP 地址,则会显示此消息。
  • 示例消息 - Nblade.vscanBadIPPrivAccess: vserverId="2", scannerIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • scannerIp "IP address of the client attemping to access the ONTAP_ADMIN$ share."
  • 更正操作:使用 "vscan scanner pool show-active" 命令查看当前活动的扫描程序池配置,以确保所述用户名和 IP 地址位于配置的一个 vscan 扫描程序池中。
nblad.vscanbaduserprivaccess
  • 说明: 如果在允许的用户列表中未找到尝试连接到具有特权的 ontap_admin$ 共享的客户端的登录用户,则会出现此消息。
  • 示例消息 - Nblade.vscanBadUserPrivAccess: vserverId="2", userName= "fsctuser1", scannerIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • 用户名 "User name of the client attemping to access the ONTAP_ADMIN$ share."
      • 扫描程序 Ip "IP address of the client attemping to access the ONTAP_ADMIN$ share."
  • 更正操作:使用 "vscan scanner pool show-active" 命令查看当前活动的扫描程序池配置,以确保所述用户名和 IP 地址位于配置的一个 vscan 扫描程序池中。

或者,如果 EMS 消息中提到的用户是计算机帐户、例如 "DOMAIN \VSCANSVR$" :

  1. 确保客户将所有 AV 引擎服务配置为与已在扫描仪池中配置的特权用户一起运行。 
  2. 确保 VScan 服务器上只安装所需的软件、例如安全软件的实时保护(而不是供应商 VScan 软件)等功能可能会尝试访问特权的 ONTAP_ADMIN$ 共享(将被拒绝)并生成此类错误。对于 Windows Server 2016 和更高版本、还应禁用 Windows Defender 服务。
Nblade 。 CifsnopRivShare
  • 说明: 当客户端尝试连接到不存在的 ontap_admin$ 共享时,会出现此消息。
  • 示例消息 - Nblade.cifsNoPrivShare: vserverId="2", userName= "fsctuser1", clientIp="10.72.204.27".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation."
      • 用户名 "User name of the client attemping to access the nonexistent ONTAP_ADMIN$ share."
      • 客户端 IP "IP address of the client attemping to access the nonexistent ONTAP_ADMIN$ share."
  • 更正操作:确保已为所述 SVM ID 启用 vscan 。在虚拟服务器上启用 vScan 会自动为虚拟服务器创建 ONTAP_ADMIN$ 共享。
nble.vScanConnInvalidUser
  • 说明: 如果在允许的用户列表中找不到尝试创建 vscan 管道的客户端的已登录用户,则会显示此消息。
  • 示例消息 - Nblade.vscanConnInvalidUser: vserverId="2", scannerIp="10.72.204.27, userName= "fsctuser1".
    • EMS 消息中捕获的信息有:
      • vserverId "Identifier for the Vserver associated with this operation.
      • 扫描程序 Ip"IP address of the client attemping to create a vscan pipe."
      • 用户名"User name of the client attemping to create a vscan pipe."
  • 更正操作:确保所述用户名存在于一个活动的 Vscan 扫描程序池中。使用“ vscan scanner pool show -active ”命令查看当前活动的扫描仪池配置。
提供集群模式 Data ONTAP 8.3.2 及更高版本
Nble.vScanvirusDetected.
  • 说明: 如果 vscan 服务器向存储系统报告错误,则会出现此消息。通常这表示 Vscan 服务器发现病毒;但是, Vscan 服务器上的其他错误情况可能会导致此事件。拒绝客户端访问该文件。vScan 服务器可能会根据其设置和配置、清除文件、隔离或删除该文件。
  • 示例消息 - Possible virus detected. Vserver: “vserverName”, vscan server IP: “vscanServerIp”, file path: “filePath”, client IP: “clientIp”, SID: “SID”, vscan engine status: “vscanEngineStatus” , vscan engine result string: “vscanEngineResultString”.
    • EMS 消息中捕获的信息有:
      • vserverName“Name of the Vserver associated with this operation.”
      • vscanServerIp " IP address of the vscan server. "
      • 文件路径 “Path of the file that was found to be infected.”
      • 客户端 IP “IP address of the client.”
      • SID “SID of the client.”
      • vscanEngineStatus “Status code returned by the vscan server.”
      • vscanEngineResultString “result string returned by the vscan server.”
  • 更正操作:检查系统日志消息中报告的 vscan (防病毒)服务器的日志,查看它是否能够成功隔离或删除受感染的文件。如果无法执行此操作、系统管理员可能希望手动删除该文件。
从 ONTAP 9.1P6+ 开始提供
nblade 。 vscannopolicing 已启用
  • 说明: 如果在进行病毒扫描时不考虑文件访问,则会出现此消息,因为没有为 SVM 启用任何已配置的实时策略。
  • 示例消息 - Nblade.vscanNoPolicyEnabled: For Vserver "vserverName",the file access was not considered for virus scanning because none of the configured On-Access policies are enabled.
    • EMS 消息中捕获的信息有:
      • vserverName“Name of the Vserver associated with this operation.”
  • 更正操作:为 SVM 启用一个已配置的实时策略。
nble.vscanconnreqonsmb 1.
  • 说明: 在 vscan 服务器尝试通过 SMB1 建立 vscan 连接期间会出现此消息,但不支持此连接。
  • 示例消息 - Nblade.vscanConnReqOnSMB1: For Vserver "vserverName", the vscan connection request coming from the client "vscanServerIp" is rejected because it is not supported for SMB1.
    • EMS 消息中捕获的信息有:
      • vserverName “Name of the Vserver associated with this operation.”
      • vscanServerIp " IP address of the vscan server."
  • 更正操作:验证 vscan 服务器和 Data ONTAP ( R )均支持 SMB2 或更高版本并已配置。
常见问题解答 (FAQ) :
是否存在捕获这些 EMS 消息的任何现有 SNMP 陷阱?

