Home
ポリシーを使った監視
概要
ポリシーシステムは、大規模な監視環境の管理を促進することを目的としています。 モジュール、アラート、外部アラート、プラグイン、リモートインベントリおよびコレクションを一元化された方法でエージェントに伝播できます。
ポリシーに加えた変更を適用するには、“キュー” 画面で ポリシーの適用(apply the policy) を行う必要があります。
より詳しい情報は “テンプレート、ポリシー、一括操作の違い” を参照してください。
ポリシー管理
メニュー 管理(Management) → 
リソース(Resources) → ポリシー管理(Manage policies).
- 対応するリンクをクリックすることで、各ポリシーのコンポーネントに素早くアクセスできます。
- Pandora FMS の リソースライブラリ からダウンロードできる、事前設定済みのポリシーを追加できます。
- アイテムフィルタダイアログは、通知で非表示になっている場合でも、キーボードショートカット
CTRL+Fでアクセスできます。 - 各エージェント の設定セクション (メニュー 管理(Management) → リソース(Resources) → エージェント管理(Manage agents) → 編集(Edit) → ポリシー管理(Manage policy)) には、各エージェント固有のポリシータブがあります。インターフェースは監視ポリシーに似ており、選択したエージェントにのみ適用されます。これにより、複数のポリシーを一度に選択し、同時に適用または削除することで、連携操作が可能になります。この方法で追加されたエージェント は、監視ポリシーのメインセクションにも表示され、一括管理できます。
バージョン785では、サテライトエージェントとエンドポイントを区別するようになりました。これらのエージェントは、それぞれのリモート設定を含む、同じデバイスの監視を行います。そのため、サテライトエージェントが監視ポリシー経由で導入されている場合、これらのモジュールは Web コンソールと新しいフォームを使用して再定義する必要があります。
ポリシーの検索
コマンドセンター(メタコンソール)とノードの両方の Pandora FMS 検索ヘッダからポリシーを検索できます。コマンドセンターでの検索では、次の 2 種類の結果が返されます。
- 一元化検索(Centralized search): 表示されるポリシーは、メタコンソール自体のポリシーです。
- 非一元化検索(Non-centralized search): 表示されるポリシーは、各ノードから直接取得されたポリシーで、オリジンが表示されます。
ポリシーの追加
管理(Management) メニュー → 設定(Configuration) → ポリシー管理(Manage policies) → 作成(Create) ボタンをクリックします。
名前とグループを入力し、子グループに適用するかどうか、およびリモート設定が有効になっていないエージェントに強制的に適用するかどうか (強制適用(Force Apply) オプション) を指定します。 作成(Create) を再度クリックして保存します。
デフォルトでは、監視ポリシーを通じてエージェントに作成されたすべてのモジュールはリンクされたモジュールです。リンクされていないモジュールを作成するには、リンクしたポリシーモジュールを作成(Create policy modules)トークンを無効にする必要があります。これらのモジュールを作成したら、各エージェントの編集ページから個別にリンクまたはリンク解除できます(または、ポリシーのリンクタブから一括でリンクすることもできます)。
ポリシーの複製
オプション列の対応するアイコンをクリックします。
ポリシーのコピーは、ソースポリシーの状態に関係なく、“適用されていないもの” として作成されます。
監視ポリシーのエクスポートとインポート
PRD フォーマットでのインポート・エクスポート を参照してください。
ポリシーの削除
ポリシーを削除するには、関連づけられたエージェントが無い状態である必要があります。
ポリシーにエージェントがある場合、削除ボタンは無効になり、全エージェントの削除ボタンが表示されます。
このボタンは削除処理をキューに追加します。処理が完了すると、ポリシーの削除ボタンが再び有効になります。
ポリシーキュー管理
ポリシー操作キューには、最後にポリシーが適用されてから変更された要素の概要が含まれます。
このリストには、更新が保留中の要素と削除が保留中の要素があります。 この概要には、ポリシーを適用する必要があるかどうかが示されます。 場合によっては、適用保留中のエージェントのアイコンの横に、適用するためのボタンが表示されることがあります。
