OneFS: La auditoría de protocolo y conexión SMB deja de funcionar después de que el servicio SMB se deshabilita o se habilita

Summary: La auditoría de protocolo y conexión de Server Message Block (SMB) puede dejar de funcionar después de que se deshabilita o habilita el servicio SMB.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

La auditoría de protocolo está habilitada en el clúster:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

El servicio SMB se deshabilita y se vuelve a habilitar con el comando:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

Los nodos muestran conexiones cerradas altas en el puerto TCP 445:
por ejemplo:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

Se verificó el registro de auditoría y se muestra que no hay nuevos eventos de auditoría de SMB después de que el servicio SMB se deshabilita o se habilita:
por ejemplo:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

No hay socket para auditar el servicio en lwio proceso:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

Este es un problema del producto en OneFS 9.7.1.x y OneFS 9.8.

Después de que se deshabilita o habilita el servicio SMB, el socket para auditar el servicio no se restaura correctamente en lwio . Hace que los eventos de auditoría de SMB no se migren al servicio de auditoría. Finalmente, la cola de auditoría dentro lwio está lleno. lwio se bloquea a la espera de que se puedan auditar las operaciones de SMB.

Resolution

El problema de código se resolvió en OneFS 9.7.1.8, 9.10.1.0, 9.11 y OneFS posteriores.

Si el clúster no se puede actualizar al nivel de código con la corrección. Siga la solución alternativa y reinicie lwio en el nodo afectado para restaurar el conector al servicio de auditoría.

  1. Verifique la ejecución de lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. reiniciar lwio
# killall lwio
#
  1. Confirme el lwio Cambios en PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Confirme que el conector para auditar el servicio esté de vuelta
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.