跳转到主内容

NetApp_Insight_2020.png 

VScan 的常见 EMS 消息

Views:
10
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

可不使用  

适用于

  • ONTAP 9
  • 集群模式 Data ONTAP 8.3
  • 集群模式 Data ONTAP 8.2
     

解答


在集群模式 Data ONTAP 中、以下是 Vscan 的常见 EMS 消息及其含义:


已启用 vscan
说明:当存储虚拟机( SVM )或集群管理员在 SVM 上启用 VScan 时,会出现此消息。根据配置、后续客户端请求可以触发病毒扫描。
示例消息:
Vscan is enabled on Vserver 'vserver_1'.

vscan 。已禁用
说明:当 SVM 或 Cluster Administrator 在 SVM 上禁用 VScan 时会出现此信息。后续客户端请求不会触发病毒扫描。
示例消息:
Vscan is disabled on Vserver 'vserver_1'.

vscan.privshahrecreate 失败
说明:如果创建特权共享 $ONTAP_admin 失败,则会出现此消息。Vscan 服务器尝试连接到系统时将失败。
示例消息:
Failed to create privileged share $ONTAP_ADMIN for Vserver 'vserver_1'.

纠正措施 - 无

vscan.rdbupdregister" 失败
说明:如果 vScan 配置复制机制无法注册 rdb 更新回调,则会出现此消息。此节点可能无法使用 vscan 配置中的修改。
示例消息:
Vscan configuration replication mechanism failed to register RDB update callback. Modification in the Vscan configuration might not be available to this node.

纠正措施—重新启动节点或联系 <vendor-name-support/> 寻求帮助。

vscan.job.failed
说明:当 Vscan 作业失败时会出现此消息。将自动重试。运行job history show -name Vscan*该命令可获得更多详细信息。
示例消息:
Vscan job failed. It will automatically be retried.

纠正措施 - 无

vscan.pool.autobactivated
说明:当自动激活 VScan 扫描仪池时会出现此消息。
示例消息:
Vscan scanner pool 'sp1' is automatically activated on Vserver 'vserver_1'.

纠正措施 - 无

vscan.pool.autodelactivated
说明:当自动取消激活 VScan 扫描仪池时会出现此消息。
示例消息: Vscan scanner pool 'sp1' is automatically deactivated on Vserver 'vserver_1'.

纠正措施 - 无

vscan.newversion.Allocated
说明:当 VScan 版本机制分配与 VScan 服务器版本对应的新版本 ID 时,会出现此消息。
示例消息:
Vscan version mechanism added new version-ID for Vserver 'vserver_1' corresponding to vendor 'McAfee', version '5.62'.

纠正措施 - 无

[ 可用的集群模式 Data ONTAP 8.2.2+]

nble.vscannoscannerconn 的文件
说明:当 Data ONTAP(R) 没有扫描仪连接来处理病毒扫描请求时,会出现此消息。
示例消息:
Nblade.vscanNoScannerConn: vserverId="2".

     EMS 消息中捕获的是什么信息:
VServerID Identifier for the Vserver associated with this operation.

更正操作 - 确保正确配置了扫描仪池、并且扫描仪计算机处于活动状态并连接到 Data ONTAP 。
 
nble.vscannoischer
说明:无法创建 vscan-chischer 组件时会出现此消息。这可能是由于系统上的内部错误(例如内存不可用)造成的。
示例消息:
Nblade.vscanNoDispatcher: vserverId="2".

     EMS 消息中捕获的是什么信息:
VServerID Identifier for the Vserver associated with this operation.

更正操作—尚未发现会导致此错误的已知问题。请相应地对其进行分类和故障排除。
 
nblade 。 vScanConnInactive
说明:当 Data ONTAP(R) 检测到并强制关闭无响应的扫描仪连接时,会出现此消息。
示例消息:
Nblade.vscanConnInactive: vserverId="2", scannerIp="10.72.204.244".

     EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation."
scannerIP "IP address of the scanner connection."

纠正措施—确保 AV 连接器可以连接、传输和接收系统的消息、并且不会频繁发生“ VSCANCONNbackPressure ”事件。

:如果频繁发生此事件、请在主扫描程序池中添加更多扫描程序、以确保有足够的扫描程序来处理病毒扫描负载。

nble.vscannoregdscanner
说明:当 Data ONTAP ( R )从未注册扫描仪的 AV 连接器接收连接时,会出现此消息。
示例消息:
Nblade.vscanNoRegdScanner: vserverId="2", scannerIp="10.72.204.27".

     EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation."
scannerIP "IP address of the client running the AV connector."

纠正措施—确保病毒扫描程序软件安装正确、正在运行、并且可以使用上述 IP 地址连接到客户端上的 AV 连接器。

nblade 。 VScanConnBackPressure
说明:当扫描仪连接太忙而无法接受新的扫描请求时,会出现此消息。
示例消息:
Nblade.vscanConnBackPressure: vserverId="2", scannerIp="10.72.204.27".

     EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation."
scannerIP "IP address of the scanner connection."

更正措施 - 如果出现此消息、请向 VScan 供应商打一个案例、调查扫描仪为何无法处理为上述虚拟服务器生成的病毒扫描负载。
 
nblad.vscanbadprotomagicnum
说明:当从 AV 连接器接收到格式错误的消息时,会出现此消息。
示例消息:
Nblade.vscanBadProtoMagicNum: vserverId="2", scannerIp="10.72.204.27".

     EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation."
scannerIP "IP address of the scanner connection."

更正操作 - 确保扫描仪主机上运行的是正确的 AV 连接器版本、并且没有其他用户或软件尝试连接到虚拟服务器上的“ \Pipevscan ”资源。
 
nblad.vscanbadipprivaccess
说明:如果在允许的 IP 地址列表中未找到尝试连接到特权 ONTAP_ADMIN$ 共享的客户端的 IP 地址,则会出现此消息。
示例消息:
Nblade.vscanBadIPPrivAccess: vserverId="2", scannerIp="10.72.204.27".

     EMS 消息中捕获的信息:
VServerID"Identifier for the Vserver associated with this operation."
scannerIP "IP address of the client attemping to access the ONTAP_ADMIN$ share."

更正操作 - 使用“ vscan scanner Pool show -active ”命令查看当前活动的扫描仪池配置、确保上述用户名和 IP 地址存在于其中一个已配置的 vscan 扫描程序池中。
 
nblad.vscanbaduserprivaccess
说明:如果在允许的用户列表中未找到尝试连接到特权 ONTAP_ADMIN$ 共享的客户端的登录用户,则会出现此消息。
示例消息:
Nblade.vscanBadUserPrivAccess: vserverId="2", userName= "fsctuser1", scannerIp="10.72.204.27".

    EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation."
用户名"User name of the client attemping to access the ONTAP_ADMIN$ share."
scannerIP "IP address of the client attemping to access the ONTAP_ADMIN$ share."

更正操作 - 使用“ vscan scanner Pool show -active ”命令查看当前活动的扫描仪池配置、确保上述用户名和 IP 地址存在于其中一个已配置的 vscan 扫描程序池中。

或者,如果 EMS 消息中提到的用户是计算机帐户、例如 "DOMAIN \VSCANSVR$" :

  1. 确保客户将所有 AV 引擎服务配置为与已在扫描仪池中配置的特权用户一起运行。 
  2. 确保 VScan 服务器上只安装所需的软件、例如安全软件的实时保护(而不是供应商 VScan 软件)等功能可能会尝试访问特权的 ONTAP_ADMIN$ 共享(将被拒绝)并生成此类错误。对于 Windows Server 2016 和更高版本、还应禁用 Windows Defender 服务。

Nblade 。 CifsnopRivShare
说明:当客户端尝试连接到不存在的 ONTAP_ADMIN$ 共享时,会出现此消息。
示例消息:
Nblade.cifsNoPrivShare: vserverId="2", userName= "fsctuser1", clientIp="10.72.204.27".

    EMS 消息中捕获的是什么信息:
VServerID"Identifier for the Vserver associated with this operation."
用户名"User name of the client attemping to access the nonexistent ONTAP_ADMIN$ share."
ClientID "IP address of the client attemping to access the nonexistent ONTAP_ADMIN$ share."

更正操作—确保为上述虚拟服务器 ID 启用 VScan 。在虚拟服务器上启用 vScan 会自动为虚拟服务器创建 ONTAP_ADMIN$ 共享。

nble.vScanConnInvalidUser
说明:如果在允许的用户列表中找不到尝试创建 VScan 管道的客户端的登录用户,则会出现此消息。
示例消息:
Nblade.vscanConnInvalidUser: vserverId="2", scannerIp="10.72.204.27, userName= "fsctuser1".

