FedRAMP 準拠の Red Hat Insights Advisor Service を使用した RHEL 設定の問題評価

Red Hat Insights 1-latest

RHEL システムに影響する設定の問題評価と監視

Red Hat Customer Content Services

概要

FedRAMP® に準拠した Insights Advisor サービスを使用して、RHEL システムの可用性、安定性、パフォーマンス、およびセキュリティーに影響する設定の問題を評価し、監視します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、弊社の CTO、Chris Wright のメッセージ を参照してください。

第1章 Insights for Red Hat Enterprise Linux advisor サービスの評価とモニタリングの概要

Red Hat Enterprise Linux (RHEL) インフラストラクチャーの正常性を評価して監視するには、advisor サービスを使用します。システムの個人ユーザーまたはグループの場合でも、インフラストラクチャー全体の場合でも、お使いのシステムが、可用性、安定性、パフォーマンス、セキュリティーに影響を与える可能性のある設定の問題にさらされないように注意してください。

Insights for Red Hat Enterprise Linux クライアントのインストールおよび登録後、クライアントは毎日 推奨 のデータベースに対してシステムのチェックを実行します。これは、RHEL システムがリスクにさらされたままにできる一連の条件です。データは Operations > Advisor > Recommendations ページにアップロードされ、次のアクションを実行できます。

  • RHEL インフラストラクチャー全体の推奨事項をすべて参照してください。
  • 強固なフィルタリング機能を使用して、SAP ワークロード、Satellite ホストコレクション、カスタムタグなど、お客様にとって最も重要な推奨、システム、グループ、またはワークロードに対して結果を絞り込むことができます。
  • 個別の推奨事項、それらが示すリスクの詳細、および個別のシステムに適した解決方法を確認してください。
  • 結果を他の内容と共有します。詳細は、Advisor サービスレポートの生成 を参照してください。
  • Insights for Red Hat Enterprise Linux アプリケーションから直接問題を修正するための修復Playbookを作成および管理します。詳細は、Red Hat Insights 修復ガイド を参照してください。

1.1. User Access に関する考慮事項

アカウントのどのユーザーも、Insights for Red Hat Enterprise Linux のほとんどのデータにアクセスできます。

事前定義済みグループおよびロールの概要

アクセスには、以下の事前定義済みのグループおよびロールが関連します。

  • デフォルトのアクセスグループ: アカウント上のすべてのユーザーが、デフォルトアクセスグループのメンバーです。デフォルトのアクセスグループのメンバーには読み取り専用アクセス権があります。これにより、Insights for Red Hat Enterprise Linux のほとんどの情報を表示できます。

1.1.1. advisor サービスユーザーの User Access ロール

次のロールにより、Insights for Red Hat Enterprise Linux の修復機能への標準または拡張アクセスが有効になります。

  • RHEL Advisor administrator:Insights for Red Hat Enterprise Linux advisor-service リソースに対して利用可能な操作を実行します。

第2章 advisor サービスの推奨事項の概要

advisor サービスは、RHEL システムの可用性、安定性、パフォーマンス、またはセキュリティーに悪影響を与える可能性がある、既知の設定問題に関する情報を処理します。この情報バンドルは、システムの問題を修正したり、修正する方法に関する推奨事項を作成するために使用されます。(推奨事項は、Red Hat Insights for Red Hat Enterprise Linux では、ルールと呼ばれていました。) 推奨事項はアドバイザーサービスデータベースに公開され、アドバイザーの推奨事項ページからアクセスできます。

推奨事項ページに移動すると、さまざまな並べ替えとフィルターの方法を使用して、次のような情報にアクセスできます。

  • 修正済み。アドバイザーサービスデータベースに対してレコメンデーションが最後に変更 (または公開) された日付または時間枠を示しています。
  • カテゴリー。問題の種類または問題の影響 — 問題が RHEL システムの可用性、安定性、パフォーマンス、またはセキュリティーに悪影響を与える可能性があるかどうかを示しています。
  • 影響。推奨事項に関連するインシデントが発生した場合のシステム運用への影響 (、または 重大) を示しています。
  • インシデント。この問題はインシデントとして分類されており、すでにシステムに影響を及ぼしている問題を示しています。
  • 可能性。問題がインフラストラクチャーに悪影響を与える可能性 (、または 重大) を示しています。
  • 名前。RHEL システムへの影響など、問題の簡単な説明を示しています。
  • システムの再起動の必要性。修復手順の一環として、システムの再起動が必要かどうか (Required または Not Required) を示しています。
  • 修復計画。修正または修復に手動の手順が必要かどうか、自動化された Playbook があるかどうかを示します。
  • 変更のリスク。修復が実行された場合のシステムの変更のリスク (非常に低い低い中程度、または 重要) を示しています。
  • Status: 推奨事項のステータスについて説明します。(すべて有効無効、または Red Hat 無効)。

