OneFS: SMB-Verbindungs- und Protokollaudit funktioniert nicht mehr, nachdem der SMB-Service deaktiviert oder aktiviert wurde
Summary: Die SMB-Verbindung (Server Message Block) und das Protokollaudit funktionieren möglicherweise nicht mehr, nachdem der SMB-Service deaktiviert oder aktiviert wurde.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Das Protokollaudit ist auf dem Cluster aktiviert:
# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<
Der SMB-Service wird deaktiviert und mit dem folgenden Befehl wieder aktiviert:
# isi services -a smb disable The service 'smb' has been disabled. # isi services -a smb enable The service 'smb' has been enabled.
Nodes zeigen hohe geschlossene Verbindungen auf TCP-Anschluss 445 an:
Zum Beispiel:
# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l' PowerScale-1: 7668 PowerScale-2: 7022 PowerScale-3: 7773 PowerScale-4: 7378
Das Auditprotokoll wurde überprüft und es wird angezeigt, dass keine neuen SMB-Auditereignisse vorhanden sind, nachdem der SMB-Service deaktiviert oder aktiviert wurde:
Zum Beispiel:
#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done
Kein Sockel zum Prüfen des Service in lwio Prozess:
# procstat -f $(pgrep lwio)|grep -i "audit_service.sock" #
Cause
Dies ist ein Produktproblem in OneFS 9.7.1.x und OneFS 9.8.
Nachdem der SMB-Service deaktiviert oder aktiviert wurde, wird der Socket zum Überwachen des Service nicht ordnungsgemäß wiederhergestellt in lwio an. Dies führt dazu, dass die SMB-Auditereignisse nicht an den Auditservice übertragen werden. Schließlich wird die Auditwarteschlange innerhalb lwio voll ist. lwio wartet, bis die SMB-Vorgänge geprüft werden können.
Resolution
Das Codeproblem wurde in OneFS 9.7.1.8, 9.10.1.0, 9.11 und höher behoben.
Wenn der Cluster mit der Korrektur nicht auf Codelevel aktualisiert werden kann. Folgen Sie der Problemumgehung und starten Sie neu lwio auf dem betroffenen Node, um den Socket für den Auditservice wiederherzustellen.
- Überprüfen der Ausführung
lwioPID
# ps auxw|grep 'lw-container lwio' root 83816 0.0 1.4 123100 56184 - I< 7Jan25 0:06.95 lw-container lwio (lwio)
- Neu starten
lwio
# killall lwio #
- Bestätigen Sie die
lwioPID-Änderungen
# ps auxw|grep 'lw-container lwio' root 62370 0.0 0.9 84240 36200 - S< 04:14 0:00.19 lw-container lwio (lwio)
- Bestätigen, dass der zu prüfende Sockel wieder da ist
# procstat -f $(pgrep lwio)|grep -i audit 62370 lwio 21 s - rw------ 2 0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.