워크로드 보안 에이전트 설치
워크로드 보안(이전의 Cloud Secure)은 하나 이상의 에이전트를 사용하여 사용자 활동 데이터를 수집합니다. 에이전트는 테넌트의 장치에 연결하고 분석을 위해 워크로드 보안 SaaS 계층으로 전송되는 데이터를 수집합니다. 에이전트 VM을 구성하려면 을 "상담원 요구 사항"참조하십시오.
시작하기 전에
-
설치, 스크립트 실행 및 제거에 sudo 권한이 필요합니다.
-
에이전트를 설치하는 동안 로컬 user_cssys_와 로컬 group_cssys_가 시스템에 생성됩니다. 권한 설정에서 로컬 사용자 생성을 허용하지 않고 대신 Active Directory가 필요한 경우 사용자 이름이 _cssys_인 사용자를 Active Directory 서버에 만들어야 합니다.
-
Data Infrastructure Insights 보안에 대해 알아볼 수 "여기"있습니다.
Agent 설치 단계
-
워크로드 보안 환경에 관리자 또는 계정 소유자로 로그인합니다.
-
Collector > Agents > + Agent * 를 선택합니다
Agent 추가 페이지가 표시됩니다.
-
에이전트 서버가 최소 시스템 요구 사항을 충족하는지 확인합니다.
-
에이전트 서버가 지원되는 Linux 버전을 실행 중인지 확인하려면 _VERSION SUPPORTED (I) _ 을(를) 클릭합니다.
-
네트워크에서 프록시 서버를 사용하는 경우 프록시 섹션의 지침에 따라 프록시 서버 세부 정보를 설정하십시오.
-
클립보드로 복사 아이콘을 클릭하여 설치 명령을 복사합니다.
-
터미널 창에서 설치 명령을 실행합니다.
-
설치가 성공적으로 완료되면 다음과 같은 메시지가 표시됩니다.
-
를 구성해야 "사용자 디렉토리 수집기"합니다.
-
하나 이상의 Data Collector를 구성해야 합니다.
네트워크 구성
로컬 시스템에서 다음 명령을 실행하여 워크로드 보안에서 사용할 포트를 엽니다. 포트 범위에 대한 보안 문제가 있는 경우, 보다 낮은 포트 범위를 사용할 수 있습니다(예: 35000:35100). 각 SVM은 포트 2개를 사용합니다.
-
sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
-
sudo firewall-cmd --reload
플랫폼에 따라 다음 단계를 따르십시오.
-
CentOS 7.x/RHEL 7.x *:
-
sudo iptables-save | grep 35000
-
샘플 출력:
-A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT * CentOS 8.x/RHEL 8.x *:
-
sudo firewall-cmd --zone=public --list-ports | grep 35000
(CentOS 8용)
샘플 출력:
35000-55000/tcp
현재 버전에서 에이전트 "고정"
기본적으로 Data Infrastructure Insights 워크로드 보안은 에이전트를 자동으로 업데이트합니다. 일부 고객은 다음 중 하나가 발생할 때까지 Agent를 현재 버전으로 유지하는 자동 업데이트를 일시 중지할 수 있습니다.
-
고객이 Agent 자동 업데이트를 재개합니다.
-
30일이 지났습니다. 30일은 Agent가 일시 중지된 날이 아니라 가장 최근의 Agent 업데이트 날짜부터 시작됩니다.
이러한 각 경우에 에이전트는 다음 워크로드 보안 새로 고침 시 업데이트됩니다.
자동 에이전트 업데이트를 일시 중지하거나 다시 시작하려면 _cloudsecure_config.agent_aps:
일시 중지 또는 다시 시작 작업이 적용되는 데 최대 5분이 소요될 수 있습니다.
현재 Agent 버전은 * 워크로드 보안 > 수집기 * 페이지의 * 에이전트 * 탭에서 볼 수 있습니다.
