【Snare】ログ収集エージェント管理の合理化(1)Snare Agent Manager(SAM)によるライセンス管理

はじめに

多数台のサーバーやPCからなるシステムからログを集めて管理する、更にはレポートを作ったりアラートを上げたりする必要があるときに、どうしますか。そのためのログサーバーやSIEMを導入するにあたって、個々のエンドポイントにはエージェントは入れないで済ませたいかもしれません。

しかし、Windowsでリアルタイムに適切にログを送信するにはエージェントを入れる必要がでてきます。また、実際にログ収集システムを運用するには、どこからどのようなログを集めるかポリシーを作って適切に設定し管理し続ける必要があります。その場合、エージェントを導入した上でその設定を集中管理する必要に迫られることになります。

Snareのエージェントでは、

しかし、

ログを収集、保管し、検索、アラート、レポートの発行できるログサーバーであるSnare Centralは、配下のエージェントを簡単に集中管理することができる道具が揃っています。Snare CentralとSnareのエージェントをセットで統合ログ管理システムの中核として導入すれば、システム全体を容易に管理運用し分析、レポートすることができるようになります。

具体的にはこんなことができます。

そこで今回は、Snareのエージェント管理のエージェント管理の道具である、SAM(Snare Agent Manager)とエージェント管理コンソール(Agent Management Console、AMC)を簡単に紹介し、SAMのライセンス配布機能を例を取って具体的な集中管理のイメージを説明します。

このブログは、3回シリーズで第2回はSAMによるSnare Windowsエージェントのリモートアップグレード機能を紹介し、第3回にはAMCによるエージェントのリモート設定管理について紹介しますのでご期待ください。

Snareのエージェント管理概要

Snareのエージェント集中管理機能の概要を以下の表にまとめてみました。Snareには、エージェント管理のツールとして、SAMとエージェント管理コンソールの二つがあります。この二つは将来的に統合される予定です。

SAMはエージェントのライセンス管理、生存管理とアップグレードを担当し、エージェント管理コンソールは、エージェントの設定管理を担当します。Snare Centralにはこの二つが付属しています。一方、Snare Centralを導入せずにSnareのエージェントのみを使うお客様向けには、WindowsにスタンドアロンでインストールするSAMが用意されています。単独のエージェント管理コンソールはありません。

ツール提供形態機能
SAM
(Snare Agent Manager)
・Snare Central付属
・Windowsアプリ
ライセンス管理
エージェントのアップグレード
ネットワークスキャン
エージェント管理
コンソール
(Agent
Management Console)
・Snare Central付属エージェントの設定管理
・リモートで設定を取得
・グループごとにマスターと構成比較
・相違がある場合は強制同期

スタンドアロンライセンスとSAMライセンス

Snareは、エージェントが充実しているだけなく、各エージェントはSIEMなどのSnare以外の他製品のログフォーマットに合わせてログを送信することができます。Snareのエージェントは、その使いやすさや安全性、性能などのエージェントとしての魅力でエージェント単独で使われるお客様がおります。ログサーバーとしてCentralを導入されないそのようなお客様に向けて、Windows上のアプリとしてのSAMをご提供しております。

このような事情から、Snareエージェントのライセンスには、以下のようにインストールごとのライセンスロックのあるスタンドアロンライセンスと、SAMがライセンスを数量ベースで集中管理するSAMライセンスがあります。SAMライセンスを採用してSAMを使えば、各エージェントのライセンス状態だけでなく、生存監視もできますし、別途ご説明するようにWindowsエージェントの集中アップグレードもできます。私たちはSnareのエージェントだけを使うお客様にも、SAMを使うことをお薦めしております。

SAMによるライセンス適用と状況確認

SAMがエージェントの状態を入手して、エージェントにライセンスを配布しそれを管理するためには、SAMと各エージェントが通信できることが必要です。この通信のために、SAMはTCPの6262ポートをリッスンして、各エージェントからの連絡を待ちます。