- 保留中の変更がデータベースにのみ影響する場合 (アラートの変更など)、このボタンはそのレベルの変更のみを行うため適用は高速になります。
- 一方、設定ファイルに影響する設定変更の場合 (たとえばコレクションやローカルモジュールが変更された場合)、一通りの適用が行なわれます。
- 概要の右下には、保留中の変更の種類に関係なく 、すべてを適用するボタンがあります。
ノード設定 には、ポリシーキュー保持日数(Max. days before policy queue is purged) というトークンがあり、デフォルトで 7 日に設定されており、すでに適用されている監視ポリシーキューのデータベースを消去します。
ポリシーの設定
ポリシーを設定するには、ポリシーの名前をクリックします。 中に入ると、右上のメニューからさまざまな設定セクションにアクセスできます。
ポリシーの設定では、セットアップに加えて、次のタブがあります。
- エージェント(Agents)
- モジュール(Modules)
- インベントリモジュール(Inventory Modules)
- アラート(Alerts)
- 外部アラート(External alerts)
- コレクション(Collections)
- リンク(Linking)
- キュー(Queue)
- エージェントプラグイン(Agent Plugins)
- エージェントウィザード(Agent Wizards)
ポリシーで可能な操作は次のとおりです。
- 1 つまたは複数の既存のポリシー エージェントの追加/削除。
- モジュールの作成/編集/削除。
- エージェントプラグインの定義/編集/削除。
- アラートの作成/編集/削除。
- 外部アラートの作成/編集/削除。
- 既存のコレクションの追加/削除。
- 既存のインベントリモジュールの追加/削除。
- ポリシーに 1 つまたは複数のモジュールをリンク。
- ポリシーに加えられた変更を適用。
- 設定したアクションは ポリシーが適用されるまで適用されません。
- ポリシーが適用された状態で要素が変更または削除された場合、その変更は次回適用されるまで反映されません。
- すべての変更は、変更を適用するセクションである キュー(Queue) ウインドウに反映されます。
エージェント
ポリシーにエージェントを追加するには、上部のフィルタリングオプションで、Ctrl キーまたは Shift キーを使用してグループとして必要なエージェントを選択します。 ウィンドウの下部には、ポリシーからの削除が保留されているエージェントを含む、ポリシーに関連付けられたすべてのエージェントのリストが表示されます。
同様に、エージェントのリストには、グループ、部分文字列、またはその適用状態によるフィルタがあります。
- エージェントが削除されると、その名前が赤で強調表示され、削除ボタンの代わりに削除を取り消しエージェントをポリシーに再度関連付けるためのボタンが表示されます。
- ポリシーに対するエージェントの追加または削除は、キュー(Queue) の画面でポリシーが適用された際に有効になることに留意してください。
コマンドセンターに属するノードの場合、それらの管理はそこで集中化されます (集中管理(Centralized management) → ポリシー管理(Policy management) メニュー)。インターフェイスは似ていますが、エージェントによるフィルタリング時に、ノード (リスト ノードのフィルタリング) および/またはエージェント名 (リスト エージェントのフィルタリング) で実行できる点が異なります。
グループ
バージョン 760 以降の Pandora FMS では、このオプションで設定されたグループのいずれかに新しいエージェントが割り当てられると、それらのエージェントは自動的にポリシー設定を受け取ります。
適用先(Apply to) で グループ(Groups) を選択し、必要なグループを参照して選択します。 次に、ポリシー内のグループ(Groups in policy) をリストに追加します。 ウィンドウの最下部には、ポリシーからの削除が保留されているグループも含め、ポリシーに関連付けられているすべてのグループのリストが表示されます。
グループが削除されると、名前に取り消し線が引かれて表示され、削除ボタンの代わりに、削除を取り消しグループをポリシーに再度関連付けるためのボタンが表示されます。 削除したグループに属するエージェントも取り消し線で表示されます。
ポリシーへのグループの追加または削除は、“キュー” が適用されるまで有効になりません。
モジュール
メニュー 管理(Management) → リソース(Resources) → ポリシー管理(Manage policies) を選択し、ポリシーの モジュール(Modules) をクリックします。
