Comments
Description
Transcript
clustered Data ONTAP 8.3 ウィルス対策構成ガイド
clustered Data ONTAP® 8.3 ウィルス対策構成ガイド ネットアップ株式会社 www.netapp.com/jp 部品番号: 215-09481_A0 作成日: 2014年11月 目次 | 3 目次 ウィルススキャンを使用したファイル保護 .................................................... 5 ウィルス対策のアーキテクチャ .................................................................................. 5 ウィルススキャンの仕組み ......................................................................................... 8 ウィルススキャンを設定および管理するためのワークフロー .................................. 9 Vscanサーバを設定するための準備 ......................................................... 10 Vscanサーバの要件 ................................................................................................. 10 サポートされるウィルス対策ベンダー ..................................................................... 11 Vscanサーバの設定 .................................................................................... 12 ウィルス対策ソフトウェアのインストールと設定に関する情報 ............................... 12 Antivirus Connectorのインストールと設定に関する情報 ....................................... 12 ウィルススキャンの設定 .............................................................................. 13 スキャナ プールの作成 ............................................................................................ 13 スキャナ プールへのスキャナ ポリシーの適用 ...................................................... 14 オンアクセス ポリシーの作成 .................................................................................. 15 オンアクセス ポリシーの有効化 .............................................................................. 16 CIFS共有のVscanファイル処理プロファイルの変更 .............................................. 17 SVMでのウィルススキャンの有効化 ...................................................................... 17 SVMでのウィルススキャンの無効化 ...................................................................... 18 スキャン済みファイルのステータスのリセット ......................................................... 19 スキャナ プールの管理 ............................................................................... 20 SVMのスキャナ プールの表示 ............................................................................... 20 SVMのアクティブなスキャナ プールの表示 ........................................................... 21 スキャナ プールの変更 ............................................................................................ 21 スキャナ プールの削除 ............................................................................................ 22 スキャナ プールへの特権ユーザの追加 ................................................................ 23 スキャナ プールからの特権ユーザの削除 ............................................................. 23 すべてのスキャナ プールの特権ユーザの表示 ..................................................... 24 スキャナ プールへのVscanサーバの追加 .............................................................. 25 スキャナ プールからのVscanサーバの削除 ........................................................... 25 すべてのスキャナ プールのVscanサーバの表示 ................................................... 26 オンアクセス ポリシーの管理 ..................................................................... 27 SVMのオンアクセス ポリシーの表示 ...................................................................... 27 4 | ウィルス対策構成ガイド オンアクセス ポリシーの変更 .................................................................................. 28 オンアクセス ポリシーの無効化 .............................................................................. 29 オンアクセス ポリシーの削除 .................................................................................. 29 Vscanサーバ ステータスの監視 ................................................................. 31 Vscanサーバ接続の使用に関する考慮事項 .......................................................... 31 Vscanサーバの情報を表示するコマンド ................................................................. 31 著作権に関する情報 ................................................................................... 