チェックとポリシー

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • チェックとは、コマンドとその構成の組み合わせです。チェックは、エージェントクライアントコレクターのデバイスで実行され、それらのデバイスからデータを収集します。

    チェック

    チェックはベースシステムで提供され、そのコマンドはオペレーティングシステムとアプリケーションの監視データを提供するスクリプトを実行します。チェックのデフォルト名は、監視や測定の対象、エンティティ、および監視データを示します。たとえば、os.linux.check-system-cpu という名前のチェックは、Linux システムの CPU データをチェックします。チェックで識別されたコマンドが監視対象デバイスで実行され、出力とステータスが提供されます。個々のチェックは、チェック定義と呼ばれます。

    イベント管理 ベースシステムには、次のチェックタイプが用意されています。

    • イベント:チェックの結果が イベント管理 イベントに変換されます。
    • メトリクス:チェック結果からの値がメトリクスに変換されます。

    エージェントクライアントコレクター Framework のデフォルトチェックについての詳細は、「エージェントクライアントコレクター フレームワークのデフォルトチェック」を参照してください。

    エージェントクライアントコレクター for Monitoring のデフォルトのチェックとポリシーについての詳細は、「エージェントクライアントコレクター for Monitoring のデフォルトのチェックとポリシー」を参照してください。

    ヴィジビリティ対応エージェントクライアントコレクター のデフォルトのチェックとポリシーについての詳細は、「ヴィジビリティ対応エージェントクライアントコレクター のデフォルトチェックとポリシー」を参照してください。

    エージェントのデバイスでチェックが実行されない場合は、エージェントが CPU 保護モードになっている可能性があります。CPU 保護モードは、デバイスの CPU 負荷が高すぎる場合に自動的に有効化されます。この場合、エージェントの [データ収集] ステータスは [オフ (自動)] になります。エージェントログを確認して、問題のあるチェックを特定します。問題のあるチェックを手動で無効にするか、エージェントの acc.yml ファイルの CPU 保護モードのしきい値を変更して、エージェントのデータ収集を手動で再開することができます。CPU 保護モードのしきい値の詳細については、「エージェントクライアントコレクター の CPU 保護しきい値」を参照してください。データ収集を手動でオフにする方法の詳細については、「エージェントクライアントコレクター データ収集の一時停止」を参照してください。

    ベースシステムでは、イベントの終了ステータスで重大度が次のように示されます。
    • 0 = OK
    • 1 = 警告
    • 2 = 重大
    カスタマイズされたスクリプトを実行することで、その他の重大度 (メジャー、マイナーなど) を追加できます。次の終了ステータスは、それぞれ以下の重大度を示します。
    • 13 = メジャー
    • 14 = マイナー

    servicenow ベースシステムユーザーに特定のチェックコマンドを実行する権限がない場合は、次の操作を行います。

    • Linux システムの場合:servicenow ユーザーが sudo 権限でコマンドを実行できるようにします。次の sudo 構成要件を満たす必要があります。
      • tty とパスワードの要件を無効にする
      • すべての環境変数を保持する
      • コマンドを実行するための動的 PATH をサポートする
      たとえば、/etc/sudoers ファイルで次のように設定できます。
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      注:
      コマンドパスは異なる場合があります。特別な考慮事項については、sudoers のマニュアルを参照してください。
      • SETENV: 文字列を使用すると、servicenow ユーザーが環境変数を保持できます。
      • !requiretty 文字列は tty を無効にします。
      • servicenow ユーザーを exempt_group に追加すると、パスワード要件がバイパスされ、sudo コマンドを実行するための動的 PATH が有効になります。
      チェック定義のチェックコマンドパラメーターセクションで must_sudo チェックパラメーターに true の値が設定されていることを確認します。
    • macOS システムの場合:エージェントサービスを実行しているユーザーが、ホスト上のすべての TCP 接続をクエリする権限を持つユーザーグループに属していることを確認します。
    • Windows システムの場合:Windows のユーザー管理を使用して、関連する権限を持つグループに servicenow ユーザーを追加し、ユーザーが必要なコマンドを実行できるようにします。

    ポリシー

    ポリシーは、CI とそれらの CI のチェック定義のセットです。

    単一のポリシーで複数の認証情報をサポートするには、認証情報エイリアスをポリシーに割り当てる必要があります。たとえば、Linux と Windows の両方に異なる認証情報を持つ MySQL サーバーがある場合は、認証情報タイプごとに個別のポリシーを作成する必要があります。ただし、認証情報エイリアスを使用すれば、単一のポリシーを認証情報エイリアスに割り当てることができます。エージェントは、関連する認証情報を監視対象のアプリケーションと照合します。認証情報エイリアスの詳細については、「Create a Connection and Credential alias (接続および資格情報エイリアスの作成)」を参照してください。

    イベントタイプチェックを含むポリシーによって生成されたアラートは、CI モニタリングが次のいずれかを介して停止されたときに、自動的にクローズされます。
    • ポリシーの無効化
    • アラートの原因となったチェックの無効化
    • ポリシーからのチェックの削除
    • ポリシーの削除
    • 監視対象 CI を決定するポリシーフィルターの変更