FPolicyスコープを設定する前に、スコープを作成することの意味を理解する必要があります。ま
た、スコープの構成要素を理解する必要があります。 さらに、スコープの優先規則についても理解 する必要があります。 この情報は、設定する値を計画するのに役立ちます。
FPolicyスコープを作成することの意味
FPolicyスコープを作成することは、FPolicyポリシーの適用範囲を定義することを意味します。
Storage Virtual Machine(SVM)は基本の適用範囲です。 FPolicyポリシーのスコープを作成する場 合、スコープが適用されるFPolicyポリシーを定義する必要があり、さらにスコープを適用するSVM を指定する必要があります。
指定したSVM内でさらにスコープを制限するためのパラメータが数多くあります。 スコープに含め るものを指定したり、スコープから除外するものを指定することでスコープを制限することができま す。有効なポリシーにスコープを適用すると、ポリシーイベントのチェックがこのコマンドで定義され たスコープに適用されます。
「include」オプションの指定と一致するファイルアクセスイベントが見つかった場合に、通知が生
成されます。 「exclude」オプションの指定と一致するファイル アクセス イベントが見つかった場合 は、通知は生成されません。
FPolicyスコープの構成では、次の設定情報を定義します。
• SVM名
• ポリシー名
• 監視対象に含めるまたは監視対象から除外する共有
• 監視対象に含めるまたは監視対象から除外するエクスポートポリシー
• 監視対象に含めるまたは監視対象から除外するボリューム
• 監視対象に含めるまたは監視対象から除外するファイル拡張子
• ディレクトリ オブジェクトのファイル拡張子を監視対象にするかどうか
注: クラスタのFPolicyポリシーのスコープには、特に考慮すべき事項があります。 クラスタの
FPolicyポリシーは、クラスタ管理者が管理SVM用に作成するポリシーです。クラスタ管理者が
そのクラスタのFPolicyポリシーのスコープも作成する場合、SVM管理者はそのポリシーのスコ ープを作成することはできません。ただし、クラスタ管理者がクラスタのFPolicyポリシーのスコ ープを作成しない場合は、すべてのSVM管理者がそのクラスタポリシーのスコープを作成する ことができます。 SVM管理者がそのクラスタのFPolicyポリシーのスコープを作成した場合、クラ スタ管理者はそれ以降、その同じクラスタ ポリシーのクラスタ スコープを作成することはできま せん。これは、クラスタ管理者が同じクラスタポリシーのスコープを上書きできないためです。
スコープの優先規則について
スコープの構成では、次の優先規則が適用されます。
• 共有を-shares-to-includeパラメータに指定し、その共有の親ボリュームを -volumes-to-excludeパラメータに指定した場合は、-volumes-to-excludeが-shares-to-includeより も優先されます。
• エクスポートポリシーを-export-policies-to-includeパラメータに指定し、そのエクスポ ートポリシーの親ボリュームを-volumes-to-excludeパラメータに指定した場合、
-volumes-to-excludeが-export-policies-to-includeよりも優先されます。
• 管理者は、-file-extensions-to-includeと-file-extensions-to-excludeの両方の パラメータを指定できます。
-file-extensions-to-excludeパラメータは、-file-extensions-to-includeパラメー タの前にチェックされます。
FPolicyスコープの構成要素
次に示す使用可能なFPolicyスコープの設定パラメータの一覧は、構成を計画するのに役立ちま す。
注: スコープに対して含めるまたは除外する共有の種類、エクスポート ポリシー、ボリューム、お よびファイル拡張子を設定する場合、includeとexcludeパラメータに正規表現を使用することがで き、「?」や「*」などのワイルドカード文字も使用できます。
情報の種類 オプション
SVM
FPolicyスコープを作成するSVMの名前を指定します。
各FPolicy設定は、単一のSVM内で定義されます。 FPolicyポリシーの 構成要素となる外部エンジン、ポリシーイベント、ポリシーのスコープ、
およびポリシーを、すべて同じSVMに関連付ける必要があります。
-vserver vserver_name
ポリシー名
スコープをアタッチするFPolicyポリシーの名前を指定します。 FPolicy ポリシーが既に存在している必要があります。
-policy-name policy_name
共有を含める
カンマで区切って複数の共有を指定し、FPolicyポリシーの監視対象と なるスコープに含めます。
-shares-to-include share_name, ...
共有を除外する
カンマで区切って複数の共有を指定し、FPolicyポリシーの監視対象と なるスコープから除外します。
-shares-to-exclude share_name, ...
情報の種類 オプション ボリュームを含める
カンマで区切って複数のボリュームを指定し、FPolicyポリシーの監視 対象となるスコープに含めます。
-volumes-to-include
volume_name, ...
ボリュームを除外する
カンマで区切って複数のボリュームを指定し、FPolicyポリシーの監視 対象となるスコープから除外します。
-volumes-to-exclude
volume_name, ...
エクスポート ポリシーを含める
カンマで区切って複数のエクスポート ポリシーを指定し、FPolicyポリシ ーの監視対象となるスコープに含めます。
-export-policies-to-include
export_policy_nam e, ...
エクスポート ポリシーを除外する
カンマで区切って複数のボリュームを指定し、FPolicyポリシーの監視 対象となるスコープから除外します。
-export-policies-to-exclude
export_policy_nam e, ...
ファイル拡張子を含める
カンマで区切って複数のファイル拡張子を指定し、FPolicyポリシーの 監視対象となるスコープに含めます。
-file-extensions-to-include
file_extensions, ...
ファイル拡張子を除外する
カンマで区切って複数のファイル拡張子を指定し、FPolicyポリシーの 監視対象となるスコープから除外します。
-file-extensions-to-exclude
file_extensions, ...
ディレクトリのファイル拡張子の監視を有効にする
ファイル名の拡張子の監視をディレクトリオブジェクトに適用するかど うかを指定します。このパラメータをtrueに設定すると、通常のファイ ルと同じく、ディレクトリオブジェクトの拡張子も監視対象となります。
このパラメータをfalseに設定すると、ディレクトリ名の拡張子は照合さ れず、その名前の拡張子が一致しない場合でも、ディレクトリに関する 通知は行われます。
スコープの割り当て先となるFPolicyポリシーが標準のエンジンを使用 するように設定されている場合は、このパラメータをtrueに設定する 必要があります。
-is-file- extension-check- on-directories-enabled {true| false|}
FPolicyスコープのワークシートへの記入
このワークシートを使用して、FPolicyスコープの設定プロセス中に必要となる値を記録できます。
パラメータ値が必須の場合は、FPolicyスコープを設定する前に、そのパラメータに使用する値を決 定する必要があります。
FPolicyスコープの設定に各パラメータ設定を含めるかどうかを記録し、含めるパラメータの値を記 録しておく必要があります。
情報の種類 必須 含める 値
Storage Virtual Machine
(SVM)の名前
○ ○
ポリシー名 ○ ○
共有を含める ×
共有を除外する ×
ボリュームを含める ×
情報の種類 必須 含める 値 ボリュームを除外する ×
エクスポート ポリシーを含め る
× エクスポート ポリシーを除外 する
× ファイル拡張子を含める × ファイル拡張子を除外する × ディレクトリのファイル拡張子 の監視を有効にする
×
FPolicy の設定の作成
FPolicyの設定を作成するためには、いくつかの手順を実行する必要があります。まず、設定を計
画する必要があります。 次に、FPolicy外部エンジン、FPolicyイベント、およびFPolicyポリシーを作 成します。 そのあと、FPolicyスコープを作成し、FPolicyポリシーに関連付けてから、FPolicyポリシ ーを有効にします。
FPolicyはFlexVolを備えたStorage Virtual Machine(SVM)でサポートされます。 Infinite Volumeを
備えたSVMではFPolicyはサポートされません。
手順
1. FPolicy外部エンジンの作成(198ページ)
FPolicyの設定を作成するための最初の手順は、外部エンジンの作成です。 外部エンジンは、
FPolicyで外部FPolicyサーバへの接続を確立および管理する方法を定義します。内部のData
ONTAPエンジン(標準の外部エンジン)を単純なファイルブロッキングに使用している設定の場
合は、FPolicy外部エンジンを別途設定する必要がないので、この手順の実行は不要です。
2. FPolicyポリシーイベントの作成(199ページ)
FPolicyポリシーの設定を作成する手順の一環して、Fpolicyイベントを作成する必要がありま
す。 FPolicyポリシーを作成するときに、このイベントをポリシーに関連付けます。イベントは、
監視するプロトコルと、監視およびフィルタリングするファイルアクセスイベントを定義します。
3. FPolicyポリシーの作成(199ページ)
FPolicyポリシーを作成する際には、外部エンジンと1つ以上のイベントをこのポリシーに関連付
けます。 このポリシーでは、必須のスクリーニングが要求されるかどうか、FPolicyサーバに
Storage Virtual Machine(SVM)上のデータへの権限付きアクセスが許可されているかどうか、
オフラインファイルのパススルーリードが有効かどうかも指定します。
4. FPolicyスコープの作成(201ページ)
FPolicyポリシーを作成したあと、FPolicyスコープを作成する必要があります。スコープを作成
するときに、スコープをFPolicyポリシーに関連付けます。 スコープは、FPolicyポリシーを適用す る範囲を定義します。 共有、エクスポート ポリシー、ボリューム、およびファイル拡張子に基づ いて、対象とするファイルまたは除外するファイルを指定できます。
5. FPolicyポリシーの有効化(201ページ)
FPolicyポリシーの設定が完了したら、FPolicyポリシーを有効にします。ポリシーを有効にする
とその優先度が設定され、そのポリシーのファイルアクセスの監視が開始されます。
関連コンセプト
FPolicyの設定手順とは(176ページ)
FPolicy構成の計画(177ページ)