商標に関する情報 ....................................................................................... ご意見をお寄せください .............................................................................. 索引 .............................................................................................................. 33 34 35 36 5 ウィルススキャンを使用したファイル保護 外部サーバ上でウィルススキャンを設定して、clustered Data ONTAPを実行するシステムに格納さ れているファイルとデータを保護することができます。外部ウィルススキャン サーバと、ユーザがア クセスした時点でファイルをウィルススキャンする(オンアクセス スキャン)ためのオンアクセス ポリ シーを定義するように、スキャナ プールを設定する必要があります。 また、Storage Virtual Machine(SVM)でウィルススキャンを有効にする前に、Vscanファイル処理プ ロファイル パラメータを設定して、ウィルススキャンをトリガーするCIFS共有でのアクションを指定す る必要があります。 注: ウィルススキャンを設定する前に、CIFSの設定を完了しておく必要があります。 ストレージ システム上のファイルがスキャンおよびクリーンアップされるようにするには、クラスタ全 体またはSVMでウィルススキャンを設定する必要があります。また、ウィルススキャンのプロセス と、ウィルス対策のセットアップに必要なコンポーネントについて理解する必要があります。 Infinite Volumeを使用するSVMではウィルススキャンがサポートされません。ウィルススキャンは、 FlexVolを使用するSVMでのみサポートされます。 ウィルス対策のアーキテクチャ ウィルススキャンを適切に設定するには、外部ウィルススキャン コンポーネント(Vscanサーバ コン ポーネント)、clustered Data ONTAPを実行するシステムのコンポーネント、およびウィルス対策の アーキテクチャにおけるそれらのコンポーネント間の関連を把握しておく必要があります。 Vscanサーバのコンポーネント clustered Data ONTAP Antivirus Connector Antivirus Connectorは、Vscanサーバにインストールされて、clustered Data ONTAPを実 行するシステムとVscanサーバの間の通信を可能にします。 ウィルス対策ソフトウェア ウィルス対策ソフトウェアは、ウィルスなど悪意あるデータの有無を調べるためにファイ ルをスキャンする目的でVscanサーバにインストールおよび設定されます。ウィルス対策 ソフトウェアは、clustered Data ONTAPに対応したものであることが必要です。また、感 染ファイルに対する修復アクションをこのソフトウェアで指定する必要があります。このソ フトウェアは、ベンダーの指示に従ってインストールできます。 clustered Data ONTAPを実行するシステムのコンポーネント スキャナ プール スキャナ プールは、VscanサーバとStorage Virtual Machine(SVM)の間の接続を検証 および管理するために使用します。SVM用にスキャナ プールを作成し、そのSVMにア 6 | ウィルス対策構成ガイド クセスして接続できるVscanサーバと特権ユーザを定義することができます。 また、スキ ャンの要求と応答のタイムアウト時間を指定することもできます。このタイムアウト時間 内にスキャン要求に対するスキャン応答が受信されなかった場合、代わりのVscanサー バがある場合はそのサーバにスキャン要求が送信されます。 特権ユーザ 特権ユーザは、VscanサーバがSVMへの接続に使用するドメイン ユーザ アカウントで す。スキャナ プール設定で指定されたユーザ アカウントが、特権ユーザと設定されま す。 スキャナ ポリシー スキャナ ポリシーでは、スキャナ プールがアクティブになるタイミングが定義されます。 VscanサーバがSVMにアクセスできるのは、対象のSVMのアクティブなスキャナ プール リストに、VscanサーバのIPおよび特権ユーザが含まれている場合に限られます。 注: スキャナ ポリシーはシステムで定義されます。カスタマイズしたスキャナ ポリシー を作成することはできません。 スキャナ ポリシーには次のいずれかの値が設定されます。 • Primary:スキャナ プールを常時アクティブにします。 • Secondary:プライマリVscanサーバが1つも接続されていない場合にのみスキャナ プ ールをアクティブにします。 • Idle:スキャナ プールを常時非アクティブにします。 オンアクセス ポリシー オンアクセス ポリシーでは、クライアントがアクセスしたときにファイルをスキャンする範 囲を定義します。ウィルススキャンで考慮する必要があるファイルの最大サイズを指定 できるほか、スキャンから除外するファイル拡張子とパスを指定できます。また、選択可 能な一連のフィルタから1つ以上を選択してスキャンの範囲を定義することもできます。 選択可能なフィルタは次のとおりです。 • scan-mandatory:必須スキャンを有効にします。ウィルススキャンに使用できる外部 ウィルススキャン サーバがない場合は、ファイル アクセスが拒否されます。 • scan-ro-volume:読み取り専用ボリュームに対するスキャンも有効にします。 • scan-execute-access:execute-accessで開かれたファイルのみをスキャンします(CIFS のみ)。 execute-accessでファイルを開く(実行を目的として開く)ことは、ファイルに対して 実行権限があることとは異なります。 このパラメータを"-"に設定してフィルタを一切使用しないようにすることもできます。 こ の場合、ファイルがスキャンされていなくてもファイル アクセスが許可されるようになりま す。また、読み書き可能なボリュームのみがスキャンの対象とみなされます。 Vscanファイル処理プロファイル ウィルススキャンを使用したファイル保護 | 7 Vscanファイル処理プロファイル(-vscan-fileop-profile)パラメータでは、ウィルスス キャンをトリガーするCIFS共有でのアクションを定義します。このパラメータは、CIFS共 有の作成時または変更時に設定する必要があります。 このパラメータでは、次のいずれかの値を指定できます。 • no-scan:この共有に対してウィルススキャンを一切トリガーしません。 • standard:開く、閉じる、名前変更の各処理でウィルススキャンがトリガーされます。こ れはデフォルトのプロファイルです。 • strict:開く、読み取り、閉じる、名前変更の各処理でウィルススキャンがトリガーされ ます。strictプロファイルを指定すると、複数のクライアントが読み書き処理で1つのフ ァイルに同時にアクセスし、その間にファイルが開き直されたり閉じられたりしない場 合に、より高度なセキュリティが実現します。このプロファイルにより、ファイルがスキ ャン後に変更された場合に、読み取り処理でウィルススキャンがトリガーされるよう になります。 • writes-only:変更されたファイルが閉じられたときにのみウィルススキャンがトリガー されます。 8 | ウィルス対策構成ガイド ウィルススキャンの仕組み ウィルススキャンは、Antivirus Connectorおよびウィルス対策ソフトウェアを実行するVscanサーバ 上で実行されます。clustered Data ONTAPを実行するシステムで、ファイルが変更されたとき、また はクライアントからアクセスされたときにファイルをスキャンするように設定することができます。 Storage Virtual Machine(SVM)でウィルススキャンが有効になっているときのウィルススキャン プ ロセスは次のとおりです。 1. クライアントからファイルがアクセスされたときに、SVMに対して設定されているオンアクセス ポ リシー、およびCIFS共有に対して設定されているVscanファイル処理プロファイル パラメータと一 致した場合は、SVMからVscanサーバにスキャン要求が送信されます。 2. Antivirus Connectorは、スキャン要求を受信し、スキャンを行うウィルス対策ソフトウェアにスキ ャン要求を送信します。 3. ウィルス対策ソフトウェアは、スキャン要求を受信し、CIFS共有を通じてファイルを読み取り、フ ァイルをスキャンし、ウィルス対策ソフトウェアでの設定を基に感染ファイルに対して修復アクシ ョンを実行します。 