このメニューでは、監視ポリシーに追加するモジュールを設定できます。モジュールを追加するには、まずドロップダウンメニューからタイプを選択し、次に 作成(Create) ボタンをクリックします。
利用可能なオプション:
- サテライト ICMP モジュール
- サテライト SNMP モジュール
- サテライト WMI モジュール
- サテライト SSH モジュール
- サテライト Exec モジュール
- サテライト TCP モジュール
作成済みのモジュールの変更
監視ポリシーに割り当てられているモジュールは、どれでも変更できます。変更するには、モジュール名をクリックして設定オプションを表示するだけです。
ポリシーモジュールの名前が変更された場合、ポリシーが適用されると、モジュール名を含むすべてのフィールドが更新されます。
値を変更したら、更新(Update)ボタンをクリックして保存してください。
ポリシーモジュールの名前が変更され、エージェントが既に新しい名前のモジュールを持っている場合、新しいモジュールが採用されます、古い名前のモジュールは削除されます。
作成済みのモジュールの削除
ポリシーからモジュールを削除し、エージェントの設定からも削除するには、モジュールの右側にあるゴミ箱アイコンをクリックします。この操作を行うと、モジュールはリストに残りますが、名前が取り消し線で消され、ゴミ箱ボタンは削除を取り消すボタンに変わります。
複数のモジュールを削除する必要がある場合は、ゴミ箱の右側のボックスで各モジュールを選択し、削除(Delete)ボタンをクリックします。
エンドポイントモジュールの作成
データサーバモジュールは、PFMS エンドポイントに追加されます。これらのモジュールを使用するには、エージェントでリモート設定が有効になっている必要があります。
エンドポイントモジュール(Endpoint module)オプションを選択し、作成(Create) ボタンをクリックします。
基本(Basic) タブの各フィールドに入力するか、以前に ローカルコンポーネント を定義している場合は、それを選択してください。これらのフィールドの説明については、テンプレートとコンポーネント の章を参照してください。
データ設定(Data configuration) フィールドでは、モジュール自体のコードを入力できます。このコードは、そのポリシーを購読するエージェントに適用されます。この変更は、エンドポイント自体の pandora_agent.conf ファイルに反映されます。
ここで指定する設定は、ポリシーに登録されているエンドポイントが情報を収集し、エージェント用のデータ XML を生成する方法に影響します。エンドポイントから報告されたデータや設定が、データや説明と異なる場合は破棄され、Web コンソールに表示される設定がエンドポイントからの設定よりも優先されます。
XML から 初めてインポートされた情報は、Web コンソールに表示される情報に反映され、最初のインポート後は、エンドポイント/XML からの更新はシステムによって無視されます。
ネットワーク ICMP モジュールの作成
これらの ICMP モジュールの種類 は PFMS サーバによって実行されます。
ICMP モジュールを作成するには、ネットワーク ICMP モジュール(Network ICMP module) オプションを選択し、作成(Create) ボタンをクリックします。ネットワークコンポーネントの使用(Using network component) → ネットワーク管理(Network Management) リストにある 2 つの事前設定済みオプションの、デバイスの可用性と接続性を監視する Host alive オプション、アクセス時間を測定する Host latency オプションを使用することをお勧めします。エージェントに同じ名前のモジュールがある場合、これらが 採用モジュール になります。
対象 IP(アドレス)には3つのオプションがあります。
- 自動: ポリシーが適用されるエージェントの最初の IP アドレスで常に更新されます。
- プライマリキーの強制: デフォルトでは、ポリシー適用時のエージェントのプライマリ IP アドレスでモジュールが作成されます。エージェントの IP アドレスが変更された場合、古い IP アドレスが保持されます。
- カスタム: ポリシーに特定の IP アドレスを割り当てることができます。このオプションを選択すると、テキストボックスが表示されます。
ネットワーク TCP モジュールの作成
これらのTCP モジュール は PFMS サーバによって実行されます。
最適なオプションは、ネットワークコンポーネント(ネットワークコンポーネントの使用 リストから)にあり、Pandora FMS にデフォルトで含まれています。PFMS の柔軟性により、各クライアントは独自のコンポーネントを作成し、独自の監視ポリシーで使用できます。
ポリシーを使用してモジュールを作成するために使用され、その後変更されたネットワークコンポーネントは、そのポリシーを購読しているエージェントでは更新されません。
対象 IP(アドレス)には3つのオプションがあります。
- 自動: ポリシーが適用されるエージェントの最初の IP アドレスで常に更新されます。
- プライマリキーの強制: デフォルトでは、ポリシー適用時のエージェントのプライマリ IP アドレスでモジュールが作成されます。エージェントの IP アドレスが変更された場合、古い IP アドレスが保持されます。
- カスタム: ポリシーに特定の IP アドレスを割り当てることができます。このオプションを選択すると、テキストボックスが表示されます。
SNMP モジュールの作成
Pandora FMS には、ネットワークコンポーネントの使用(Using network component) リストにいくつかの SNMP コンポーネントが事前設定されており、SNMP モニタリング は広範囲にわたります。とはいえ、使用する OID (オブジェクト識別子(Object IDentifier)) を知っておくことは非常に重要です。SNMP エクスプローラー (ボタン SNMP Walk) があり、監視対象デバイスの認証情報とパラメータを 手動で入力して、OID 値とその応答を取得します。
SNMPモジュールを含む各ポリシーを設定する際、認証情報ストア機能を使用してクエリ認証情報をすばやく設定できます。認証情報の選択は、保存された認証情報データを含むフィールドをフォームにインポートするためにのみ使用され、モジュールの作成または編集プロセスにのみ影響します。このように選択された資格情報は、ポリシーの適用によって作成されたモジュールとはリンクされていません。
対象 IP(アドレス)には3つのオプションがあります。
- 自動: ポリシーが適用されるエージェントの最初の IP アドレスで常に更新されます。
- プライマリキーの強制: デフォルトでは、ポリシー適用時のエージェントのプライマリ IP アドレスでモジュールが作成されます。エージェントの IP アドレスが変更された場合、古い IP アドレスが保持されます。
- カスタム: ポリシーに特定の IP アドレスを割り当てることができます。このオプションを選択すると、テキストボックスが表示されます。
WMI モジュールの作成
MS Windows® オペレーティングシステムには無数の WMI クエリ があり、その中で最も重要なものは PFMS に事前登録されており、ネットワークコンポーネントの使用(Using network component) リストから選択できます。SNMP モジュールを含む各ポリシーを設定する際には、認証情報ストア 機能を使用してクエリ認証情報をすばやく設定できます。
対象 IP(アドレス)には3つのオプションがあります。
- 自動: ポリシーが適用されるエージェントの最初の IP アドレスで常に更新されます。
- プライマリキーの強制: デフォルトでは、ポリシー適用時のエージェントのプライマリ IP アドレスでモジュールが作成されます。エージェントの IP アドレスが変更された場合、古い IP アドレスが保持されます。
- カスタム: ポリシーに特定の IP アドレスを割り当てることができます。このオプションを選択すると、テキストボックスが表示されます。
リモート実行モジュールの作成
基本(Basic) → コマンド(Command) タブで、リモートで実行する命令を入力します。必要に応じてシングルクォーテーションを使用してください。ダブルクォーテーションを使用する必要がある場合は、バックスラッシュ(\")でエスケープしてください。
入力されたコマンドと実行時の応答に応じて、適切なモジュールタイプ(数値、ブール値、英数字、増分データ)を選択する必要があります。
ネットワークコンポーネントの使用 リストには、オペレーティングシステム (該当するポリシーの一般的な目的に合致するかどうかを確認してください) または使用 (一般グループ) によって分類された多数のコンポーネントが含まれています。
対象 IP(アドレス)には3つのオプションがあります。
- 自動: ポリシーが適用されるエージェントの最初の IP アドレスで常に更新されます。
- プライマリキーの強制: デフォルトでは、ポリシー適用時のエージェントのプライマリ IP アドレスでモジュールが作成されます。エージェントの IP アドレスが変更された場合、古い IP アドレスが保持されます。
- カスタム: ポリシーに特定の IP アドレスを割り当てることができます。このオプションを選択すると、テキストボックスが表示されます。
