被監視サーバの性能情報を収集するために必要な設定について以下に説明します。
■WMIで通信する場合
WMIでアクセスするためのアカウントの準備
リモート接続(ログイン)するために管理者アカウントを準備してください。
管理者アカウントは、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。
なお、ユーザーアカウント制御(UAC)を使用している場合、以下のどちらかの作業を実施してください。
Active Directoryを導入している場合
Active Directoryが導入されたドメイン環境のとき、接続先のローカルAdministratorsグループに所属するドメインアカウントを設定してください。
Active Directoryを導入していない場合
用意した管理者アカウントに対して、以下を実施してください。
[コントロールパネル] - [ユーザーアカウント] - [別のアカウントの管理]で、用意した管理者アカウントを選択し、[アカウントの種類の変更]で「管理者」を選択します。
[コンポーネントサービス](注)にて[コンポーネントサービス] - [コンピュータ] - [マイコンピュータ]を右クリックして[プロパティ]を選択します。
注) コマンドプロンプトから「DCOMCNFG.EXE」コマンドを起動します。
[マイコンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。
[アクセス許可]の[制限の編集]をクリックし、「ANONYMOUS LOGON」に対する[リモートアクセス]を許可します。
[起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[グループ名またはユーザー名]に用意したアカウントを追加します。[<ユーザー名>のアクセス許可]では、「リモートからの起動」、「リモートからのアクティブ化」を許可します。
設定の際に、[DCOM のコンピューター全体の設定]のメッセージが表示されることがあります。その場合は、[はい]をクリックして設定を更新してください。
[コンピューターの管理]の、[サービスとアプリケーション]で、[WMIコントロール]を選択後右クリックし、[プロパティ]を選択します。
[WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。
<名前空間>
Root
Root\DEFAULT
Root\CIMV2
Root\WMI
[セキュリティ]では用意した管理者アカウントを追加し、[特殊なアクセス許可]以外のすべての項目に対してアクセスを許可します。
注意
管理者アカウントとしてAdministratorでないユーザーを選択した場合、UACによって権限が制限され、一般ユーザーの権限で接続されます。これにより、アクセス拒否が発生し、性能情報を取得できないことがあります。
これを回避するためには、被監視サーバにおいて、以下の1,2のいずれかを行ってください。
UACを無効化する場合
ローカルセキュリティポリシーまたはグループポリシーでUACを無効にします。
UACでリモート接続を許可するレジストリの設定を実施する場合
コマンドプロンプトで、以下のコマンドを実行します。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f |
なお、元に戻す場合は、以下のコマンドを実行してください。
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /f |
ファイアーウォールの設定
ファイアーウォールでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。
ファイアーウォールの環境では、以下の設定を実施します。
「Windows Management Instrumentationの例外許可」を設定します。
例外許可を設定します。
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[全般]タブで、全般の[有効]をチェックし、操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
スコープを設定します。
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[スコープ]タブで、以下のどちらかの方法で設定します。
・[リモート IP アドレス]で[任意のIPアドレス]を選択する。
・[リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(Manager/Proxy Manager)のIPアドレスを設定する。
[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットのManager/Proxy Managerから監視することができません。設定を変更してください。
注意
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信規則]で設定する項目について
以下の項目が、プロファイル(ドメイン、パブリック、プライベート)ごとにある場合、システムで使用しているプロファイルに対する項目を許可してください。
[受信の規則]
Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)
[送信の規則]
Windows Management Instrumentation (WMI 送信)
使用しているプロファイルは、netshコマンドで確認できます。
netsh advfirewall show currentprofile |
WMIサービスの設定
WMIのサービス(Windows Management Instrumentation)を自動起動に設定します。
最後に、設定したサーバにWMIで接続し、作成したユーザーでログインできることを確認してください。
