日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワークロードセキュリティエージェントのインストール

11/13/2024 共同作成者

開始する前に
エージェントをインストールする手順
ネットワーク構成
現在のバージョンでエージェントを「固定」する
エージェントエラーのトラブルシューティング

ワークロードセキュリティ（旧Cloud Secure ）は、1つ以上のエージェントを使用してユーザアクティビティデータを収集します。エージェントは環境内のデバイスに接続し、分析のためにワークロードセキュリティSaaSレイヤに送信されるデータを収集します。エージェントVMを設定するには、を参照してください"エージェントの要件"。

開始する前に

インストール、スクリプトの実行、アンインストールには sudo 権限が必要です。
エージェントのインストール中に、ローカルのuser_cssys_とローカルのgroup_cssys_がマシン上に作成されます。権限設定でローカルユーザの作成が許可されておらず、Active Directoryが必要な場合は、Active Directoryサーバにusername_csys_という名前のユーザを作成する必要があります。
Data Infrastructure Insightsのセキュリティについては"ここをクリック"、こちらをご覧ください。

エージェントをインストールする手順

ワークロードセキュリティ環境に管理者またはアカウント所有者としてログインします。
[Collectors]>[Agents]>[+Agent]を選択します。

[ エージェントの追加 ] ページが表示されます。
エージェントサーバが最小システム要件を満たしていることを確認します。
エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 _ サポートされているバージョン（ i ） _ をクリックします。
ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。
[ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。
ターミナルウィンドウでインストールコマンドを実行します。
インストールが正常に完了すると、次のメッセージが表示されます。

完了後

を設定する必要があり"User Directory Collector の略"ます。
1 つ以上のデータコレクタを設定する必要があります。

ネットワーク構成

ローカルシステムで次のコマンドを実行して、ワークロードセキュリティで使用されるポートを開きます。ポート範囲に関するセキュリティ上の問題がある場合は、 35000 ： 35100 のように小さいポート範囲を使用できます。各 SVM は 2 つのポートを使用します。

手順

sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
sudo firewall-cmd --reload

プラットフォームに応じて、次の手順を実行します。

CentOS 7.x / RHEL 7.x * ：
1. sudo iptables-save | grep 35000

出力例：

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
* CentOS 8.x / RHEL 8.x * ：

sudo firewall-cmd --zone=public --list-ports | grep 35000（CentOS 8の場合）

出力例：

35000-55000/tcp

現在のバージョンでエージェントを「固定」する

デフォルトでは、Data Infrastructure Insights Workload Securityはエージェントを自動的に更新します。お客様によっては、自動更新を一時停止したい場合があります。これにより、次のいずれかが発生するまで、Agentは現在のバージョンのままになります。

カスタマーはエージェントの自動更新を再開します。
30日が過ぎました。30日間は、エージェントが一時停止された日ではなく、最新のエージェント更新の日に開始されます。