このため、各エージェント側にSAMのIPアドレスまたはFQDN(Fully Qualified Domain Name)と使用するポート番号(デフォルトは6262)を設定する必要があります。また、このSAMとエージェント間の通信は、セキュアなTLSのv1.2またはv1.3が使われるように設定されており、認証キーも最初から設定されています。

SnareエージェントのSAMとの通信設定

各エージェントのWeb UI(デフォルト設定ではhttps://localhost:6161でアクセス可能)で、[Access Configuration]を開きます。以下の3つのSAMとの通信に関する設定を行います。

エージェントのAccess ConfigurationのSAM関連の設定箇所
  • Snare Agent Manager IPSAM の IP アドレスまたは FQDN (または、SAMが同じマシン上にある場合は localhost を使用できます)。エージェントは、この IP を介して SAM と通信し、接続を試みます。
  • Snare Agent Manager Port: エージェントが IP:Port の組み合わせを使用して接続しようとする SAM のポート番号。 デフォルトは 6262 です。
  • Snare Agent Manager Authentication Key: これは、エージェントが SAM との接続を行う際に認証に使用する秘密鍵です。このキーが無効な場合、エージェントはSAMとの接続を続行できません。このキーは、SAM の管理者によって生成されます。エージェントのインストール時のデフォルトのキーは SAM の [Settings] | [General] のデフォルトと同じです。もちろん、運用開始までに両者とも別の同じ値に更新すべきです。

SAMによる評価ライセンスの適用

SAMのインストールとエージェントとの通信設定

Snare Centralに付属のSAMは、Snare Centralと同時にインストールされます。インストール方法については、「Snare Centralインストールガイド」をご覧ください。

Windows版の単独のSAMのインストールについては、「Snare Agent Manager インストールガイド」をご覧ください。

SAM側にエージェントとの間の通信に関する設定が、[Settings] | [General]にあります。エージェント側がデフォルトのままならば、SAM側もデフォルトのままで通信できます。ポート番号や認証キーは、エージェント側と一致させる必要がありますので、変更する場合は両方とも変更してください。

SAMSettings | General認証キー設定画面
SAMSettings | GeneralAgent Port設定

評価ライセンスの入手

Snareエージェントのトライアルで、SAMから評価ライセンスを適用するには、評価用のSAMキーライセンスとエージェントの種類・機能に応じた機能ライセンスが必要です。機能ライセンスは機能毎のライセンス数が設定されているので、評価時に動作させるエージェントの機能と数量に応じた評価ライセンスが必要です。

「Snare Agent Manager ライセンスガイド」の「4.ライセンスの要求、生成、ダウンロード」にも説明がありますので、実際に評価される方はこちらも参照願います。

新規のお客様は、「お問合せフォーム」を介して初期評価ライセンスをリクエストできます。評価用ライセンスを請求する場合には、KeyID は不要です。

評価ライセンスの適用

SAM | Licenses | Add a new license に評価用ライセンス(SAMキーライセンスおよび機能ライセンスの両方とも)をアップロードするだけです。具体的には、Upload .sl file を選択した状態で、Drop files hereに、SAMキーライセンスの.slファイルと、機能ライセンスの.slファイルをドラッグ&ドロップします。

SAMAdd a new licenseの画面

ライセンスが適用されたことは、LIcenses | Registered licenses でチェックできます。

SAMによる正規ライセンスの適用

「Snare Agent Manager ライセンスガイド」6.ライセンスのインストール に詳細な説明があります。SAMでの操作の流れは、以下の通りです。

  1. Licenses | KeyIDsからキーIDをコピペする
  2. Snareのお客様ポータルサイトであるSLDMにログインしてMy Licenses | SAM Key License(s) | Enter KeyIDs で開いた画面にSAMキーライセンス発行のためにキーIDを貼り付ける
  3. 同様にMy Licenses | Feature License(s) | Enter KeyIDsで開いた画面に、機能ライセンス発行のためにキーIDを貼り付ける。2)と同じKeyIDsでよい。
  4. My Licensesの画面でライセンスの生成を待ち、出来上がったらDownloadボタンをクリックしてライセンスの.slファイルをダウンロードします
  5. SAM | Licenses | Add a new licenseにライセンスの.slファイルをドラッグ&ドロップします
  6. Licenses | Registered Licenses にてライセンスがSAMに登録されたことを確認します

