日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。
ワークロードセキュリティエージェントのインストール
ワークロードセキュリティ(旧Cloud Secure )は、1つ以上のエージェントを使用してユーザアクティビティデータを収集します。エージェントは環境内のデバイスに接続し、分析のためにワークロードセキュリティSaaSレイヤに送信されるデータを収集します。を参照してください "エージェントの要件" エージェント VM を設定します。
|
ワークロードセキュリティは、Cloud Insights フェデラルエディションでは使用できません。
|
作業を開始する前に
-
インストール、スクリプトの実行、アンインストールには sudo 権限が必要です。
-
エージェントのインストール中に、ローカルのuser_cssys_とローカルのgroup_cssys_がマシン上に作成されます。権限設定でローカルユーザの作成が許可されておらず、Active Directoryが必要な場合は、Active Directoryサーバにusername_csys_という名前のユーザを作成する必要があります。
-
Cloud Insightsのセキュリティについては、 "こちらをご覧ください"。
エージェントをインストールする手順
-
ワークロードセキュリティ環境に管理者またはアカウント所有者としてログインします。
-
[Collectors]>[Agents]>[+Agent]を選択します。
[ エージェントの追加 ] ページが表示されます。
-
エージェントサーバが最小システム要件を満たしていることを確認します。
-
エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 _ サポートされているバージョン( i ) _ をクリックします。
-
ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。
-
[ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。
-
ターミナルウィンドウでインストールコマンドを実行します。
-
インストールが正常に完了すると、次のメッセージが表示されます。
ネットワーク構成:
ローカルシステムで次のコマンドを実行して、ワークロードセキュリティで使用されるポートを開きます。ポート範囲に関するセキュリティ上の問題がある場合は、 35000 : 35100 のように小さいポート範囲を使用できます。各 SVM は 2 つのポートを使用します。
手順
-
sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
-
sudo firewall-cmd --reload
-
CentOS 7.x/RHEL 7.x * :
-
sudo iptables-save | grep 35000
-A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
* CentOS 8.x / RHEL 8.x * :
-
sudo firewall-cmd --zone=public --list-ports | grep 35000
(CentOS 8の場合)
エージェントエラーのトラブルシューティング
問題 |
解決策: |
エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。 |
このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。
エラーは標準出力にリダイレクトされ、を使用してサービスログに表示されます journalctl -u cloudsecure-agent.service コマンドを実行しますこのコマンドを使用して、問題のトラブルシューティングをさらに行うことができます。 |
「この Linux ディストリビューションはサポートされていません。インストールを終了しています。 |
このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照してください "エージェントの要件"。 |
エージェントのインストールが次のエラーで失敗しました:
"-bash:unzip:コマンドが見つかりません" |
unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。
その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。 |
エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。 |
Agent マシンに SSH 接続します。を使用して、エージェントサービスのステータスを確認します sudo systemctl status cloudsecure-agent.service 。
1.ログに「Failed to start Workload Security daemon service」というメッセージが表示されるかどうかを確認します。
2. cssys ユーザが Agent マシンに存在するかどうかを確認します。次のコマンドを root 権限で 1 つずつ実行し、 cssys ユーザとグループが存在するかどうかを確認します。
sudo id cssys
sudo groups cssys
3.何も存在しない場合は、中央集中型の監視ポリシーによってcssysユーザが削除されている可能性があります。
4. 次のコマンドを実行して、 cssys のユーザとグループを手動で作成します。
sudo useradd cssys
sudo groupadd cssys
5.次のコマンドを実行して、エージェントサービスを再起動します。
sudo systemctl restart cloudsecure-agent.service
6.まだ実行されていない場合は、他のトラブルシューティングオプションを確認してください。 |
エージェントには50個を超えるデータコレクタを追加できません。 |
エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。 |
Agent is in not_connected 状態であることが UI に表示されます。 |
エージェントを再起動する手順。
1. エージェントマシンに SSH 接続します。
2.その後、次のコマンドを実行してエージェントサービスを再起動します。
sudo systemctl restart cloudsecure-agent.service
3.からエージェントサービスのステータスを確認します sudo systemctl status cloudsecure-agent.service 。
4. エージェントは接続状態になります。 |
エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。 |