答: 但是,错误 927663 尚未解决此需求。[offbox -av] :添加 EMS 和 SNMP 陷阱以捕获 vScan 配置更改。
但是,在 8.4 和 8.3.2 之后、我们将能够捕获受感染的文件 EMS 消息、因为 "EMS 错误消息在 vScan 服务器检测到受感染的文件时不会生成 " 中的修复。请参见错误 906894

如何使用这些 EMS 消息跟踪来自 vscanner 的事件?

您可以跟踪 EMS 日志中发生的事件,例如
:示例 1 : 用户将其 "McAfee VirusScan Enterprise for Storage" 服务的服务帐户从有权限的用户更改为另一个域用户帐户,并导致扫描失败。请注意 EMS 日志中反映该更改的事件。

filer::*> event log show -node node1 -event *vscan*

Time                Node             Severity      Event

------------------- -------------- ------------- ---------------------------

1/12/2016 09:27:17  node1         WARNING       Nblade.vscanBadUserPrivAccess: vserverId="3", userName="DOMAINInvalidDomainAccount", scannerIp="10.63.119.148"

1/12/2016 09:27:17  node1          DEBUG ems.engine.suppressed: Event 'Nblade.vscanBadUserPrivAccess' suppressed 687 times in last 511780 seconds.

1/12/2016 09:26:12  node1          WARNING      Nblade.vscanNoRegdScanner:vserverId="3", scannerIp="10.63.119.148"

示例 2 : 已禁用并重新启用 Vscan 。 

filer::*> event log show -node node1 -event *vscan*

Time                Node             Severity      Event

------------------- ---------------- ------------- ---------------------------

1/11/2016 10:53:53  node1 INFORMATIONAL vscan.enabled: Vscan is enabled on Vserver 'vsm1'.

1/11/2016 10:53:46  node1 INFORMATIONAL vscan.disabled: Vscan is disabled on Vserver 'vsm1'.

我还有哪些其他日志记录可用于 vscanning ?