<参考> スタンドアロンエージェントへのライセンス適用については、「Snare Windows エージェントインストールガイド」8.ライセンスを参照してください。

ライセンス適用状況の確認

しばらく待ってSAM | DashboardもしくはSAM | Agents | Allでライセンスの適用状況を確認します。SAMのダッシュボードやエージェントの管理画面の詳細については、「Snare Agent Manager ユーザーガイド」をご覧ください。

SAMダッシュボード画面

このSAMのダッシュボード画面では、エージェントが一つ見つかっていて、26日後に期限の切れる評価用ライセンスが適用されていることが分かります。このダッシュボードから、エージェント側から見たライセンスの割り当て状況も、SAMに登録されたライセンスから見たその使われ方もよく分かるようになっています。

SAMエージェント詳細表示

このSAMのエージェントの画面では、エージェントの一番右の歯車のマークをクリックして、詳細を表示しています。一番左の二つの緑のマークは、左からライセンスステータスと到達可能性(Reachable)を示しており、この場合二つとも緑なので問題ありません。

しばらく待ってもライセンスがエージェントに適用されない場合は、各エージェントでRestart Serviceを実行すると適用される場合があります。

各エージェント側でWeb UIを開けば、ライセンスが適用されているか分かります。特に、License | Active Licensesで適用しようとしたライセンスが登録されているか確認すれば確実です。個々のライセンスにはリファレンスがついているので、リファレンスを頼りに所望のライセンスが各エージェントに適用されているか確認できます。

エージェントWeb UIのLicense画面

SAMによるライセンス管理の設定

SAMにはライセンス管理に関連する設定で重要そうなものを2つご紹介します。

連絡の取れないエージェント対策:非アクティブ遅延

非アクティブ遅延(Inactivity Delay)は、エージェントがこの設定値を超えて SAM に連絡して来ない場合、自動的にライセンスが解除される時間です。最短は 3 日間です。エージェントは、SAMと連絡が取れなくとも最大 30 日間ライセンスを保持できます。

ここには、ライセンスが誤ってSAMから無効にされないように、60日や無期限(Never expire)の設定もあります。その場合、不要となったライセンス割当てをエージェントから手動で削除しないとライセンスが無駄に割当て続けられる可能性があるので注意が必要です。

SAMSettings | GeneralInactivity Delayの設定画面

ウェブUIでの通知とメール通知

エージェントのライセンスが切れそうになった場合や、ライセンス不足が発生している場合などに、ウェブUI上に通知することとメール通知を発行することが可能です。

SAM通知画面

上記のSAMの通知画面にも通知が出ますが、“Display ticker on Dashboard”Onに設定しておくと(デフォルトでOnです)、ダッシュボードのフッターの一にティッカーという通知が表示されます。

ティッカー

先ほどのダッシュボードの画面にあったティッカーは上記の部分です。

おわりに

Snareのエージェント管理についてざっと概要を説明し、再度にSAMのライセンス関連の機能について説明しました。しかし、これだけではSnareのエージェント管理機能のよさは十分伝わらないと思います。次回はエージェントの集中アップグレードについて説明しますので、ご利益がよく見えてくるものと思います。最後までお読みいただき、ありがとうございました。

参考資料

今回の記事の中で引用した資料や参考となる資料のリンク集です。

お問合せ

30日無償でご利用いただける評価版を以下ダウンロードリンクにご用意しております。簡単に検証が開始できますので、ぜひお気軽にお試しください。

ジュピターテクノロジー ケン

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP