Netwriix/Stealthbits Fpolicy最佳实践和建议
适用场景
- CIFS
- NFS
- 网络
- 步骤
- FPolicy
问题解答
与Netwrix Fpolicy部署相关的最佳实践和建议有哪些?
- 本指南对于确保您了解Netwrix和NetApp的最佳实践至关重要。
- 适用于Netwrix活动监控器的NetApp Fpolicy部署最佳实践
Netwrix专用建议:
这些建议将根据Netwrix准则结合使用、可能需要客户联系Netwrix以了解更多详细信息/说明。
-
根据Netwrix准则、确保Netwrix版本是最新的、包括此类硬件的增强功能(SAM_6.0_029)
-
客户必须直接联系Netwrix支持部门、才能获取有关此修补程序的详细信息。
-
此处随附了一份热修补程序信息副本 SAM_6.0_029 (请联系Netwrix了解最新信息)
-
新版本将更好地处理突发的活动事件、并进行了优化以改进事件处理和其他增强功能。
请联系Netwrix以确保您的版本是最佳版本。
-
-
其他Netwrix专用最佳实践
-
考虑使用多个主服务器进行横向扩展和容错。
-
在ONTAP 和活动监控代理之间使用低延迟链路。例如 、活动监控代理应与受监控的NetApp设备位于同一数据中心。
-
缩小监控范围(正在监控哪些操作、共享、卷)。建议不要监控加载的服务器上的目录读取操作。
- 确保每个ONTAP 集群节点的每个SVM都有一个LIF以连接到代理。
-
NetApp特定建议:
-
升级到已修复已知fpolicy相关问题的相应ONTAP 版本
-
对于Netwrix外部引擎、请将Send-buffer-size设置为7895160
- Netwrix最佳实践是将设置为最大值:"FPolicy Send-Buffer Size is set to 7895160"
vserver fpolicy policy external-engine modify -vserver <vserver> -engine-name <engine-name> send-buffer-size 7895160
- 有关如何设置发送缓冲区大小的详细信息、请参见:
-
要减少延迟的潜在影响、请在Netwrix的指导下将中止超时设置为更低、例如:10s。
如果代理和SVM之间存在大量延迟、则可能发生原因 会出现TCP确认延迟、并在极少数情况下对延迟产生潜在影响。
要在代理出现连接问题或CPU资源不足的情况下减少最终用户延迟、建议将"中止请求超时"从40秒降低到10秒。
vserver fpolicy policy external-engine modify -vserver <vserver -engine-name <engine-name> -reqs-abort-timeout 10s
请参见以下文档: vserver fpolicy policy external-engine commands - vserver fpolicy external-engine show。
一般建议:
-
根据 TR-4696 Netwris/Stealthbits 最佳实践
-
查看上述技术报告、了解更多最佳实践、包括:
-
7.5管理FPolicy工作流和对其他技术的依赖
NetApp建议在进行任何配置更改之前禁用FPolicy策略。例如、
如果要在为已启用策略配置的外部引擎
中添加或修改IP地址、请先禁用此策略。
如果您将FPolicy配置为监控NetApp FlexCache®卷、NetApp建议不要
将FPolicy配置为监控读取和getattr文件操作。要在ONTAP 中监控这些操作
、需要检索索引节点到路径(inode - to - path、I2P)数据。由于无法从FlexCache
卷检索I2P数据、必须从原始卷中检索。 因此、监控这些操作将消除
FlexCache 可提供的性能优势。
部署FPolicy和机下防病毒(AV)解决方案 后、AV解决方案
会首先收到通知。FPolicy处理仅在AV扫描完成后启动。AV扫描程序速度较慢可能
会影响整体性能、因此AV解决方案的规模必须正确。
定义范围时、将要监控或审核的所有共享添加到共享/包含列表中。
如果不想监控共享、请关闭文件服务器上的monitorin g。在SVM上禁用FPolicy
不会很有用、因为Netwrix活动监控活动代理会定期检查文件服务器
、如果未断开连接(如果
选择了启用并连接FPolicy选项)、则会自动禁用或启用FPolicy。
7.6规模估算注意事项
根据
外部引擎通信模式(同步或)、FPolicy会对CIFS操作执行实时监控、向外部服务器发送通知并等待响应
异步)。 此过程会影响CIFS访问和CPU资源的性能。要缓解
任何问题、 NetApp建议在启用FPolicy之前对环境进行评估和规模估算。
性能受用户数量、工作负载特征(例如每个用户的操作数、
数据大小和网络延迟)的影响。
8Netwrix文件活动监控最佳配置
在
NetApp文件服务器上使用Netwrix文件活动监控器时、建议采用以下最佳实践:
•将FPolicy配置<br role="presentation" />限制为特定卷、共享和操作、以减少对
SVM的影响。
• 考虑部署多个Netwrix活动监控活动代理以实现负载平衡和容错
。
• 使用启用和连接FPolicy选项使SVM保持连接、并始终向
Netwrix活动监控活动代理发送事件