상담원 오류 문제 해결
알려진 문제와 해결 방법은 다음 표에 설명되어 있습니다.
문제: | 해상도: |
---|---|
Agent 설치가 /opt/netapp/cloudsecure/agent/logs/agent.log 폴더를 생성하지 못하고 install.log 파일은 관련 정보를 제공하지 않습니다. |
이 오류는 에이전트의 부트스트래핑 중에 발생합니다. 로그 파일이 로거가 초기화되기 전에 발생하므로 이 오류는 로그 파일에 기록되지 않습니다. 오류는 표준 출력으로 리디렉션되며 |
에이전트 설치가 '이 Linux 배포는 지원되지 않습니다. 설치를 종료하는 중입니다. |
이 오류는 지원되지 않는 시스템에 Agent를 설치하려고 할 때 나타납니다. 을 "상담원 요구 사항"참조하십시오. |
"-bash:unzip:command not found" 오류와 함께 에이전트 설치가 실패했습니다. |
압축을 푼 다음 설치 명령을 다시 실행합니다. 시스템에 Yum이 설치되어 있는 경우 "yum install unzip"을 시도하여 unzip 소프트웨어를 설치합니다. 그런 다음 Agent 설치 UI에서 명령을 다시 복사하여 CLI에 붙여 넣어 설치를 다시 실행합니다. |
에이전트가 설치되어 실행 중입니다. 하지만 상담원이 갑자기 중지되었습니다. |
Agent 시스템에 SSH를 연결합니다. 를 통해 상담원 서비스의 상태를 |
Agent에 50개 이상의 데이터 수집기를 추가할 수 없습니다. |
데이터 수집기는 50개만 에이전트에 추가할 수 있습니다. Active Directory, SVM 및 기타 수집기와 같은 모든 수집기 유형의 조합이 될 수 있습니다. |
UI에 Agent가 NOT_Connected 상태임 이 표시됩니다. |
Agent를 다시 시작하는 단계입니다. 1. Agent 시스템에 SSH를 연결합니다. 2. 그 후에 다음 명령을 실행하여 에이전트 서비스를 다시 시작합니다 |
에이전트 VM이 Zscaler 프록시 뒤에 있으며 에이전트 설치가 실패합니다. Zscaler 프록시의 SSL 검사로 인해 워크로드 보안 인증서는 Zscaler CA에 의해 서명된 것으로 표시되므로 에이전트가 통신을 신뢰하지 않습니다. |
.cloudinsights.netapp.com URL의 Zscaler 프록시에서 SSL 검사를 비활성화합니다. Zscaler가 SSL 검사를 수행하고 인증서를 대체하는 경우 Workload Security가 작동하지 않습니다. |
에이전트를 설치하는 동안 압축 해제 후 설치가 중단됩니다. |
"chmod 755-rf" 명령이 실패했습니다. 작업 디렉토리에 파일이 있고 다른 사용자에게 속해 있으며 해당 파일의 사용 권한을 변경할 수 없는 루트가 아닌 sudo 사용자가 에이전트 설치 명령을 실행하는 경우 명령이 실패합니다. chmod 명령이 실패하여 나머지 설치가 실행되지 않습니다. 1. "cloudsecure"라는 새 디렉토리를 생성합니다. 2. 해당 디렉터리로 이동합니다. 3. 전체 "토큰 = …………..입니다./cloudsecure-agent-install.sh" 설치 명령을 복사하여 붙여 넣고 Enter 키를 누릅니다. 4. 설치를 계속 진행할 수 있어야 합니다. |
Agent가 여전히 SaaS에 연결할 수 없는 경우 NetApp Support로 사례를 여십시오. Data Infrastructure Insights 일련 번호를 제공하여 케이스를 생성하고 언급된 대로 로그에 로그를 첨부합니다. |
케이스에 로그를 첨부하려면 1. 루트 권한으로 다음 스크립트를 실행하고 출력 파일(cloudsecure-agent-symptoms.zip)을 공유합니다. a./opt/NetApp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2. 루트 권한으로 다음 명령을 하나씩 실행하고 출력을 공유합니다. a.id cssys b. groups cssys cat /etc/os-release |