ポート番号(デフォルトは 22)は、監視対象デバイスが使用するポート番号に設定する必要があります。認証情報識別子 フィールドでは、カスタム認証情報 のみを使用できます。
ウェブモジュールの作成
ウェブモジュール(Web module) → 作成(Create) オプションを選択します。モジュールフィールドを設定し、ウェブチェック セクションにアクセスします。
選択したモジュールの種類(対応するチェック項目(フィールド ウェブチェック(Web Checks))によって異なります)に応じて、しきい値、認証の種類、認証情報などを設定する必要があります。保存するには、作成(Create) ボタンを再度使用してください。
ウェブモジュールの場合、コンポーネントは存在しません。
予測モジュールの作成
予測モジュールを作成するには、予測モジュール(Prediction module) → 作成(Create) のオプションを選択します。
ソースモジュール(Source module) リストでは、予測を計算するためのデータソースとして、同じポリシーのモジュールを選択できます(サービス(Service) を選択した場合を除く)。モジュールタイプ(Module type) リストでは、選択内容に応じてモジュールタイプを選択する必要があります。詳細については、トピック 人工知能 を参照してください。
予測は数値データに基づいて行われます。ただし、ウェブモジュールなど一部のモジュールはテキストデータを返す場合があり、その場合は予測を行うことができませんのでご注意ください。
プラグインモジュールの作成
プラグインモジュール(Plugin module) → 作成(Create)オプションを選択します。名前を入力し、プラグインを選択する2つの方法から選択します。
- ネットワークコンポーネントの使用Using network component) リストを使用すると、モジュール名とタイプ(およびプラグイン自体)が自動的に設定されます。
- プラグイン(Plugin) リストを使用し、選択したプラグインに対応する モジュールタイプ(Module type) の項目を選択します。
どちらの場合も、選択したプラグインの特定のフィールド(PFMS のインストール時に含まれるヘルプセクションを読むことをお勧めします)と、ポリシーによって作成される将来のモジュールのステータス変更を監視するしきい値を入力する必要があります。
マクロは、エージェントのIPアドレスを _address_ などで指定するなど、動的なパラメータを設定するために使用されます。
すべてのフィールドに入力したら、作成(Create)ボタンをクリックして、新しい監視ポリシーモジュールを保存します。
API モジュールの作成
この場合、ネットワークコンポーネントは存在しないため、その設定は APIモニタリング の章に示されているとおりに実行する必要があります。
インベントリモジュール
システムに存在するインベントリ、間隔、および権限を選択することで、ポリシーにインベントリモジュールを作成することもできます。
他のポリシーの要素と同じように、インベントリモジュールを削除すると、削除ボタンの代わりに取り消し線と 取り消しアイコンが表示されます。
リモートインベントリモジュールの追加に関して、より詳細な情報は インベントリモジュール を参照してください。
ポリシーモジュールの状態
ポリシーからモジュールが作成されると、そのモジュールはポリシーアイコンで参照されます。
リンク済モジュール
ポリシー内で作成されたモジュールで、適用するとエージェント内にも作成されます。モジュール自体の設定ページでこのボタンを押すと、モジュールをリンクしたりリンク解除したりできます。
リンク解除モジュール
リンク解除モジュールは、ポリシーに属しているが、ポリシーの変更の影響を受けないモジュールです。 特定のポリシーに属するモジュールに対して個別の例外を作ることができるため便利です。これにより、ポリシーから特定のエージェントモジュールをポリシーから外すことなくカスタマイズすることができます。
ポリシーの変更は、モジュールが再びリンクされたときにのみ適用されます。
適用済モジュール
このモジュールは、エージェント内の既存のモジュールと同じ名前でポリシー内に作成されたものです。 ポリシーを適用する場合、Pandora FMS は新しいモジュールを作成する代わりに既存のモジュールのデータを使用し、エージェントから管理され続けます。
- このタイプのモジュールは、ポリシーで行われた変更の影響を受けません。
- ポリシーを削除しても、適用済モジュールはエージェントから削除されません。
リンク・適用済モジュール
適用済モジュールをリンクして、ローカルの定義の代わりにポリシーで設定された定義を使用できます。これにより、ポリシーからモジュールを管理するときに、何らかの変更があるとモジュールも変更されます。