AV 连接器还具有日志记录功能;必须手动启用此功能。
(在启用 AVSHIM 日志记录部分下)。
3014901__en_US__Solutions30149013014901.jpg

AVSHIM 日志中出现的错误的文本示例:
40.860: [Pipe: 10.64.80.74, cifs01cmvsimn1-ams5][r] CreateNamedPipe failed with 1. closingQ: [0]
41.532: [Pipe: 10.64.80.76, cifs01cmvsimn2-ams5][r] CreateNamedPipe failed with 1. closingQ: [0]

AV 连接器常见错误

以下是一些典型的错误代码及其可能指示的问题:

错误代码 "1"
  • (功能不正确)
  • 这通常表示:
    • 未在上述虚拟服务器上启用 VScan 功能
    • 所述的 scanner 主机 IP 不在当前活动的某个扫描仪池的 IP 列表中
错误 - 代码“ 2 ”
  • 系统无法找到指定的文件
  • 这通常表示 AV Connector 服务的用户帐户 未列在有权限的用户列表中 所述 SVM 的当前活动扫描程序池数
错误 - 代码 '5'
  • (无法连接到主机( err=5 )
  • 这通常表示访问被拒绝错误。可以在多个位置看到这一点、请检查任何相应的 EMS Vscan 消息以了解相关错误。验证是否正确设置了权限用户以及是否正确设置了使用的帐户 AV 连接器。
错误 - 代码“ 31 ”
  • ( GetOverlappdResult 失败)

这通常表示

  • 在 vScan 服务器上禁用 SMB2 作为客户端(重新: https://support.microsoft.com/en-us/kb/2696547 运行“ C query MRxSMB20 ”检查状态)
  • 已在虚拟服务器或 VScan 服务器上禁用了 SMB2 。验证是否在虚拟服务器上启用了 SMB2 并重新引导 Vscan 服务器以清除条件。

阅读了解更多详细信息:

错误 - 代码 '53'
  • (功能不正确)
  • 未找到网络路径。

这通常表示以下一个或多个问题:

  • 无法从扫描仪主机和提到的虚拟服务器的 data-lif 进行访问
  • 未为上述虚拟服务器配置 SMB2
  • 未在扫描仪主机上配置 SMB2
  • 扫描仪和文件管理器之间存在时间偏差(相隔 5 分钟以上)
错误 - 代码 '58'
  • (指定的服务器无法执行请求的操作)
    • 此消息可能指示路径名大于 2048 字节 已尝试
    • AV Connector 1.0.4 应将此限制增加到 4096 字节。
    • 如果没有修复, 1098898 ONTAP 将不会为路径名发送高于在 BURT 中指定值的扫描请求。
错误 - 代码 '67'
  • (未找到网络名称)
  • 此消息可能指示未配置 SMB2 所述的 Vserver
错误代码 "1265"
  • 检测到 error_downgrade
  • 检查 vscan 服务器上的 DNS 解析是否正常工作。
  • 验证 vscan 服务器是否可以找到并解析域控制器的服务记录。
错误代码 "1326"
  • 用户名 / 密码不正确
  • 运行 AV Connector 服务的帐户的用户名 / 密码组合不正确。
错误 - 代码 '1907'
  • (首次登录前,必须更改用户的密码)
  • 此消息可能指示 AV Connector 服务的用户帐户(安全上下文)不是有效的域用户,或者必须刷新给定用户帐户的密码。在前一种情况下,可以通过将 AV 连接器的用户帐户更改为有效的活动域用户来确认此问题、该用户帐户存在于当前活动扫描仪池中的特权用户列表中。
错误代码 "1935"
  • error_authentication_firewall_failed
  • 验证所使用的帐户是否正在遍历选择性身份验证域信任。如果是这样,则必须为服务帐户提供穿越该域信任的权限。
此知识库中未定义错误代码?或者不知道吗?没有问题。

其他信息

在此处添加您的文本。