Netwrix / Stealthbits FPolicyのベストプラクティスと推奨事項

Netwrix FPolicyの導入に関連するベストプラクティスと推奨事項を教えてください。

• このガイドは、NetwrixとNetApp側のベストプラクティスの両方を明らかにする上で重要です。
• NetwrixアクティビティモニタでのNetApp FPolicyの導入に関するベストプラクティス

Netwrix固有の推奨事項：

これらの推奨事項は、Netwrixのガイドラインに従って実施する必要があります。詳細については、お客様がNetwrixに問い合わせる必要がある場合があります。

• Netwrixのガイドラインに従って、このHOTIFXの拡張機能を含め、Netwrixのバージョンが最新であることを確認します（SAM_6.0_029）。

  • この修正プログラムに関する詳細情報を入手するには、Netwrixサポートに直接お問い合わせいただく必要があります。

  • ホットフィックス情報のコピーは、ここに添付されています。SAM_6.0_029（最新情報については、Netwrixにお問い合わせください）

  • 新しいバージョンでは、アクティビティイベントのバースト処理が改善され、イベントの処理やその他の機能強化が最適化されています。

  • Netwrixに連絡して、利用可能な最高のリリースになっていることを確認してください。

• その他のNetwrix固有のベストプラクティス

  • スケールアウトとフォールトトレランスの目的で、複数のプライマリサーバを使用することを検討してください。

  • ONTAPとアクティビティモニタエージェントの間に低遅延リンクを使用します。たとえば、アクティビティモニタエージェントは、監視対象のNetAppアプライアンスと同じデータセンターに配置する必要があります。

  • 監視対象を絞り込みます（監視対象の処理、共有、ボリューム）。ロードされたサーバでディレクトリ読み取り操作を監視することはお勧めできません。

  • 各ONTAPクラスタノードに、エージェントに接続するためのLIFがSVMごとに設定されていることを確認します。

NetApp固有の推奨事項：

• 既知のFPolicy関連の問題の修正が含まれているONTAPの適切なバージョンにアップグレードする

  • 1438207 -  外部エンジンがスロットル状態になると、FPolicyが外部エンジンへのスクリーニング要求の送信を停止することがある

• Netwrix外部エンジンの場合は、send-buffer-sizeを 7895160に設定します。

  • Netwrixのベストプラクティスでは、最大値を設定することを推奨します。「FPolicyの送信バッファサイズは7895160に設定されています」

vserver fpolicy policy external-engine modify -vserver <vserver> -engine-name <engine-name> send-buffer-size 7895160

• send-bufferサイズの設定方法の詳細については、以下を参照してください。
  • ONTAP 9 FPolicyの送信バッファの計算方法
  • EMSおよびFpolicy.logで検出されたEAGAINエラーを書き込む

• レイテンシの潜在的な影響を軽減するには、Netwrixガイダンスで中止タイムアウトを10秒以下に設定します。

• エージェントとSVMの間で大量のレイテンシが発生した場合、原因TCP確認応答に遅延が生じ、ごくまれにレイテンシに影響する可能性があります。
• エージェントで接続の問題やCPUの枯渇が発生した場合にエンドユーザの遅延を減らすには、[Timeout for Aborting a Request]を40秒から10秒に下げることをお勧めします。

vserver fpolicy policy external-engine modify -vserver <vserver -engine-name <engine-name> -reqs-abort-timeout 10s

• 次のドキュメントを参照してください。Vserver fpolicy policy external-engine commands  -vserver fpolicy policy external-engine show

一般的な推奨事項：

• TR-4696『Netwrix / Stealthbits Best Practice』

Expand All

7.5 FPolicyワークフローと他のテクノロジへの依存関係の管理

NetAppでは、設定の変更を行う前にFPolicyポリシーを無効にすることを推奨しています。たとえば
、有効なポリシーに設定されている外部エンジンのIPアドレスを追加または変更する場合は、
最初にポリシーを無効にします。
NetApp FlexCache ボリュームを監視するようにFPolicyを設定する場合は®NetApp 、 読み取り および 属性取得 ファイル操作を監視するようにFPolicyを設定しないことを
推奨します。ONTAPでこれらの処理を監視する
には、inode-to-path（I2P）データを取得する必要があります。I2PデータはFlexCache ボリュームから取得できないため
、元のボリュームから取得する必要があります。そのため、これらの処理を監視することで 、FlexCacheが提供するパフォーマンス上のメリットが排除され
ます。
FPolicyと外部ウィルス対策（AV）解決策の両方が導入されている場合、AV解決策は 最初に通知を受信します
。FPolicyの処理 はAVスキャンの完了後に開始されます。 低速のAVスキャナは 全体的なパフォーマンスに影響する可能性がある
ため、AVソリューションのサイズを適切に設定する必要があります。
スコープを定義する際に、 監視または監査するすべての共有を共有/対象リストに追加します。
共有を監視しない場合は、ファイルサーバでmonitoringをオフにします。Netwrixアクティビティモニタ アクティビティ エージェントは ファイルサーバを
定期的にチェックし 、 接続が切断されていない場合（[Enable and connect FFPolicy ]オプションが選択されている場合）
は自動的にFPolicyを無効または有効にするため、SVMで
FPolicyを無効にしても役に立ちません。

7.6 サイジングに関する考慮事項

FPolicyは、 外部エンジン通信のモード（同期または
非同期）に応じて、CIFS操作のインライン監視を実行し、外部サーバに通知を送信して
応答を待機します。このプロセスは、CIFSアクセスとCPUリソースのパフォーマンスに影響します。NetAppでは、問題を軽減するために、
FPolicyを有効にする前に環境を評価してサイジングすることを推奨しています。
パフォーマンスは 、ユーザ数、ユーザあたりの処理数、 データサイズ、ネットワークレイテンシなどのワークロード特性に左右され
ます。

8 Netwrix File Activity Monitorの 最適なパフォーマンス

NetAppファイルサーバで
Netwrixファイルアクティビティモニタを使用するときは、次のベストプラクティスを推奨します。 • FPolicyの設定を特定のボリューム、共有、 および処理に制限して、 SVMへの影響を軽減し
ます。

• 負荷分散とフォールト トレランスのために、
複数のNetwrix Activity Monitorアクティビティエージェントを導入することを検討してください。
• [FPolicyを有効にして接続]オプションを使用すると、SVMが常に Netwrixアクティビティモニタ アクティビティ エージェントにイベントを送信して接続された状態を維持
できます。