     EMS 消息中捕获的信息是什么:
VServerID"Identifier for the Vserver associated with this operation.
scannerIP"IP address of the client attemping to create a vscan pipe."
用户名"User name of the client attemping to create a vscan pipe."

更正操作—确保所述用户名存在于其中一个活动的 VScan 扫描程序池中。使用“ vscan scanner pool show -active ”命令查看当前活动的扫描仪池配置。

[ 可用的集群模式 Data ONTAP 8.3.2+ ]

Nble.vScanvirusDetected.
说明:当 VScan 服务器向存储系统报告错误时,会出现此消息。通常这表示 Vscan 服务器发现病毒;但是, Vscan 服务器上的其他错误情况可能会导致此事件。拒绝客户端访问该文件。vScan 服务器可能会根据其设置和配置、清除文件、隔离或删除该文件。
示例消息:
Possible virus detected. Vserver: “vserverName”, vscan server IP: “vscanServerIp”, file path: “filePath”, client IP: “clientIp”, SID: “SID”, vscan engine status: “vscanEngineStatus” , vscan engine result string: “vscanEngineResultString”.

    EMS 消息中捕获的是什么信息:
vservername“Name of the Vserver associated with this operation.”
vScanServerIP" IP address of the vscan server. "
文件路径“Path of the file that was found to be infected.”
ClientIP“IP address of the client.”
SID“SID of the client.”
vscanenginestatus“Status code returned by the vscan server.”
vscanengineresultString “result string returned by the vscan server.”

更正操作—检查系统日志消息中报告的 Vscan (防病毒)服务器的日志,以查看它是否能够成功隔离或删除受感染的文件。如果无法执行此操作、系统管理员可能希望手动删除该文件。

[ 可用的集群模式 Data ONTAP 9.1P6+]

nblade 。 vscannopolicing 已启用
说明:由于没有为虚拟服务器启用任何已配置的访问策略、因此在不考虑文件访问以进行病毒扫描时会出现此消息。
示例消息:
Nblade.vscanNoPolicyEnabled: For Vserver "vserverName", the file access was not considered for virus scanning because none of the configured On-Access policies are enabled.

EMS 消息中捕获的信息:
Vservername“Name of the Vserver associated with this operation.”

更正操作—为虚拟服务器启用其中一个已配置的访问策略。

nble.vscanconnreqonsmb 1.
说明:在 VScan 服务器尝试通过 SMB 1 建立 VScan 连接时会出现此消息,但不支持此消息。
示例消息:
Nblade.vscanConnReqOnSMB1: For Vserver "vserverName", the vscan connection request coming from the client "vscanServerIp" is rejected because it is not supported for SMB1.

EMS 消息中捕获的信息是什么:
Vservername“Name of the Vserver associated with this operation.”
VScanServerIP" IP address of the vscan server. "

纠正措施 - 验证 VScan 服务器和 Data ONTAP(R) 是否支持 和配置为 SMB 2 或更高版本。


 

常见问题解答 (FAQ) :
  • 是否存在捕获这些 EMS 消息的任何现有 SNMP 陷阱?
    答:但是,错误 927663 还没有满足这一需求。[offbox -av] :添加 EMS 和 SNMP 陷阱以捕获 vScan 配置更改。
    但是,在 8.4 和 8.3.2 之后、我们将能够捕获受感染的文件 EMS 消息、因为 "EMS 错误消息在 vScan 服务器检测到受感染的文件时不会生成 " 中的修复。请参见错误 906894
     
  • 如何使用这些 EMS 消息跟踪来自 vscanner 的事件?
    您可以跟踪 EMS 日志中发生的事件、例如
    :例如: #1 :用户将其 "McAfee VirusScan Enterprise for Storage" 服务的服务帐户从特权用户更改为另一个域用户帐户,并导致扫描失败。请注意 EMS 日志中反映该更改的事件。
    filer::*> event log show -node node1 -event *vscan*

    Time                Node             Severity      Event

    ------------------- -------------- ------------- ---------------------------

    1/12/2016 09:27:17  node1         WARNING       Nblade.vscanBadUserPrivAccess: vserverId="3", userName="DOMAINInvalidDomainAccount", scannerIp="10.63.119.148"

    1/12/2016 09:27:17  node1          DEBUG ems.engine.suppressed: Event 'Nblade.vscanBadUserPrivAccess' suppressed 687 times in last 511780 seconds.