ポリシーからエージェントを削除すると、リンク済モジュールは削除され、リンク・適用済モジュールのみが保持されます。
アラート
アラートの追加
アラートを追加するには、事前に定義したアラートテンプレート(Alert template) をポリシーのモジュールに割り当てて 追加(Add) ボタンをクリックします。
アラートの編集
アクションを追加したり、アラートをスタンバイや無効化にしたりできます。 モジュールまたはテンプレートを変更する場合は、それを削除し、新しいアラートを作成する必要があります。
アラートの削除
ポリシーからアラートを削除し、設定されたエージェントから削除するには、アラートの行のゴミ箱アイコンをクリックします。これを実行するとアラートは一覧には残りますが、名前が取り消し表示となり、削除ボタンが取り消しボタンに変わります。
外部アラート
外部アラートを使用すると、ポリシーのモジュールリストにないエージェントモジュールにアラートをリンクできます。アラートをすべてのエージェントモジュールではなく、一部のエージェントモジュールにのみ割り当てるのに非常に便利です。
外部アラートの追加
外部アラートを作成するには、以下のフィールドを入力する必要があります。
この機能は、コマンドセンター (メタコンソール)とノードの両方にあります。
外部アラートの編集
編集では、外部アラートアクションの追加または削除のみできます。 その他の変更を行う場合は、削除して再度作成する必要があります。
外部アラートの削除
外部アラートをポリシーから削除し、エージェント設定からも削除するには、外部アラートの右側にあるゴミ箱アイコンをクリックします。
削除の仕組みは通常のアラートと同じです。 ポリシー キュー が適用されるまで、削除は有効になりません。
複数のポリシーからの外部アラート
1 つまたは複数のモジュールに、さまざまなポリシーからのさまざまなアクションを設定できます。
この機能は コマンドセンター (メタコンソール) にもあります。
エージェントプラグイン
ポリシーにプラグインを追加する方法は、エージェントで行う方法とまったく同じです。 詳細については、エンドポイントでのプラグインの利用 の章を参照してください。
エージェントプラグインがポリシーによって適用されるには、プラグインがエージェントによって指定されたパスに存在している必要があります。
強化プラグイン
Unix®/Linux® システムで 強化プラグイン を設定して有効にする方法の 1 つは、関連する監視ポリシーを変更し、エージェントプラグイン タブに移動し、プラグインの作成 ボタンをクリックしてウィザードを完了することです。
これにより、以下のコードが挿入されます。
module_begin module_plugin /usr/share/pandora_agent/plugins/pandora_hardening module_timeout 150 module_absoluteinterval 7d module_end
最後に、各エージェントが必要なコードを受信できるように、ポリシーキューを管理する必要があります。
特定のセキュリティ強化ポリシーを適用する必要があるかどうかを検討することが重要です。その場合、ファイルコレクション機能も使用する必要があります。
ファイル整合性監視
エンドポイント バージョン 784 以降の場合。
SIEM 監視 を補完するのが、ポリシーに適用される ファイル整合性監視 (FIM) であり、これにより各オペレーティングシステムに応じて各重要なファイルの整合性を監視できます。
ファイルコレクション
28_pfms_file_collections は、エンドポイント、エージェントモニタリングポリシー、およびサテライトサーバで使用されるスクリプトまたはプラグインを大規模に展開するために使用されるリソースです。
監視ポリシー編集時に コレクション(Collections) タブをクリックすると、使用可能なコレクションのリストが表示されます。 追加または削除して、キュー の変更を適用することができます。
モジュールログ収集
モジュールログ収集 ウィザードを使用する前に、ログ収集が事前に設定されている必要があります。Windows イベントチャネル モジュールを追加する場合は、監視ポリシーが MS Windows® エンドポイント向けであることを確認する必要があります。
コマンドセンター(メタコンソール)からのポリシー管理
コマンドセンターからポリシーを管理 することが可能です。 この処理は配下のすべてのノードへ情報を配布し、各ノードが適用を担当するものです。ノードがコマンドセンターと同じデータを持つことが重要であるため、この情報の配布は複雑です。