注意
Solarisのglobal zoneを監視する場合は、接続アカウントとしてシステム管理者(スーパーユーザー)を指定してください。
SolarisのUX_MEMSTATの情報を収集する場合は、接続アカウントとしてシステム管理者(スーパーユーザー)を指定してください。
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
注意
被監視サーバがAIXの場合、sarコマンドを実行するためには、admグループに登録されているユーザーが必要です。
リモートで接続するためのユーザーがrootでない場合、ユーザーをadmグループに登録してください。
TELNETデーモンを自動起動に設定します。
デーモンの起動、設定方法は、TELNETのマニュアルを参照してください。
設定したサーバに、TELNETで接続し、作成したユーザーでログインできることを確認してください。また、ログインしたときのカレントディレクトリが、作成したホームディレクトリになっていることを確認してください。
注意
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■被監視サーバがLinuxの場合」の手順を実施してください。
被監視サーバがSolarisの場合は、「■被監視サーバがSolarisの場合」の手順を実施してください。
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
注意
被監視サーバがAIXの場合、sarコマンドを実行するためには、admグループに登録されているユーザーが必要です。
リモートで接続するためのユーザーがrootでない場合、ユーザーをadmグループに登録してください。
SSHデーモンを自動起動に設定します。
SSHがインストールされていない環境では、SSH(またはOpenSSH)をインストールしてください。
インストール方法やデーモンの起動、設定方法は、SSHのマニュアルを参照してください。
注意
SSHに接続する側(クライアント)の定期的な生存確認の設定を行う場合、設定値は以下のようにしてください。
ClientAliveInterval: 10以上
ClientAliveCountMax: 2以上
設定したサーバに、SSHで接続し、作成したユーザーでログインできることを確認してください。また、ログインしたときのカレントディレクトリが、作成したホームディレクトリになっていることを確認してください。
注意
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■被監視サーバがLinuxの場合」の手順を実施してください。
被監視サーバがSolarisの場合は、「■被監視サーバがSolarisの場合」の手順を実施してください。
被監視サーバがLinuxで、監視サーバから一般利用者権限のユーザーで接続する場合は、「■TELNETで通信する場合」または「■SSHで通信する場合」の設定を行ったうえで、以下の手順を実施して作成したユーザーに性能情報を収集するために使用するコマンドを実行する権限を追加します。
被監視サーバにログインし、スーパーユーザーになります。
visudoコマンドを実行し、sudoersファイルを編集します。
# /usr/sbin/visudo |
sudoersファイルの最後に以下の行を追加して、保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1 ALL=(ALL) NOPASSWD: /sbin/fdisk user1 ALL=(ALL) NOPASSWD: /bin/df user1 ALL=(ALL) NOPASSWD: /sbin/ethtool user1 ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode user1 ALL=(ALL) NOPASSWD: /sbin/chkconfig |
接続アカウントでログインして、「sudo -l」コマンドを実行します。
# sudo -l |
【実行結果例】
# sudo -l
User user1 may run the following commands on this host:
(ALL) NOPASSWD: /sbin/fdisk
(ALL) NOPASSWD: /bin/df
(ALL) NOPASSWD: /sbin/ethtool
(ALL) NOPASSWD: /usr/sbin/dmidecode
(ALL) NOPASSWD: /sbin/chkconfig被監視サーバがSolarisの場合は、「■TELNETで通信する場合」または「■SSHで通信する場合」の設定を行ったうえで、以下の手順を実施して接続アカウントに性能情報を収集するために使用するコマンドを実行する権限を追加します。
被監視サーバにログインし、スーパーユーザーになります。
/etc/security/prof_attrファイルを編集します。
【例】
# vi /etc/security/prof_attr |
ファイルの最後に以下の行を追加して保存します。
sqcprof-net:::SQC Network profile: |
/etc/security/exec_attrファイルを編集します。
【例】
# vi /etc/security/exec_attr |
ファイルの最後に以下の行を追加して保存します。
sqcprof-net:suser:cmd:::/sbin/dladm:uid=0;gid=0 |
/etc/user_attrファイルを編集します。
【例】
# vi /etc/user_attr |
ファイルの最後に以下の行を追加して保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1::::type=normal;profiles=sqcprof-net |