4. ウィルス対策ソフトウェアは、アクションの結果をAntivirus Connectorに送信します。 5. Antivirus ConnectorはSVMに応答を送信します。 ウィルススキャンを使用したファイル保護 | 9 関連コンセプト ウィルス対策のアーキテクチャ(5ページ) ウィルススキャンを設定および管理するためのワークフロー ウィルススキャンを設定および管理するためのワークフローでは、ウィルススキャン アクティビティ を設定および管理するためにユーザが実行しなければならない手順の概要を確認できます。 関連コンセプト ウィルス対策のアーキテクチャ(5ページ) 10 | ウィルス対策構成ガイド Vscanサーバを設定するための準備 Vscanサーバを設定する前に、Vscanサーバをインストールおよび設定するための特定の要件を理 解しておく必要があります。また、ウィルス対策ソフトウェアを提供するベンダーも把握しておきま す。 Vscanサーバの要件 Vscanサーバは、Antivirus Connectorとウィルス対策ソフトウェアの2つのコンポーネントで構成され ます。Antivirus Connectorとウィルス対策ソフトウェアをVscanサーバにインストールする前に、それ らのコンポーネントの要件が満たされていることを確認する必要があります。 Antivirus Connectorの要件 • Antivirus Connectorは、次のWindowsプラットフォームにのみインストールする必要がありま す。 ◦ Windows 2008 ◦ Windows 2008 R2 ◦ Windows 2012 ◦ Windows 2012 R2 注: クラスタ内のVscanサーバによってインストールするWindowsプラットフォームのバージョ ンが異なっていてもかまいません。 • .NET 3.0以降 注: Antivirus Connectorをインストールおよび実行するWindowsサーバ上でSMB 2.0が有効にな っている必要があります。 ウィルス対策ソフトウェアの要件 ウィルス対策ソフトウェアの要件については、ベンダー提供のドキュメントを参照してください。 関連コンセプト Vscanサーバの設定(12ページ) Vscanサーバを設定するための準備 | 11 サポートされるウィルス対策ベンダー ファイルのスキャン、修復アクションの実行、およびAntivirus Connectorへの応答の送信を行うに は、ベンダー提供のウィルス対策ソフトウェアをVscanサーバにインストールおよび設定する必要 があります。 サポートされるベンダー、ソフトウェア、およびバージョンについては、Interoperability Matrix (mysupport.netapp.com/matrix)を参照してください。 関連コンセプト ウィルス対策ソフトウェアのインストールと設定に関する情報(12ページ) 12 | ウィルス対策構成ガイド Vscanサーバの設定 1つ以上のVscanサーバを設定して、システム上のファイルが確実にウィルススキャンされるように する必要があります。そのためには、Antivirus Connectorおよびベンダー提供のウィルス対策ソフ トウェアをインストールして設定する必要があります。 ウィルス対策ソフトウェアのインストールと設定に関する情報 clustered Data ONTAPを実行するシステムから送信されるファイルをスキャンおよびクリーンアップ するには、Vscanサーバ上でウィルス対策ソフトウェアをインストールして設定する必要がありま す。 ウィルス対策ソフトウェアのインストールと設定については、ベンダーから提供されるドキュメントを 参照してください。ご使用のclustered Data ONTAP環境向けにウィルススキャン ソリューションを設 定するには、ベンダー提供のドキュメントに記載されている特定の手順に従う必要があります。こ の手順に従わないと、ウィルススキャン ソリューションが失敗したり、パフォーマンスに問題が生じ たり、サービスが停止したりする場合があります。 関連コンセプト Vscanサーバの要件(10ページ) サポートされるウィルス対策ベンダー(11ページ) Antivirus Connectorのインストールと設定に関する情報 ウィルス対策ソフトウェアが1つ以上のStorage Virtual Machine(SVM)と通信できるようにするに は、Antivirus Connectorをインストールして設定する必要があります。 Antivirus Connectorのインストールと設定については、Antivirus Connectorセットアップで提供され るreadmeファイルを参照してください。 13 ウィルススキャンの設定 Vscanサーバを設定したら、clustered Data ONTAPを実行するシステムでスキャナ プールとオンア クセス ポリシーを設定する必要があります。また、Storage Virtual Machine(SVM)でVscanを有効 にする前に、Vscanファイル処理プロファイル パラメータを設定する必要があります。 注: ウィルススキャンの設定を開始する前に、CIFSの設定を完了しておく必要があります。 MetroCluster構成に対するウィルススキャンの設定 MetroCluster構成では、ローカル クラスタとパートナー クラスタの両方で個別にVscanサーバを設 定する必要があります。 ローカル クラスタでは、ソースとデスティネーションのSVMに対して別々のスキャナ プールを作成 する必要があります。vserver vscan scanner-pool apply-policyコマンドで、スキャナ プー ルにスキャナ ポリシーを適用するとともに、clusterパラメータを使用してスキャナ プールを使用 するクラスタを指定する必要があります。災害時にローカル クラスタで障害が発生した場合は、パ ートナー クラスタが処理をテイクオーバーし、デスティネーションSVMに適用されているスキャナ プールを使用して、このクラスタのローカルのVscanサーバと特権ユーザがSVMにアクセスできる ようにします。 関連タスク スキャナ プールへのスキャナ ポリシーの適用(14ページ) スキャナ プールの作成 Storage Virtual Machine(SVM、旧Vserver)用またはクラスタ用のスキャナ プールを作成して、そ のSVMまたはクラスタにアクセスして接続できるVscanサーバと特権ユーザを定義する必要があり ます。 タスク概要 • 個々のSVM用またはクラスタ用のスキャナ プールを作成することができます。 クラスタ用に作成したスキャナ プールは、クラスタ内のすべてのSVMで使用できます。ただし、 クラスタ内の各SVMにスキャナ ポリシーを明示的に適用する必要があります。 • SVMあたり最大20個のスキャナ プールを作成できます。 • 1つのスキャナ プールに最大100個のVscanサーバと特権ユーザを含めることができます。 • スキャナ プールの特権ユーザのリストに、ベンダーのスキャン エンジン サービスで使用するユ ーザを追加する必要があります。 14 | ウィルス対策構成ガイド • MetroCluster構成用のスキャナ プールを作成する場合は、スキャナ プールの名前を200文字 以内に制限する必要があります。 手順 1. vserver vscan scanner-pool createコマンドを使用してスキャナ プールを作成します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool createの マニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVMにスキャナ プール「SP1」を作成する方法を示していま す。 vserver vscan scanner-pool create -vserver vs1 -scanner-pool SP1 servers 1.1.1.1,2.2.2.2 -privileged-users cifs\u1,cifs\u2 関連コンセプト スキャナ プールの管理(20ページ) 関連タスク スキャナ プールへのスキャナ ポリシーの適用(14ページ) スキャナ プールへのスキャナ ポリシーの適用 Storage Virtual Machine(SVM、旧Vserver)で定義されているすべてのスキャナ プールにスキャナ ポリシーを適用する必要があります。このポリシーでは、スキャナ プールがアクティブになるタイミ ングを定義します。デフォルトでスキャナ プールに適用されるスキャナ ポリシーはidleです。 開始する前に スキャナ プールを作成しておく必要があります。 