インストールレス型エージェントで監視するための被監視システム側の設定について説明します。
被監視システム側にインストールされている必要がある関連ソフトウェアについては、“Systemwalker Centric Manager 解説書”の“関連ソフトウェア資源”を参照してください。
UNIXの場合
TELNET接続の場合
リモート接続(ログイン)するためのアカウントを準備してください。
Firewallの設定
TELNETで使用するポート: 23
TELNETデーモンを起動します。
TELNETがインストールされていない環境では、TELNETをインストールしてください。
SSH接続の場合
Firewallの設定
SSHで使用するポート: 22
SSHデーモンを起動します。
SSHがインストールされていない環境では、SSHをインストールしてください。
アプリケーション監視と性能監視で出力するすべてのメッセージレベルを監視する場合
以下のようにsyslogdの環境定義ファイル/etc/syslog.confを変更し、user.info以上のメッセージが出力されるように設定します。
【Solaris】
user.info /var/adm/messages |
【Linux】
user.info /var/log/messages |
【AIX】
user.info /var/adm/messages |
【HP-UX】
user.info /var/adm/syslog/syslog.log |
/etc/syslog.conf を変更した場合は、syslogdに変更したことを通知するかデーモンを再起動し、変更内容を有効にします。
被監視システムが Red Hat Enterprise Linux 6 、または Oracle Linux 6 の場合
システムログ、アプリケーション、そして、サーバ性能を監視する場合、以下の対処をしてください。
rsyslogでは、メッセージにある“:”の直後に半角空白文字が挿入されることがあり、イベント監視の条件定義で意図したとおりにフィルタリングできないことがあります。このため、以下のように対処してください。
テンプレートとインストールレス型エージェントで監視するためのシステムログを/etc/rsyslog.confに設定します。
以下はシステムログが“/var/log/centric_syslog”の場合の例です。
$template centricTemplate,"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::drop-last-lf%\n" |
rsyslogdに対してHUPシグナルを送ります。
ps -ef | grep rsyslogd |
インストールレス型エージェント監視のポリシーで、[動作設定]タブの[UNIXのシステムログ]-[指定したシステムログ監視する]に、手順1で設定したシステムログをフルパスで設定し、ポリシーを配付します。
手順1で設定したシステムログが“/var/log/messages”の場合、3.の操作は不要です。
被監視システムがAIXの場合
システムログ、アプリケーション、およびサーバ性能を監視する場合、以下の対処をしてください。
AIXのデフォルトの状態では、システムログが設定されていないことがあります。この場合は、以下のように対処してください。
システムログを/etc/syslog.confに設定します。
*.warning /var/adm/messages |
システムログを作成します。
touch /var/adm/messages |
syslogdに/etc/syslog.confを再読み込みさせます。
refresh -s syslogd |
Windowsの場合
TELNET接続の場合
リモート接続(ログイン)するためのアカウントを準備してください。
Firewallの設定
TELNETで使用するポート: 23
TELNETサービスを起動します。
Telnet方式でイベント監視をしているときに、アクション実行でリモートコマンドを同時に複数発行した場合、Telnetのセッション数が不足する場合があります。同時にリモートコマンドを発行する数に応じてTelnetサービスの最大セッション数を変更してください。
また、二重化環境で、主系と従系の両方からイベント監視させた場合や、インベントリ収集を実施した場合も、Telnetセッション数が不足する場合があります。
Telnetセッション数が不足した場合、被監視システムのイベントログに下記のエラーメッセージが出力されます。
Telnet サーバーは利用できる同時接続の最大数に達しています。新しい接続は作成できません。 |
インストールレス型エージェントにおいて、接続方法がTELNET接続の場合、監視サーバと被監視システムの間の最大接続数(セッション数)は使用する機能により、以下のようになります。
機能 | システム監視/アプリケーション監視/サーバ性能監視(※1) | リモートコマンド | インベントリ収集 |
接続数 | 1 (※2) | 同時に発行するコマンド数 (※2) | 2 (非デプロイ方式) |
4 (デプロイ方式) |
システム監視、アプリケーション監視、サーバ性能監視を同時に使用しても最大数は同じです。
監視サーバが運用管理サーバで、運用管理サーバ二重化システム(連携型)の場合、セション数は運用管理サーバ数を乗じた値になります。
被監視システムのOSがWindowsの場合、同時に接続できる“最大接続数”は“2”です。そのため、運用(使用する機能)に合わせて“最大接続数”を以下の手順で変更してください。
以下のように、変更してください。
>tlntadmn config maxconn=“最大接続数” |
デプロイ方式で、システム監視、リモートコマンド(同時に1コマンド)、インベントリ収集を使用する場合
>tlntadmn config maxconn=6 |
SSH接続の場合
リモート接続(ログイン)するためのアカウントを準備してください。
Firewallの設定
SSHで使用するポート: 22
SSHサービスを起動します。
SSHがインストールされていない環境では、SSHをインストールしてください。
Cygwinのrebaseallコマンドを実行します。
