OneFS: L'audit della connessione e del protocollo SMB smette di funzionare dopo la disabilitazione o l'abilitazione del servizio SMB

Summary: La connessione SMB (Server Message Block) e l'audit del protocollo potrebbero smettere di funzionare dopo aver disabilitato o abilitato il servizio SMB.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

L'audit del protocollo è abilitato nel cluster:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

Il servizio SMB viene disabilitato e riabilitato con il comando:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

I nodi mostrano un numero elevato di connessioni chiuse sulla porta TCP 445:
Ad esempio:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

È stato controllato l'audit log e mostra che non sono presenti nuovi eventi di audit SMB dopo che il servizio SMB è stato disabilitato o abilitato:
Ad esempio:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

Nessun socket in cui controllare il servizio lwio processo:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

Si tratta di un problema del prodotto in OneFS 9.7.1.x e OneFS 9.8.

Dopo aver disabilitato o abilitato il servizio SMB, il socket per controllare il servizio non viene ripristinato correttamente in lwio . Fa sì che gli eventi di audit SMB non vengano inviati al servizio di audit. Alla fine, la coda di audit all'interno lwio è pieno. lwio è bloccato in attesa che le operazioni SMB possano essere controllate.

Resolution

Il problema di codice è stato risolto in OneFS 9.7.1.8, 9.10.1.0, 9.11 e versioni successive OneFS.

Se il cluster non può essere aggiornato al livello di codice con la correzione. Seguire la soluzione alternativa e riavviare lwio sul nodo interessato per ripristinare il socket al servizio di audit.

  1. Verificare l'esecuzione lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. Riavvia lwio
# killall lwio
#
  1. Confermare il lwio Modifiche ai PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Verificare che il socket per il servizio di audit sia tornato
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.