チェックとポリシー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • チェックとは、コマンドとその構成の組み合わせです。チェックは Agent Client Collector のデバイスで実行されます。

    チェック

    チェックはベースシステムで提供され、そのコマンドはオペレーティングシステムとアプリケーションの監視データを提供するスクリプトを実行します。チェックのデフォルト名は、監視や測定の対象、エンティティ、および監視データを示します。たとえば、os.linux.check-system-cpu という名前のチェックは、Linux システムの CPU データをチェックします。チェックで識別されたコマンドが監視対象デバイスで実行され、出力とステータスが提供されます。個々のチェックは、 チェック定義と呼ばれます。

    イベント管理 ベースシステムには、次のチェックタイプが用意されています。

    • イベント:チェックの結果が イベント管理 イベントに変換されます。
    • 測定基準:チェック結果からの値が測定基準に変換されます。

    Agent Client Collector Framework のデフォルトチェックについての詳細は、「Agent Client Collector フレームワークのデフォルトチェック」を参照してください。

    Agent Client Collector for Monitoring のデフォルトのチェックとポリシーについての詳細は、「Agent Client Collector for Monitoring のデフォルトのチェックとポリシー」を参照してください。

    Agent Client Collector for Visibility のデフォルトのチェックとポリシーについての詳細は、「ヴィジビリティ対応 Agent Client Collector のデフォルトチェックとポリシー」を参照してください。

    エージェントのデバイスでチェックが実行されない場合は、エージェントが CPU 保護モードになっている可能性があります。CPU 保護モードは、デバイスの CPU 負荷が高すぎる場合に自動的に有効化されます。この場合、エージェントの [データ収集] ステータスは [オフ (自動)] になります。エージェントログを確認して、問題のあるチェックを特定します。問題のあるチェックを手動で無効にするか、エージェントの acc.yml ファイルの CPU 保護モードのしきい値を変更して、エージェントのデータ収集を手動で再開することができます。CPU 保護モードのしきい値の詳細については、「Agent Client Collector の CPU 保護しきい値」を参照してください。データ収集を手動でオフにする方法の詳細については、「Agent Client Collector データ収集の一時停止」を参照してください。

    ベースシステムでは、イベントの終了ステータスで重大度が次のように示されます。
    • 0 = OK
    • 1 = 警告
    • 2 = 重大
    カスタマイズされたスクリプトを実行することで、その他の重大度 (メジャー、マイナーなど) を追加できます。次の終了ステータスは、それぞれ以下の重大度を示します。
    • 13 = メジャー
    • 14 = マイナー

    servicenow ベースシステムユーザーに特定のチェックコマンドを実行する権限がない場合は、次の操作を行います。

    • Linux システムの場合:servicenow ユーザーが sudo 権限でコマンドを実行できるようにします。次の sudo 構成要件を満たす必要があります。
      • tty とパスワードの要件を無効にする
      • すべての環境変数を保持する
      • コマンドを実行するための動的 PATH をサポートする
      たとえば、/etc/sudoers ファイルで次のように設定できます。
      servicenow ALL= SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *[, additional commands..]
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      • SETENV: 文字列を使用すると、servicenow ユーザーが環境変数を保持できます。
      • !requiretty 文字列は tty を無効にします。
      • servicenow ユーザーを exempt_group に追加すると、パスワード要件がバイパスされ、sudo コマンドを実行するための動的 PATH が有効になります。
      チェック定義のチェックコマンドパラメーターセクションで must_sudo チェックパラメーターに true の値が設定されていることを確認します。
    • macOS システムの場合:前述のように、Servicenow ユーザーが sudo 権限でコマンドを実行できるようにします。macOS で作業する場合は、/etc /sudoers ファイルで次のように設定します。
      _servicenow ALL= SETENV: /Library/Caches/servicenow/agent-client-collector/osquery/bin/osqueryi *, /usr/sbin/lsof
Defaults:_servicenow !requiretty
Defaults exempt_group += _servicenow
    • Windows システムの場合:Windows のユーザー管理を使用して、関連する権限を持つグループに servicenow ユーザーを追加し、ユーザーが必要なコマンドを実行できるようにします。

    ポリシー

    ポリシーは、CI とそれらの CI のチェック定義のセットです。

    単一のポリシーで複数の資格情報をサポートするには、資格情報エイリアスをポリシーに割り当てる必要があります。たとえば、Linux と Windows の両方に異なる資格情報を持つ MySQL サーバーがある場合は、資格情報タイプごとに個別のポリシーを作成する必要があります。ただし、資格情報エイリアスを使用すれば、単一のポリシーを資格情報エイリアスに割り当てることができます。エージェントは、関連する資格情報を監視対象のアプリケーションと照合します。資格情報エイリアスの詳細については、「Create a Connection and Credential alias (接続および資格情報エイリアスの作成)」を参照してください。

    イベントタイプチェックを含むポリシーによって生成されたアラートは、CI モニタリングが次のいずれかを介して停止されたときに、自動的にクローズされます。
    • ポリシーの無効化
    • アラートの原因となったチェックの無効化
    • ポリシーからのチェックの削除
    • ポリシーの削除
    • 監視対象 CI を決定するポリシーフィルターの変更