ESM サーバーの Tech Support ファイルからハートビートの間隔およびユーザールールを特定する方法

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L4 Transporter
評価なし

 

概要:
本記事では ESM サーバーの Tech Support ファイルを分析することで Traps エージェントのハートビートの間隔およびポリシールールを特定する方法を記載します。

ハートビートの間隔が短い (10分 あるいは 3分等) ことで、ESM サーバーのリソース消費(CPU 及び メモリ)に著しい影響を与えるケースがあります。テスト目的等で作成した設定が残存していることで予期しない影響を招く場合があります。短いハートビート間隔は、Traps エージェントの台数が比較的少ない場合はパフォーマンスに大きな影響は発生しません。しかしながら、Traps エージェントの展開台数の規模によっては ESM サーバーに予期しない負荷に至るケースがあります。

 

※ Traps エージェントのハートビートは Traps エージェント自身が稼働中であることをESM サーバーに報告することのみならず、ESM サーバー側に存在する最新のポリシーの要求、ライセンスの有効性確認等、様々な処理が行われます。そのため、この間隔が短いことで ESM サーバー側の処理負荷を招く可能性があります。

通常の利用環境下ではハートビートの間隔はデフォルトのポリシーである 60分 を使用することを推奨いたします。

 

対象とする Traps のバージョン:

Version 3.4.x

 

手順:

 

A.) ESM サーバーのログ分析

================================

初めに ESM サーバーで採取した Tech Support ファイルのサービスログよりハートビートの動作を確認します。

ESM サーバーで取得した Tech Support ファイルを展開すると、さらに "Core_<コンピューター名>.zip" および "Console_<コンピューター名>.zip" の2つのファイルが展開されます。

それぞれの zip ファイルを展開してください。

ESMCore.PNG

ESM サーバーのサービスログ (ファイル名: Server_<コンピューター名>.log) は Core 側の Logs フォルダに存在します。

これらの ログより、ある Traps エージェントのマシン名を選択し、そのハートビートの間隔を調べます。
これは ハートビートセッションが 2回発生している間の時間差を測ることで判明します。

 

ログ内の次の文字列を探します。これはESMサーバーがTrapsエージェントのコンピューターからハートビートを受け取り、処理を終了したことを示します。これが1回のハートビートセッションとなります。

 

--------------

Started handling HeartbeatEx call from machine
Finished handling HeartbeatEx call from machine

-------------- 

 

次の例では、2つのエージェント("CLIENT1" および "CLIENT2") のハートビートの間隔が3分であることが判ります。
通常利用環境において 3分は短すぎる値です。

 

>ログの例

※ Started および Finished の間には実際に行われた処理を示すログが記録されます。(本例では割愛)

--------------
2017-01-26 14:06:56.8055 DEBUG CyveraServer 104 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT1
2017-01-26 14:06:56.9303 DEBUG CyveraServer 104 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT1

2017-01-26 14:09:56.7795 DEBUG CyveraServer 146 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT1
2017-01-26 14:09:56.8107 DEBUG CyveraServer 146 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT1

2017-01-26 14:09:59.4473 DEBUG CyveraServer 209 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT2
2017-01-26 14:09:59.4785 DEBUG CyveraServer 209 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT2

2017-01-26 14:12:59.4575 DEBUG CyveraServer 122 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT2
2017-01-26 14:12:59.6603 DEBUG CyveraServer 122 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT2
--------------

 

B.) ユーザー定義のポリシールールの確認

================================

ESM サーバーの Tech Support ファイルにはデータベース上に存在する各種情報を出力した結果も含まれます。

これらのファイルは Console 側フォルダの "DBQueries" フォルダの内に存在します。

 

ESMConsole.PNG

 

"DBQueries" フォルダを開きます。

 

 DBQueries.PNG

 

"Active_user_rules.csv" には、Traps 環境において Active となっているユーザ定義の全ルールが含まれています。

テキストエディタ等でファイルを開き、"HeartBeat" の文字列を検索します。

ActiveUserRules.PNG

 

例えば以下のルール(ID 3645)には、ユーザーが定義したハートビート設定のルールが存在していることが判ります。

-------------------

3645 Agent Setting - 2017/02/22 14:38 Agent settings: Heartbeat interval have been set on all computers where CLIENT1 and CLIENT2 included True Active EndPointSettings 0

-------------------

 

本ルールが意図して作成されたものか、あるいは値は意図したものかを確認した上で必要に応じてルールを編集、削除あるいは無効化してハートビートの値を修正します。

 

以上となります。

 

この記事を評価: