日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワークロードセキュリティエージェントのインストール

04/22/2023 寄稿者

ワークロードセキュリティ（旧Cloud Secure ）は、1つ以上のエージェントを使用してユーザアクティビティデータを収集します。エージェントは環境内のデバイスに接続し、分析のためにワークロードセキュリティSaaSレイヤに送信されるデータを収集します。を参照してください "エージェントの要件" エージェント VM を設定します。

ワークロードセキュリティは、Cloud Insights フェデラルエディションでは使用できません。

作業を開始する前に

インストール、スクリプトの実行、アンインストールには sudo 権限が必要です。
エージェントのインストール中に、ローカルのuser_cssys_とローカルのgroup_cssys_がマシン上に作成されます。権限設定でローカルユーザの作成が許可されておらず、Active Directoryが必要な場合は、Active Directoryサーバにusername_csys_という名前のユーザを作成する必要があります。

エージェントをインストールする手順

ワークロードセキュリティ環境に管理者またはアカウント所有者としてログインします。
[セキュリティ]メニューで、[管理者]>[データコレクタ]>[エージェント]>[エージェント]を選択します

[ エージェントの追加 ] ページが表示されます。
エージェントサーバが最小システム要件を満たしていることを確認します。
エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 _ サポートされているバージョン（ i ） _ をクリックします。
ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。
[ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。
ターミナルウィンドウでインストールコマンドを実行します。
インストールが正常に完了すると、次のメッセージが表示されます。

完了後

を設定する必要があります "User Directory Collector の略"。
1 つ以上のデータコレクタを設定する必要があります。

ネットワーク構成：

ローカルシステムで次のコマンドを実行して、ワークロードセキュリティで使用されるポートを開きます。ポート範囲に関するセキュリティ上の問題がある場合は、 35000 ： 35100 のように小さいポート範囲を使用できます。各 SVM は 2 つのポートを使用します。

手順

'UDO firewall-cmd --permanent—zone=public—add-port =35000-55000/tcp`
'sudo firewall-cmd — reload'

プラットフォームに応じて、次の手順を実行します。

CentOS 7.x/RHEL 7.x * ：
1. 'UDO IPTables-save|grep 35000'

出力例：

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
* CentOS 8.x / RHEL 8.x * ：

'sudo firewall-cmd --zone=public—list-ports | grep 35000` (CentOS 8 の場合 )

出力例：

35000-55000/tcp

エージェントエラーのトラブルシューティング

既知の問題とその解決策を次の表に示します。

問題解決策：

問題	解決策：
エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。	このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。エラーは標準出力にリダイレクトされ 'journalctl -u cloudsecure-agent.service` コマンドを使用してサービスログに表示されますこのコマンドを使用して、問題のトラブルシューティングをさらに行うことができます。
「この Linux ディストリビューションはサポートされていません。インストールを終了しています。	このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照してください "エージェントの要件"。
エージェントのインストールが次のエラーで失敗しました： "-bash: unzip: command not found"	unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。
エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。	Agent マシンに SSH 接続します。を使用して、エージェントサービスのステータスを確認します `sudo systemctl status cloudsecure-agent.service`。1.ログに「Failed to start Workload Security daemon service」というメッセージが表示されるかどうかを確認します。2. cssys ユーザが Agent マシンに存在するかどうかを確認します。次のコマンドを root 権限で 1 つずつ実行し、 cssys ユーザとグループが存在するかどうかを確認します。 `sudo id cssys` sudo groups cssys`3.何も存在しない場合は、中央集中型の監視ポリシーによってcssysユーザが削除されている可能性があります。4. 次のコマンドを実行して、 cssys のユーザとグループを手動で作成します。 `sudo useradd cssys `sudo groupadd cssys`5.次のコマンドを実行して、エージェントサービスを再起動します。 `sudo systemctl restart cloudsecure-agent.service`6.まだ実行されていない場合は、他のトラブルシューティングオプションを確認してください。
エージェントに 50 個を超えるデータコレクタを追加できません。	エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。
Agent is in not_connected 状態であることが UI に表示されます。	エージェントを再起動する手順。1. エージェントマシンに SSH 接続します。2. 次のコマンドを実行して、エージェントサービスを再起動します。 'UDO systemctl restart cloudsecure-agent.service` 3.「 sudo systemctl status cloudsecure-agent.service` 」を使用して、エージェントサービスのステータスを確認します。4. エージェントは接続状態になります。
エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。	*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。
エージェントのインストール中に、解凍後にインストールがハングします。	「 chmod 755 -rf 」コマンドが失敗しています。このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。1. 「 cloudsecure 」という名前の新しいディレクトリを作成します。2. そのディレクトリに移動します。3. 完全な「 token=… …」をコピーして貼り付けます。 … ./cloudsecure-agent-install.sh インストールコマンドを実行し、 Enter キーを押します。4. インストールを続行できるはずです。
エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Cloud Insights のシリアル番号を入力してケースをオープンし、メモしておいたケースにログを添付します。	ケースにログを添付するには、次の手順を実行します。 1.次のスクリプトをルート権限で実行し、出力ファイル（ cloudsecure-agent-scripts.zip ）を共有します。A/opt/NetApp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2 に設定します。次のコマンドを root 権限で 1 つずつ実行し、出力を共有します。AID cssys b.グループは cssys c. をCat /etc/os-release
cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.shサービスログの収集アプリケーションログの収集エージェント設定の収集エージェントディレクトリ構造スナップショットの取得中のサービスステータススナップショット…………… 。…………………………… 。/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：line 52：zip：command not found error：/tmp/cloudsecure-agent-symptoms.zipを作成できませんでした	ZIPツールがインストールされていません。コマンド「yum install zip」を実行してzipツールをインストールします。次に、cloudsecure-agent-symptom-collector.shを再度実行します。
エージェントのインストールに失敗し、useradd：Cannot create directory/home/cssysというメッセージが表示されます	このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。回避策では、次のコマンドを使用してcssysユーザを作成し、そのログインディレクトリを手動で追加します。_sudo useradd user_name -m -d home_DIR_m：ユーザのホームディレクトリがない場合は作成します。-d：新しいユーザは’ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されますたとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。
エージェントはインストール後に実行されていません。_systemctl status cloudsecure-agent.service_は次のように表示されます。[root@demo~]#systemctl status cloudsecure-agent.service agent.service–Workload Security Agent Daemon Service Loaded（/usr/lib/system/secd/cloud-agent.service；enabled；vendor preset：disabled）Active: Activating（auto-restart）（result：exit-code）since tue 2021 -08-08-03：12 Process=2012/<ページの/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentステータス>（PDT：loaded（/usr/system/system/system/system/system/system/systemd>）25889（code=Exited、status=126）、Aug 03 21：12：26 demo systemd[1]：cloudsecure-agent.service:メインプロセスが終了しました。code=Exited、status=126/n/a Aug 03 21：12：26 demo systemd[1]：Unit cloudsecure-agent.service entered failed状態になりました。8月03日21：12：26デモシステムd[1]：cloudsecure-agent.serviceが失敗しました。	これは'_cssys_userにインストール権限がないために失敗することがあります/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。「Permission denied」が返された場合、インストール許可は表示されません。マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。
エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。	agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。1.プロパティファイルが格納されているフォルダ（cd /opt/netapp/cloudsecure/conf 2）に変更します。任意のテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。3.次の行を追加または変更します：agent_proxy_host = scspa1950329001.vm.netapp.com agent_proxy_port = 80 agent_proxy_user = pxuser agent_proxy_password = pass1234ファイルを保存します。5.エージェントsudo systemctl restart cloudsecure-agent.serviceを再起動します

エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。

このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。エラーは標準出力にリダイレクトされ 'journalctl -u cloudsecure-agent.service` コマンドを使用してサービスログに表示されますこのコマンドを使用して、問題のトラブルシューティングをさらに行うことができます。

「この Linux ディストリビューションはサポートされていません。インストールを終了しています。

このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照してください "エージェントの要件"。

エージェントのインストールが次のエラーで失敗しました： "-bash: unzip: command not found"

unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。

エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。

Agent マシンに SSH 接続します。を使用して、エージェントサービスのステータスを確認します sudo systemctl status cloudsecure-agent.service。1.ログに「Failed to start Workload Security daemon service」というメッセージが表示されるかどうかを確認します。2. cssys ユーザが Agent マシンに存在するかどうかを確認します。次のコマンドを root 権限で 1 つずつ実行し、 cssys ユーザとグループが存在するかどうかを確認します。 sudo id cssys sudo groups cssys`3.何も存在しない場合は、中央集中型の監視ポリシーによってcssysユーザが削除されている可能性があります。4. 次のコマンドを実行して、 cssys のユーザとグループを手動で作成します。 `sudo useradd cssys `sudo groupadd cssys`5.次のコマンドを実行して、エージェントサービスを再起動します。 `sudo systemctl restart cloudsecure-agent.service`6.まだ実行されていない場合は、他のトラブルシューティングオプションを確認してください。

エージェントに 50 個を超えるデータコレクタを追加できません。

エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。

Agent is in not_connected 状態であることが UI に表示されます。

エージェントを再起動する手順。1. エージェントマシンに SSH 接続します。2. 次のコマンドを実行して、エージェントサービスを再起動します。 'UDO systemctl restart cloudsecure-agent.service` 3.「 sudo systemctl status cloudsecure-agent.service` 」を使用して、エージェントサービスのステータスを確認します。4. エージェントは接続状態になります。

エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。

*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。

エージェントのインストール中に、解凍後にインストールがハングします。

「 chmod 755 -rf 」コマンドが失敗しています。このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。1. 「 cloudsecure 」という名前の新しいディレクトリを作成します。2. そのディレクトリに移動します。3. 完全な「 token=… …」をコピーして貼り付けます。 … ./cloudsecure-agent-install.sh インストールコマンドを実行し、 Enter キーを押します。4. インストールを続行できるはずです。

エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Cloud Insights のシリアル番号を入力してケースをオープンし、メモしておいたケースにログを添付します。

ケースにログを添付するには、次の手順を実行します。 1.次のスクリプトをルート権限で実行し、出力ファイル（ cloudsecure-agent-scripts.zip ）を共有します。A/opt/NetApp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2 に設定します。次のコマンドを root 権限で 1 つずつ実行し、出力を共有します。AID cssys b.グループは cssys c. をCat /etc/os-release

cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.shサービスログの収集アプリケーションログの収集エージェント設定の収集エージェントディレクトリ構造スナップショットの取得中のサービスステータススナップショット…………… 。…………………………… 。/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：line 52：zip：command not found error：/tmp/cloudsecure-agent-symptoms.zipを作成できませんでした

ZIPツールがインストールされていません。コマンド「yum install zip」を実行してzipツールをインストールします。次に、cloudsecure-agent-symptom-collector.shを再度実行します。

エージェントのインストールに失敗し、useradd：Cannot create directory/home/cssysというメッセージが表示されます

このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。回避策では、次のコマンドを使用してcssysユーザを作成し、そのログインディレクトリを手動で追加します。_sudo useradd user_name -m -d home_DIR_m：ユーザのホームディレクトリがない場合は作成します。-d：新しいユーザは’ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されますたとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。

エージェントはインストール後に実行されていません。_systemctl status cloudsecure-agent.service_は次のように表示されます。[root@demo~]#systemctl status cloudsecure-agent.service agent.service–Workload Security Agent Daemon Service Loaded（/usr/lib/system/secd/cloud-agent.service；enabled；vendor preset：disabled）Active: Activating（auto-restart）（result：exit-code）since tue 2021 -08-08-03：12 Process=2012/<ページの/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentステータス>（PDT：loaded（/usr/system/system/system/system/system/system/systemd>）25889（code=Exited、status=126）、Aug 03 21：12：26 demo systemd[1]：cloudsecure-agent.service:メインプロセスが終了しました。code=Exited、status=126/n/a Aug 03 21：12：26 demo systemd[1]：Unit cloudsecure-agent.service entered failed状態になりました。8月03日21：12：26デモシステムd[1]：cloudsecure-agent.serviceが失敗しました。

これは'_cssys_userにインストール権限がないために失敗することがあります/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。「Permission denied」が返された場合、インストール許可は表示されません。マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。

エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。

agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。1.プロパティファイルが格納されているフォルダ（cd /opt/netapp/cloudsecure/conf 2）に変更します。任意のテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。3.次の行を追加または変更します：agent_proxy_host = scspa1950329001.vm.netapp.com agent_proxy_port = 80 agent_proxy_user = pxuser agent_proxy_password = pass1234ファイルを保存します。5.エージェントsudo systemctl restart cloudsecure-agent.serviceを再起動します

Creating your file...

ワークロードセキュリティエージェントのインストール

作業を開始する前に

エージェントをインストールする手順

ネットワーク構成：

エージェントエラーのトラブルシューティング