    • すべて。すべてのステータスオプションの結果を表示します。
    • 有効 および 無効。可視または不可視のビジネスに不可欠な推奨事項を表示します。無効化された推奨事項は、組織内の誰かが推奨事項の表示をオフにしたことを示しています。
    • Red Hat が無効 になっています。Red Hat Enterprise Linux のメジャーバージョンのアップグレードなど、特定のアクションを実行するときに Red Hat が提供する推奨事項を示しています。
  • システム または 影響を受けるシステム。推奨が検出されたシステムの数 (1 以上 または なし) を示しています。1 つ以上 のシステムには、推奨事項がある 1 つ以上のシステムが表示されます。なし 推奨事項がないシステムを表示します。
  • 全体のリスク。問題がインフラストラクチャーに悪影響を与える可能性と、それが発生した場合のシステム運用への影響によって決定される、総リスクレベル (LowModerateImportant、または Critical) について説明します。

デフォルトのアドバイザーサービス推奨ビューには、より小さな情報のサブセットが表示されます。情報はフィルタリングされ、1 つ以上のシステムの推奨事項が表示されます。これらの推奨事項のステータスは Enabled です。フィルターの使用に関する詳細は、advisor-service 推奨事項のフィルタリング を参照してください。

2.1. システムおよび推奨事項のペア

システムに推奨事項が存在すると、advisor サービスはシステムへの影響を特定し、さらに 特定の軽減策または解決手順を提供します。この情報は、推奨事項を表示し、影響を受けるシステムを選択すると表示されます。

影響を受けるシステムを選択したら、システムで利用可能なすべての推奨事項と、以下の情報を表示します。

  • 検出された問題。そのシステムの障害に関する特定の情報
  • 解決手順。そのシステム上の問題を解決する手順
  • 関連するナレッジベース記事。一般的な問題に関するナレッジベースの記事またはソリューション
  • 参照情報。問題と、問題の解決策に関するその他のサポート記事
  • Ansible。Playbook 修復の可用性

2.2. 推奨事項の影響日

対象の推奨事項に記載されている条件がシステムに存在する場合に、推奨の影響を 受ける ことになります。advisor サービスは、システムが最初に推奨事項の影響を受けるタイミングをユーザーに通知します。

Systems impacted プライマリーフィルターを推奨事項のリストに適用し、1 つ以上 のセカンダリーフィルターを選択して、システムに影響を与える推奨事項のみを表示できます。フィルタリングされたリストから推奨事項をクリックすると、その推奨事項がリスト上の各システムに最初に影響を与えたタイミングを確認できます。

この情報は、advisor サービス Web コンソールの以下のページの First impacted 列で確認できます。

  • 単一システムの Recommendations 一覧 (該当する場合は推奨事項ごと)。
  • 単一の推奨事項に含まれる詳細ビュー (その推奨事項の影響を受けるシステムごとの Affected systems リスト)。

第3章 advisor サービスの推奨事項の調整

アドバイザサービスは、特に Red Hat Enterprise Linux 用の Red Hat Insights が大規模な Red Hat Enterprise Linux インフラストラクチャーにデプロイされている場合に、多くの情報をすぐに利用できるようにします。最も重要な問題やシステムに集中できるように、アドバイザーの推奨事項を絞り込む方法はいくつかあります。本セクションでは、特定の推奨事項をフィルタリング、ソート、および除外するための複数のオプションを説明します。

img adv recommendations filters updated

3.1. すべての advisor サービスの推奨事項の表示

アドバイザサービスの推奨ビューに初めて入ると、デフォルトビューと、影響を受けるシステム (1 つ以上のシステムに設定) および ステータス (有効に設定) フィルターの結果が表示されます。システムに影響を与えないものや advisor データベース内のものを含む、すべての 推奨事項の包括的なビューを取得するには、次の手順を使用します。

前提条件

Red Hat Hybrid Cloud コンソール にログインしている必要がある。

手順

  1. Operations > Advisor > Recommendations ページに移動します。
  2. img insights close Systems Impacted フィルターと Status フィルターの横にある閉じるアイコンをクリックします。これで、システムの潜在的な推奨事項をすべて参照できます。
  3. 必要に応じて、Reset filters をクリックして、1 or more of Systems impactedEnabled に設定された Status を表示するデフォルトの推奨ビューに戻ります。

3.2. advisor サービスの推奨事項のフィルタリング

次のフィルターから選択して、推奨リストを絞り込みます。

  • 名前。subfilter フィールドで、推奨の説明またはキーワードの入力試行を開始し、表示されるオプションから選択します。
  • Total risk。サブフィルターフィールドで、重大、重要、中程度、低のいずれかを選択します。
  • Risk of change。サブフィルターフィールドで、High、Moderate、low、または Very low から選択します。
  • Impact。サブフィルターフィールドで、重大、重要、中程度、低のいずれかを選択します。
  • Likelihood。サブフィルターフィールドで、重大、重要、中程度、低のいずれかを選択します。
  • Category。サブフィルターフィールドで、Availability、Performance、Stability、または Security から選択します。
  • Incidents。サブフィルターフィールドで、修飾子が発生したかどうかとともに推奨事項を表示します。
  • 修正。サブフィルターフィールドで、修正方法として Ansible playbook または Manual を選択します。
  • Reboot required.サブフィルターフィールドで、必須または不要のいずれかを選択します。
  • Ansible support。サブフィルターフィールドで、Ansible Playbook サポートの有無に関わらず推奨事項を表示する場合は、これを選択します。
  • 状態。サブフィルターフィールドで、すべて、有効、無効、Red Hat が無効から選択します。
  • システムが影響を受けました。サブフィルターフィールドで、1 つ以上 またはなしのいずれかを選択します。