rebaseallコマンドの詳細については、Cygwinのrebaseパッケージに同梱されるドキュメントを参照してください。
WMI接続の場合
リモート接続(ログイン)するためのアカウントを準備してください。
Firewallの設定
WMIで使用するポート: 135と1024以降の動的に割りあたるポート
WMIサービスを起動してください。
WMIがインストールされていない環境では、WMIをインストールしてください。
監視に必要なアカウントの準備
被監視システムのアカウント権限
被監視システム | 監視形態 | 被監視システムのアカウント | ||||
|---|---|---|---|---|---|---|
administratorアカウント(Administratorsグループ) | userアカウント(Administratorグループ) | userアカウント(TelnetClientsグループ) | userアカウント(Userグループ) | userアカウント(Event Log Readersグループ+Performance Log Readerグループ) | ||
Windows Server 2012/Windows 8 | Telnet デプロイ方式 | ○ | × | ○ | × | × |
Telnet 非デプロイ方式 | ○ | × | ○ | × | × | |
SSH デプロイ方式 | ○ | ○ | ○ | ○ | ○ | |
SSH 非デプロイ方式 | ○ | ○ | ○ | ○ | ○ | |
WMI | ○ | × | × | × | × | |
Windows Server 2008/Windows 7/Windows Vista | Telnet デプロイ方式 | ○ | × | △ | × | × |
Telnet 非デプロイ方式 | ○ | × | ○ | × | × | |
SSH デプロイ方式 | ○ | × | × | △ | × | |
SSH 非デプロイ方式 | ○ | × | × | ○ | × | |
WMI | ○ | × | × | × | ▲ | |
Windows Server 2003/Windows XP/Windows 2000/Windows NT | Telnet デプロイ方式 | ○ | △ | × | × | × |
Telnet 非デプロイ方式 | ○ | ○ | × | × | × | |
SSH デプロイ方式 | ○ | △ | × | × | × | |
SSH 非デプロイ方式 | ○ | ○ | × | × | × | |
WMI | ○ | △ | × | × | × | |
UNIX | Telnet デプロイ方式 | root(注) | ||||
Telnet 非デプロイ方式 | root(注) | |||||
SSH デプロイ方式 | root(注) | |||||
SSH 非デプロイ方式 | root(注) | |||||
○:利用可能です。
×:利用できません。
△:デプロイ方式でもアプリケーション監視、サーバ性能監視の機能は使用できません。
▲:インベントリ情報の収集の場合は使用できません。
(注):Solaris 11の場合は、以下のコマンドを実行し、rootアカウントでログインするための設定を行ってください。
rolemod -K type=normal root |
非デプロイ方式では、アプリケーションの監視、サーバ性能の監視、監視ログファイルの機能が使用できません。
デプロイ方式、非デプロイ方式のサポート機能の詳細の詳細については、“Systemwalker Centric Manager 解説書”の“Systemwalker Centric Managerのエージェントを導入していないサーバ/クライアントの監視”を参照してください。
UNIXで用意した被監視システムのアカウントおいて、サポートされるログインシェルは以下のとおりです。
Bourne Again Shell
Bourne Shell
C Shell
Korn Shell(※)
※CentOS、Red Hat Enterprise Linux、Oracle Enterprise Linuxは対象外です。
WMIでアクセスするためのアカウントの準備(Windows Server 2008 Server Core/Windows Server 2012 Server Coreの場合)
リモート接続(ログイン)するためのアカウントを準備してください。
WMIでアクセスするために管理者アカウントを用意します。
管理者アカウントは、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。
なお、ユーザアカウント制御(UAC)を使用している場合、以下のどちらかの作業を実施してください。
Active Directoryを導入している場合
Active Directory が導入されたドメイン環境のとき、接続先のローカルAdministrators グループに所属するドメインアカウントを用意してください。
Active Directoryを導入していない場合
“Administrator”ユーザを用意してください。
WMIでアクセスするためのアカウントの準備(Windows Server 2008 Server Core/Windows Server 2012 Server Core以外の場合)
リモート接続(ログイン)するためのアカウントを準備してください。
WMIでアクセスするために管理者アカウントを作成します。
管理者アカウントは、「ユーザーは次回ログオン時にパスワードの変更が必要」を設定しないでください。
なお、Windows Vista以降のユーザアカウント制御を使用している場合、以下のどちらかの作業を実施してください。
Active Directoryを導入している場合
Active Directory が導入されたドメイン環境のとき、接続先のローカルAdministrators グループに所属するドメインアカウントを設定してください。
Active Directoryを導入していない場合
用意した管理者アカウントに対して、以下を実施してください。
“コンピュータの管理”にて[ローカルユーザとグループ]-[ユーザ]で、用意した管理者アカウントに対して“Event Log Readers”権限を付加します。
