ARPは攻撃確率「None」で過剰なスナップショットを作成します
環境
- ONTAP 9.14.1以降
- ARPが有効なすべてのFAS、AFF、およびASAプラットフォーム
問題
- ONTAP 9.17.1P6を実行しているクラスターで自律型ランサムウェア対策(ARP)を有効にした後、攻撃の可能性が「none」のままであるにもかかわらず、複数のボリュームで過剰な
Anti_ransomware_attack_backupスナップショットが作成されます。 - これらのスナップショットは、 「New file extension detected」という理由でトリガーされ、頻繁な間隔(一部のケースでは30分ごと)で作成されるため、ボリュームのスペース消費量が2〜3日以内に約3×増加します。
- 影響を受けるボリュームでARPを無効にしてから再度有効にし、リセットを試みます。無効化と再有効化の後、ボリュームは正常に動作し始めましたが、一部のボリュームでは高頻度で攻撃スナップショットが生成され続けました。
- 攻撃の可能性がコールホーム生成に必要なしきい値である「Moderate」にエスカレーションされなかったため、
callhome.arw.activity.seenアラートやEMS通知はトリガーされませんでした。 - この動作を示すEMSログの例:
[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0138". Reason: "New file extension detected".[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0208". Reason: "New file extension detected".
[cluster-n01: wafl_arp_block_device_worker_: arw.snapshot.created:notice]: ARP snapshot created on volume "db_vol01_roc" (UUID: "aade7a6f-xxxx-xxxx-xxxx-xxxxxxxxxxxx") in SVM "svm_db01" (UUID: "3beec5b2-xxxx-xxxx-xxxx-xxxxxxxxxxxx") at "2026-06-03_0238". Reason: "New file extension detected".
- 主な所見:
- 攻撃スナップショットは、「新しいファイル拡張子が検出されました」という理由で約30分ごとに作成されます。
- 攻撃の可能性は「なし」のままであり、中程度または高レベルへのエスカレーションはありません。
arw.activity.seenのコールホームはトリガーされません。- 定期的なARPスナップショット(
Anti-ransomware periodic snapshot created)は通常通り継続し、上限は6です。 - 「新しいファイル拡張子が検出されました」によってトリガーされた攻撃スナップショットは上限なしであり、
arw.snap.new.extns.interval.hoursに基づいて保持されます(最低24時間)。 - 無効化/再有効化後、ワークロード特性(学習済みベースライン/急増)は空として表示されます。
arw.snap.new.extns.interval.hoursパラメータには最小強制値24があります(これより低い値に設定しようとすると、次の結果が返されます:value must be between 24 and 8760)。