フィルターを設定するには、以下の手順を行います。

手順

  1. Operations > Advisor > Recommendations ページに移動し、必要に応じてログインします。
  2. フィルターアイコンをクリックし、ドロップダウンリストからフィルターカテゴリーを選択します。

    img adv set filters updated

  3. サブフィルターメニューのドロップダウン矢印をクリックして、チェックボックス (またはボックス) を選択し、サブフィルターをアクティブにします。Description の場合は、推奨項目の名前または説明を入力します。

    img adv set subfilter updated

3.3. 推奨事項テーブルの列と並べ替え

次のパラメーターを使用して、アドバイザーの推奨事項テーブルの列を並べ替えます。

  • 名前。A から Z、または Z から A へのアルファベット化。
  • 修正済み。推奨事項が最後に変更または公開されてからの日数で、新しい順または古い順に並べ替えます。
  • Total risk。重大度の高い順で表示。
  • システム。影響を受けるシステムの数で表示。
  • 修正。Ansible Playbook がサポートされている、またはサポートされていない推奨事項で並べ替えます。

3.4. advisor サービスの推奨事項の無効化

システムに影響する特定の推奨事項を無効にして、その結果に表示されないようにすることができます。推奨事項を無効にするには、以下の手順を行います。

手順

  1. Operations > Advisor > Recommendations ページに移動し、必要に応じてログインします。
  2. 無効にする推奨事項を特定します。
  3. 行の右端にある More-options アイコン ( img insights more actions icon ) をクリックし、Disable recommendation をクリックします。

3.4.1. 以前に無効にした推奨事項の表示および有効化

推奨事項が無効になっていると、その推奨事項は Advisor 結果に表示されなくなります。このアクションを元に戻すには、次の手順を実行します。

手順

  1. Operations > Advisor > Recommendations ページに移動し、必要に応じてログインします。
  2. フィルタードロップダウンメニューをクリックして、Status を選択します。
  3. サブフィルタードロップダウンリストで、Disabled を選択します。

    img adv enable disabled rec updated

  4. 有効にする推奨事項を特定します。
  5. 行の右側にある more-actions アイコン img insights more actions icon をクリックし、Enable recommendation をクリックします。

    img adv enable rec updated

第4章 advisor サービス内のシステムのビュー調整

システム ビューには、Insights クライアントがインストールされ、Advisor レポートデータがあるシステムがすべて表示されます。システムリストは、以下の方法で改良できます。

img adv systems filters

4.1. 名前によるフィルター

ホストまたはシステム名を検索します。

4.2. ソートオプション

以下のコラムにあるソート矢印を使用して、システムテーブルの順番を並び替えます。

  • 名前。A から Z、または Z から A へのアルファベット化。
  • Number of recommendations。各システムに影響する推奨事項の数で並び替えます。
  • Last seen。アーカイブがシステムから Advisor サービスに最後にアップロードされてからの経過時間 (分、時間または日数) 順。

4.3. advisor サービスのタグ、SAP ワークロード、およびグループによるシステムのフィルタリング

フィルターにより、カスタムグループタグ、SAP ワークロード、および Satellite グループが Advisory サービス UI で、フォーカスするシステムをすばやく特定して表示できます。Advisory サービスにおける、Red Hat Insights for Red Hat Enterprise Linux アプリケーションのページの左上隅にある Filter results ボックスを使用した、セキュリティータグ、ワークロード、およびグループフィルターです。フィルタードロップダウンメニューには、アカウントに関連付けられたすべてのタグが表示され、フィルター処理に使用するパラメーターをクリックできます。advisor サービスを使用してタグで絞り込むには、以下の手順を実行します。

手順

  1. Operations > Advisor > Systems ページに移動し、必要に応じてログインします。Filter results ボックスは Red Hat Insights for Red Hat Enterprise Linux アプリケーションのほとんどのビューにあり、これらの手順は Filter results にアクセスする場所であればどこでも機能します。
  2. Filter results ボックスの矢印をクリックし、スクロールして、このアカウントにあるシステムで利用可能なタグを確認します。
  3. SAP ワークロード、Satellite ホストグループ、またはカスタムグループでフィルターする 1 つ以上のタグを選択します。適用されたタグは、Filter results ボックスの横に表示されます。
  4. advisor サービス全体でフィルターされた結果を表示します。
  5. タグを削除するには、Clear フィルター をクリックします。

関連情報

  • Insights for Red Hat Enterprise Linux の system-group タグの詳細は、システムタグとグループ の章を参照してください。

第5章 システムタグとグループ

Red Hat Insights for Red Hat Enterprise Linux を使用すると、管理者はグループタグを使用して、インベントリー内のシステムや個々のサービスでシステムのグループをフィルターできます。グループは、Insights for Red Hat Enterprise Linux へのシステムデータの取り込み方法によって識別されます。Insights for RHEL を使用すると、SAP ワークロードを実行しているシステム、Satellite ホストグループ、Microsoft SQL Server ワークロード、およびルートアクセス権を持つシステム管理者がシステムで Insights クライアントを設定するために定義したカスタムタグによって、システムのグループをフィルタリングできます。

