Menu Close

Red Hat Insights のクライアント設定ガイド

Red Hat Insights 2022

Insights クライアントの設定オプションおよびユースケース

概要

このガイドは、RHEL システムで Insights クライアント機能を設定する Insights for RHEL ユーザーを対象にしています。お使いのシステムの Insights クライアント設定により、Insights for RHEL の操作の仕方が変わります。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、弊社の CTO、Chris Wright のメッセージ を参照してください。

Red Hat ドキュメントへのフィードバック

弊社のドキュメントに関するご意見やご感想をお寄せください。フィードバックを提供するには、ドキュメントのテキストを強調表示し、コメントを追加します。

前提条件

  • Red Hat カスタマーポータルにログインしている。
  • Red Hat カスタマーポータルでは、このドキュメントは Multi-page HTML 表示形式です。

手順

フィードバックを提供するには、以下の手順を実施します。

  1. ドキュメントの右上隅にある フィードバック ボタンをクリックして、既存のフィードバックを確認します。

    注記

    フィードバック機能は、マルチページ HTML 形式でのみ有効です。

  2. フィードバックを提供するドキュメントのセクションを強調表示します。
  3. ハイライトされたテキスト近くに表示される Add Feedback ポップアップをクリックします。

    ページの右側のフィードバックセクションにテキストボックスが表示されます。

  4. テキストボックスにフィードバックを入力し、Submit をクリックします。

    ドキュメントに関する問題が作成されます。

  5. 問題を表示するには、フィードバックビューで問題リンクをクリックします。

第1章 Red Hat Insights のクライアント設定ガイド

Insights for RHEL クライアントは RHEL システムで実行され、Insights for Red Hat Enterprise Linux と Red Hat Hybrid Cloud Console で利用可能な管理アプリケーションスイートにアップロードされる管理データを収集します。設定コマンドおよび設定を使用して、Insights for RHEL クライアントの各インスタンスを制御します。

1.1. Insights クライアント設定の概要

insights-client コマンドと関連設定ファイルを使用すると、システムで Insights for Red Hat Enterprise Linux を操作する方法を制御できます。

  • Insights クライアント機能の一般情報および概要については、最初の章で説明します。
  • Insights クライアントコマンドと設定ファイルを使用して特定のタスクを実現する方法に関する情報は、概要情報を参照してください。
  • コマンドリファレンスと設定ファイル参照情報は、本書の最後にあります。

ナビゲーションリンクは、検索内容を迅速に特定するのに役立ちます。

1.2. クライアント設定の概要

Insights クライアントは、システムについての情報を収集し、クラウドアプリケーションである Insights for Red Hat Enterprise Linux に送信します。CLI のコマンドオプションおよび設定ファイルオプションは、収集して Insights for Red Hat Enterprise Linux と共有された情報を変更します。これらのオプションは以下を制御します。

  • データ難読化

    • IP アドレスの難読化

      注記

      IP アドレスの難読化は、IPv4 アドレスにのみサポートされています。

    • ホスト名の難読化
  • データリダクション

    • 特定のファイル
    • 特定のコマンドの出力
    • パターン一致の削除
    • キーワード置き換え
  • Insights クライアントスケジューリング
  • Insights for RHEL ルールの更新
  • Insights クライアント認証方法

    • 証明書ベース
    • SSO ベースまたは基本
  • システムのタグ付け

Insights クライアントが収集する情報は tar ファイルに保存されます。このファイルは アーカイブファイル と呼ばれます。

注記

Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名と IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集ジョブがホストシステムで起動すると、ホスト情報が Insights for RHEL に送信されます。Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。

Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

1.3. Insights クライアント CLI および設定ファイルの対話

Insights クライアントはスケジューラーに従って実行されます。デフォルトでは 24 時間ごとに実行されます。このクライアントは、insights-client コマンドの入力時にも実行されます。

クライアントの実行時には、クライアントの動作は以下の順番で制御されます。

  1. insights-client コマンドの入力時に指定した値 (ある場合)。CLI で入力した値は、Insights クライアントの実行についての設定ファイル設定とシステム環境の設定を上書きします。
  2. 設定ファイル (/etc/insights-client/insights-client.conf および /etc/insights-client/remove.conf) の設定は、システム環境設定を上書きします。
  3. CLI またはクライアント設定ファイルの影響を受けないシステム環境変数 (printenv) の値が使用されます。

insights-client コマンドに指定するオプションは、Insights クライアントの実行にのみ使用されます。これらの値は、設定ファイルまたは環境変数で設定した値を一時的に上書きできます。

注記

insights-client コマンドを使用して表示名を設定すると、すぐに適用されますが、Insights クライアントは実行されません。

注記

RHEL 6.9 以前を使用している場合は、クライアントのコマンドは redhat-access-insights です。

1.4. Red Hat Insights クライアントディストリビューション

Insights クライアントは、以下の表に示されるように Red Hat Enterprise Linux (RHEL) で利用できます。

RHEL リリースコメント

RHEL 8

RHEL 8 が最小インストールとしてインストールされていない限り、Insights クライアントがプリインストールされた状態で配布されます。

RHEL 7

Insights クライアント RPM パッケージが読み込まれた状態で配布されますが、インストールされません。

RHEL 6.10 以降

Insights クライアント RPM パッケージをダウンロードし、インストールする必要があります。

注記

古いバージョンへの Insights クライアントのインストール

RHEL バージョン 6 および 7 に、Insights クライアントはプリインストールされていません。これらのバージョンのいずれかを使用している場合は、ターミナルで次のコマンドを実行します。

