OneFS: A conexão do SMB e a auditoria de protocolo param de funcionar depois que o serviço SMB é desabilitado ou habilitado

Summary: A conexão SMB (Server Message Block) e a auditoria de protocolo podem parar de funcionar depois que o serviço SMB é desabilitado ou habilitado.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

A auditoria de protocolo está habilitada no cluster:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

O serviço SMB é desativado e reativado com o comando:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

Os nós mostram conexões fechadas altas na porta TCP 445:
Por exemplo:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

O log de auditoria é verificado e ele mostra que não há novos eventos de auditoria do SMB depois que o serviço SMB é desativado ou ativado:
por exemplo:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

Nenhum soquete para auditar o serviço no lwio processo:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

Esse é um problema de produto no OneFS 9.7.1.x e no OneFS 9.8.

Depois que o serviço SMB é desabilitado ou habilitado, o soquete para auditar o serviço não é restaurado corretamente no lwio . Isso faz com que os eventos de auditoria do SMB não sejam enviados para o serviço de auditoria. Eventualmente, a fila de auditoria dentro lwio está cheio. lwio fica travado aguardando até que as operações do SMB possam ser auditadas.

Resolution

O problema de código foi corrigido no OneFS 9.7.1.8, 9.10.1.0, 9.11 e versões posteriores do OneFS.

Se não for possível fazer upgrade do cluster para o nível de código com a correção. Siga a solução temporária e reinicie lwio no nó afetado para restaurar o soquete para o serviço de auditoria.

  1. Verificar a execução lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. Reinicie lwio
# killall lwio
#
  1. Confirme o lwio Alterações de PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Confirme se o soquete para auditar o serviço está de volta
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.