注記

2022 年 春の時点で、インベントリー、アドバイザー、コンプライアンス、脆弱性、パッチ、ドリフト、およびポリシーで、グループとタグによるフィルタリングが有効になります。その他のサービスは後から続きます。

重要

タグ付けを有効にする他のサービスとは異なり、コンプライアンスサービスは、コンプライアンスサービス UI のシステムのリスト内にタグを設定します。詳細は、次のセクション コンプライアンスサービスのグループフィルターとタグフィルター を参照してください。

グローバルな フィルター結果 ボックスを使用して、SAP ワークロード、Satellite ホストグループ、MS SQL Server ワークロード、または Insights クライアント設定ファイルに追加されたカスタムタグでフィルター処理します。

前提条件

Red Hat Insights for Red Hat Enterprise Linux のタグ付け機能を使用するには、以下の前提条件および条件を満たしている必要があります。

  • Red Hat Insights クライアントが各システムにインストールされている。
  • カスタムタグを作成したり、/etc/insights-client/tags.yaml ファイルを変更したりするには、ルート権限、または同等の権限が必要です。

5.1. コンプライアンスサービスのグループおよびタグフィルター

コンプライアンスサービスを使用すると、ユーザーは、コンプライアンスデータを報告するシステムにタグおよびグループフィルターを適用できます。ただし、Filter by status ドロップダウンを使用して設定することはできません。Insights for Red Hat Enterprise Linux アプリケーションの他のほとんどのサービスとは異なり、コンプライアンスサービスは、次の条件下でのシステムのデータのみを表示します。

  • システムは、コンプライアンスサービスのセキュリティーポリシーに関連付けられています。
  • システムは、insights-client --compliance コマンドを使用して、コンプライアンスデータをインサイトに報告しています。

これらの条件のため、コンプライアンスサービスのユーザーは、コンプライアンスサービス UI のシステムのリストの上にあるプライマリーフィルターとセカンダリフィルターを使用して、タグフィルターとグループフィルターを設定する必要があります。

コンプライアンスサービスのシステムリスト上のタグおよびグループフィルター

img compl tag filters context

5.2. SAP ワークロード

2025 年に Linux は SAP ERP ワークロードの必須オペレーティングシステムになるため、Red Hat Enterprise Linux および Red Hat Insights for Red Hat Enterprise Linux では、Insights for RHEL が SAP 管理者に選ばれる管理ツールとなるように取り組んでいます。

この継続的な取り組みの一環として、Insights for Red Hat Enterprise Linux は、管理者によるカスタマイズを必要とせずに、SAP ワークロードを実行しているシステムに SAP ID (SID) によって自動的にタグを付けます。ユーザーは、グローバル Filter by tags ドロップダウンメニューを使用して、Insights for Red Hat Enterprise Linux アプリケーション全体でこれらのワークロードを簡単にフィルター処理できます。

5.3. Satellite ホストグループ

Satellite ホストグループは Satellite で設定され、Insights for Red Hat Enterprise Linux で自動的に認識されます。

5.4. Microsoft SQL Server のワークロード

タグによるグローバルフィルター 機能を使用して、Red Hat Insights for Red Hat Enterprise Linux ユーザーは、Microsoft SQL Server ワークロードを実行しているシステムのグループを選択できます。

2019 年 5 月、Red Hat Insights チームは、Red Hat Enterprise Linux (RHEL) で実行されている Microsoft SQL Server 向けの RHEL 推奨事項の新しい一連の Insights を導入しました。これらのルールは、オペレーティングシステムレベルの設定が Microsoft および Red Hat から文書化された推奨事項に準拠していないことを管理者に警告します。

これらのルールの制限は、データベース自体ではなく、主にオペレーティングシステムを分析することでした。Insights for Red Hat Enterprise Linux および RHEL 8.5 の最新リリースでは、Microsoft SQL Assessment API が導入されています。SQL Assessment API は、MS SQL Server のデータベース設定のベストプラクティスを評価するメカニズムを提供します。API には、Microsoft SQL Server チームが提案するベストプラクティスルールを含むルールセットが付属しています。このルールセットは新しいバージョンのリリースで拡張されていますが、API は高度にカスタマイズ可能で拡張可能なソリューションを提供することを目的として構築されており、ユーザーはデフォルトのルールを調整して独自のルールを作成できます。

SQL Assessment API は PowerShell for Linux (Microsoft から入手可能) でサポートされており、Microsoft は、API を呼び出してその結果を JSON 形式のファイルとして保存するために使用できる PowerShell スクリプトを開発しました。RHEL 8.5 では、Insights クライアントがこの JSON ファイルをアップロードし、結果を Insights for Red Hat Enterprise Linux UI にわかりやすい形式で表示するようになりました。

Insights for Red Hat Enterprise Linux での SQL Server 評価の詳細については、Red Hat Insights で利用できるようになった SQL Server データベースのベストプラクティス を参照してください。

5.4.1. SQL Server 評価の設定

Red Hat Insights に情報を提供するように Microsoft SQL Assessment API を設定するには、データベース管理者は以下の手順を実行する必要があります。

