ARP 创建攻击概率为"无"的过量快照

• ONTAP 9.14.1 及更高版本
• 所有启用了 ARP 的 FAS、AFF 和 ASA 平台

• 在运行 ONTAP 9.17.1P6 的集群上启用防勒索软件保护 (ARP) 后，即使攻击概率仍为 “none”，Anti_ransomware_attack_backup也会在多个卷上创建过多的 Snapshot 副本。
• 触发这些 Snapshot 副本的原因为 “检测到新文件扩展名”，且创建频率很高（在某些情况下每 30 分钟一次），导致卷空间消耗在 2-3 天内增长了约 3×。
• 在受影响的卷上禁用并重新启用 ARP 以尝试重置。在禁用/重新启用后，卷开始正常运行，但仍有少数卷继续高频生成攻击 Snapshot 副本。
• 未触发任何 callhome.arw.activity.seen警报或 EMS 通知，因为攻击概率从未升级到 “Moderate” —— 这是生成 Call-Home 所需的阈值。
• 显示该行为的 EMS 日志示例：

[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0138". Reason: "New file extension detected".[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0208". Reason: "New file extension detected".
[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0238". Reason: "New file extension detected".

• 关键观察结果：
  • 攻击快照每隔约 30 分钟创建一次，原因为"检测到新文件扩展名"
  • 攻击概率保持为"无"——不会升级到中等或高
  • 未触发 arw.activity.seen call-home
  • 定期 ARP 快照（Anti-ransomware periodic snapshot created）正常继续，上限为 6 个
  • 由"检测到新文件扩展名"触发的攻击快照不设上限，并根据 arw.snap.new.extns.interval.hours（至少 24 小时）进行保留
  • 工作负载特征（已学习的基线/浪涌）在禁用/重新启用后显示为空
  • arw.snap.new.extns.interval.hours 参数具有最小强制值 24（尝试将其设置为更低的值时返回：value must be between 24 and 8760）