ログ収集エージェント管理の合理化(3)Snare Central エージェント管理コンソールによる設定管理

はじめに

前回はSnareのSAM(Snare Agent Manager)による、エージェントのアップグレード機能について説明しました。今回は、いよいよエージェント管理コンソール(Agent Management Console:AMC)によるエージェントの設定管理を簡単に紹介します。

前回触れましたように、この12月5日にメーカー側でリリースされたSAM 2.0からは、このエージェントの設定管理がSAMでできるようになりました。ですから、今回は簡単にAMCでのエージェントの設定管理の概要を紹介して、次回の第4回にSAM 2.0による設定管理を少し丁寧に紹介したいと思います。

AMC(エージェント管理コンソール)によるエージェント設定管理の概要

AMCによるエージェントの設定管理では、第一回でも簡単にご紹介しましたように、主に以下のことができます。

エージェントの設定マスターが作れます
マスター設定とフィールドのエージェントとの差分が分かります
対象のエージェントの設定をスケジュールしてマスターに一致させます

もう少し詳しく箇条書きにすると以下のようにまとめられます。

  • Snareエージェントの設定を管理できます(非常に古いものは対象外です。詳細は「エージェント管理コンソール ユーザーガイド」1.4. Snare エージェントの互換性を参照してください)
  • 管理対象のエージェントをタイプやバージョン名の詳細、ホスト名でグループ分けし、グループごとにマスターを決めてマスター設定との不一致を検出します
  • 特定エージェントの設定を読み出して、更に一部AMC上で変更してマスターを作成できます
  • マスターとの設定不一致のあるエージェントの設定を強制的に一致させます
  • 上記の設定チェック/同期の実行をスケジュールできます

SnareエージェントのAMCによる設定チェックと同期

今回は、AMCで実際に一つのエージェントの設定を読みだしてそれを元に設定のマスターを作って、複数のエージェントにその設定を反映する手順をご紹介します。

この手順は、このビデオ(英語、エージェントが最新版ではないので注意)でも見ることができます。

前提条件

  • AMCによるエージェントの設定チェックと同期の動作は、エージェントのリモート管理機能を使いますので、この機能がエージェント側で設定されている必要があります
  • AMC側から標準ではTCP 6161ポートにアクセスして、設定を読み取り、場合によっては強制同期(プッシュ)するので、エージェント側のマシンのファイアウォール設定でTCP 6161ポートが受信可能となっている必要があります

エージェント側の設定

Access ConfigurationRestrict remote control of SNARE agent to certain hosts(SNAREのエージェントをリモート制御するホストを制限する) にチェックを入れます。IP Address allowed to remote control SNARE(リモート制御を許可するSNAREのIPアドレス)のIPアドレスに、AMCを使って設定管理を行うSnare CentralのIPアドレスを追加します。

Centralのサーバーにはブラウザ―を入れられないので、Web UIを使うアドレスをもう一つカンマで区切って入れるとよいでしょう。localhost(127.0.0.1)もしくは、エージェントのWeb UIを集中管理する場所のIPが候補として考えられます。ここも同期対象となるので、エージェント毎にバラバラな値を書かない方がよいでしょう。

エージェントにリモート管理のIPとパスワードを設定する

Require a password for remote control? (リモート制御にパスワードを要求する)にチェックを入れ、すぐ下のパスワード入力フィールドにリモート管理で使う強力なパスワードを設定します。このパスワードをAMC側でも設定に入れる必要があり、枠が4つしかないので、同一設定とするエージェントのパスワードは4種類以下とする必要があります。

ファイアウォールで、TCPの6161ポートを必要な範囲で受信できるように設定します。Windowsであれば詳細設定で「受信の規則」を開き、新しい規則で必要な範囲でTCP 6161の受信を許可します。

Windowsの場合のファイアウォールの設定追加

AMC側の設定

Snare CentralでAgent Management | Snare Agents | Remote Managementを開きます。デフォルトのManage Agentsのオブジェクティブの…を右クリックしてクローンを作ります。名前を適当に付けます。

Manage Agentsのクローンを作成する
クローンに名前を付ける

クリックしてオブジェクティブを開きます。No scheduled/generated file exists for this objective yet.という注意書きのある初期画面が表示されます。