タスク概要 1つのスキャナ プールには1つのスキャナ ポリシーのみを適用できます。VscanサーバがSVMにア クセスできるのは、対象のSVMのアクティブなスキャナ プール リストにVscanサーバのIPアドレス および特権ユーザが含まれている場合に限られます。 手順 1. vserver vscan scanner-pool apply-policyコマンドを使用して、スキャナ プールにスキ ャナ ポリシーを適用します。 ウィルススキャンの設定 | 15 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool applypolicyのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVMでスキャナ プール「SP1」に「primary」というスキャナ ポリ シーを適用する方法を示しています。 vserver vscan scanner-pool apply-policy -vserver vs1 -scanner-pool SP1 -scanner-policy primary 関連タスク SVMのアクティブなスキャナ プールの表示(21ページ) オンアクセス ポリシーの作成 Storage Virtual Machine(SVM、旧Vserver)用またはクラスタ用のオンアクセス ポリシーを作成し て、スキャンの範囲を定義する必要があります。ウィルススキャンで考慮する必要があるファイル の最大サイズを指定できるほか、スキャンから除外するファイル拡張子とパスを指定できます。 タスク概要 • clustered Data ONTAPでは、デフォルトでdefault_CIFSという名前のオンアクセス ポリシーが作 成され、既存のすべてのSVMに対して有効になります。 default_CIFSオンアクセス ポリシーを使用するか、カスタマイズしたオンアクセス ポリシーを作 成することができます。 • オンアクセス ポリシーは、個々のSVM用またはクラスタ用に作成できます。 クラスタ用に作成したオンアクセス ポリシーは、クラスタ内のすべてのSVMで使用できます。た だし、クラスタ内のすべてのSVMで個別にオンアクセス ポリシーを有効にする必要がありま す。 • SVMあたり最大10個のオンアクセス ポリシーを作成できます。 ただし、一度に有効にできるオンアクセス ポリシーは1つだけです。 • 1つのオンアクセス ポリシーで、最大100個のパスとファイル拡張子をウィルススキャンから除 外できます。 • MetroCluster構成用にオンアクセス ポリシーを作成する場合は、オンアクセス ポリシーの名前 を200文字以内に制限する必要があります。 手順 1. vserver vscan on-access-policy createコマンドを使用してオンアクセス ポリシーを作 成します。 16 | ウィルス対策構成ガイド このコマンドで使用できるパラメータについては、vserver vscan on-access-policy createのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVMで「Policy1」というオンアクセス ポリシーを作成する方法 を示しています。 vserver vscan on-access-policy create -vserver vs1 -policy-name Policy1 -protocol CIFS -filters scan-ro-volume -max-file-size 3GB file-ext-to-exclude "mp3","txt" -paths-to-exclude "\vol\a b\","\vol \a,b\" 関連コンセプト オンアクセス ポリシーの管理(27ページ) オンアクセス ポリシーの有効化 オンアクセス スキャン ポリシーを作成したら、Storage Virtual Machine(SVM、旧Vserver)に対して そのポリシーを有効にする必要があります。 タスク概要 各SVMに対しては、指定されたプロトコルのオンアクセス ポリシーを一度に1つだけ有効にするこ とができます。 手順 1. vserver vscan on-access-policy enableコマンドを使用して、SVMに対してオンアクセ ス ポリシーを有効にします。 このコマンドで使用できるパラメータについては、vserver vscan on-access-policy enableのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVMでオンアクセス ポリシー「Policy1」を有効にする方法を 示しています。 vserver vscan on-access-policy enable -vserver vs1 -policy-name Policy1 関連タスク オンアクセス ポリシーの無効化(29ページ) ウィルススキャンの設定 | 17 CIFS共有のVscanファイル処理プロファイルの変更 CIFS共有の作成時に、ウィルススキャンをトリガーするCIFS共有でのアクションを指定するvscan-fileop-profileパラメータを設定する必要があります。デフォルト値はStandardです。 デフォルト値を使用するか、vserver cifs share modifyコマンドを使用して値を変更できま す。 開始する前に CIFS共有を作成しておく必要があります。 注: continuously-availableパラメータがYesに設定されているCIFS共有ではウィルススキ ャンは実行されません。 手順 1. vserver cifs share modifyコマンドを使用して-vscan-fileop-profileパラメータの値 を変更します。 CIFS共有の変更の詳細については、vserver cifs share modifyのマニュアル ページを 参照してください。 関連情報 Clustered Data ONTAP 8.3 File Access Management Guide for CIFS SVMでのウィルススキャンの有効化 スキャナ プール、オンアクセス ポリシー、およびVscanファイル処理プロファイル パラメータの設定が 完了したら、Storage Virtual Machine(SVM、旧Vserver)でウィルススキャンを有効にしてデータを 保護する必要があります。 開始する前に • 1つ以上のスキャナ プールを作成し、それらのスキャナ プールにスキャナ ポリシーを適用して おく必要があります。 • オンアクセス ポリシーを作成し、SVMで有効にしておく必要があります。 • Vscanファイル処理プロファイル パラメータを設定しておく必要があります。 • Vscanサーバが使用可能であることを確認しておく必要があります。 18 | ウィルス対策構成ガイド タスク概要 SVMでウィルススキャンを有効にすると、そのSVMのアクティブなスキャナ プールに含まれている VscanサーバにSVMが接続されます。 手順 1. vserver vscan enableコマンドを使用して、SVMでウィルススキャンを有効にします。 このコマンドで使用できるパラメータについては、vserver vscan enableのマニュアル ペー ジを参照してください。 例 次の例は、「vs1」という名前のSVMでウィルススキャンを有効にする方法を示しています。 vserver vscan enable -vserver vs1 関連コンセプト Vscanサーバの設定(12ページ) SVMでのウィルススキャンの無効化 vserver vscan disableコマンドを使用して、Storage Virtual Machine(SVM、旧Vserver)でウィ ルススキャンを無効にすることができます。 タスク概要 SVMでウィルススキャンを無効にすると、そのSVMが、接続されているすべてのVscanサーバから 切断されます。 手順 1. vserver vscan disableコマンドを使用してSVMでのウィルススキャンを無効にします。 このコマンドで使用できるパラメータについては、vserver vscan disableのマニュアル ペー ジを参照してください。 例 次の例は、「vs1」という名前のSVMでウィルススキャンを無効にする方法を示しています。 vserver vscan disable -vserver vs1 ウィルススキャンの設定 | 19 関連タスク SVMでのウィルススキャンの有効化 (17ページ) スキャン済みファイルのステータスのリセット キャッシュされた情報を破棄するか、またはvserver vscan resetコマンドを使用してStorage Virtual Machine(SVM、旧Vserver)ですでにスキャンされたファイルのステータスをリセットすること ができます。