Компанія OneFS: Аудит з'єднань і протоколів SMB припиняє роботу після вимкнення або ввімкнення служби SMB

Summary: Підключення та аудит протоколу блоку повідомлень сервера (SMB) можуть припинити роботу після вимкнення або ввімкнення служби SMB.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Аудит протоколу включений на кластері:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

Послуга SMB вимикається та знову вмикається командою:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

Вузли показують високі закриті з'єднання на порту TCP 445:
Наприклад:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

Перевірено журнал аудиту, і він показує, що після вимкнення або ввімкнення служби SMB жодних нових подій аудиту SMB немає:
Наприклад:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

Немає розетки для аудиту послуги в lwio процес:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

Це проблема з продуктом у OneFS 9.7.1.x і OneFS 9.8.

Після вимкнення або ввімкнення служби SMB сокет для аудиту служби не відновлюється належним чином у lwio процес. Це призводить до того, що події аудиту SMB не надсилаються до аудиторської служби. Врешті-решт черга на аудит всередині lwio переповнений. lwio застряг в очікуванні, поки діяльність малого та середнього бізнесу не буде перевірена.

Resolution

Проблема з кодом виправлена в OneFS 9.7.1.8, 9.10.1.0, 9.11 і пізніше OneFS.

Якщо кластер не може бути оновлений до рівня коду за допомогою виправлення. Будь ласка, дотримуйтесь обхідного шляху, перезавантажте lwio на ураженому вузлі, щоб відновити сокет для служби аудиту.

  1. Перевірте роботу lwio ПІД
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. Перезавантажувати lwio
# killall lwio
#
  1. Підтвердьте lwio Зміни PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Переконайтеся, що служба аудиту розетки повернулася
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.