ワークロードセキュリティエージェントのインストール
ワークロードセキュリティ(旧Cloud Secure )は、1つ以上のエージェントを使用してユーザアクティビティデータを収集します。エージェントはテナントのデバイスに接続し、ワークロードセキュリティSaaS層に送信されたデータを収集して分析します。エージェントVMを設定するには、を参照してください"エージェントの要件"。
開始する前に
-
インストール、スクリプトの実行、アンインストールには sudo 権限が必要です。
-
エージェントのインストール中に、ローカルのuser_cssys_とローカルのgroup_cssys_がマシン上に作成されます。権限設定でローカルユーザの作成が許可されておらず、Active Directoryが必要な場合は、Active Directoryサーバにusername_csys_という名前のユーザを作成する必要があります。
-
Data Infrastructure Insightsのセキュリティについては"ここをクリック"、こちらをご覧ください。
エージェントをインストールする手順
-
ワークロードセキュリティ環境に管理者またはアカウント所有者としてログインします。
-
[Collectors]>[Agents]>[+Agent]を選択します。
[ エージェントの追加 ] ページが表示されます。
-
エージェントサーバが最小システム要件を満たしていることを確認します。
-
エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 _ サポートされているバージョン( i ) _ をクリックします。
-
ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。
-
[ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。
-
ターミナルウィンドウでインストールコマンドを実行します。
-
インストールが正常に完了すると、次のメッセージが表示されます。
-
を設定する必要があり"User Directory Collector の略"ます。
-
1 つ以上のデータコレクタを設定する必要があります。
ネットワーク構成
ローカルシステムで次のコマンドを実行して、ワークロードセキュリティで使用されるポートを開きます。ポート範囲に関するセキュリティ上の問題がある場合は、 35000 : 35100 のように小さいポート範囲を使用できます。各 SVM は 2 つのポートを使用します。
-
sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
-
sudo firewall-cmd --reload
プラットフォームに応じて、次の手順を実行します。
-
CentOS 7.x / RHEL 7.x * :
-
sudo iptables-save | grep 35000
-
出力例:
-A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT * CentOS 8.x / RHEL 8.x * :
-
sudo firewall-cmd --zone=public --list-ports | grep 35000
(CentOS 8の場合)
出力例:
35000-55000/tcp
現在のバージョンでエージェントを「固定」する
デフォルトでは、Data Infrastructure Insights Workload Securityはエージェントを自動的に更新します。お客様によっては、自動更新を一時停止したい場合があります。これにより、次のいずれかが発生するまで、Agentは現在のバージョンのままになります。
-
カスタマーはエージェントの自動更新を再開します。
-
30日が過ぎました。30日間は、エージェントが一時停止された日ではなく、最新のエージェント更新の日に開始されます。
これらのいずれの場合も、エージェントは次回のワークロードセキュリティ更新時に更新されます。
エージェントの自動更新を一時停止または再開するには、_cloudsecure_config.agents_APIを使用します。
一時停止または再開のアクションが有効になるまで、最大5分かかることがあります。
現在のエージェントのバージョンは、*ワークロードセキュリティ>コレクタ*ページの*エージェント*タブで確認できます。
エージェントエラーのトラブルシューティング
既知の問題とその解決策を次の表に示します。
問題 | 解決策: |
---|---|
エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。 |
このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。エラーは標準出力にリダイレクトされ、 `journalctl -u cloudsecure-agent.service`コマンドを使用してサービスログに表示されます。このコマンドは、問題の詳細なトラブルシューティングに使用できます。est |
「この Linux ディストリビューションはサポートされていません。インストールを終了しています。 |
このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照して "エージェントの要件" |
エージェントのインストールが次のエラーで失敗しました: "-bash: unzip: command not found" |
unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。 |
エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。 |
Agent マシンに SSH 接続します。でエージェントサービスのステータスを確認します |
エージェントには50個を超えるデータコレクタを追加できません。 |
エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。 |
Agent is in not_connected 状態であることが UI に表示されます。 |
エージェントを再起動する手順。1.Agent マシンに SSH 接続します。2.その後、次のコマンドを実行してエージェントサービスを再起動します。 |
エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。 |
*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。 |
エージェントのインストール中に、解凍後にインストールがハングします。 |
「 chmod 755 -rf 」コマンドが失敗しています。このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。1.「cloudsecure」という名前の新しいディレクトリを作成します。2.そのディレクトリに移動します。3.完全な「token=………./cloudsecure-agent-install.sh」インストールコマンドをコピーして貼り付け、Enterキーを押します。4.インストールを続行できます。 |
エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Data Infrastructure Insightsのシリアル番号を提供してケースをオープンし、記録したとおりにログをケースに添付します。 |
ケースにログを添付するには、次の手順を実行します。 1.root権限で以下のスクリプトを実行し、出力ファイル(cloudsecure-agent-symptions.zip)を共有しますNetApp /cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh。次のコマンドをroot権限で1つずつ実行し、出力を共有します。a. id csys b. groups csys ccat /etc/os-release |
cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.shサービスログの収集アプリケーションログの収集エージェント設定の収集エージェントディレクトリ構造スナップショットの取得中のサービスステータススナップショット…………… 。…………………………… 。/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh:line 52:zip:command not found error:/tmp/cloudsecure-agent-symptoms.zipを作成できませんでした |
ZIPツールがインストールされていません。コマンド「yum install zip」を実行してzipツールをインストールします。次に、cloudsecure-agent-symptom-collector.shを再度実行します。 |
エージェントのインストールに失敗し、useradd:Cannot create directory/home/cssysというメッセージが表示されます |
このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。回避策 では、次のコマンドを使用してcssysユーザを作成し、そのログインディレクトリを手動で追加します。_sudo useradd user_name -m -d home_DIR_m:ユーザのホームディレクトリがない場合は作成します。-d:新しいユーザは'ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されますたとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。 |
エージェントはインストール後に実行されていません。systemctl status cloudsecure-agent.service NetApp cloudsecure-agent.service:には次の情報が表示されます。[root@demo ~]# systemctl status cloudsecure-agent.service agent.service /cloudsecure/agent/bin/cloudsecure-agent n/a–Workload Security Agent Daemon Service Loaded: Loaded (/usr/lib/systemd/system/cloudsecure-agent.service; enabled; vendor preset : disabled) cloudsecure-agent.service8月03日21:12:26 demo systemd [1]:cloudsecure-agent.serviceが失敗しました。 |
これは'_cssys_userにインストール権限がないために失敗することがあります/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。「Permission denied」が返された場合、インストール許可は表示されません。マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。 |
エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。 |
agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。1.プロパティファイルが格納されているフォルダ(cd /opt/netapp/cloudsecure/conf 2)に変更します。任意のテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。3.次の行を追加または変更します。agent_proxy_host=scspa1950329001.vm.com NetApp agent_proxy_port=80 agent_proxy_user=pxuser agent_proxy_password=pass1234 4.ファイルを保存します。5.エージェントを再起動します。sudo systemctl restart cloudsecure-agent.service |