この処理は、ウィルススキャンを設定して有効にする際に設定を誤った場合、あるい はウィルススキャン プロセスを再開したい場合に実行できます。 タスク概要 vserver vscan resetコマンドを実行すると、対象となるすべてのファイルが次回アクセスされた ときにスキャンされます。 注意: このコマンドを使用すると、ファイルがアクセスされたときに再度スキャンされるため、パフ ォーマンスが低下する可能性があります。 手順 1. vserver vscan resetコマンドを使用して、SVMですでにスキャンされているファイルのステ ータスをリセットします。 このコマンドで使用できるパラメータについては、vserver vscan resetのマニュアル ページ を参照してください。 例 次の例は、「vs1」という名前のSVMですでにスキャンされているファイルのステータスをリセ ットする方法を示しています。 vserver vscan reset -vserver vs1 20 | ウィルス対策構成ガイド スキャナ プールの管理 スキャナ プールを管理して、スキャナ プール情報を表示したり、スキャナ プールに関連付けられ ているVscanサーバや特権ユーザを変更したりすることができます。また、要求と応答のタイムアウ ト時間を変更したり、不要となったスキャナ プールを削除したりすることもできます。 SVMのスキャナ プールの表示 vserver vscan scanner-pool showコマンドを使用して、すべてのStorage Virtual Machine (SVM、旧Vserver)に属しているすべてのスキャナ プール、または1つのSVMに属している1つの スキャナ プールを表示することができます。 手順 1. vserver vscan scanner-pool showコマンドを使用して、1つのスキャナ プールを表示する か、すべてのSVMのスキャナ プールの一覧を表示します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool showのマ ニュアル ページを参照してください。 例 次の例は、すべてのSVMのスキャナ プールの一覧、および1つのSVMのスキャナ プールを 表示する方法を示しています。 Cluster::> vserver vscan scanner-pool show Scanner Pool Privileged Scanner Vserver Pool Owner Servers Users Policy ------------------------------------------------------------vs1 new vserver 1.1.1.1, 2.2.2.2 cifs\u5 idle vs1 p1 vserver 3.3.3.3 cifs\u1 primary cifs\u2 2 entries were displayed. Cluster::> vserver vscan scanner-pool show -vserver vs1 -scannerpool new Vserver: vs1 Scanner Pool: new Applied Policy: idle Current Status: off スキャナ プールの管理 | 21 Scanner Pool Config Owner: vserver List of IPs of Allowed Vscan Servers: 1.1.1.1, 2.2.2.2 List of Privileged Users: cifs\u5 SVMのアクティブなスキャナ プールの表示 vserver vscan scanner-pool show-activeコマンドを使用して、すべてのStorage Virtual Machine(SVM、旧Vserver)のアクティブなスキャナ プールの一覧を表示することができます。アク ティブなスキャナ プールの一覧は、すべてのSVM上のアクティブなスキャナ プールに関する情報 をマージすることで得られます。 手順 1. vserver vscan scanner-pool show-activeコマンドを使用して、すべてのSVMのアクティ ブなスキャナ プールの一覧を表示します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool showactiveのマニュアル ページを参照してください。 例 次の例は、すべてのSVMのアクティブなスキャナ プールの一覧を表示する方法を示してい ます。 Cluster::> vserver vscan scanner-pool show-active Privileged Vserver Scanner Pools Servers Users ------------------------------------------------------------------vs1 new, p1 1.1.1.1, 2.2.2.2, 3.3.3.3 cifs\u1, cifs\u4 vs2 clus, p2 3.3.3.3, 4.4.4.4, 5.5.5.5 cifs\u2, cifs\u5 2 entries were displayed. スキャナ プールの変更 スキャナ プールの情報(Storage Virtual Machine(SVM、旧Vserver)に接続できるVscanサーバと 特権ユーザのリストや、要求と応答のタイムアウト時間など)を変更することができます。 手順 1. vserver vscan scanner-pool modifyコマンドを使用して、スキャナ プールの情報を変更 します。 22 | ウィルス対策構成ガイド このコマンドで使用できるパラメータについては、vserver vscan scanner-pool modifyの マニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVM上のスキャナ プール「SP1」を変更する方法を示していま す。 vserver vscan scanner-pool modify -vserver vs1 -scanner-pool SP1 servers 3.3.3.3 -privileged-users cifs\u3 関連タスク スキャナ プールの作成(13ページ) スキャナ プールの削除 不要となったスキャナ プールは削除できます。 手順 1. vserver vscan scanner-pool deleteコマンドを使用してスキャナ プールを削除します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool deleteの マニュアル ページを参照してください。 例 次の例は、「vs1」という名前のStorage Virtual Machine(SVM、旧Vserver)からスキャナ プー ル「SP1」を削除する方法を示しています。 vserver vscan scanner-pool delete -vserver vs1 -scanner-pool SP1 関連タスク スキャナ プールの作成(13ページ) スキャナ プールの管理 | 23 スキャナ プールへの特権ユーザの追加 Storage Virtual Machine(SVM、旧Vserver)に接続できる特権ユーザを定義するために、vserver vscan scanner-pool privileged-users addコマンドを使用してスキャナ プールに1人また は複数の特権ユーザを追加することができます。 開始する前に SVM用のスキャナ プールを作成しておく必要があります。 手順 1. vserver vscan scanner-pool privileged-users addコマンドを使用して、スキャナ プ ールに1人または複数の特権ユーザを追加します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool privileged-users addのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVM上のスキャナ プール「SP1」に特権ユーザ「cifs\u2」と 「cifs\u3」を追加する方法を示しています。 vserver vscan scanner-pool privileged-users add -vserver vs1 -scannerpool SP1 -privileged-users cifs\u2,cifs\u3 関連タスク スキャナ プールの変更(21ページ) スキャナ プールからの特権ユーザの削除 不要となった特権ユーザは、vserver vscan scanner-pool privileged-users removeコマ ンドを使用してスキャナ プールから削除できます。 手順 1. vserver vscan scanner-pool privileged-users removeコマンドを使用して、スキャナ プールから1人以上の特権ユーザを削除します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool privileged-users removeのマニュアル ページを参照してください。 24 | ウィルス対策構成ガイド 例 次の例は、「vs1」という名前のStorage Virtual Machine(SVM、旧Vserver)でスキャナ プール 「SP1」から特権ユーザ「cifs\u2」および「cifs\u3」を削除する方法を示しています。 vserver vscan scanner-pool privileged-users remove -vserver vs1 scanner-pool SP1 -privileged-users cifs\u2,cifs\u3 関連タスク スキャナ プールの変更(21ページ) すべてのスキャナ プールの特権ユーザの表示 vserver vscan scanner-pool privileged-users showコマンドを使用して、すべてのスキ ャナ プールの特権ユーザの一覧を表示することができます。 手順 1. vserver vscan scanner-pool privileged-users showコマンドを使用して、すべてのス キャナ プールの特権ユーザの一覧を表示します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool privileged-users showのマニュアル ページを参照してください。 例 次の例は、すべてのスキャナ プールの特権ユーザの一覧を表示する方法を示しています。 Cluster::> vserver vscan scanner-pool privileged-users show Vserver Scanner Pool Privileged Users -------------------------------------------------Cluster clus cifs\u5 vs1 new cifs\u7 vs1 clus cifs\u5 vs1 p1 cifs\u1, cifs\u2 vs2 clus cifs\u5 vs2 p2 cifs\u2 6 entries were displayed. スキャナ プールの管理 | 25 スキャナ プールへのVscanサーバの追加 Storage Virtual Machine(SVM、旧Vserver)に接続できるVscanサーバを定義するために、 vserver vscan scanner-pool servers addコマンドを使用してスキャナ プールに1つ以上の Vscanサーバを追加することができます。 開始する前に SVM用のスキャナ プールを作成しておく必要があります。 手順 1. vserver vscan scanner-pool servers addコマンドを使用して、スキャナ プールに1つ以 上のVscanサーバを追加します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool servers addのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVM上のスキャナ プール「SP1」にVscanサーバのリストを追 加する方法を示しています。 vserver vscan scanner-pool servers add -vserver vs1 -scanner-pool SP1 -servers 10.10.10.10,11.11.11.11 関連タスク スキャナ プールの変更(21ページ) スキャナ プールからのVscanサーバの削除 不要となったVscanサーバは、vserver vscan scanner-pool servers removeコマンドを使 用してスキャナ プールから削除できます。 手順 1. vserver vscan scanner-pool servers removeコマンドを使用して、スキャナ プールから 1つ以上のVscanサーバを削除します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool servers removeのマニュアル ページを参照してください。 26 | ウィルス対策構成ガイド 例 次の例は、「vs1」という名前のStorage Virtual Machine(SVM、旧Vserver)で「SP1」というスキ ャナ プールからVscanサーバのリストを削除する方法を示しています。 vserver vscan scanner-pool servers remove -vserver vs1 -scanner-pool SP1 -servers 10.10.10.10,11.11.11.11 関連タスク スキャナ プールの変更(21ページ) すべてのスキャナ プールのVscanサーバの表示 Vscanサーバの接続を管理するために、vserver vscan scanner-pool servers showコマン ドを使用してすべてのスキャナ プールのVscanサーバの一覧を表示することができます。 手順 1. vserver vscan scanner-pool servers showコマンドを使用して、すべてのスキャナ プー ルのVscanサーバの一覧を表示します。 このコマンドで使用できるパラメータについては、vserver vscan scanner-pool servers showのマニュアル ページを参照してください。 例 次の例は、すべてのスキャナ プールのVscanサーバの一覧を表示する方法を示していま す。 Cluster::> vserver vscan scanner-pool servers show Vserver Scanner Pool Servers -----------------------------------------------------------------Cluster clus 5.5.5.5 vs1 new 1.1.1.1, 2.2.2.2 vs1 clus 5.5.5.5 vs1 p1 3.3.3.3, 10.10.10.10, 11.11.11.11 vs2 clus 5.5.5.5 vs2 p2 3.3.3.3, 4.4.4.4 6 entries were displayed. 27 オンアクセス ポリシーの管理 オンアクセス ポリシーを管理して、クライアントからアクセスされたときにファイルをスキャンする範 囲を定義することができます。ウィルススキャンで考慮する必要があるファイルの最大サイズや、 スキャンから除外するファイル拡張子とパスを変更することができます。また、不要となったオンア クセス ポリシーを削除したり無効にしたりすることもできます。 SVMのオンアクセス ポリシーの表示 オンアクセス ポリシーを管理するために、vserver vscan on-access-policy showコマンドを 使用してすべてのStorage Virtual Machine(SVM、旧Vserver)に属しているすべてのオンアクセス ポリシー、あるいは1つのSVMに属している1つのオンアクセス ポリシーを表示することができま す。 手順 1. vserver vscan on-access-policy showコマンドを使用して、1つのオンアクセス ポリシー またはすべてのSVMのオンアクセス ポリシーの一覧を表示します。 このコマンドで使用できるパラメータについては、vserver vscan on-access-policy show のマニュアル ページを参照してください。 例 次の例は、すべてのSVMのオンアクセス ポリシーの一覧、および1つのSVMの1つのオンア クセス ポリシーを表示する方法を示しています。 