    1/12/2016 09:26:12  node1          WARNING      Nblade.vscanNoRegdScanner:vserverId="3", scannerIp="10.63.119.148"


    示例 2 :已禁用并重新启用 vScan 。
     
    filer::*> event log show -node node1 -event *vscan*

    Time                Node             Severity      Event

    ------------------- ---------------- ------------- ---------------------------

    1/11/2016 10:53:53  node1 INFORMATIONAL vscan.enabled: Vscan is enabled on Vserver 'vsm1'.

    1/11/2016 10:53:46  node1 INFORMATIONAL vscan.disabled: Vscan is disabled on Vserver 'vsm1'.

     
  • 我还有哪些其他日志记录可用于 vscanning ?
    AV 连接器还具有日志记录功能;必须手动启用此功能。
    (在启用 AVSHIM 日志记录部分下)。
    3014901__en_US__Solutions30149013014901.jpg
AVSHIM 日志中出现的错误的文本示例:
40.860: [Pipe: 10.64.80.74, cifs01cmvsimn1-ams5][r] CreateNamedPipe failed with 1. closingQ: [0]
41.532: [Pipe: 10.64.80.76, cifs01cmvsimn2-ams5][r] CreateNamedPipe failed with 1. closingQ: [0]
                                             
AV 连接器常见错误

以下是一些典型的错误代码以及它们可能表示的问题:

错误代码“ 1 ”
(功能不正确)
通常表示:
  • 未在上述虚拟服务器上启用 VScan 功能
  • 所述的 scanner 主机 IP 不在当前活动的某个扫描仪池的 IP 列表中

错误 - 代码“ 2 ”

(系统找不到指定的文件)
这通常表示 AV Connector 服务的用户帐户未列在所述虚拟服务器的当前活动扫描程序池中的特权用户列表中
 

错误 - 代码 '5'

(无法连接到主机( err=5 )
这通常表示访问被拒绝错误。可以在多个位置看到这一点、请检查任何相应的 EMS Vscan 消息以了解相关错误。验证是否正确设置了权限用户以及是否正确设置了使用的帐户 AV 连接器。
 

错误 - 代码“ 31 ”

( GetOverlappedResult 失败)
这通常表示这一点

  • 在 vScan 服务器上禁用 SMB2 作为客户端(重新: https://support.microsoft.com/en-us/kb/2696547 运行“ C query MRxSMB20 ”检查状态)
  • 已在虚拟服务器或 VScan 服务器上禁用了 SMB2 。验证是否在虚拟服务器上启用了 SMB2 并重新引导 Vscan 服务器以清除条件。

错误 - 代码 '53'

(功能不正确)
(未找到网络路径)

这通常表示以下一个或多个问题:

  • 无法从扫描仪主机和提到的虚拟服务器的 data-lif 进行访问
  • 未为上述虚拟服务器配置 SMB2
  • 未在扫描仪主机上配置 SMB2
  • 扫描仪和文件管理器之间存在时间偏差(相隔 5 分钟以上)

错误 - 代码 '58'

(指定的服务器不能执行请求的操作)
此消息可能表示尝试使用大于 2048 字节
的路径名 AV 连接器 1.0.4 应将此限制增加到 4096 字节。
如果没有修复1098898、 ONTAP 将不会发送大于 Burt 中指定路径名的扫描请求。

错误 - 代码 '67'

(未找到网络名称)
此消息可能表示未为上述虚拟服务器配置 SMB2


错误代码“ 1326 ” -
运行 AV 连接器服务的帐户的错误用户名 / 密码用户名 / 密码组合不正确。

错误 - 代码 '1907'

(用户的密码必须在首次登录之前更改)
此消息可能表示 AV Connector 服务的用户帐户(安全上下文)不是有效的域用户,或者必须刷新给定用户帐户的密码。在前一种情况下,可以通过将 AV 连接器的用户帐户更改为有效的活动域用户来确认此问题、该用户帐户存在于当前活动扫描仪池中的特权用户列表中。
 

错误代码 "1935" — Error_authentication_firewall_failed
verify 是使用的帐户遍历了选择性鉴定域信任。如果是这样,则必须为服务帐户提供穿越该域信任的权限。

错误代码未定义为 KB ?或者不知道吗?没有问题。

它们是 Windows 错误代码。
转至此处以帮助翻译: https://docs..microsoft.com/en-us/win...em-error-codes
 

其他信息

在此处添加您的文本。