手順

  1. 評価するデータベースで、SQL 認証を使用して SQL Server 評価用のログインを作成します。次の Transact-SQL は、ログインを作成します。<*PASSWORD*> を強力なパスワードに置き換えます。

    USE [master]
    GO
    CREATE LOGIN [assessmentLogin] with PASSWORD= N'<*PASSWORD*>’
    ALTER SERVER ROLE [sysadmin] ADD MEMBER [assessmentLogin]
    GO
  2. システムにログインするための認証情報を次のように保存します。ここでも <*PASSWORD*> をステップ 1 で使用したパスワードに置き換えます。

    # echo "assessmentLogin" > /var/opt/mssql/secrets/assessment
    # echo "<*PASSWORD*>" >> /var/opt/mssql/secrets/assessment
  3. mssql ユーザーのみが資格情報にアクセスできるようにして、評価ツールで使用される資格情報を保護します。

    # chmod 0600 /var/opt/mssql/secrets/assessment
    # chown mssql:mssql /var/opt/mssql/secrets/assessment
  4. microsoft-tools リポジトリーから PowerShell をダウンロードします。これは、SQL Server インストールの一部として mssql-tools および mssqlodbc17 パッケージをインストールしたときに設定したものと同じリポジトリーです。

    # yum -y  install powershell
  5. PowerShell 用の SQLServer モジュールをインストールします。このモジュールには、評価 API が含まれています。

    # su mssql -c "/usr/bin/pwsh -Command Install-Module SqlServer"
  6. Microsoft のサンプル GitHub リポジトリーから runassessment スクリプトをダウンロードします。mssql によって所有され、実行可能であることを確認してください。

    # /bin/curl -LJ0 -o /opt/mssql/bin/runassessment.ps1 https://raw.githubusercontent.com/microsoft/sql-server-samples/master/samples/manage/sql-assessment-api/RHEL/runassessment.ps1
    # chown mssql:mssql /opt/mssql/bin/runassessment.ps1
    # chmod 0700 /opt/mssql/bin/runassessment.ps1
  7. Red Hat Insights が使用するログファイルを保存するディレクトリーを作成します。繰り返しますが、mssql によって所有され、実行可能であることを確認してください。

    # mkdir /var/opt/mssql/log/assessments/
    # chown mssql:mssql /var/opt/mssql/log/assessments/
    # chmod 0700 /var/opt/mssql/log/assessments/
  8. 最初の評価を作成できるようになりましたが、mssql ユーザーとしてより安全に cron または systemd を介して後続の評価を自動的に実行できるように、必ずユーザー mssql として作成してください。

    # su mssql -c "pwsh -File /opt/mssql/bin/runassessment.ps1"
  9. Insights for Red Hat Enterprise Linux は、次回の実行時に評価を自動的に含めます。または、次のコマンドを実行して Insights クライアントを開始することもできます。

    # insights-client

5.4.1.1. タイマーでの SQL 評価の設定

SQL Server の評価は完了するまでに 10 分以上かかる場合があるため、評価プロセスを毎日自動的に実行することが理にかなっている場合とそうでない場合があります。それらを自動的に実行したい場合は、Red Hat SQL Server コミュニティーが評価ツールで使用する systemd サービスとタイマーファイルを作成しています。

手順

  1. Red Hat public SQL Server Community of Practice GitHub サイト から次のファイルをダウンロードします。

    • mssql-runassessment.service
    • mssql-runassessment.timer
  2. 両方のファイルをディレクトリー /etc/systemd/system/ にインストールします。

    # cp mssql-runassessment.service /etc/systemd/system/
    # cp mssql-runassessment.timer /etc/systemd/system/
    # chmod 644 /etc/systemd/system/
  3. 次のコマンドでタイマーを有効にします。

    # systemctl enable --now mssql-runassessment.timer

5.5. システムタグ付けのカスタム

システムにカスタムグルーピングとタグ付けを適用して、個別のシステムにコンテキストマーカーを追加したり、Insights for Red Hat Enterprise Linux アプリケーションでこれらのタグ別にフィルタリングしたり、より簡単に関連システムに焦点を当てたりすることができます。この機能は、何百または何千ものシステムが管理されている環境で、Red Hat Enterprise Linux の Insights を大規模にデプロイメントする場合に特に価値があります。

複数の Insights for Red Hat Enterprise Linux サービスにカスタムタグを追加する機能に加えて、定義済みタグを追加できます。advisor サービスは、これらのタグを使用して、より高いレベルのセキュリティーを必要とするシステムなど、より注意が必要なシステムに的を絞った推奨事項を作成できます。

注記

カスタムタグと定義済みタグを作成するには、/etc/insights-client/tags.yaml ファイルに追加または変更するための root 権限、またはそれと同等の権限が必要です。

5.5.1. タグ構造

タグは、namespace/key=value のペアの構造を使用します。

  • 名前空間。名前空間は、インジェストポイントである insights-client の名前であり、変更することはできません。tags.yaml ファイルは名前空間から抽象化され、アップロード前に Insights クライアントによって挿入されます。
  • キー。キーは、ユーザーが選択したキーまたはシステムの定義済みのキーにすることができます。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。
  • 値。独自の記述文字列値を定義します。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。
注記

advisor サービスには、Red Hat がサポートする定義済みタグが含まれています。

5.5.2. tags.yaml ファイルの作成とカスタムグループの追加

insights-client --group=<name-you-choose> を使用してタグ作成し、/etc/insights-client/tags.yaml に追加します。これは、以下を実行します。

