AIQCASecure 在 Active IQ Unified Manager 服务器中的工作原理

• AIQUM 使用名为 aiqcasecure 的实用程序与 Active IQ Config Advisor 集成。
• 在 AIQUM 中启用 Active IQ Portal Events 后，AIQUM 提供有关 Active IQ Config Advisor 检测到的所有 ONTAP 风险的建议和更新

AIQUM 有两种类型的事件

1. 由轮询（库存/性能/ems）创建的事件，由 AIQUM 创建的正常监控事件
   • 事件被称为 Active IQ Unified Manager 事件
2. 由 CA (aiqcasecure) 创建的事件，也称为 Active IQ Portal Events
   • aiqcasecure 使用规则查找信息
   • aiqcasecure 收集/失败 570 个事件
   • 收集工作每天执行一次
   • 事件称为 aiq 门户事件

AIQCASECURE 有三个组成部分

1. 收集器
   • 从控制器 spi 收集 asup
     • UM 在午夜（凌晨 12:15）触发 configadvisor 集合（aiqcasecure）
     • ConfigAdvisor 是与 AIQUM 捆绑在一起的 CLI 实用程序（aiqcasecure）
     • AIQUM 中的 CA 仅在集群日期和时间的午夜之后收集 asup，不使用 AIQUM 日期/时间。
     • ASUP 直接从集群 SPI 采集，例如 [https://cluster_mgmt_lif/spi/node/etc/log/autosupport/202208240018.0.files]
     • Weekly 和 Management asup 文件从集群 SPI 采集
2. 解析器
   • 将解析 asup 文件，并收集/填充必要的数据
3. 评估者
   • 评估人员将根据解析数据应用规则/检查以确定风险。

aiqcasecure 有两个规则文件 rules.zip 和 secure_rules.zip

1. Rules.zip [打开站点]
   • 这些规则适用于所有 aiqum 服务器，如果它们能够访问互联网站点（开放站点）。
   • AIQUM 服务器将自动下载此 rules.zip 文件
2. Secure_rules.zip [隔离站点]
   • Note: 有多种方法可以下载 secure_rules.zip 文件
     • secure_rules.zip 可以从 NetApp 站点下载 https://mysupport.netapp.com/api/content-service/staticcontents/content/public/tools/unifiedmanager/ca/secure_rules.zip
     • 第二种方式是转到文档站点
       • https://docs.netapp.com/us-en/active-iq-unified-manager/events/task_upload_new_active_iq_rules_file.html
       • 注意请选择您的 AIQUM 版本并下载 secure_rules.zip 文件
   • 有两种方法可以更新暗站点 AIQUM 服务器的 secure_rules.zip 文件
     1. 从 AIQUM GUI
        • AIQUM > 设置 > 存储管理 > 事件设置 > 上传规则
     2. 从 AIQUM CLI
        • 将 secure_rules.zip 上传到 /tmp 文件夹
        • cd /opt/netapp/ocum/configadvisor/AIQCASecure/
        • su jboss
        • /aiqcasecure rules -ur /tmp/secure_rules.zip

• 目前我们无法从 AIQUM 禁用单个 aiqcasecure 规则
• 您可以从 AIQUM > Settings > General > Feature Settings > Active IQ Portal Events > On or Off 禁用 Active IQ Portal Events
  • 注：此操作将禁用所有规则。

• AIQUM 规则包与 Config Advisor 匹配，但更新发生在 30 天或更长时间（几个月）
• Config Advisor 运行与 AIQUM 服务器相同的规则，但当修复发生时，CA 会在同一天或第二天使用新规则包进行更新，但 AIQUM 直到几个月后才会更新。

Aiqcasecure 数据和日志文件位置

• Aiqcasecure 数据位置：/var/log/ocie/recording/AIQCASecureData/collected_data
  • ONTAP ASUP 和结果文件夹
    • collected_data文件夹包含其他重要的 asup 数据文件和 json 文件，这些文件是针对 asup 文件进行 aiqcasecure 分析的结果
      • 风险（json 文件）可以在此路径下看到
        • /var/log/ocie/recording/AIQCASecureDataResults/collected_data/Results/clusternameorip/nodenameorip/nodename/202209130015.0.files/Rule\ Results/202209130015.0.files_rule_results.json
      • AIQUM 直接从位于此处的集群 SPI 收集集群 ASUP 文件
        • /var/log/ocie/recording/AIQCASecureData/collected_data/cluster/cluster_mgmt_lif/node/202208240018.0.files
          • 注：集群 ASUP 文件通过 SPI 在集群上的位置，这些是 AIQUM 每天早上 00:15 获取的相同文件
            • https://cluster_mgmt_ip/spi/node_name/etc/log/autosupport/
  • Aiqcasecure 日志位置 > /var/log/ocie/recording/AIQCASecureData/collected_log
    • 在 AIQUM 9.11 及更高版本中 > /var/log/ocie/recording/AIQCASecureData/collected_log/ConfigAdvisorAIDE/Logs/
    • 在 AIQUM 9.10 及更低版本中 > /var/log/ocie/recording/AIQCASecureData/collected_logs

• 如果我们想看到当前的 aiqcasecure 规则版本，我们可以执行以下操作
  • cd /opt/netapp/ocum/configadvisor/AIQCASecure/
  • su jboss
  • ./aiqcasecure rules -rv
  • 注意：务必将用户切换为 jboss，原因在于如果以 ./aiqcasecure rules -rv 身份执行 root，则会更改文件权限，导致此后工具 aiqcasecure 将无法执行

• 找到 JSON 文件
  • /var/log/ocie/recording/AIQCASecureData/collected_data/Results/clustername_ip/nodename_ip/nodename/202209080014.0.files/Rule\ Results/202209080014.0.files_rule_results.json
• 解析 json 文件，可以使用 notepad++ 与 json 模块，也可以使用任何可读取 json 的站点
• 查找 json 文件中每个规则的 result_code
  • "result_code": 0        
    • [通过]无事件/风险
  • "result_code": 1        
    • [failed] 每当我们看到 result_code "1" 时，这将触发 AIQUM 中的事件
  • "result_code": -1
    • [不适用]表示数据不存在或规则不适用于此版本的 ONTAP