これらのいずれの場合も、エージェントは次回のワークロードセキュリティ更新時に更新されます。

エージェントの自動更新を一時停止または再開するには、_cloudsecure_config.agents_APIを使用します。

クラウドセキュアエージェントAPIによるエージェントの固定と固定解除

一時停止または再開のアクションが有効になるまで、最大5分かかることがあります。

現在のエージェントのバージョンは、*ワークロードセキュリティ>コレクタ*ページの*エージェント*タブで確認できます。

エージェントテーブルに表示されるWSエージェントのバージョン

エージェントエラーのトラブルシューティング

既知の問題とその解決策を次の表に示します。

問題解決策：

問題	解決策：
エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。	このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。エラーは標準出力にリダイレクトされ、 `journalctl -u cloudsecure-agent.service`コマンドを使用してサービスログに表示されます。このコマンドは、問題の詳細なトラブルシューティングに使用できます。est
「この Linux ディストリビューションはサポートされていません。インストールを終了しています。	このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照して "エージェントの要件"
エージェントのインストールが次のエラーで失敗しました： "-bash: unzip: command not found"	unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。
エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。	Agent マシンに SSH 接続します。でエージェントサービスのステータスを確認します `sudo systemctl status cloudsecure-agent.service`。1.ログに「Failed to start Workload Security daemon service」というメッセージが表示されているかどうかを確認します。2.csysユーザがAgentマシンに存在するかどうかを確認します。次のコマンドを root 権限で 1 つずつ実行し、 cssys ユーザとグループが存在するかどうかを確認します。 `sudo id cssys` sudo groups cssys`3.存在しない場合は、集中型モニタリングポリシーによって cssys ユーザが削除されている可能性があります。4.次のコマンドを実行して、csysユーザおよびグループを手動で作成します。 `sudo useradd cssys `sudo groupadd cssys`5.その後、次のコマンドを実行してエージェントサービスを再起動します。 `sudo systemctl restart cloudsecure-agent.service`まだ実行されていない場合は、他のトラブルシューティングオプションを確認してください。
エージェントには50個を超えるデータコレクタを追加できません。	エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。
Agent is in not_connected 状態であることが UI に表示されます。	エージェントを再起動する手順。1.Agent マシンに SSH 接続します。2.その後、次のコマンドを実行してエージェントサービスを再起動します。 sudo systemctl restart cloudsecure-agent.service`でエージェントサービスのステータスを確認します `sudo systemctl status cloudsecure-agent.service。4.エージェントは接続状態に移行する必要があります。
エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。	*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。
エージェントのインストール中に、解凍後にインストールがハングします。	「 chmod 755 -rf 」コマンドが失敗しています。このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。1.「cloudsecure」という名前の新しいディレクトリを作成します。2.そのディレクトリに移動します。3.完全な「token=………./cloudsecure-agent-install.sh」インストールコマンドをコピーして貼り付け、Enterキーを押します。4.インストールを続行できます。
エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Data Infrastructure Insightsのシリアル番号を提供してケースをオープンし、記録したとおりにログをケースに添付します。	ケースにログを添付するには、次の手順を実行します。 1.root権限で以下のスクリプトを実行し、出力ファイル(cloudsecure-agent-symptions.zip)を共有しますNetApp /cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh。次のコマンドをroot権限で1つずつ実行し、出力を共有します。a. id csys b. groups csys ccat /etc/os-release
cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.shサービスログの収集アプリケーションログの収集エージェント設定の収集エージェントディレクトリ構造スナップショットの取得中のサービスステータススナップショット…………… 。…………………………… 。/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：line 52：zip：command not found error：/tmp/cloudsecure-agent-symptoms.zipを作成できませんでした	ZIPツールがインストールされていません。コマンド「yum install zip」を実行してzipツールをインストールします。次に、cloudsecure-agent-symptom-collector.shを再度実行します。
エージェントのインストールに失敗し、useradd：Cannot create directory/home/cssysというメッセージが表示されます	このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。回避策では、次のコマンドを使用してcssysユーザを作成し、そのログインディレクトリを手動で追加します。_sudo useradd user_name -m -d home_DIR_m：ユーザのホームディレクトリがない場合は作成します。-d：新しいユーザは'ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されますたとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。
エージェントはインストール後に実行されていません。systemctl status cloudsecure-agent.service NetApp cloudsecure-agent.service:には次の情報が表示されます。[root@demo ~]# systemctl status cloudsecure-agent.service agent.service /cloudsecure/agent/bin/cloudsecure-agent n/a–Workload Security Agent Daemon Service Loaded: Loaded (/usr/lib/systemd/system/cloudsecure-agent.service; enabled; vendor preset : disabled) cloudsecure-agent.service8月03日21：12：26 demo systemd [1]：cloudsecure-agent.serviceが失敗しました。	これは'_cssys_userにインストール権限がないために失敗することがあります/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。「Permission denied」が返された場合、インストール許可は表示されません。マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。
エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。	agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。1.プロパティファイルが格納されているフォルダ（cd /opt/netapp/cloudsecure/conf 2）に変更します。任意のテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。3.次の行を追加または変更します。agent_proxy_host=scspa1950329001.vm.com NetApp agent_proxy_port=80 agent_proxy_user=pxuser agent_proxy_password=pass1234 4.ファイルを保存します。5.エージェントを再起動します。sudo systemctl restart cloudsecure-agent.service