  • etc/insights-client/tags.yaml ファイルを作成します。
  • group= キーおよび <name-you-choose> の値を tags.yaml に追加します。
  • システムから Insights for Red Hat Enterprise Linux アプリケーションに新規アーカイブをアップロードすることで、最新の結果とともに新しいタグがすぐに表示されます。

初期 グループ タグを作成したら、必要に応じて /etc/insights-client/tags.yaml ファイルを編集し、タグを追加します。

次の手順は、/etc/insights-client/tags.yaml ファイルと初期グループを作成し、そのタグが Insights for Red Hat Enterprise Linux インベントリーに存在することを確認する方法を示しています。

グループの新規作成手順

  1. --group= の後にカスタムグループ名を追加して、root で以下のコマンドを実行します。

    [root@server ~]# insights-client --group=<name-you-choose>

tags.yaml 形式の例

次の tags.yaml ファイルの例は、新しいグループに追加されたファイル形式と追加のタグの例を示しています。

# tags
---
group: eastern-sap
name: Jane Example
contact: jexample@corporate.com
Zone: eastern time zone
Location:
- gray_rack
- basement
Application: SAP

カスタムグループが作成されたことを確認する手順

  1. 必要に応じて Red Hat Insights > RHEL > Inventory に移動し、ログインします。
  2. Filter results ドロップダウンメニューをクリックします。
  3. リストをスクロールするか、検索機能を使用してタグを見つけます。
  4. タグをクリックしてフィルター処理を行います。
  5. システムが、アドバイザーシステムリストの結果に含まれていることを確認します。

システムがタグ付けされていることを確認する手順

  1. 必要に応じて Red Hat Insights > RHEL > Inventory に移動し、ログインします。
  2. Name フィルターをアクティブにし、システムが表示されるまでシステム名を入力してから選択します。
  3. システム名の横にタグシンボルがグレイになり、適用されるタグの正確な数を表す数字が表示されることを確認します。

5.5.3. タグの追加または変更を行うための tags.yaml の編集

グループフィルターを作成したら、必要に応じて /etc/insights-client/tags.yaml の内容を編集して、タグの追加または変更を行います。

手順

  1. コマンドラインで、編集するタグ設定ファイルを開きます。

    [root@server ~]# vi /etc/insights-client/tags.yaml

  2. 必要に応じてコンテンツを編集するか、追加値を追加します。以下の例は、システムに複数のタグを追加する際の tags.yaml の管理方法を示しています。

    # tags
    ---
    group: eastern-sap
    location: Boston
    description:
    - RHEL8
    - SAP
    key 4: value
    注記

    必要な数の key=value ペアを追加します。大文字、文字、数字、記号、および空白文字の組み合わせを使用します。

  3. 変更を保存してエディターを閉じます。
  4. オプションで、Red Hat Enterprise Linux の Insights へのアップロードを生成します。

    # insights-client

5.5.4. 定義済みのシステムタグを使用した Red Hat Insights advisor サービスの推奨事項の精度とセキュリティーの向上

Red Hat Insights advisor サービスの推奨事項は、すべてのシステムを同等に扱います。ただし、システムによっては、他のシステムよりも高いレベルのセキュリティーが必要な場合や、異なるネットワークパフォーマンスレベルが必要な場合があります。カスタムタグを追加する機能に加えて、Red Hat Insights for Red Hat Enterprise Linux は定義済みタグを提供します。advisor サービスはこれを使用して、より注意が必要な可能性のあるシステムに的を絞った推奨事項を作成できます。

定義済みタグによって提供される拡張されたセキュリティー強化と強化された検出および修復機能をオプトインして取得するには、タグを設定する必要があります。設定後、advisor サービスは、調整された重大度レベルと、システムに適用されるネットワークパフォーマンス設定に基づいて推奨事項を提供します。

タグを設定するには、/etc/insights-client/tags.yaml ファイルを使用して、インベントリーサービスでシステムにタグを付ける場合と同様の方法で、定義済みタグを使用してシステムにタグを付けます。定義済みタグは、カスタムタグの作成に使用されるのと同じ key=value 構造を使用して設定されます。Red Hat の定義済みタグの詳細を次の表に示します。

表5.1 サポートされている定義済みタグのリスト

キー注記

security

normal (デフォルト) / strict

default を使用すると、advisor サービスは、システムのリスクプロファイルを、RHEL の最新バージョンのデフォルト設定および頻繁に使用される使用パターンから導出されたベースラインと比較します。これにより、推奨事項の焦点があっており、アクション可能で、数を減らすことができます。strict 値を使用すると、advisor サービスはセキュリティーが重要なシステムであると見なし、特定の推奨事項でより厳密なベースラインが使用されるようになり、新しい最新の RHEL インストールでも推奨事項が表示される可能性があります。

network_performance

null (デフォルト) / latency / throughput

ネットワークパフォーマンス設定 (ビジネス要件に応じたレイテンシーまたはスループット) は、システムに対する advisor サービスの推奨事項の重大度に影響します。

