OneFS:SMB 服務停用或啟用後,SMB 連線和通訊協定稽核停止運作

Summary: 停用或啟用 SMB 服務後,伺服器訊息封鎖 (SMB) 連線和通訊協定稽核可能會停止運作。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

叢集上已啟用通訊協定稽核:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

SMB 服務已停用,並使用以下命令重新啟用:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

節點在 TCP 連接埠 445 上顯示高度封閉連線:
例如:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

已檢查稽核記錄,顯示停用或啟用 SMB 服務後,沒有新的 SMB 稽核事件:
例如:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

中沒有可稽核服務的插槽 lwio 過程:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

這是 OneFS 9.7.1.x 和 OneFS 9.8 中的產品問題。

禁用或啟用 SMB 服務後,用於審核服務的套接字未正確還原 lwio 過程。它會導致SMB審核事件不推送到審核服務。最終內部的審核佇列 lwio 已滿。 lwio 卡在等待 SMB 操作可以審核之前。

Resolution

程式碼問題已在 OneFS 9.7.1.8、9.10.1.0、9.11 及更新版本的 OneFS 中修正。

如果無法透過修正將叢集升級至程式碼層級。請依照因應措施,重新開機 lwio 在受影響的節點上,將套接字還原至稽核服務。

  1. 驗證執行中的 lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. 重新啟動 lwio
# killall lwio
#
  1. 確認 lwio PID 變更
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. 確認稽核服務的套接字已返回
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.