검사 및 정책

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 4분

    • 검사는 명령과 해당 구성의 조합입니다. 에이전트 클라이언트 수집기의 장치에서 검사가 실행되어 장치의 데이터를 수집합니다.

    검사

    기본 시스템과 함께 제공되며, 해당 명령은 운영 체제 및 애플리케이션에 대한 모니터링 데이터를 제공하는 스크립트를 실행합니다. 검사의 기본 이름은 모니터링 및 측정할 항목, 엔터티 및 모니터링 데이터를 나타냅니다. 예를 들어, 이름이 os.linux.check-system-cpu인 검사는 Linux 시스템의 CPU 데이터를 검사합니다. 검사에서 식별된 명령은 모니터링된 장치에서 실행하여 출력 및 상태를 제공합니다. 각 개별 검사를 검사 정의라고 합니다.

    이벤트 관리 기본 시스템에는 다음 검사 유형이 제공됩니다.

    • 이벤트: 검사 결과가 이벤트 관리 이벤트로 변환됩니다.
    • 메트릭: 검사 결과의 값이 메트릭으로 변환됩니다.

    에이전트 클라이언트 수집기 Framework 기본 검사에 대한 자세한 내용은 에이전트 클라이언트 수집기 프레임워크 기본 검사 문서를 참조하십시오.

    에이전트 클라이언트 수집기 모니터링 기본 검사 및 정책에 대한 자세한 내용은 에이전트 클라이언트 수집기 모니터링 기본 검사 및 정책 문서를 참조하십시오.

    Agent Client Collector for Visibility 기본 검사 및 정책에 대한 자세한 내용은 Agent Client Collector for Visibility 기본 검사 및 정책 문서를 참조하십시오.

    에이전트의 장치에서 검사가 실행되고 있지 않은 경우 에이전트가 CPU 보호 모드에 있을 수 있습니다. 장치의 CPU가 너무 높을 때 CPU 보호 모드가 자동으로 활성화됩니다. 이 경우 에이전트의 데이터 수집 상태는 꺼짐(자동)입니다. 에이전트 로그를 확인하여 문제가 있는 검사를 판단합니다. 문제가 있는 검사를 수동으로 비활성화하거나 에이전트의 acc.yml 파일에서 CPU 보호 모드 임계치를 수정하고 에이전트의 데이터 수집을 수동으로 다시 시작할 수 있습니다. CPU 보호 모드 임계치에 대한 자세한 내용은 에이전트 클라이언트 수집기 CPU 보호 임계치 문서를 참조합니다. 데이터 수집을 수동으로 해제하는 자세한 내용은 에이전트 클라이언트 수집기 데이터 수집 일시 중지 문서를 참조하십시오.

    기본 시스템에서 이벤트의 종료 상태는 다음과 같이 심각도를 나타냅니다.
    • 0 = 양호
    • 1 = 경고
    • 2 = 심각
    사용자 지정된 스크립트를 실행하여 심각도를 추가할 수 있습니다(예: 중요 및 경미). 다음 종료 상태는 이러한 심각도를 나타냅니다.
    • 13 = 중요
    • 14 = 경미

    servicenow 기본 시스템 사용자에게 특정 검사 명령을 실행할 권한이 없는 경우 다음을 수행합니다.

    • Linux 시스템: servicenow 사용자가 sudo 권한으로 명령을 실행할 수 있도록 합니다. 다음 sudo 구성 요구 사항을 충족해야 합니다.
      • tty 및 암호 요구 사항 사용 안 함
      • 모든 환경 변수 유지
      • 명령 실행을 위한 동적 PATH 지원
      예를 들어 /etc/sudoers 파일에서 다음을 구성할 수 있습니다.
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      주:
      명령 경로는 다를 수 있습니다. 특별 고려 사항은 sudoers 설명서를 참조하십시오.
      • SETENV: 문자열을 사용하면 servicenow 사용자가 환경 변수를 보존할 수 있습니다.
      • !requiretty 문자열은 tty를 비활성화합니다.
      • servicenow 사용자를 exempt_group에 추가하면 암호 요구 사항을 무시하고 sudo 명령을 실행하기 위한 동적 PATH를 사용할 수 있습니다.
      검사 정의의 검사 명령 매개변수 섹션에서 must_sudo 검사 매개변수를 True 값으로 구성해야 합니다.
    • macOS 시스템에서: 에이전트 서비스를 실행하는 사용자가 호스트의 모든 tcp 연결을 쿼리할 수 있는 권한이 있는 사용자 그룹에 속하는지 확인합니다.
    • Windows 시스템에서: Windows User Management를 사용하여 servicenow 사용자를 관련 권한이 있는 그룹에 추가하면 사용자가 필요한 명령을 실행할 수 있습니다.

    정책

    정책은 CI 집합이며 해당 CI에 대한 검사 정의입니다.

    단일 정책을 사용하여 여러 자격 증명을 지원하려면 정책에 자격 증명 별칭을 할당해야 합니다. 예를 들어, 자격 증명이 서로 다른 Linux 및 Windows용 MySQL 서버가 있는 경우 각 자격 증명 유형에 대해 별도의 정책을 생성해야 합니다. 그러나 자격 증명 별칭을 사용하는 경우 자격 증명 별칭에 단일 정책을 할당할 수 있습니다. 그런 다음 에이전트는 모니터링 중인 애플리케이션에 관련 자격 증명을 일치시킵니다. 자격 증명 별칭에 대한 자세한 내용은 연결 및 자격 증명 별칭 생성을 참조하십시오.

    다음 중 하나를 통해 CI 모니터링이 중지되면 이벤트 유형을 확인하여 정책에 따라 생성된 경보가 자동으로 종료됩니다.
    • 정책 비활성화
    • 경보를 발생시킨 검사 비활성화
    • 정책에서 검사 삭제
    • 정책 삭제
    • 모니터링되는 CI를 결정하는 정책 필터 수정