注記

定義済みタグのキー名は予約されています。定義済みの値とは異なる値を持つキー security をすでに使用している場合、推奨事項に変更は加えられません。既存の key=value がいずれかの定義済みのキーと同じ場合にのみ、推奨事項に変更が加えられます。たとえば、key=valuesecurity: high の場合、Red Hat の定義済みタグが原因で、推奨事項は変更されません。key=value ペアが security: strict である場合は、システムの推奨事項に変更が加えられます。

5.5.5. 定義済みタグの設定

Red Hat Insights for Red Hat Enterprise Linux advisor サービスの定義済みタグを使用すると、システムの推奨事項の動作を調整し、拡張されたセキュリティー強化と強化された検出および修復機能を得ることができます。以下の手順に従って、事前定義されたタグを設定できます。

前提条件

  • システムへの root レベルのアクセスがある。
  • Insights クライアントがインストールされている。
  • Insights クライアント内にシステムが登録されている。
  • すでに tags.yaml ファイルを作成している。tags.yaml ファイルの作成とカスタムグループの追加 を参照してください。

手順

  1. コマンドラインと任意のエディターを使用して、/etc/insights-client/tags.yaml を開きます。(次の例では Vim を使用しています。)

    [root@server ~]# vi /etc/insights-client/tags.yaml
  2. /etc/insights-client/tags.yaml ファイルを編集して、タグの定義済みの key=value ペアを追加します。この例は、security: strict および network_performance: latency タグを追加する方法を示しています。

    # cat /etc/insights-client/tags.yaml
    group: redhat
    location: Brisbane/Australia
    description:
    - RHEL8
    - SAP
    security: strict
    network_performance: latency
  3. 変更を保存します。
  4. エディターを終了します。
  5. オプション: Insights-client コマンドを実行して、Red Hat Insights for Red Hat Enterprise Linux へのアップロードを生成するか、次のスケジュールされた Red Hat Insights アップロードまで待ちます。

    [root@server ~]# insights-client

定義済みタグが実稼働環境にあることの確認

Red Hat Insights へのアップロードを生成した後 (または、次の Insights アップロードのスケジュールを待った後)、Red Hat Insights > RHEL > Inventory にアクセスして、タグが実稼働環境にあるかどうかを確認できます。システムを見つけて、新たに作成されたタグを探します。次のことを示す表が表示されます。

  • 名前
  • タグソース (例: insights-client)。

次のイメージは、タグを作成した後にインベントリーに表示される内容の例を示しています。

現在の名前を表示する強調表示された情報

定義済みタグを適用した後の推奨事項の例

次の図では、advisor サービスは network_performance: latency タグが設定されたシステムを示しています。

推奨事項 2 点

システムは、総リスク (重要に分類) が高い推奨事項を表示します。network_performance: latency タグのないシステムの場合、総リスクは中程度に分類されます。総リスクの高さに基づいて、システムの優先順位付けに関する決定を行うことができます。

第6章 パスウェイを使用した複数の advisor サービスの推奨事項の解決

パスウェイは、共通の解決策を共有するアドバイザーサービスの推奨事項のグループです。パスウェイの修復手順に従うことで、1 回の設定変更で複数の推奨事項を表示して対処できます。これにより、すべての推奨事項内のすべてのアクションを調査しなくても、修復が影響するすべてのシステムを確認できます。パスウェイは、システムをより効率的に維持するために従うべき明確な道筋を示しています。

パスウェイに表示される特定の推奨事項は、特定の時点でインフラストラクチャーに影響を与える問題によって異なります。Insights for Red Hat Enterprise Linux は、環境内で最も重要な推奨事項に基づいて修復レベルを動的に計算します。計算には次の要素が含まれます。

  • 個々の推奨事項によって影響を受けるシステムの数
  • 個々の推奨事項の総リスク
  • インシデントが検出されたかどうか

パスウェイにグループ化された問題は、パッケージの更新、設定の更新、製品のアップグレードなど、同じ解決タイプを共有する必要があります。さらに、問題は共通の解決目標を共有する必要があります。各システムは、同じパッケージの更新または設定ファイルの変更を必要とする必要があります。

Insights for Red Hat Enterprise Linux では、コア修復後に各パスに名前が付けられるため、設定の変更をすぐに確認して理解できます。

関連情報

6.1. Advisor パスウェイの表示と評価

前提条件

手順

  1. Operations > Advisor > Recommendations に移動します。ページの上部に推奨経路パネルが表示され、システムの最も重要な経路が最大 3 つ含まれています。

    img pathways overview

  2. 経路の詳細を表示するには、View Pathway をクリックするか、推奨事項のリストで Pathways をクリックし、リストから経路をクリックします。パスウェイの情報が表示されます。

    img pathways view pathway2

  3. 問題が影響するシステム (およびパスウェイが修正するシステムのリストに含まれるシステム) を表示するには、システム をクリックします。

    img pathways affected systems

6.2. 修復経路

前提条件

  • システムへのルートレベルのアクセス。
  • Insights への組織管理者レベルのアクセス権。
  • 修復に Ansible Playbook を使用している場合は、Ansible へのユーザーアクセスが必要です。

手順

  1. Operations > Advisor > Recommendations に移動します。
  2. 修復するパスウェイを見つけて、View Pathway をクリックします。
  3. 修復する推奨事項を選択するか、システム をクリックして、影響を受けるすべてのシステムのリストを表示します。
  4. 各推奨事項の詳細を表示するには、推奨事項の表の行をデプロイメントするか、推奨事項のタイトルをクリックして 推奨事項の詳細 ページに移動します。
  5. 修正するシステムを選択し、修正 をクリックします。

    1. 修復に Ansible Playbook が必要な場合は、Ansible による修復 ダイアログボックスの手順に従って Playbook を作成または選択し、修復するシステムを選択します。
    2. 修復に手動の修復が必要な場合は、解決手順の手順 に従って、選択した各システムで修復を実行します。
注記

修復が System reboot is required を示している場合、Ansible は修復の完了後に影響を受けるシステム (または複数のシステム) を自動的に再起動します。

6.3. advisor サービスの推奨事項の通知設定

通知サービスで、新しく利用可能な推奨事項の通知を受け取ることができます。

注記

パスウェイ内の個々の推奨事項について通知を受け取ることはできますが、パスウェイ自体については通知を受け取ることはできません。推奨事項に関連付けられたパスウェイを表示するには、コンソールにログインします。

前提条件

  • システムへのルートレベルのアクセス。
  • Insights への組織管理者レベルのアクセス権。

手順

  1. 設定 > 通知 > Red Hat Enterprise Linux に移動します。使用可能な動作グループが表示されます。
  2. 既存の行動グループを選択するか、新しい行動グループを作成します。
  3. 動作グループの オプションメニュー アイコン (縦の点) をクリックし、編集 を選択します。Edit behavior group ウィザードが表示されます。
  4. 動作グループ名を確認し、次へ をクリックします。アクションと受信者 ページが表示されます。
  5. アクションと受信者を確認し、次へ をクリックします。イベントタイプの関連付け ページが表示されます。
  6. 新しい推奨事項 を選択して、動作グループに追加します。Next をクリックします。
  7. 動作グループの更新された設定を確認し、完了 をクリックします。

第7章 Insights インベントリーからのシステムの削除

システムを Red Hat Hybrid Cloud Console インベントリーから削除して、システムが Red Hat Insights for Red Hat Enterprise Linux Inventory インベントリーまたは advisor サービスシステム一覧に表示されないようにすることができます。Red Hat Insights クライアントはシステムで登録解除され、Insights for Red Hat Enterprise Linux にデータが報告されなくなります。システムを削除するには、ユースケースに最も関連する以下の手順を実施します。

手順 1: Insights クライアントを使用した削除

  1. システムのコマンドラインに以下のコマンドを入力します。

    [root@server ~]# insights-client --unregister

手順 2: Red Hat Satellite 6 UI から削除

  1. Satellite Web UI にログインします。
  2. Insights > Inventory に移動します。
  3. 登録を解除するシステムプロファイルを選択します。
  4. Actions > Unregister をクリックします。

手順 3: cloud.redhat.com API を使用した削除

このオプションは、実際のシステムが破棄または再インストールされた場合にのみ使用します。クライアントの登録を解除せずに DELETE を使用すると、次回クライアントがデータをアップロードする際に、ホストが再度表示されます。

  1. インベントリーからシステムプロファイルのリストを取得します。

    # curl -k --user PORTALUSERNAME https://cloud.redhat.com/api/inventory/v1/hosts | json_pp > hosts.json
  2. json_pp コマンドがシステムに存在しない場合は、perl-JSON-PP パッケージをインストールします。

    # yum install perl-JSON-PP
  3. hosts.json ファイルからシステムの ID を取得して、システムの詳細を確認します (例: "id" : "f59716a6-5d64-4901-b65f-788b1aee25cc")。

    # curl -k --user PORTALUSERNAME https://cloud.redhat.com/api/inventory/v1/hosts/f59716a6-5d64-4901-b65f-788b1aee25cc
  4. 以下のコマンドを実行して、システムプロファイルを削除します。

    # curl -k --user PORTALUSERNAME -X "DELETE" https://cloud.redhat.com/api/inventory/v1/hosts/f59716a6-5d64-4901-b65f-788b1aee25cc

第8章 参考資料

Red Hat Enterprise Linux 向けの Red Hat Insights の詳細については、以下のリソースも参考になる場合があります。

Red Hat ドキュメントへのフィードバック (英語のみ)

Red Hat ドキュメントに関するフィードバックをお寄せください。いただいたご要望に迅速に対応できるよう、できるだけ詳細にご記入ください。

前提条件

  • Red Hat カスタマーポータルにログインしている。

手順

フィードバックを送信するには、以下の手順を実施します。

  1. Create Issue にアクセスします。
  2. Summary テキストボックスに、問題または機能拡張に関する説明を入力します。
  3. Description テキストボックスに、問題または機能拡張のご要望に関する詳細を入力します。
  4. Reporter テキストボックスに、お客様のお名前を入力します。
  5. Create ボタンをクリックします。

これによりドキュメントに関するチケットが作成され、適切なドキュメントチームに転送されます。フィードバックの提供にご協力いただきありがとうございました。

法律上の通知

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.