*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。 |
エージェントのインストール中に、解凍後にインストールがハングします。 |
「 chmod 755 -rf 」コマンドが失敗しています。
このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。
1.「cloudsecure」という名前の新しいディレクトリを作成します。
2.そのディレクトリに移動します。
3.完全な「トークン=………」をコピーして貼り付けます。 … ./cloudsecure-agent-install.sh "インストールコマンドを入力し、Enterキーを押します。
4.インストールを続行できるはずです。 |
エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Cloud Insights のシリアル番号を入力してケースをオープンし、メモしておいたケースにログを添付します。 |
ログをケースに添付するには、次の手順に従います。
1. root権限で以下のスクリプトを実行し、出力ファイル(cloudsecure-agent-symptions.zip)を共有します。
A /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh
以下のコマンドをroot権限で1つずつ実行し、出力を共有します。
A ID csys
B グループcsys
c. Cat /etc/os-release |
cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。
[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh
サービスログを収集しています
アプリケーションログを収集しています
エージェント設定を収集しています
サービスステータスのスナップショットを取得しています
エージェントディレクトリ構造のスナップショットを取得しています
…………………………… 。
…………………………… 。
/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh行52:zip:コマンドが見つかりません
エラー:/tmp/ cloudsecure-agent-symptoms.zipを作成できませんでした |
ZIPツールがインストールされていません。
コマンド「yum install zip」を実行してzipツールをインストールします。
次に、cloudsecure-agent-symptom-collector.shを再度実行します。 |
エージェントのインストールに失敗し、useradd:Cannot create directory/home/cssysというメッセージが表示されます |
このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。
回避策では、次のコマンドを使用してcsysユーザを作成し、ログインディレクトリを手動で追加します。
sudo useradd user_name -m -d home_DIR
-m:ユーザのホームディレクトリが存在しない場合は作成します。
-d:新しいユーザは'ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されます
たとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。 |
エージェントはインストール後に実行されていません。
_systemctl status cloudsecure-agent.service_には、次の情報が表示されます。
[root@demo ~]# systemctl status cloudsecure-agent.service
agent.service–Workload Security Agent Daemon Service(ワークロードセキュリティエージェントデーモンサービス)
loaded: loaded(/usr/lib/systemd/system/cloudsecure-agent.service;有効;ベンダープリセット:無効)
アクティブ:アクティブ化(自動再起動)(結果:終了コード) Since Tue 2021-08-03 21:12:26 PDT;2 s ago
プロセス:25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent(code=exited status=126)
メインPID:25889(コード=終了、ステータス= 126)、
Aug 03 21:12:26 demo systemd[1]:cloudsecure-agent.service: main process exited、code=exited、status=126/n/a
Aug 03 21:12:26 demo systemd[1]:Unit cloudsecure-agent.service entered failed state.
8月03日21:12:26デモシステムd[1]:cloudsecure-agent.serviceが失敗しました。 |
これは'_cssys_userにインストール権限がないために失敗することがあります
/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。
これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。
「Permission denied」が返された場合、インストール許可は表示されません。
マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。 |
エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。 |
agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。
1.プロパティファイルを含むフォルダに変更します。
CD /opt/netapp/cloudsecure/conf
2.お気に入りのテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。
3.次の行を追加または変更します。
agent_proxy_host = scspa1950329001.vm.netapp.com
AGENT_PROXY_PORT = 80
agent_proxy_user = pxuser
AGENT_PROXY_PASSWORD = pass1234
4.ファイルを保存します。
5.エージェントを再起動します。
sudo systemctl restart cloudsecure-agent.service |