標準のエンジンを使用するFPolicyポリシーが共有またはボリュームで有効になっていて、ポ リシーのスコープで-is-file-extension-check-on-directories-enabledパラメータが
falseに設定されている場合、ディレクトリへのアクセスは拒否されます。この設定では、
ディレクトリでファイル拡張子がチェックされないので、このポリシーのスコープ下にある すべてのディレクトリ操作が拒否されます。
標準のエンジンを使用している場合にこうしたディレクトリアクセスを成功させるには、
スコープの作成時に-is-file-extension-check-on-directories-enabledパラメータを trueに設定する必要があります。
このパラメータがtrueに設定されている場合、ディレクトリ操作に対して拡張子のチェック が行われ、FPolicyスコープ設定に含まれている拡張子や除外されている拡張子に基づいてア クセスを許可するか拒否するかが決定されます。
関連概念
FPolicy設定タイプ(54ページ)
ネイティブFPolicy設定を作成する場合(55ページ)
することができます。有効なポリシーにスコープを適用すると、ポリシーイベントの チェックがこのコマンドで定義したスコープに適用されます。
「include」オプションの指定と一致するファイルアクセスイベントが見つかった場合に、通
知が生成されます。「exclude」オプションの指定と一致するファイルアクセスイベントが見 つかった場合は、通知は生成されません。
FPolicyスコープの構成では、次の設定情報を定義します。
• SVM名
• ポリシー名
• 監視対象に含めるまたは監視対象から除外する共有
• 監視対象に含めるまたは監視対象から除外するエクスポートポリシー
• 監視対象に含めるまたは監視対象から除外するボリューム
• 監視対象に含めるまたは監視対象から除外するファイル拡張子
• ディレクトリオブジェクトのファイル拡張子を監視対象にするかどうか
注:クラスタのFPolicyポリシーのスコープには、特に考慮すべき事項があります。クラス
タのFPolicyポリシーは、クラスタ管理者が管理SVM用に作成するポリシーです。クラス
タ管理者がそのクラスタのFPolicyポリシーのスコープも作成する場合、SVM管理者はそ れと同じポリシーのスコープを作成することはできません。ただし、クラスタ管理者がク
ラスタのFPolicyポリシーのスコープを作成しない場合は、すべてのSVM管理者がそのク
ラスタポリシーのスコープを作成することができます。SVM管理者がそのクラスタの
FPolicyポリシーのスコープを作成した場合、クラスタ管理者はそれ以降、その同じクラス
タポリシーのクラスタスコープを作成することはできません。これは、クラスタ管理者 が同じクラスタポリシーのスコープを上書きできないためです。
スコープの優先規則について
スコープの構成では、次の優先規則が適用されます。
• 共有を-shares-to-includeパラメータに指定し、その共有の親ボリュームを -volumes-to-excludeパラメータに指定した場合は、-volumes-to-excludeが -shares-to-includeよりも優先されます。
• エクスポートポリシーを-export-policies-to-includeパラメータに指定し、そのエ クスポートポリシーの親ボリュームを-volumes-to-excludeパラメータに指定した場 合、-volumes-to-excludeが-export-policies-to-includeよりも優先されます。
• 管理者は、-file-extensions-to-includeと-file-extensions-to-excludeの両方の パラメータを指定できます。
-file-extensions-to-excludeパラメータは、-file-extensions-to-includeパラ メータよりも先にチェックされます。
FPolicyスコープの構成要素
次に示す使用可能なFPolicyスコープの設定パラメータの一覧は、構成を計画するのに役立ち ます。
注:スコープに対して含めるまたは除外する共有の種類、エクスポートポリシー、ボリュー ム、およびファイル拡張子を設定する場合、includeとexcludeパラメータに正規表現を使用 することができ、「?」や「*」などのワイルドカード文字も使用できます。
情報の種類 オプション SVM
FPolicyスコープを作成するSVMの名前を指定します。
各FPolicy設定は、単一のSVM内で定義されます。FPolicyポリシー
の構成要素となる外部エンジン、ポリシーイベント、ポリシーの スコープ、およびポリシーを、すべて同じSVMに関連付ける必要 があります。
-vserver vserver_name
ポリシー名
スコープをアタッチするFPolicyポリシーの名前を指定します。
FPolicyポリシーがすでに存在している必要があります。
-policy-name policy_name
共有を含める
カンマで区切って複数の共有を指定し、FPolicyポリシーの監視対 象となるスコープに含めます。
-shares-to-include share_name, ...
共有を除外する
カンマで区切って複数の共有を指定し、FPolicyポリシーの監視対 象となるスコープから除外します。
-shares-to-exclude share_name, ...
ボリュームを含める
カンマで区切って複数のボリュームを指定し、FPolicyポリシーの 監視対象となるスコープに含めます。
-volumes-to-include
volume_name, ...
ボリュームを除外する
カンマで区切って複数のボリュームを指定し、FPolicyポリシーの 監視対象となるスコープから除外します。
-volumes-to-exclude
volume_name, ...
エクスポートポリシーを含める
カンマで区切って複数のエクスポートポリシーを指定し、FPolicy ポリシーの監視対象となるスコープに含めます。
-export-policies-to-include
export_policy_nam e, ...
エクスポートポリシーを除外する
カンマで区切って複数のエクスポートポリシーを指定し、FPolicy ポリシーの監視対象となるスコープから除外します。
-export-policies-to-exclude
export_policy_nam e, ...
ファイル拡張子を含める
カンマで区切って複数のファイル拡張子を指定し、FPolicyポリ シーの監視対象となるスコープに含めます。
-file-extensions-to-include
file_extensions, ...
ファイル拡張子を除外する
カンマで区切って複数のファイル拡張子を指定し、FPolicyポリ シーの監視対象となるスコープから除外します。
-file-extensions-to-exclude
file_extensions, ...
ディレクトリのファイル拡張子の監視を有効にする
ファイル名の拡張子の監視をディレクトリオブジェクトに適用す るかどうかを指定します。このパラメータをtrueに設定すると、
通常のファイルと同じく、ディレクトリオブジェクトの拡張子も 監視対象となります。このパラメータをfalseに設定すると、ディ レクトリ名の拡張子は照合されず、その名前の拡張子が一致しな い場合でも、ディレクトリに関する通知は行われます。
スコープの割り当て先となるFPolicyポリシーが標準のエンジンを 使用するように設定されている場合は、このパラメータをtrueに 設定する必要があります。
-is-file- extension-check- on-directories-enabled {true| false|}
関連概念
FPolicyポリシーが標準のエンジンを使用する場合のFPolicyスコープ設定の要件(79ペー
ジ)
FPolicyスコープのワークシートへの記入
このワークシートを使用して、FPolicyスコープの設定プロセス中に必要となる値を記録でき ます。パラメータ値が必須の場合は、FPolicyスコープを設定する前に、そのパラメータに使 用する値を決定する必要があります。
FPolicyスコープの設定に各パラメータ設定を含めるかどうかを記録し、含めるパラメータの
値を記録しておく必要があります。
情報の種類 必須 含める 値
Storage Virtual Machine
(SVM)名
○ ○
ポリシー名 ○ ○
共有を含める ×
共有を除外する × ボリュームを含める × ボリュームを除外する × エクスポートポリシーを含
める ×
エクスポートポリシーを除
外する ×
ファイル拡張子を含める × ファイル拡張子を除外する × ディレクトリのファイル拡 張子の監視を有効にする ×