Linux システムへの エージェントクライアントコレクター のインストール

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:17分

    • パッケージ配布ツールを使用して エージェントクライアントコレクター をインストールします。インストール前に、いくつかのマシンに エージェントクライアントコレクター を手動でインストールして、エージェントに正しいポリシーとチェックが含まれていることを確認してから、多くのエージェントをインストールすることができます。

    始める前に

    • エージェントクライアントコレクター リスナーが MID サーバー に構成され、そのサービスがターゲットホストから利用可能であることを確認します。
    • サーバーの OS とバージョンがサポートされることを確認します。サポートされている OS とバージョンのリストについては、「エージェントクライアントコレクター のインストール」を参照してください。
    • デフォルトの ServiceNow アカウント以外のアカウントを指定するなど、展開中に注意する必要がある制限または要件があるかどうかを確認します。独自の自動システムへのエージェントの埋め込みの詳細については、「ITOM エージェントクライアントコレクターのドキュメント資料 [KB1122613]」を参照してください。
    • MID サーバー とその MID Web サーバー および ACC Websocket エンドポイント拡張が稼働していることを確認します。
    • /tmp/acc-goldenimage にあるゴールデンイメージマーカーを設定して、追加のエージェントをクローンするためのゴールデンイメージモードを有効にします。ゴールデンイメージマーカーは、クリーニングが必要なものがないため、新しい Linux のインストール中に何も実行されません。
    • エージェントの backend-url パラメーターで指定される MID サーバー ACC リスナー情報を取得します。
      1. 移動先 すべて > エージェントクライアントコレクター > 展開 > MID サーバー.
      2. [MID サーバー] を選択します。
      3. [ACC Websocket エンドポイント] タブを選択します。
      4. WebSocket エンドポイントを選択します。
      5. [エンドポイント URL] フィールドの値をコピーします。
    • エージェントの api-key パラメーターで指定される MID サーバー API キーを取得します。
      1. 移動先 すべて > エージェントクライアントコレクター > 展開 > MID Web サーバー API キー.
      2. 使用する API キーを選択します。
      3. [関連リンク] セクションで、[API キーを表示] を選択します。
      4. API キーの値をコピーして、ポップアップウィンドウを閉じます。

    必要なロール:agent_client_collector_admin

    このタスクについて

    Linux のインストール (およびアップグレード) 中に、デフォルトでは Linux ケイパビリティ (CAP_SETFCAP、CAP_SETPCAP) を使用してエージェント実行可能ファイルが有効化されます。エージェントクライアントコレクターログアナリティクス (ACC-L) などのストアアプリでは、これを使用してファイルシステム全体を読み取るケイパビリティ (CAP_DAC_READ_SEARCH) を付与できます。システムでは、ケイパビリティの付与によってセキュリティ上のリスクにさらされないように、コンテンツ作成元の二重検証、プラグイン検証プロセスの活用など、さまざまなセキュリティ対策が講じられています。この手順は、Linux ケイパビリティのコマンドに精通していることを前提としています。

    これらの拡張ケイパビリティをオプトアウトするには、Linux OS/パッケージングシステムに基づいて以下のコマンドを実行します。

    表 : 1. Linux 拡張ケイパビリティオプトアウトコマンド
    OS/パッケージングシステム コマンド
    RRM

    ACC_SKIP_CAPS=true yum / dnf localinstall

    ACC_SKIP_CAPS=true rpm -vi agent-client-collector-<version number>-x86_64.rpm
    Debian

    ACC_SKIP_CAPS=true apt-get install

    ACC_SKIP_CAPS=true dpkg -i agent-client-collector-<version number>-<distro>_amd64.deb
    SLES

    ACC_SKIP_CAPS=true zypper install

    手順

    1. 該当するインストールパッケージをダウンロードします。
      • 手動インストールの場合:
        1. 移動先 > エージェントクライアントコレクター > 展開 > エージェントのダウンロード.
        2. 関連するインストールファイル .rpm または .deb をダウンロードします。
        3. 関連する署名ファイルをダウンロードして、インストールファイルを検証します。
      • コマンドラインインストールの場合は、次のコマンドを実行して、署名ファイルとインストールファイルの両方をローカルマシンにダウンロードします。
        curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64.rpm
curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64-rpm-rpm.zip
        注:
        各 curl コマンドは 1 行で表示する必要があります。
    2. オプション: パッケージの署名を確認します。
      1. インストールファイルを展開するには (圧縮されている場合)、次のコマンドを実行します。
        unzip agent_client-collector-<version_number>-x86_64-rpm-rpm.zip
      2. 指定されたコマンドを実行して、インストールファイルの署名を検証します。
        • RPM ベースのシステムの場合:
          openssl dgst -sha256 -verify {<ServiceNow DGST pem key>} -signature {<signature file>} agent-client-collector-<version number>-x86_64.rpm