cloudsecure-agent-symptom-collector.sh 스크립트가 실패하고 다음 오류가 표시됩니다. [root@machine tmp]#/opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 서비스 로그 수집 애플리케이션 로그 수집 에이전트 상태 스냅샷 생성 에이전트 디렉토리 구조 스냅샷 생성……………… . ………………………… . /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh:line 52:zip: 명령을 찾을 수 없음 오류: /tmp/cloudsecure-agent-symptoms.zip 생성하지 못했습니다 |
zip 도구가 설치되지 않았습니다. "yum install zip" 명령을 실행하여 zip 툴을 설치합니다. 그런 다음 cloudsecure-agent-symptom-collector.sh 를 다시 실행합니다. |
useradd를 사용하여 에이전트 설치가 실패했습니다. 디렉토리 /home/cssys를 생성할 수 없습니다 |
이 오류는 권한 부족으로 인해 /home 아래에 사용자의 로그인 디렉토리를 만들 수 없는 경우에 발생할 수 있습니다. 해결 방법은 cssys 사용자를 생성하고 다음 명령을 사용하여 로그인 디렉토리를 수동으로 추가하는 것입니다. sudo useradd user_name -m -d home_DIR -m: 사용자의 홈 디렉토리가 없는 경우 생성합니다. d: 사용자의 로그인 디렉토리 값으로 HOME_DIR을 사용하여 새 사용자가 생성됩니다. 예를 들어, _sudo useradd cssys -m -d /cssys_는 user_cssys_를 추가하고 root 아래에 로그인 디렉토리를 만듭니다. |
설치 후 에이전트가 실행되고 있지 않습니다. Systemctl status cloudsecure-agent.service NetApp cloudsecure-agent.service: 다음과 같이 표시됩니다.[root@demo~] #systemctl status cloudsecure-agent.service agent.service cloudsecure-agent.service – 워크로드 보안 에이전트 데몬 서비스가 로드됨(/usr/lib/systemd/system/cloudsecure-agent.service; 사용 8월 03 21:12:26 데모 시스템[1]: cloudsecure-agent.service 실패. |
cssys_user에 설치 권한이 없을 수 있으므로 이 작업은 실패할 수 있습니다. /opt/netapp가 NFS 마운트이고 _cssys_user가 이 폴더에 대한 액세스 권한이 없는 경우 설치가 실패합니다. _cssys_는 워크로드 보안 설치 관리자가 생성한 로컬 사용자이며 마운트된 공유에 액세스할 권한이 없을 수 있습니다. cssys_user를 사용하여 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent에 액세스하여 이를 확인할 수 있습니다. "사용 권한 거부"를 반환하면 설치 권한이 없는 것입니다. 마운트된 폴더 대신 컴퓨터에 로컬 디렉토리에 설치합니다. |
Agent가 처음에 프록시 서버를 통해 연결되었고 Agent 설치 중에 프록시가 설정되었습니다. 이제 프록시 서버가 변경되었습니다. Agent의 프록시 구성을 변경하려면 어떻게 해야 합니까? |
agent.properties 를 편집하여 프록시 세부 정보를 추가할 수 있습니다. 다음 단계를 따르십시오. 1. 속성 파일이 포함된 폴더로 변경합니다. cd /opt/netapp/cloudsecure/conf 2. 즐겨찾기 텍스트 편집기를 사용하여 편집할 agent.properties 파일을 엽니다. 3. agent_proxy_host=scspa1950329001.vm.NetApp.com agent_proxy_port=80 agent_proxy_user=pxuser agent_proxy_password=pass1234 4 줄을 추가하거나 수정합니다. 파일을 저장합니다. 5. 에이전트를 다시 시작합니다. sudo systemctl restart cloudsecure-agent.service |