“コンポーネントサービス(注)”(DCOMCNFG.EXE)にて[コンポーネントサービス]-[コンピュータ]-[マイ コンピュータ]を右クリックして[プロパティ]を選択します。
注)Windows Vista以降の場合、コマンドプロンプトから「DCOMCNFG.EXE」コマンドを起動します。
[マイ コンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。
[アクセス許可]の[制限の編集]をクリックし、“ANONYMOUS LOGON”に対する[リモートアクセス]を許可します。
[起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[起動許可]ダイアログボックスを表示します。
[グループ名またはユーザ名]に用意したアカウントを追加します。[アクセス許可]では、“リモートからの起動”、“リモートからのアクティブ化”を許可します。
“コンピュータの管理”で[サービスとアプリケーション]-[WMIコントロール]を右クリックして、[プロパティ]を選択します。
[WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。
<名前空間>
Root Root\CIMV2 Root\DEFAULT
[セキュリティ]では用意した管理者アカウントを追加し、すべての項目に対してアクセスを許可します。
アプリケーション監視、サーバ性能監視をするためのアカウントの準備(Windows Vista以降、Windows Server 2008以降の場合)
監視を行うための管理者アカウントを、被監視サーバ上に準備してください。
管理者アカウントは“Administrator”ユーザを用意し、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。
準備した管理者アカウントは、[インストールレス型エージェント監視]画面でリモート接続(ログイン)するためのアカウントに指定します。
Firewallの設定
FirewallでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。
Firewallの環境では、以下の設定を実施します。
手順(1)
この手順は、以下のWindows OSの場合に実施してください。
Windows(R) XP
Windows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE
以下のどちらかを実施してください。
動的に割り当てられるポートを制御し特定のポートを使用するように設定します。
Microsoft社から公開されている“文書番号:154596”を参照して設定します。
設定後、135、および設定したポートのTCP/UDPを許可します。
“Windows ファイアウォール”を設定します。
[グループポリシー](gpedit.msc)より、[ローカル コンピュータ ポリシー]-[コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windows ファイアウォール]を順に展開します。
WORKGROUP環境の場合は[標準プロファイル]、ドメイン環境の場合は[ドメインプロファイル]を選択します。
[Windows ファイアウォール: リモート管理の例外を許可する]を右クリックし、[プロパティ]を選択します。
[有効]を選択し、[OK]ボタンをクリックします。
手順(2)
この手順は、以下のWindows OSの場合に実施してください。
Windows 7
Windows Vista
Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/Windows Server 2008 Foundation/Windows Server 2008 R2
Windows 8
Windows Server 2012
以下のどちらかを実施してください。
動的に割り当てられるポートを制御し特定のポートを使用するように設定します。
Microsoft社から公開されている“文書番号:154596”を参照して設定します。
設定後、135、および設定したポートのTCP/UDPを許可します。
Windows Management Instrumentationの例外許可を設定します。
例外許可を設定します。
[セキュリティが強化された Windows ファイアウォール]で設定する場合
[管理ツール]-[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。
Windows Management Instrumentation (DCOM 受信) Windows Management Instrumentation (WMI 受信)
操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
[Windows ファイアウォール]で設定する場合
[コントロール パネル]-[Windows ファイアウォール]の[設定の詳細]を選択して、[Windowsファイアウォールの設定]を表示します。
[例外]タブに表示されている以下の項目をチェックして有効にします。
Windows Management Instrumentation(WMI)
スコープを設定します。
[管理ツール]-[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。
Windows Management Instrumentation (DCOM 受信) Windows Management Instrumentation (WMI 受信)
[スコープ]タブで、以下のどちらかの方法で設定します。
・[リモート IP アドレス]で[任意のIPアドレス]を選択する。
・[リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)のIPアドレスを設定する。
