メインコンテンツまでスキップ
NetApp’s Response to Customers Regarding the Log4j Vulnerability Threat

ONTAP Vscan Offbox タイムアウト設定の推奨値はどれですか。

  1. 最後の更新
  2. PDFとして保存
Views:
145
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • ONTAP 9
  • ウィルス対策

回答

Vscan のタイムアウトを最適化するための推奨事項は 2 つあります。

  • ONTAP 「 vserver : vscan scanner-pool 」ポリシーを設定します
  • Vscan ベンダー依存タイムアウト値。

 

最終的には、タイムアウトの推奨事項はさまざまなテクニカルレポートに記載されており、 Vscan ベンダーが提供するベストプラクティスが示されています。


さまざまなテクニカルレポートを次に示します。

  • TR-4286: 『 Antivirus Solution Guide for Clustered Data ONTAP 8.2.1 : McAfee 』を参照してください
  • TR-4304 :『 Antivirus Solution Guide for Clustered Data ONTAP 8.2.1 : Symantec 』
  • TR-4309 『 Antivirus Solution Guide for Clustered Data ONTAP 8.2.1 : Sophos 』
  • TR-4312 :『 Antivirus Solution Guide for Clustered Data ONTAP 8.2.1 : Trend Micro 』
vscan scanner-pool のタイムアウト値は何に設定すればよいですか。

ネットアップの一般的なガイドラインは、 vscan エンジンのタイムアウト値が、 scanner-pool request service timeout (デフォルトは 30 秒)の値よりも小さいことを確認することです。

「 vserver vscan scanner-pool 」タイムアウト設定の推奨設定は次のとおりです。( 9.3 例)

::*> vscan scanner-pool show -instance

                                         Vserver: svm1
                                    Scanner Pool: pool1
                                  Applied Policy: primary
                                  Current Status: on
              Cluster on Which Policy Is Applied: node1
                       Scanner Pool Config Owner: vserver
            List of IPs of Allowed Vscan Servers: 10.63.119.140
List of Host Names of Allowed Vscan Servers: 10.63.119.140
                        List of Privileged Users: domain\administrator
                         Request Service Timeout: 30s
                              Scan Queue Timeout: 20s
                           Session Setup Timeout: 10s
                        Session Teardown Timeout: 10s
Max Number of Consecutive Session Setup Attempts: 5

 それぞれの価値は何を意味しますか?

  • request-timeout :スキャン要求の応答の最大待機時間を示します。
  • scan-queue-timeout :スキャンエンジンのキュー内のスキャン要求が処理されるまでに費やした最大時間を示します。
  • session-setup-timeout : session-setup-message に対する応答の最大待機時間を示します。
  • session-tearown-timeout :基盤となる接続が切断されたあとに、 session-tearown-message に対する応答、または session-id に対するメッセージを受信する最大待機時間を示します。
  • max-session-setup-retries :セッション ID のセッションセットアップを再試行できる最大回数を示します。連続して再試行が失敗した場合に限ります。

一般的な推奨事項は、これらのタイムアウト値を変更しないことです。

これらはデフォルトとして最適に設定されています。ただし、これらの値を変更しなければならない状況もあります。

ベンダースキャンタイムアウトを設定する必要があるものは何ですか。

ネットアップの公式な推奨事項は、スキャンタイムアウト値を定義された要求サービスタイムアウトよりも低く設定することですが、最終的には、ベンダーの推奨事項によって異なります。


パブリッシュ時に、これらは現在パブリッシュされているベンダータイムアウト値です。
 

AVベンダー スキャンタイムアウト値
Symantec 2/3* REQ_TIMEOUT
mcafee 25 秒
Sophos 60 秒 **
Kaspersky 60 秒 **
trend micro 24 秒

* ネットアップファイルを使用してネットワーク接続ストレージに Symantec Protection Engine を実装するためのベストプラクティスに基づきます

** ネットアップでは、この値を 30 秒未満に設定することを推奨しています(理論的には、この値から 5 ~ 10 秒下のRequest Service Timeout

追加情報