OneFS:SMB 连接和协议审核在 SMB 服务禁用或启用后停止工作

Summary: 禁用或启用 SMB 服务后,服务器消息块 (SMB) 连接和协议审核可能会停止工作。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

已在群集上启用协议审核:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

使用以下命令禁用并重新启用 SMB 服务:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

节点在 TCP 端口 445 上显示高度封闭连接:
例如:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

检查审核日志,它显示在禁用或启用 SMB 服务后没有新的 SMB 审核事件:
例如:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

中没有用于审核服务的套接字 lwio 过程:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Cause

这是 OneFS 9.7.1.x 和 OneFS 9.8 中的产品问题。

禁用或启用 SMB 服务后,审核服务的套接字未在 中正确还原 lwio 进程请求许可证。这会导致 SMB 审核事件不会推送到审核服务。最终,内部的审核队列 lwio 已满。 lwio 卡在等待,直到可以审核 SMB作。

Resolution

该代码问题已在 OneFS 9.7.1.8、9.10.1.0、9.11 和更高版本的 OneFS 中得到修复。

如果群集无法通过修复升级到代码级别。请遵循解决方法,重新启动 lwio 在受影响的节点上,将插槽还原到审核服务。

  1. 验证正在运行 lwio PID公司
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. 重新启动 lwio
# killall lwio
#
  1. 确认 lwio PID 更改
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. 确认要审核的套接字服务已恢复
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Article Properties
Article Number: 000272604
Article Type: Solution
Last Modified: 30 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.