Windows Vista以降の場合、初期設定では[これらの IP アドレス]の領域に[ローカルサブネット]が表示されています。[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットの監視サーバ(運用管理サーバ、または部門管理サーバ)から監視することができません。設定を変更してください。
手順(3)
この手順は、以下のWindows OSの場合に実施してください。
Windows Server 2008 Server Core
Windows Server 2012 Server Core
以下のどちらかを実施してください。
FirewallでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。
Firewallの環境では、以下の設定を実施します。
動的に割り当てられるポートを制御し特定のポートを使用するように設定します。
Microsoft社から公開されている“文書番号:154596”を参照して設定します。
設定後、135、および設定したポートのTCP/UDPを許可します。
“Windows Management Instrumentationの例外許可”を設定します。
【netshコマンドで設定する場合】
netsh advfirewall firewall set rule name="Windows Management Instrumentation (WMI 受信)" new enable=yes [profile=... remoteip=...] |
スコープの設定では、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)からアクセスできるように設定します。
リモートシステムから設定する
MMC.exeを起動し、[スナップインの追加と削除]から[セキュリティが強化されたファイアウォール]を追加し、[コンピュータの選択]で[監視するServer Core]を選択します。
[受信の規則]で、以下の項目について設定します。
Windows Management Instrumentation (DCOM 受信) Windows Management Instrumentation (WMI 受信)
上記の項目を右クリックして、[プロパティ]を表示します。
操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
[スコープ]タブで、[リモートIPアドレス]を設定します。
[リモート IP アドレス]では、そのコンピュータを監視するサーバ(運用管理サーバ、または部門管理サーバ)からアクセスできるように設定します。
注意
[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信規則]で設定する項目について
以下の項目は、プロファイル(ドメイン、パブリック、プライベート)ごとにあります。システムで使用しているプロファイルに対する項目を許可してください。
Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)
使用しているプロファイルは、netshコマンドで確認できます。
netsh advfirewall show currentprofile
TELNETサービスの起動を変更する
TELNETサービスの起動を変更します。
この手順は、以下のWindows OSの場合に実施してください。
Windows(R) XP
Windows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE
サービスを自動起動に変更します。
この手順は、以下のWindows OSの場合に実施してください。
Windows 7
Windows Vista
Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/Windows Server 2008 Foundation/Windows Server 2008 R2
Windows 8
Windows Server 2012
“Telnetサーバー”をインストールし、サービスの有効化、および自動起動に変更します。
TELNET接続時の問い合わせ項目について
TELNETで接続した場合に、ログインIDとパスワード以外は、接続元サーバに対して問い合わせをしない設定にしてください。
管理者モード移行コマンドは、バスワード以外は問い合わせをしないでください。
被監視システム接続時のシスログ/イベントログ出力
インストールレス型エージェントでは、監視サーバから被監視システムに対して接続する際にシステムが提供する接続方式(TELNET/SSH/WMI)を利用しています。そのため、システムの設定によってシスログ/イベントログに接続時のアクセスログが定期的に出力される場合があります。
例) Red Hat Enterprise Linux 5.x 被監視システムをTelnet接続で監視する場合
Feb 13 22:40:22 hostA xinetd[18468]: START: telnet pid=24438 from=192.168.0.1
Feb 13 22:40:29 hostA xinetd[18468]: EXIT: telnet status=0 pid=24438 duration=7(sec)
ポイント
Systemwalker コンソールに出力されるアクセスログは、監視サーバ(運用管理サーバ/部門管理サーバ)で[イベント監視の条件定義] 機能を使用してフィルタリングすることが可能です。
セキュリティ設定を変更する
ドメインに参加していない Microsoft(R) Windows(R) XP Professional の場合は、セキュリティ設定を変更します。
[ローカル セキュリティ ポリシー]-[ローカル セキュリティの設定]のコンソール ツリーで、[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]を選択します。
ポリシー“ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル”のセキュリティ設定を“クラシック : ローカル ユーザーがローカル ユーザーとして認証する”に変更します。
