Linux システムへの エージェントクライアントコレクター のインストール

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:14分

    • パッケージ配布ツールを使用して エージェントクライアントコレクター をインストールします。インストール前に、いくつかのマシンに エージェントクライアントコレクター を手動でインストールして、エージェントに正しいポリシーとチェックが含まれていることを確認してから、多くのエージェントをインストールすることができます。

    始める前に

    • エージェントクライアントコレクター リスナーが MID サーバー に構成され、そのサービスがターゲットホストから利用可能であることを確認します。
    • サーバーの OS とバージョンがサポートされることを確認します。サポートされている OS とバージョンのリストについては、「エージェントクライアントコレクター のインストール」を参照してください。
    • デフォルトの ServiceNow アカウント以外のアカウントを指定するなど、展開中に注意する必要がある制限または要件があるかどうかを確認します。独自の自動システムへのエージェントの埋め込みの詳細については、「ITOM エージェントクライアントコレクターのドキュメント資料 [KB1122613]」を参照してください。
    • MID サーバー とその MID Web サーバー および ACC Websocket エンドポイント拡張が稼働していることを確認します。
    • エージェントの backend-url パラメーターで指定される MID サーバー ACC リスナー情報を取得します。
      1. 移動先 すべて > エージェントクライアントコレクター > 展開 > MID サーバー.
      2. [MID サーバー] を選択します。
      3. [ACC Websocket エンドポイント] タブを選択します。
      4. WebSocket エンドポイントを選択します。
      5. [エンドポイント URL] フィールドの値をコピーします。
    • エージェントの api-key パラメーターで指定される MID サーバー API キーを取得します。
      1. 移動先 すべて > エージェントクライアントコレクター > 展開 > MID Web サーバー API キー.
      2. 使用する API キーを選択します。
      3. [関連リンク] セクションで、[API キーを表示] を選択します。
      4. API キーの値をコピーして、ポップアップウィンドウを閉じます。
    注:
    負荷分散を使用する場合は、MID サーバー の代わりに負荷分散されたサービスの FQDN/CNAME を指定します。効率の低下を防ぐには、sn_agent.enable_auto_mid_selection プロパティを無効にします。
    注:
    ロードバランシング中の効率を最大化するために、sn_agent.enable_auto_mid_selection プロパティはデフォルトで無効になっています。

    必要なロール:agent_client_collector_admin

    このタスクについて

    Linuxのインストール (およびアップグレード) 中、エージェント実行可能ファイルはデフォルトで Linux 機能 (CAP_SETFCAP、CAP_SETPCAP) で有効になります。エージェントクライアントコレクターログアナリティクス (ACC-L) などのストアアプリではこれを使用してファイルシステム (CAP_DAC_READ_SEARCH) 全体を読み取る機能を付与できます。このシステムには、コンテンツ作成元の二重検証、プラグイン検証プロセスの活用など、さまざまなセキュリティ対策が講じられており、機能の付与によってセキュリティリスクが発生しないようにしています。この手順は、 Linux 機能のコマンドに精通していることを前提としています。

    これらの拡張機能をオプトアウトするには、 Linux OS/パッケージングシステムに基づいて次のコマンドを実行します。

    表 : 1. Linux 拡張機能オプトアウトコマンド
    OS/パッケージングシステム コマンド
    RRM

    ACC_SKIP_CAPS=true yum / dnf localinstall

    ACC_SKIP_CAPS=true rpm -vi agent-client-collector-<version number>-x86_64.rpm
    Debian

    ACC_SKIP_CAPS=true apt-get install

    ACC_SKIP_CAPS=true dpkg -i agent-client-collector-<バージョン番号>-<distro>_amd64.deb
    SLES

    ACC_SKIP_CAPS=true zypper install

    手順

    1. 該当するインストールパッケージをダウンロードします。
      • 手動インストールの場合:
        1. 移動先 > エージェントクライアントコレクター > 展開 > エージェントのダウンロード.
        2. 関連するインストールファイル .rpm または .deb をダウンロードします。
        3. 関連する署名ファイルをダウンロードして、インストールファイルを検証します。
      • コマンドラインインストールの場合は、次のコマンドを実行して、署名ファイルとインストールファイルの両方をローカルマシンにダウンロードします。
        curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64.rpm
curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64-rpm-rpm.zip
        注:
        各 curl コマンドは 1 行で表示する必要があります。
    2. オプション: パッケージの署名を確認します。
      1. インストールファイルを展開するには (圧縮されている場合)、次のコマンドを実行します。
        unzip agent_client-collector-<version_number>-x86_64-rpm-rpm.zip
      2. 指定されたコマンドを実行して、インストールファイルの署名を検証します。
        • RPM ベースのシステムの場合:
          openssl dgst -sha256 -verify {<ServiceNow DGST pem key>} -signature {<signature file>} agent-client-collector-<version number>-x86_64.rpm

          ここで <ServiceNow DGST pem key>.zip ファイルから展開された .pem ファイルであり、<signature file>.zip ファイルから展開された .bin ファイルです。

