Netwrix/Stealthbits Fpolicy最佳实践和建议

这些建议将根据Netwrix准则一起执行、可能需要客户联系Netwrix以获取更多详细信息或说明。

根据Netwrix准则、确保Netwrix版本为最新版本、包括此Hotrix的增强功能(SAM_6.0_029)
- 客户必须直接与Netwrix支持部门联系、才能获取有关此修补程序的详细信息。
- 此处附加了一份修补程序信息副本SAM_6.0_029 (有关最新信息、请与Netwrix联系)
- 新版本将更好地处理突发活动事件、并针对改进的事件处理和其他增强功能进行了优化。
- 请联系Netwrix以确保您获得最佳版本。
其他Netwrix专用最佳实践
- 考虑使用多个主服务器进行横向扩展和容错。
- 在ONTAP和活动监视程序代理之间使用低延迟链路。例如、活动监控代理应与受监控的NetApp设备位于同一数据中心。
- 缩小监控范围(监控哪些操作、共享、卷)。建议不要监控已加载服务器上的目录读取操作。
- 确保每个ONTAP集群节点的每个SVM都有一个LIF以连接到代理。

升级到具有已知fpolicy相关问题修复程序的适当ONTAP版本
- 1438207 - 如果FPolicy进入限制状态、则它可能会停止向外部引擎发送屏幕请求

对于Netwrix外部引擎、将发送缓冲区大小设置为7895160
- Netwrix最佳实践是将设置为最大值："The FPolicy Send-Buffer Size is set to 7895160"

vserver fpolicy policy external-engine modify -vserver <vserver> -engine-name <engine-name> send-buffer-size 7895160

vserver fpolicy policy external-engine modify -vserver <vserver -engine-name <engine-name> -reqs-abort-timeout 10s

7.5 管理FPolicy工作流和对其他技术的依赖: NetApp建议在进行任何配置更改之前禁用FPolicy策略。例如、
如果要在为已启用策略配置的外部引擎中添加或修改某个IP地址、请
先禁用该策略。
如果将FPolicy配置为监控NetApp FlexCache® 卷、NetApp建议您不要
将FPolicy配置为监控读取和 getATTR 文件操作。要在ONTAP中监控这些操作
、需要检索索引节点到路径(i2P)数据。由于无法从FlexCache 卷检索I2P数据、因此必须从初始卷检索这些数据
。因此、监控这些操作会消除
FlexCache可提供的性能优势。
当同时部署FPolicy和机下防病毒(AV)解决方案时、AV解决方案会首先收到
通知。FPolicy处理仅在AV扫描完成后开始。速度较慢的AV扫描器可能会
影响整体性能，因此AV解决方案的大小必须适当。
定义范围时、将要监控或审核的所有共享添加到共享/包含列表中。
如果不想监视共享，请关闭文件服务器上的monitoring。在SVM上禁用FPolicy
没有任何帮助，因为 Netwrix Activity Monitor 活动代理会定期检查文件服务器
，如果没有断开连接 (如果选择了“启用并连接FPolicy”
选项)，则会自动禁用或启用FPolicy。

7.6 大小设置注意事项: FPolicy对CIFS操作执行实时监控、向外部服务器发送通知并等待响应、
具体取决于外部引擎通信模式(同步或
异步)。此过程会影响CIFS访问和CPU资源的性能。要缓解
任何问题、NetApp建议在启用FPolicy之前对环境进行评估和规模估算。
性能受用户数量、工作负载特征(例如每个用户的操作数、
数据大小和网络延迟)的影响。

8 Netwrix文件活动监视器最佳P racpets.: 在将 Netwrix 文件活动监视器与NetApp文件服务器结合
使用时，建议 • 遵循以下最佳实践：
将 FPolicy配置限制为特定的卷、共享和操作，以减少对SVM的影响
。
• 考虑部署多个 Netwrix活动监控器活动代理、以实现负载平衡和容错
。
• 使用启用并连接FPolicy选项使SVM保持连接、并始终将事件发送
到 Netwrix 活动监控器代理活动