          ここで <ServiceNow DGST pem key>.zip ファイルから展開された .pem ファイルであり、<signature file>.zip ファイルから展開された .bin ファイルです。

          例: 
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64.rpm
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
$ unzip agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
Archive: agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
inflating: ServiceNow_Digicert_DGST.pem
extracting: agent-client-collector-3.0.0-x86_64.bin
$ openssl dgst -sha256 -verify ServiceNow_Digicert_DGST.pem -signature agent-client-collector-3.0.0-x86_64.bin agent-client-collector-3.0.0-x86_64.rpm
Verified OK
          注:
          各コマンドは 1 行で表示する必要があります。
        • Debian ベースのシステムの場合:

          gpg --import ServiceNow_Digicert_Public.gpg

          sudo gpg --verify agent-client-collector-<version number>-<distro>_amd64.deb

          たとえば、次のようになります。
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64.deb
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
$ unzip agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
Archive: agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
extracting: ServiceNow_Digicert_Public.gpg
$ gpg --import ServiceNow_Digicert_Public.gpg
gpg: /home/admin/.gnupg/trustdb.gpg: trustdb created
gpg: key 985DD52C6A0ABB45: public key "ServiceNow, Inc. (Signing) <seceng@servicenow.com>"
imported
gpg: Total number processed: 1
gpg: imported: 1
$ dpkg-sig --verify agent-client-collector-3.0.0-debian-9_amd64.deb
Processing agent-client-collector-3.0.0-debian-9_amd64.deb...
GOODSIG _gpgbuilder 9B928FB49771DF6C047430DD985DD52C6A0ABB45 1665054068
          注:
          各コマンドは 1 行で表示する必要があります。
    3. Linuxディストリビューションに関連付けられたパッケージマネージャーを使用して、エージェントクライアントコレクターパッケージをインストールします。
      OS コマンド
      RHEL ベース yum / dnf localinstall
      SLES zypper install
      Debian ベース apt-get install

      または、これらのコマンドが正しく構成されていない場合は、パッケージマネージャーコマンドで実行するように構成されたコアコマンドを使用できます。

      • RPM ベースのシステム:# rpm -vi agent-client-collector-<version number>-x86_64.rpm
      • Debian ベースのシステム:# dpkg -i agent-client-collector-<version number>-<distro>_amd64.deb

      パッケージコマンドが正しく構成されていることをシステムアドミニストレーターに確認してください。

      注:
      一部のファイルシステムでは制限が有効になっている場合があります。たとえば、 /var/noexec フラグを付けてマウントできます。エージェントは、通常は /var/cache ディレクトリーに格納される エージェントクライアントコレクター プラグインを実行する必要があるため、.rpm パラメーターとして --relocate オプションを使用してインストールパスをカスタマイズすることで、特定のフォルダーにアプリケーションを展開する必要があります。

      例:rpm -i --relocate /var/cache=/opt/cache agent-client-collector-<version_number>-x86_64.rpm

      以下のパスについて場所を変更できます。
      パス メモ
      /etc 更新するときは、acc.yml ファイルの allow-list パラメーターも新しいパスで更新する必要があります。
      /usr/share 適用外
      /var/cache /var ディレクトリーを更新すると、新しいディレクトリーの下にネストされたすべての /var サブディレクトリーが保持されます。
      /var/log
      /var/run
      /var
      /usr/lib/systemd/system/acc.service のパスを調べて、想定どおりに表示されることを確認します。
    4. .deb パッケージをインストールする場合は、エージェントの acc.yml 構成ファイルを設定します。
      1. 次のコマンドを実行して、サンプル構成ファイルをコピーします。

        # cp -p /etc/servicenow/agent-client-collector/acc.yml.example /etc/servicenow/agent-client-collector/acc.yml

      2. 許可リストファイルの名前を変更します。

        # cp -p /etc/servicenow/agent-client-collector/check-allow-list.json.default /etc/servicenow/agent-client-collector/check-allow-list.json

      注:
      この手順は、ベースシステムに含まれる acc.yml および check-allow-list.json ファイルに付属する .rpm パッケージには関係ありません。
    5. 構成ファイルを更新し、check-allow-list.jsonを /etc/servicenow/agent-client-collector に追加して、インスタンスからバックエンド URLAPI キーをコピーします。
      たとえば、次のようになります。
      ---
# Agent Client Collector configuration
backend-url:
 - "wss://YOUR_MID_ENDPOINT_HERE:YOUR_MID_PORT_HERE/ws/events"
api-key: "YOUR_API_KEY_HERE"
log-level: "info"
insecure-skip-tls-verify: false
allow-list: /etc/servicenow/agent-client-collector/check-allow-list.json
verify-plugin-signature: true
max-running-checks: 10
disable-sockets: true
disable-api: true
statsd-disable: true
enable-auto-mid-selection: false
agent_cpu_threshold:
 cpu_percentage_limit: 25
 repeated_high_cpu_num: 3 
 monitor_interval_sec: 60
 agent_cpu_threshold_disabled: false

      エージェントによる実行が許可されているコマンドを示す allow-list 機能が有効です。

    6. sudoers を構成します。

      通常、構成は Linux システムアドミニストレーターによって自動化されます。完全な構成の前に正確性を確保するように手動で設定するには、次を実行してエージェントサービスユーザーの新しい sudoers ファイルを作成します。

      visudo -f /etc/sudoers.d/01_servicenow

    7. Linux分布に従って sudoers 構成を追加します。

      • deb/ubuntu システムにエージェントをインストールする場合は、次の手順を実行します。

        User_Alias ACC_USERS = servicenow
Cmnd_Alias ACC_CMD = /usr/sbin/dmidecode -s baseboard-serial-number,/usr/sbin/dmidecode -s chassis-serial-number,/usr/sbin/dmidecode -s system-serial-number,/usr/sbin/dmidecode -s system-uuid,/usr/sbin/ss -tanp,/usr/bin/systemctl start 
acc,/usr/bin/systemctl stop acc,/usr/bin/dpkg --install --refuse-downgrade --skip-same-version /var/cache/servicenow/agent-client-collector/upgrade/agent-client-collector-upgrade*
Cmnd_Alias ACC_CMD_SETENV = /usr/bin/netstat -ltnup,/usr/bin/ls -l /proc/*,/usr/bin/cat /proc/*
ACC_USERS ALL = (root) NOPASSWD:ACC_CMD
ACC_USERS ALL = (root) NOPASSWD:SETENV:ACC_CMD_SETENV
Defaults:ACC_USERS !requiretty

      • RPM システムにエージェントをインストールする場合は、次のコマンドを実行します。

        User_Alias ACC_USERS = servicenow
Cmnd_Alias ACC_CMD = /usr/sbin/dmidecode -s baseboard-serial-number,/usr/sbin/dmidecode -s chassis-serial-number,/usr/sbin/dmidecode -s system-serial-number,/usr/sbin/dmidecode -s system-uuid,/usr/sbin/ss -tanp,/usr/bin/systemctl start 
acc,/usr/bin/systemctl stop acc,/usr/bin/rpm -Uv /var/cache/servicenow/agent-client-collector/upgrade/agent-client-collector-upgrade.rpm
Cmnd_Alias ACC_CMD_SETENV = /usr/bin/netstat -ltnup,/usr/bin/ls -l /proc/*,/usr/bin/cat /proc/*
ACC_USERS ALL = (root) NOPASSWD:ACC_CMD
ACC_USERS ALL = (root) NOPASSWD:SETENV:ACC_CMD_SETENV
Defaults:ACC_USERS !requiretty
    8. サービスとして実行するようにエージェントを設定します。
      1. /usr/lib/systemd/system/acc.service ファイルに指定された値を追加して、リソースの消費を保護します。
        • CPUShares=128
        • CPUQuota=10%
        • MemoryLimit=192M
        • BlockIOWeight=10
        • LimitNICE=15

        例:

        # vi /usr/lib/systemd/system/acc.service
[Unit]
Description=Agent-Now acc
After=network-online.target
[Service]
Environment=AGENT_ROOT=/usr/share
Environment=AGENT_CACHE_ROOT=/var/cache
Environment=AGENT_CONFIG_ROOT=/etc
Environment=AGENT_LOG_ROOT=/var/log
Environment=AGENT_RUN_ROOT=/var/run
Environment=RUBYOPT=-Eutf-8
User=servicenow
Group=servicenow
ExecStart=/usr/share/servicenow/agent-client-collector/bin/acc-service start acc
KillMode=process
Restart=on-failure
RestartSec=1min
CPUShares=128
CPUQuota=10%
MemoryLimit=192M
BlockIOWeight=10
LimitNICE=+15
[Install]
WantedBy=network-online.target
      2. acc サービスを有効にした後でサービスファイルを変更した場合は、デーモンをリロードするコマンドを実行します。

        # systemctl daemon-reload

      3. 次のコマンドを実行して、サービスを有効にして開始します。

        # systemctl enable acc

        # systemctl start acc