          例: 
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64.rpm
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
$ unzip agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
Archive: agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
inflating: ServiceNow_Digicert_DGST.pem
extracting: agent-client-collector-3.0.0-x86_64.bin
$ openssl dgst -sha256 -verify ServiceNow_Digicert_DGST.pem -signature agent-client-collector-3.0.0-x86_64.bin agent-client-collector-3.0.0-x86_64.rpm
Verified OK
          注:
          各コマンドは 1 行で表示する必要があります。
        • Debian ベースのシステムの場合:

          gpg --import ServiceNow_Digicert_Public.gpg

          sudo gpg --verify agent-client-collector-<version number>-<distro>_amd64.deb

          たとえば、次のようになります。
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64.deb
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
$ unzip agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
Archive: agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
extracting: ServiceNow_Digicert_Public.gpg
$ gpg --import ServiceNow_Digicert_Public.gpg
gpg: /home/admin/.gnupg/trustdb.gpg: trustdb created
gpg: key 985DD52C6A0ABB45: public key "ServiceNow, Inc. (Signing) <seceng@servicenow.com>"
imported
gpg: Total number processed: 1
gpg: imported: 1
$ dpkg-sig --verify agent-client-collector-3.0.0-debian-9_amd64.deb
Processing agent-client-collector-3.0.0-debian-9_amd64.deb...
GOODSIG _gpgbuilder 9B928FB49771DF6C047430DD985DD52C6A0ABB45 1665054068
          注:
          各コマンドは 1 行で表示する必要があります。
    3. Linuxディストリビューションに関連付けられたパッケージマネージャーを使用して、エージェントクライアントコレクターパッケージをインストールします。
      OS コマンド
      RHEL ベース yum / dnf localinstall
      SLES zypper install
      Debian ベース apt-get install

      または、これらのコマンドが正しく構成されていない場合は、パッケージマネージャーコマンドで実行するように構成されたコアコマンドを使用できます。

      • RPM ベースのシステム:# rpm -vi agent-client-collector-<version number>-x86_64.rpm
      • Debian ベースのシステム:# dpkg -i agent-client-collector-<version number>-<distro>_amd64.deb

      パッケージコマンドが正しく構成されていることをシステムアドミニストレーターに確認してください。

      注:
      一部のファイルシステムでは制限が有効になっている場合があります。たとえば、 /var/noexec フラグを付けてマウントできます。エージェントは、通常は /var/cache ディレクトリーに格納される エージェントクライアントコレクター プラグインを実行する必要があるため、.rpm パラメーターとして --relocate オプションを使用してインストールパスをカスタマイズすることで、特定のフォルダーにアプリケーションを展開する必要があります。

      例:rpm -i --relocate /var/cache=/opt/cache agent-client-collector-<version_number>-x86_64.rpm

      以下のパスについて場所を変更できます。
      パス メモ
      /etc 更新するときは、acc.yml ファイルの allow-list パラメーターも新しいパスで更新する必要があります。
      /usr/share 適用外
      /var/cache /var ディレクトリーを更新すると、新しいディレクトリーの下にネストされたすべての /var サブディレクトリーが保持されます。
      /var/log
      /var/run
      /var
      /usr/lib/systemd/system/acc.service のパスを調べて、想定どおりに表示されることを確認します。
    4. .deb パッケージをインストールする場合は、エージェントの acc.yml 構成ファイルを設定します。
      1. 次のコマンドを実行して、サンプル構成ファイルをコピーします。

        # cp -p /etc/servicenow/agent-client-collector/acc.yml.example /etc/servicenow/agent-client-collector/acc.yml

      2. 許可リストファイルの名前を変更します。

        # cp -p /etc/servicenow/agent-client-collector/check-allow-list.json.default /etc/servicenow/agent-client-collector/check-allow-list.json

      注:
      この手順は、ベースシステムに含まれる acc.yml および check-allow-list.json ファイルに付属する .rpm パッケージには関係ありません。
    5. 構成ファイルを更新し、check-allow-list.jsonを /etc/servicenow/agent-client-collector に追加して、インスタンスからバックエンド URLAPI キーをコピーします。
      たとえば、次のようになります。
      ---
# Agent Client Collector configuration
backend-url:
 - "wss://YOUR_MID_ENDPOINT_HERE:YOUR_MID_PORT_HERE/ws/events"
api-key: "YOUR_API_KEY_HERE"
log-level: "info"
insecure-skip-tls-verify: false
allow-list: /etc/servicenow/agent-client-collector/check-allow-list.json
verify-plugin-signature: true
max-running-checks: 10
disable-sockets: true
disable-api: true
statsd-disable: true
enable-auto-mid-selection: false
agent_cpu_threshold:
 cpu_percentage_limit: 25
 repeated_high_cpu_num: 3 
 monitor_interval_sec: 60
 agent_cpu_threshold_disabled: false

      エージェントによる実行が許可されているコマンドを示す allow-list 機能が有効です。

    6. サービスとして実行するようにエージェントを設定します。
      1. /usr/lib/systemd/system/acc.service ファイルに指定された値を追加して、リソースの消費を保護します。
        • CPUShares=128
        • CPUQuota=10%
        • MemoryLimit=192M
        • BlockIOWeight=10
        • LimitNICE=15

        例:

        # vi /usr/lib/systemd/system/acc.service
[Unit]
Description=Agent-Now acc
After=network-online.target
[Service]
Environment=AGENT_ROOT=/usr/share
Environment=AGENT_CACHE_ROOT=/var/cache
Environment=AGENT_CONFIG_ROOT=/etc
Environment=AGENT_LOG_ROOT=/var/log
Environment=AGENT_RUN_ROOT=/var/run
Environment=RUBYOPT=-Eutf-8
User=servicenow
Group=servicenow
ExecStart=/usr/share/servicenow/agent-client-collector/bin/acc-service start acc
KillMode=process
Restart=on-failure
RestartSec=1min
CPUShares=128
CPUQuota=10%
MemoryLimit=192M
BlockIOWeight=10
LimitNICE=+15
[Install]
WantedBy=network-online.target
      2. acc サービスを有効にした後でサービスファイルを変更した場合は、デーモンをリロードするコマンドを実行します。

        # systemctl daemon-reload

      3. 次のコマンドを実行して、サービスを有効にして開始します。

        # systemctl enable acc

        # systemctl start acc