エージェントのインストール時に /opt/NetApp/cloudsecure/agent/logs/agent.log フォルダが作成されず、 install.log ファイルに関連情報が記録されません。

このエラーは、エージェントのブートストラップ中に発生します。ロガーが初期化される前に発生するため、エラーはログファイルに記録されません。エラーは標準出力にリダイレクトされ、 `journalctl -u cloudsecure-agent.service`コマンドを使用してサービスログに表示されます。このコマンドは、問題の詳細なトラブルシューティングに使用できます。est

「この Linux ディストリビューションはサポートされていません。インストールを終了しています。

このエラーは、サポートされていないシステムにAgentをインストールしようとしたときに表示されます。を参照して "エージェントの要件"

エージェントのインストールが次のエラーで失敗しました： "-bash: unzip: command not found"

unzip をインストールし、インストールコマンドを再度実行します。Yum がマシンにインストールされている場合は、「 yum install unzip 」を実行して解凍ソフトウェアをインストールしてください。その後、 Agent インストール UI からコマンドをコピーして CLI に貼り付け、再度インストールを実行します。

エージェントがインストールされ、実行されていました。しかし、エージェントは突然停止しました。

Agent マシンに SSH 接続します。でエージェントサービスのステータスを確認します sudo systemctl status cloudsecure-agent.service。1.ログに「Failed to start Workload Security daemon service」というメッセージが表示されているかどうかを確認します。2.csysユーザがAgentマシンに存在するかどうかを確認します。次のコマンドを root 権限で 1 つずつ実行し、 cssys ユーザとグループが存在するかどうかを確認します。
sudo id cssys
sudo groups cssys`3.存在しない場合は、集中型モニタリングポリシーによって cssys ユーザが削除されている可能性があります。4.次のコマンドを実行して、csysユーザおよびグループを手動で作成します。 `sudo useradd cssys
`sudo groupadd cssys`5.その後、次のコマンドを実行してエージェントサービスを再起動します。
`sudo systemctl restart cloudsecure-agent.service`まだ実行されていない場合は、他のトラブルシューティングオプションを確認してください。

エージェントには50個を超えるデータコレクタを追加できません。

エージェントに追加できるデータコレクタは 50 個までです。Active Directory 、 SVM 、その他のコレクタなど、すべてのコレクタタイプを組み合わせて使用できます。

Agent is in not_connected 状態であることが UI に表示されます。

エージェントを再起動する手順。1.Agent マシンに SSH 接続します。2.その後、次のコマンドを実行してエージェントサービスを再起動します。
sudo systemctl restart cloudsecure-agent.service`でエージェントサービスのステータスを確認します `sudo systemctl status cloudsecure-agent.service。4.エージェントは接続状態に移行する必要があります。

エージェント VM が Zscaler プロキシの背後にあり、エージェントのインストールに失敗しています。ZscalerプロキシのSSL検査により、ワークロードセキュリティ証明書はZscaler CAによって署名されたため、エージェントが通信を信頼していないと表示されます。

*.cloudinsights.netapp.com URL の Zscaler プロキシで SSL 検査をディセーブルにします。ZscalerがSSLを検査して証明書を置き換えた場合、Workload Securityは機能しません。

エージェントのインストール中に、解凍後にインストールがハングします。

「 chmod 755 -rf 」コマンドが失敗しています。このコマンドは、別のユーザに属する作業ディレクトリ内のファイルを含む root 以外の sudo ユーザがエージェントのインストールコマンドを実行している場合は失敗し、それらのファイルの権限を変更することはできません。失敗した chmod コマンドのため、残りのインストールは実行されません。1.「cloudsecure」という名前の新しいディレクトリを作成します。2.そのディレクトリに移動します。3.完全な「token=………./cloudsecure-agent-install.sh」インストールコマンドをコピーして貼り付け、Enterキーを押します。4.インストールを続行できます。

