OneFS: La auditoría de protocolo y conexión SMB deja de funcionar después de que el servicio SMB se deshabilita o se habilita

Resumen: La auditoría de protocolo y conexión de Server Message Block (SMB) puede dejar de funcionar después de que se deshabilita o habilita el servicio SMB.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

La auditoría de protocolo está habilitada en el clúster:

# isi audit settings global view |grep "Protocol Auditing"
Protocol Auditing Enabled: Yes <<<<<<<<<<<

El servicio SMB se deshabilita y se vuelve a habilitar con el comando:

# isi services -a smb disable
The service 'smb' has been disabled.

# isi services -a smb enable
The service 'smb' has been enabled.

Los nodos muestran conexiones cerradas altas en el puerto TCP 445:
por ejemplo:

# echo ">>> Any buildup of closed sockets against SMB? <<<"; isi_for_array -X 'netstat -an | grep "\.445" | grep CLOSED | wc -l'
PowerScale-1:     7668
PowerScale-2:     7022
PowerScale-3:     7773
PowerScale-4:     7378

Se verificó el registro de auditoría y se muestra que no hay nuevos eventos de auditoría de SMB después de que el servicio SMB se deshabilita o se habilita:
por ejemplo:

#isi_audit_viewer -t protocol -s "2025-01-15 11:30:00" | tail  (SMB services is disabled/enabled around 11:30)
...
...
[88: Wed Jan 15 11:32:29 2025] {"id":"6bb81e75-a932-11ef-8b5b-0050569b863c","timestamp":1732321949246224,"payloadType":"bbce6a72-a92d-4330-a1f3-e9fd5aed8152","payload":"Shutting down audit driver: flt_audit"}
[89: Wed Jan 15 11:32:29 2025] {"id":"6bb8a404-a932-11ef-8b5b-0050569b863c","timestamp":1732321949249642,"payloadType":"7afb8d54-0aa7-4ed4-9691-341313ee37e3","payload":"Audit Driver: flt_audit Loaded"}
done

No hay socket para auditar el servicio en lwio Proceso:

# procstat -f $(pgrep lwio)|grep -i "audit_service.sock"
#

Causa

Este es un problema del producto en OneFS 9.7.1.x y OneFS 9.8.

Después de que se deshabilita o habilita el servicio SMB, el socket para auditar el servicio no se restaura correctamente en lwio . Hace que los eventos de auditoría de SMB no se migren al servicio de auditoría. Finalmente, la cola de auditoría dentro lwio está lleno. lwio se bloquea a la espera de que se puedan auditar las operaciones de SMB.

Resolución

El problema de código se resolvió en OneFS 9.7.1.8, 9.10.1.0, 9.11 y OneFS posteriores.

Si el clúster no se puede actualizar al nivel de código con la corrección. Siga la solución alternativa y reinicie lwio en el nodo afectado para restaurar el conector al servicio de auditoría.

  1. Verifique la ejecución de lwio PID
# ps auxw|grep 'lw-container lwio'
root   83816   0.0  1.4 123100  56184  -  I<    7Jan25      0:06.95 lw-container lwio (lwio)
  1. reiniciar lwio
# killall lwio
#
  1. Confirme el lwio Cambios en PID
# ps auxw|grep 'lw-container lwio'
root   62370   0.0  0.9  84240  36200  -  S<   04:14        0:00.19 lw-container lwio (lwio)
  1. Confirme que el conector para auditar el servicio esté de vuelta
# procstat -f $(pgrep lwio)|grep -i audit
62370 lwio                21 s - rw------   2       0 UDS 0 0 /var/run/audit_service.sock
Propiedades del artículo
Número del artículo: 000272604
Tipo de artículo: Solution
Última modificación: 22 may 2026
Versión:  5
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.