Manage Agentsの初期画面でConfigureを選択する

上段のアイコンの中からConfigureをクリックして設定を開始します。

AMCのオブジェクティブ設定画面

Snare Agent type:エージェントタイプによって当然設定項目は違うので、このプルダウンメニューで設定管理するエージェントのタイプを選択します。

エージェントタイプをプルダウンから選択

Hostname filter(ホスト名フィルター)、Version string filter(バージョン文字列フィルター):更に、ホスト名やエージェントのバージョンによって設定管理対象エージェントのフィルタリングの設定ができます。ここではデフォルトのままの[*]でフィルタリングなしとしています。

ホスト名、バージョン名によるフィルタリング設定

Non-reporting Agents(非報告エージェント):Add IP address range(IPアドレス範囲を追加する)は、まだSnare Centralにログを報告していない場合にここに設定されたIPをスキャンしてエージェントを見つけ出します。

Add IP Address Rangeで対象エージェントのIPを指定する

Alternate Passwords(パスワード)、Protocol to use(プロトコル):パスワードとプロトコルを設定します。パスワードは、先ほど各エージェントに設定したものを全部入れる必要があります。また、プロトコルは最新のエージェントではWeb UIはHTTPSのみとなっているので、ここでもHTTPSを選択します。ここで、このオブジェクティブを、一番下にあるSetをクリックして保存して閉じます。

エージェントのパスワードとプロトコルを指定する

AMCによるエージェントの設定取得

ここでオブジェクティブの上にある再構成(Regenerate)のアイコンをクリックして、オブジェクティブを実行して、設定で取得対象としたエージェントの設定を取りに行きます。

Regenerateでエージェントの設定を取得

結果、この例では192.168.91.73,74,75,133の設定が取れました。74をマスターにするので、Master Config(マスター設定)のタブで、Retrieve(取得する)を選択します。下の画像にあるボックスが表示されるので、Existing Agent Configuration from(存在するエージェントの設定「 」から) を選択して、プルダウンの中からマスターにするエージェントを選択します。ここでは74を選択しています。

Master Configの設定値の取得エージェントの選択

Retrieve Configuration(設定を取得する)をクリックすると、74の設定がマスターとして取得できました。

192.168.91.74のエージェントから取得した設定値のリスト

更にこの状態で上段のReconfigreのアイコンをクリックすることで、Masterの74の設定と、その他のエージェントの設定が比較されます。結果に差分がある場合は、Config Differences(設定の差分)のタブに表示されます。以下の例では、74ではログの送信を6164ポートでTLSの証明書ありの方式を選択していましたが、73のエージェントではUDPの6161ポートの設定となっていたために差分が出ています。

91.74と91.73の設定値の差分表示

マスターにした74についても、マスター取得後に変更があれば差分が検出されます。

マスター設定の他エージェントへの反映

上段のConfigure(設定)のアイコンをクリックして設定項目のManagement Mode(管理モード)を確認します。デフォルトのままOnly hightlight differences between Master Config and Agent config.(マスターとエージェントの設定差分を強調する)が選択されているはずです。

設定をプッシュ(Push)するモードに変更する

Master Configの値を対象エージェントに強制的に設定(プッシュ)するために、Push Master Config t all managed Agents on schedule (only supported by some agents).(マスター設定を全エージェントにスケジュールに従って強制する(サポートされているエージェントのみ))を選択し直し、設定をSetで保存します。

強制同期により設定差分が解消

この状態で上段のアイコンのRegenerateをクリックしてオブジェクティブを実行することで、Master Configの値が他のエージェントにも反映されます。実行後に、Config Differencesのタブを開いても差分が出て来ないことが分かります。

参考:エージェント側での反映確認

念のため実際に73のエージェントのWeb UIで見ても、例えばDestination Configuration(宛先設定)Network Destination(ネットワーク上の宛先)Port(ポート)Protocol(プロトコル)は、6161、UDP→6164、TLS_Auth と書き換わったことが確認できました。

91.73にマスターの設定が反映されたところ

おわりに

このシリーズは3回で終了する予定でしたが、先日リリースされたSAM 2.0でここでご紹介したようなエージェントの設定管理ができるようになりましたので、次回その紹介をします。このAMCによるエージェントの設定管理よりも更に使いやすく機能的になっておりますので、違いのポイントなども紹介したいと思います。

最後までお読みいただき、ありがとうございました。

参考資料

お問合せ

30日無償でご利用いただける評価版を以下ダウンロードリンクにご用意しております。簡単に検証が開始できますので、ぜひお気軽にお試しください。

ジュピターテクノロジー ケン

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP