OneFS : L’audit de protocole et de connexion SMB cesse de fonctionner après la désactivation ou l’activation du service SMB

Summary: La connexion SMB (Server Message Block) et l’audit de protocole peuvent cesser de fonctionner après la désactivation ou l’activation du service SMB.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

L’audit de protocole est activé sur le cluster :

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

Le service SMB est désactivé et réactivé avec la commande suivante :

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

Les nœuds affichent un nombre élevé de connexions fermées sur le port TCP 445 :
Par exemple :

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

Vérifiez le journal d’audit et il indique qu’aucun nouvel événement d’audit SMB n’est activé ou désactivé après le service SMB :
Par exemple :

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

Aucun socket pour le service d’audit dans lwio processus:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

Il s’agit d’un problème produit dans OneFS 9.7.1.x et OneFS 9.8.

Une fois le service SMB désactivé ou activé, le socket permettant d’auditer le service n’est pas restauré correctement dans lwio . Cela empêche les événements d’audit SMB d’être transmis au service d’audit. Finalement, la file d’attente d’audit à l’intérieur lwio est pleine. lwio est bloqué en attendant que les opérations SMB puissent être auditées.

Resolution

Le problème de code est résolu dans OneFS 9.7.1.8, 9.10.1.0, 9.11 et OneFS versions ultérieures.

Si le cluster ne peut pas être mis à niveau vers le niveau du code avec le correctif. Veuillez suivre la solution de contournement et redémarrer lwio sur le nœud concerné pour restaurer le socket vers le service d’audit.

  1. Vérifier les paramètres en cours d’exécution lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. Redémarrer lwio
# killall lwio
#
  1. Confirmez le lwio Modifications du PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Confirmez que le socket pour le service d’audit est de nouveau
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.