Cluster::> vserver vscan on-access-policy show Policy Policy File-Ext Policy Vserver Name Owner Protocol Paths Excluded Excluded Status ------------------------------------------------------------------Cluster default_ cluster CIFS off CIFS vs1 default_ cluster CIFS on CIFS vs1 new vserver CIFS \vol\temp txt off vs2 default_ cluster CIFS on CIFS 4 entries were displayed. Cluster::> vserver vscan on-access-policy show -instance -vserver vs1 -policyname new Vserver: vs1 28 | ウィルス対策構成ガイド Policy: new Policy Status: off Policy Config Owner: vserver File-Access Protocol: CIFS Filters: scan-ro-volume Max File Size Allowed for Scanning: 4GB File-Paths Not to Scan: \vol\temp File-Extensions Not to Scan: txt オンアクセス ポリシーの変更 オンアクセス ポリシーを変更して、クライアントからアクセスされたときにファイルをスキャンする範 囲を再定義することができます。また、ウィルススキャンで考慮する必要があるファイルの最大サ イズや、スキャンから除外するファイル拡張子とパスを変更することもできます。 手順 1. vserver vscan on-access-policy modifyコマンドを使用してオンアクセス ポリシーを変 更します。 このコマンドで使用できるパラメータについては、vserver vscan on-access-policy modifyのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のStorage Virtual Machine(SVM、旧Vserver)でオンアクセス ポ リシー「Policy1」を変更する方法を示しています。 vserver vscan on-access-policy modify -vserver vs1 -policy-name Policy1 -filters scan-ro-volume -max-file-size 10GB -file-ext-toexclude "mp3" -paths-to-exclude "\vol1\temp","\vol2\a" 関連タスク オンアクセス ポリシーの作成(15ページ) オンアクセス ポリシーの管理 | 29 オンアクセス ポリシーの無効化 vserver vscan on-access-policy disableコマンドを使用して、Storage Virtual Machine (SVM、旧Vserver)用のオンアクセス ポリシーを無効にすることができます。 手順 1. vserver vscan on-access-policy disableコマンドを使用して、SVM用のオンアクセス ポリシーを無効にします。 このコマンドで使用できるパラメータについては、vserver vscan on-access-policy disableのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のSVMでオンアクセス ポリシー「Policy1」を無効にする方法を 示しています。 vserver vscan on-access-policy disable -vserver vs1 -policy-name Policy1 関連タスク オンアクセス ポリシーの有効化(16ページ) オンアクセス ポリシーの削除 不要となったオンアクセス ポリシーは、vserver vscan on-access-policy deleteコマンドを 使用して削除できます。 手順 1. vserver vscan on-access-policy deleteコマンドを使用してオンアクセス ポリシーを削 除します。 このコマンドで使用できるパラメータについては、vserver vscan on-access-policy deleteのマニュアル ページを参照してください。 例 次の例は、「vs1」という名前のStorage Virtual Machine(SVM、旧Vserver)からオンアクセス ポリシー「Policy1」を削除する方法を示しています。 30 | ウィルス対策構成ガイド vserver vscan on-access-policy delete -vserver vs1 -policy-name Policy1 関連タスク オンアクセス ポリシーの作成(15ページ) 31 Vscanサーバ ステータスの監視 Vscanサーバ接続に関する情報を表示して、Vscanサーバ ステータスを監視することができます。 この情報は、Vscanサーバに関連した問題を診断する際に役立ちます。 Vscanサーバ接続の使用に関する考慮事項 Vscanサーバ接続を使用する際には、一連の考慮事項を念頭に置く必要があります。 • Storage Virtual Machine(SVM)へのクライアント アクセスを有効にする前に、LIFを持つ各ノー ドのSVMに少なくとも1つのVscanサーバが接続されていることを確認する必要があります。接 続されていないと、scan-mandatoryオプションを設定した場合にクライアント アクセスが拒否 されます。SVMがファイル アクセスを処理している間にVscanを有効にする必要がある場合 は、scan-mandatoryオプションをオフにしたうえで、Vscanサーバをclustered Data ONTAPシス テムに接続する必要があります。Vscanサーバがclustered Data ONTAPシステムに接続された ら、scan-mandatoryオプションをオンにすることができます。 • LIFを移行する前に、ターゲットのLIFがどのSVMのスキャナ接続もホストしていないことを確認 する必要があります。ホストしている場合は、スキャナとSVMの間の接続が失われます。スキ ャナ接続が使用できないことでファイル アクセスが拒否されないようにするには、LIFを移行す る前に、アクティブなオンアクセス ポリシーでscan-mandatoryオプションをオフにし、LIFを無 効にし、Vscan接続ステータスでスキャナの再接続を監視する必要があります。 注: Vscanサーバをclustered Data ONTAPに接続する際には、クライアント アクセスに使用さ れているネットワークとは別のネットワークを使用し、各SVMに複数のVscanサーバを割り当 てることを推奨します。 Vscanサーバの情報を表示するコマンド Vscanサーバの接続ステータスを表示して、使用中の接続と使用可能な接続を確認することがで きます。接続ステータスに関する概要と詳細情報を表示することもできます。 状況 入力するコマンド 接続ステータスの概要の表示 vserver vscan connection-status show 接続ステータスに関する詳細情報の表示 vserver vscan connection-status show-all 接続されていないが使用可能な接続のステー タスの表示 vserver vscan connection-status show-not-connected 32 | ウィルス対策構成ガイド 状況 入力するコマンド 接続されているVscanサーバに関する情報の 表示 vserver vscan connection-status show-connected これらのコマンドの詳細については、マニュアル ページを参照してください。 33 著作権に関する情報 Copyright © 1994–2015 NetApp, Inc. All rights reserved. Printed in the U.S. このドキュメントは著作権によって保護されています。著作権所有者の書面による事前承諾がある 場合を除き、画像媒体、電子媒体、および写真複写、記録媒体、テープ媒体、電子検索システム への組み込みを含む機械媒体など、いかなる形式および方法による複製も禁止します。 ネットアップの著作物から派生したソフトウェアは、次に示す使用許諾条項および免責条項の対象 となります。 このソフトウェアは、ネットアップによって「現状のまま」提供されています。