はじめに
前回はSnareのSAM(Snare Agent Manager)による、エージェントのアップグレード機能について説明しました。今回は、いよいよエージェント管理コンソール(Agent Management Console:AMC)によるエージェントの設定管理を簡単に紹介します。
前回触れましたように、この12月5日にメーカー側でリリースされたSAM 2.0からは、このエージェントの設定管理がSAMでできるようになりました。ですから、今回は簡単にAMCでのエージェントの設定管理の概要を紹介して、次回の第4回にSAM 2.0による設定管理を少し丁寧に紹介したいと思います。
AMC(エージェント管理コンソール)によるエージェント設定管理の概要
AMCによるエージェントの設定管理では、第一回でも簡単にご紹介しましたように、主に以下のことができます。
もう少し詳しく箇条書きにすると以下のようにまとめられます。
- Snareエージェントの設定を管理できます(非常に古いものは対象外です。詳細は「エージェント管理コンソール ユーザーガイド」1.4. Snare エージェントの互換性を参照してください)
- 管理対象のエージェントをタイプやバージョン名の詳細、ホスト名でグループ分けし、グループごとにマスターを決めてマスター設定との不一致を検出します
- 特定エージェントの設定を読み出して、更に一部AMC上で変更してマスターを作成できます
- マスターとの設定不一致のあるエージェントの設定を強制的に一致させます
- 上記の設定チェック/同期の実行をスケジュールできます
SnareエージェントのAMCによる設定チェックと同期
今回は、AMCで実際に一つのエージェントの設定を読みだしてそれを元に設定のマスターを作って、複数のエージェントにその設定を反映する手順をご紹介します。
この手順は、このビデオ(英語、エージェントが最新版ではないので注意)でも見ることができます。
前提条件
- AMCによるエージェントの設定チェックと同期の動作は、エージェントのリモート管理機能を使いますので、この機能がエージェント側で設定されている必要があります
- AMC側から標準ではTCP 6161ポートにアクセスして、設定を読み取り、場合によっては強制同期(プッシュ)するので、エージェント側のマシンのファイアウォール設定でTCP 6161ポートが受信可能となっている必要があります
エージェント側の設定
Access ConfigurationでRestrict remote control of SNARE agent to certain hosts(SNAREのエージェントをリモート制御するホストを制限する) にチェックを入れます。IP Address allowed to remote control SNARE(リモート制御を許可するSNAREのIPアドレス)のIPアドレスに、AMCを使って設定管理を行うSnare CentralのIPアドレスを追加します。
Centralのサーバーにはブラウザ―を入れられないので、Web UIを使うアドレスをもう一つカンマで区切って入れるとよいでしょう。localhost(127.0.0.1)もしくは、エージェントのWeb UIを集中管理する場所のIPが候補として考えられます。ここも同期対象となるので、エージェント毎にバラバラな値を書かない方がよいでしょう。
Require a password for remote control? (リモート制御にパスワードを要求する)にチェックを入れ、すぐ下のパスワード入力フィールドにリモート管理で使う強力なパスワードを設定します。このパスワードをAMC側でも設定に入れる必要があり、枠が4つしかないので、同一設定とするエージェントのパスワードは4種類以下とする必要があります。
ファイアウォールで、TCPの6161ポートを必要な範囲で受信できるように設定します。Windowsであれば詳細設定で「受信の規則」を開き、新しい規則で必要な範囲でTCP 6161の受信を許可します。
AMC側の設定
Snare CentralでAgent Management | Snare Agents | Remote Managementを開きます。デフォルトのManage Agentsのオブジェクティブの…を右クリックしてクローンを作ります。名前を適当に付けます。
クリックしてオブジェクティブを開きます。No scheduled/generated file exists for this objective yet.という注意書きのある初期画面が表示されます。
上段のアイコンの中からConfigureをクリックして設定を開始します。
Snare Agent type:エージェントタイプによって当然設定項目は違うので、このプルダウンメニューで設定管理するエージェントのタイプを選択します。
