Storage Workload Security コレクターは、短時間の FPolicy 切断イベントの後、CIFS ユーザーアクティビティの収集を停止します
環境
Storage Workload Security(SWS)
問題
SWSデータコレクタは、SWSエージェント とSVM間で短時間のネットワーク障害が発生した後、特定のSVMのCIFS/SMBユーザアクティビティの収集を停止します
。コレクタは自動的に回復せず、監査イベントの収集を再開しません
現象:
- SWS Forensics Activity ページにおける CIFS ユーザーアクティビティの欠落
- Data Collector に次のメッセージが表示される場合があります:
"Error"Connector is in error state. Service name: audit. Reason for failure: External fpolicy server terminated. - Collector はイベントを収集していなくても「実行中」と表示される場合があります
- ONTAP EMS:
fpolicy.srv.disconnect for the affected SVM - Agent dsc.log:
[ERROR] - Service audit failed with reason: External fpolicy server terminated.
停止期間中に発生したアクティビティは、SWSフォレンジック記録 から永久に失われます。