ネットアップは明示的な 保証、または商品性および特定目的に対する適合性の暗示的保証を含み、かつこれに限定され ないいかなる暗示的な保証も行いません。ネットアップは、代替品または代替サービスの調達、使 用不能、データ損失、利益損失、業務中断を含み、かつこれに限定されない、このソフトウェアの 使用により生じたすべての直接的損害、間接的損害、偶発的損害、特別損害、懲罰的損害、必然 的損害の発生に対して、損失の発生の可能性が通知されていたとしても、その発生理由、根拠と する責任論、契約の有無、厳格責任、不法行為(過失またはそうでない場合を含む)にかかわら ず、一切の責任を負いません。 ネットアップは、ここに記載されているすべての製品に対する変更を随時、予告なく行う権利を保 有します。ネットアップによる明示的な書面による合意がある場合を除き、ここに記載されている製 品の使用により生じる責任および義務に対して、ネットアップは責任を負いません。この製品の使 用または購入は、ネットアップの特許権、商標権、または他の知的所有権に基づくライセンスの供 与とはみなされません。 このマニュアルに記載されている製品は、1つ以上の米国特許、その他の国の特許、および出願 中の特許によって保護されている場合があります。 権利の制限について:政府による使用、複製、開示は、DFARS 252.227-7103(1988年10月)および FAR 52-227-19(1987年6月)のRights in Technical Data and Computer Software(技術データおよび コンピュータソフトウェアに関する諸権利)条項の(c) (1) (ii)項、に規定された制限が適用されま す。 34 | ウィルス対策構成ガイド 商標に関する情報 NetApp、NetAppのロゴ、Go Further, Faster、ASUP、AutoSupport、Campaign Express、Cloud ONTAP、clustered Data ONTAP、Customer Fitness、Data ONTAP、DataMotion、Fitness、Flash Accel、Flash Cache、Flash Pool、FlashRay、FlexArray、FlexCache、FlexClone、FlexPod、 FlexScale、FlexShare、FlexVol、FPolicy、GetSuccessful、LockVault、Manage ONTAP、Mars、 MetroCluster、MultiStore、NetApp Insight、OnCommand、ONTAP、ONTAPI、RAID DP、 SANtricity、SecureShare、Simplicity、Simulate ONTAP、Snap Creator、SnapCopy、SnapDrive、 SnapIntegrator、SnapLock、SnapManager、SnapMirror、SnapMover、SnapProtect、SnapRestore、 Snapshot、SnapValidator、SnapVault、StorageGRID、Tech OnTap、Unbound Cloud、およびWAFL は米国またはその他の国あるいはその両方におけるNetApp,Inc.の登録商標です。ネットアップの 商標の最新のリストは、http://www.netapp.com/jp/legal/netapptmlist.aspxでご覧いただけます。 CiscoおよびCiscoのロゴは、米国およびその他の国におけるCisco Systems, Inc.の 商標です。そ の他のブランドまたは製品は、それぞれを保有する各社の商標または登録商標であり、相応の取 り扱いが必要です。 35 ご意見をお寄せください 弊社では、マニュアルの品質を向上していくため、皆様からのフィードバックをお待ちしています。 いただいたフィードバックは、今後のマニュアル作成に役立てさせていただきます。ご意見やご要 望は、[email protected]までお寄せください。その際、担当部署で適切に対応さ せていただくため、製品名、バージョン、オペレーティング システム、弊社営業担当者または代理 店の情報を必ず入れてください。 36 | ウィルス対策構成ガイド 索引 A い Antivirus Connector インストール 12 設定 12 インストール Antivirus Connector 12 ウィルス対策ソフトウェア 12 C う CIFS共有 Vscanファイル処理プロファイルの設定 17 ウィルススキャン MetroCluster構成の設定 13 仕組み 8 設定 13 無効化 18 有効化 17 ウィルススキャンの管理 ワークフロー 9 ウィルススキャンの仕組み 8 ウィルススキャンの設定 ワークフロー 9 ウィルス対策 アーキテクチャ 5 サポートされるベンダー 11 ファイル保護 5 ウィルス対策ソフトウェア インストール 12 設定 12 S SVM アクティブなスキャナ プールの表示 21 ウィルススキャンの無効化 18 ウィルススキャンの有効化 17 オンアクセス ポリシーの削除 29 オンアクセス ポリシーの作成 15 オンアクセス ポリシーの表示 27 オンアクセス ポリシーの変更 28 オンアクセス ポリシーの無効化 29 オンアクセス ポリシーの有効化 16 スキャナ プールの削除 22 スキャナ プールの作成 13 スキャナ プールの表示 20 スキャナ プールの変更 21 スキャン済みファイルのステータスのリセット 19 次も参照 : SVM V Vscanサーバ Antivirus Connector 10 ウィルス対策ソフトウェア 10 スキャナ プールからの削除 25 スキャナ プールへの追加 25 接続ステータスを表示するコマンド 31 設定 12 表示, スキャナ プール 26 Vscanサーバ接続 考慮事項 31 お オンアクセス ポリシー 管理 27 削除 29 作成 15 変更 28 無効化 29 有効化 16 か 監視 ステータスおよびパフォーマンス アクティビティ 31 管理 オンアクセス ポリシー 27 スキャナ プール 20 索引 | 37 こ せ 考慮事項 Vscanサーバ接続の使用 31 コメント マニュアルに関するフィードバックの送信方法 35 設定 さ Antivirus Connector 12 Vscanファイル処理プロファイル 17 ウィルススキャン 13 ウィルス対策ソフトウェア 12 つ 削除 Vscanサーバをスキャナ プールから 25 オンアクセス ポリシー 29 スキャナ プール 22 特権ユーザをスキャナ プールから 23 作成 オンアクセス ポリシー 15 スキャナ プール 13 追加 Vscanサーバをスキャナ プールに 25 特権ユーザをスキャナ プールに 23 て 提案 マニュアルに関するフィードバックの送信方法 35 し と 準備 Vscanサーバの設定 10 情報 マニュアルの品質向上に関するフィードバックの送 信方法 35 特権ユーザ スキャナ プールからの削除 23 スキャナ プールへの追加 23 表示, スキャナ プール 24 す ひ スキャナ プール Vscanサーバの削除 25 Vscanサーバの追加 25 Vscanサーバの表示 26 管理 20 削除 22 作成 13 スキャナ ポリシーの適用 14 特権ユーザの削除 23 特権ユーザの追加 23 特権ユーザの表示 24 変更 21 スキャナ ポリシー スキャナ プールへの適用 14 スキャン済みファイル ステータスのリセット 19 ステータスおよびパフォーマンス アクティビティ 監視 31 表示 SVMのスキャナ プール 20 Vscanサーバの接続ステータス 31 SVMのアクティブなスキャナ プール 21 スキャナ プールのVscanサーバ 26 スキャナ プールの特権ユーザ 24 すべてのSVMのオンアクセス ポリシー 27 ふ ファイル スキャン済みファイルのステータスのリセット 19 ファイル保護 ウィルス対策の使用 5 フィードバック マニュアルに関するコメントの送信方法 35 へ 変更 38 | ウィルス対策構成ガイド オンアクセス ポリシー 28 スキャナ プール 21 ベンダー サポートされるウィルス対策ソフトウェア 11 オンアクセス ポリシー 16 ユーザ スキャナ プールからの特権ユーザの削除 23 スキャナ プールへの特権ユーザの追加 23 ま よ マニュアル フィードバックの送信方法 35 要件 む Antivirus Connector 10 ウィルス対策ソフトウェア 10 り 無効化 ウィルススキャン 18 オンアクセス ポリシー 29 リセット スキャン済みファイルのステータス 19 ゆ わ 有効化 ウィルススキャン 17 ワークフロー ウィルススキャンの設定と管理 9