OneFS. Аудит подключений и протоколов SMB перестает работать после отключения или включения службы SMB
Summary: Аудит подключения и протокола SMB (Server Message Block) может перестать выполняться после отключения или включения службы SMB.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
В кластере включен аудит протоколов:
# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<
Служба SMB отключается и повторно включается с помощью команды:
# isi services -a smb disable The service 'smb' has been disabled. # isi services -a smb enable The service 'smb' has been enabled.
Узлы показывают высокие закрытые соединения на TCP-порте 445:
Например:
# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l' PowerScale-1: 7668 PowerScale-2: 7022 PowerScale-3: 7773 PowerScale-4: 7378
Проверьте журнал аудита, и он показывает, что после отключения или включения
службы SMB новые события аудита SMB отсутствуют:Например:
#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done
Нет сокета для аудита сервиса в lwio процесс:
# procstat -f $(pgrep lwio)|grep -i "audit_service.sock" #
Cause
Это проблема продукта OneFS 9.7.1.x и OneFS 9.8.
После отключения или включения службы SMB сокет для аудита службы не восстанавливается должным образом в lwio . Это приводит к тому, что события аудита SMB не передаются в службу аудита. В конечном итоге очередь аудита внутри lwio полон. lwio зависло в ожидании аудита операций SMB.
Resolution
Проблема с кодом исправлена в OneFS 9.7.1.8, 9.10.1.0, 9.11 и более поздних версиях OneFS.
Если кластер не удается модернизировать до уровня кода с помощью исправления. Выполните указанное временное решение проблемы и перезапустите lwio на затронутом узле, чтобы восстановить сокет для службы аудита.
- Убедитесь, что
lwioПИД
# ps auxw|grep 'lw-container lwio' root 83816 0.0 1.4 123100 56184 - I< 7Jan25 0:06.95 lw-container lwio (lwio)
- Restart
lwio
# killall lwio #
- Убедитесь, что
lwioИзменения PID
# ps auxw|grep 'lw-container lwio' root 62370 0.0 0.9 84240 36200 - S< 04:14 0:00.19 lw-container lwio (lwio)
- Убедитесь, что служба аудита сокета вернулась
# procstat -f $(pgrep lwio)|grep -i audit 62370 lwio 21 s - rw------ 2 0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.