Hostname filter(ホスト名フィルター)、Version string filter(バージョン文字列フィルター):更に、ホスト名やエージェントのバージョンによって設定管理対象エージェントのフィルタリングの設定ができます。ここではデフォルトのままの[*]でフィルタリングなしとしています。
Non-reporting Agents(非報告エージェント):Add IP address range(IPアドレス範囲を追加する)は、まだSnare Centralにログを報告していない場合にここに設定されたIPをスキャンしてエージェントを見つけ出します。
Alternate Passwords(パスワード)、Protocol to use(プロトコル):パスワードとプロトコルを設定します。パスワードは、先ほど各エージェントに設定したものを全部入れる必要があります。また、プロトコルは最新のエージェントではWeb UIはHTTPSのみとなっているので、ここでもHTTPSを選択します。ここで、このオブジェクティブを、一番下にあるSetをクリックして保存して閉じます。
AMCによるエージェントの設定取得
ここでオブジェクティブの上にある再構成(Regenerate)のアイコンをクリックして、オブジェクティブを実行して、設定で取得対象としたエージェントの設定を取りに行きます。
結果、この例では192.168.91.73,74,75,133の設定が取れました。74をマスターにするので、Master Config(マスター設定)のタブで、Retrieve(取得する)を選択します。下の画像にあるボックスが表示されるので、Existing Agent Configuration from(存在するエージェントの設定「 」から) を選択して、プルダウンの中からマスターにするエージェントを選択します。ここでは74を選択しています。
Retrieve Configuration(設定を取得する)をクリックすると、74の設定がマスターとして取得できました。
更にこの状態で上段のReconfigreのアイコンをクリックすることで、Masterの74の設定と、その他のエージェントの設定が比較されます。結果に差分がある場合は、Config Differences(設定の差分)のタブに表示されます。以下の例では、74ではログの送信を6164ポートでTLSの証明書ありの方式を選択していましたが、73のエージェントではUDPの6161ポートの設定となっていたために差分が出ています。
マスターにした74についても、マスター取得後に変更があれば差分が検出されます。
マスター設定の他エージェントへの反映
上段のConfigure(設定)のアイコンをクリックして設定項目のManagement Mode(管理モード)を確認します。デフォルトのままOnly hightlight differences between Master Config and Agent config.(マスターとエージェントの設定差分を強調する)が選択されているはずです。
Master Configの値を対象エージェントに強制的に設定(プッシュ)するために、Push Master Config t all managed Agents on schedule (only supported by some agents).(マスター設定を全エージェントにスケジュールに従って強制する(サポートされているエージェントのみ))を選択し直し、設定をSetで保存します。
この状態で上段のアイコンのRegenerateをクリックしてオブジェクティブを実行することで、Master Configの値が他のエージェントにも反映されます。実行後に、Config Differencesのタブを開いても差分が出て来ないことが分かります。
参考:エージェント側での反映確認
念のため実際に73のエージェントのWeb UIで見ても、例えばDestination Configuration(宛先設定)のNetwork Destination(ネットワーク上の宛先)のPort(ポート)とProtocol(プロトコル)は、6161、UDP→6164、TLS_Auth と書き換わったことが確認できました。
おわりに
このシリーズは3回で終了する予定でしたが、先日リリースされたSAM 2.0でここでご紹介したようなエージェントの設定管理ができるようになりましたので、次回その紹介をします。このAMCによるエージェントの設定管理よりも更に使いやすく機能的になっておりますので、違いのポイントなども紹介したいと思います。
最後までお読みいただき、ありがとうございました。
参考資料
お問合せ
30日無償でご利用いただける評価版を以下ダウンロードリンクにご用意しております。簡単に検証が開始できますので、ぜひお気軽にお試しください。
ジュピターテクノロジー ケン