エージェントがまだ SaaS に接続できない場合は、ネットアップサポートでケースをオープンしてください。Data Infrastructure Insightsのシリアル番号を提供してケースをオープンし、記録したとおりにログをケースに添付します。

ケースにログを添付するには、次の手順を実行します。 1.root権限で以下のスクリプトを実行し、出力ファイル(cloudsecure-agent-symptions.zip)を共有しますNetApp /cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh。次のコマンドをroot権限で1つずつ実行し、出力を共有します。a. id csys b. groups csys ccat /etc/os-release

cloudsecure-agent-symptom-collector.shスクリプトが次のエラーで失敗します。[root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.shサービスログの収集アプリケーションログの収集エージェント設定の収集エージェントディレクトリ構造スナップショットの取得中のサービスステータススナップショット…………… 。…………………………… 。/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：line 52：zip：command not found error：/tmp/cloudsecure-agent-symptoms.zipを作成できませんでした

ZIPツールがインストールされていません。コマンド「yum install zip」を実行してzipツールをインストールします。次に、cloudsecure-agent-symptom-collector.shを再度実行します。

エージェントのインストールに失敗し、useradd：Cannot create directory/home/cssysというメッセージが表示されます

このエラーは、権限がないためにユーザのログインディレクトリを/homeの下に作成できない場合に発生することがあります。回避策では、次のコマンドを使用してcssysユーザを作成し、そのログインディレクトリを手動で追加します。_sudo useradd user_name -m -d home_DIR_m：ユーザのホームディレクトリがない場合は作成します。-d：新しいユーザは'ユーザのログイン・ディレクトリの値としてhome_DIRを使用して作成されますたとえば、_sudo useradd cssys-m-d/cssys_はuser_cssys_を追加し、rootの下にそのログインディレクトリを作成します。

エージェントはインストール後に実行されていません。systemctl status cloudsecure-agent.service NetApp cloudsecure-agent.service:には次の情報が表示されます。[root@demo ~]# systemctl status cloudsecure-agent.service agent.service /cloudsecure/agent/bin/cloudsecure-agent n/a–Workload Security Agent Daemon Service Loaded: Loaded (/usr/lib/systemd/system/cloudsecure-agent.service; enabled; vendor preset : disabled) cloudsecure-agent.service8月03日21：12：26 demo systemd [1]：cloudsecure-agent.serviceが失敗しました。

これは'_cssys_userにインストール権限がないために失敗することがあります/opt/netappがNFSマウントで、_cssys_userがこのフォルダにアクセスできない場合、インストールは失敗します。_cssys_は、マウントされた共有にアクセスする権限がない可能性があるワークロードセキュリティインストーラによって作成されたローカルユーザです。これを確認するには、_cssys_userを使用して/opt/netapp/cloudsecure/agent/bin/cloudsecure-agentにアクセスします。「Permission denied」が返された場合、インストール許可は表示されません。マウントされたフォルダではなく、マシンのローカルディレクトリにインストールします。

エージェントは最初にプロキシサーバを介して接続され、エージェントのインストール時にプロキシが設定されました。これでプロキシサーバが変更されました。エージェントのプロキシ設定はどのように変更できますか。

agent.propertiesを編集して、プロキシの詳細を追加できます。次の手順を実行します。1.プロパティファイルが格納されているフォルダ（cd /opt/netapp/cloudsecure/conf 2）に変更します。任意のテキストエディタを使用して、_agent.properties_ファイルを開いて編集します。3.次の行を追加または変更します。agent_proxy_host=scspa1950329001.vm.com NetApp agent_proxy_port=80 agent_proxy_user=pxuser agent_proxy_password=pass1234 4.ファイルを保存します。5.エージェントを再起動します。sudo systemctl restart cloudsecure-agent.service