[root@server ~]# yum install insights-client

次に、システムを Insights for Red HatEnterpriseLinux に登録します。

[root@server ~]# insights-client --register
注記

最小インストールの設定

Insights クライアントは、RHEL8 の最小インストールを実行しているシステムには自動的にインストールされません。

Insights クライアントで最小インストールを作成するには、Anaconda インストーラーの RHEL ソフトウェア選択オプションから Minimal Installation を選択します。Additional Software for Selected Environment セクションで Standard チェックボックスを必ず選択してください。Standard オプションには、RHEL インストールに insights-client パッケージが含まれています。

Standard チェックボックスを選択しない場合、RHEL は insights-client パッケージなしでインストールされます。その場合は、後で dnf install を使用して Insights クライアントをインストールできます。

最小インストールの詳細については、Performing a standard RHEL installationConfiguring software selection を参照してください。

第2章 Insights for Red Hat Enterprise Linux 向けの RHEL Basic 認証の設定

RHEL システムが Insights for Red Hat Enterprise Linux にアクセスする前に、システムのアクセスを認証する必要があります。デフォルトの認証方法は、Red Hat が生成した証明書で提供されます。

Red Hat が生成した証明書が提供する認証以外に、シングルサインオン (SSO) の認証情報認証を代用できます。

注記

Insights for Red Hat Enterprise Linux アクセスの SSO 認証情報認証は Basic 認証 とも呼ばれます。

2.1. Basic 認証の使用のタイミング

以下のいずれかの状況で Basic 認証を使用する必要があります。

  • RHEL システムが Red Hat Subscription Manager (RHSM) に登録されていない。
  • Red Hat Enterprise Linux (RHEL) システムが Red Hat Satellite サービスで管理されていない。
  • RHEL システムは、Red Hat Certified Cloud and Service Provider からプロビジョニングされ、Red Hat Update Infrastructure (RHUI) で更新されている。
  • RHEL システムは、クラウドマーケットプレイスプロバイダーから提供され、Red Hat Cloud Access プログラムを使用して取得されない。
注記

システムに有効な RHEL サブスクリプションがある場合は、Insights for RHEL のデフォルトの証明書ベースの認証と Insights for RHEL の基本認証を切り替えることができます。新しい RHEL システムで Basic 認証を設定する場合は、Insights for RHEL クライアントアプリケーションを登録する前に、基本的な認証手順を実行する必要があります。

2.2. Basic 認証の設定要件

Insights for Red Hat Enterprise Linux のデフォルトの証明書ベース認証の代わりに、シングルサインオン (SSO) の認証情報を Basic 認証に使用するようにシステムを設定する場合は、Red Hat SSO 認証情報を指定します。SSO 認証情報は、有効な Red Hat カスタマーポータルのユーザー名およびパスワードです。

Basic 認証を設定するには、プレーンテキストのユーザー名とパスワードが設定ファイルに保存されます。ベストプラクティスとして、Insights for Red Hat Enterprise Linux Basic 認証専用の SSO 認証情報を使用して、Red Hat カスタマーポータルアカウントを作成します。このアクションは、個別ユーザーの SSO 認証情報の公開を回避します。

2.3. Basic 認証を設定する必要があるかどうかを知る方法

Red Hat が生成した認証証明書がないシステムを登録しようとすると、以下のメッセージが表示される可能性があります。=== End Upload URL Connection Test: FAILURE ===が表示された場合には、お使いのシステムに Basic 認証を設定します。

insights-client --register
Running connection test...
Connection test config:
=== Begin Certificate Chain Test ===
depth=1
verify error:num=0
verify return:1
depth=0
verify error:num=0
verify return:1
=== End Certificate Chain Test: SUCCESS ===

=== Begin Upload URL Connection Test ===
HTTP Status Code: 401
HTTP Status Text: Unauthorized
HTTP Response Text:
Connection failed
=== End Upload URL Connection Test: FAILURE ===

=== Begin API URL Connection Test ===
HTTP Status Code: 200
HTTP Status Text: OK
HTTP Response Text: lub-dub
Successfully connected to: https://cert-api.access.redhat.com/r/insights/
=== End API URL Connection Test: SUCCESS ===

Connectivity tests completed with some errors
See /var/log/insights-client/insights-client.log for more details.

2.4. Basic 認証の設定

Insights クライアント設定は /etc/insights-client/insights-client.conf で管理されます。このファイルは、Basic 認証を設定するための設定テンプレートを提供します。証明書ベースの認証のデフォルト設定は以下のとおりです。

auto_config=TRUE
authmethod=BASIC
username=<your customer portal username>
password=<your customer portal password>

前提条件

  • クリアテキストで保存できる Red Hat SSO ユーザー名と SSO パスワードがある。
  • /etc/insights-client/ ディレクトリーに読み取り書き込みパーミッションがある。
  • insights-client パッケージがシステムにインストールされている。

手順

  1. テキストエディターを使用して /etc/insights-client/insights-client.conf ファイルを開きます。
  2. auto_config=TRUE の値を auto_config=FALSE に変更します。
  3. <your customer portal username> は Red Hat SSO ユーザー名に置き換えます。
  4. <your customer portal password> は Red Hat SSO パスワードに置き換えます。
  5. 設定を保存してエディターを終了します。
  6. システムを登録します。

    # insights-client --register

第3章 Insights クライアントの設定

本セクションの手順では、システムに Insights クライアントを設定する方法を説明します。

前提条件

  • Root パーミッションまたはそれに相当するパーミッションがある。設定ファイルの変更または設定ファイルの追加には、root パーミッションが必要です。
  • Insights クライアントがシステムにデプロイされている。

3.1. Insights for Red Hat Enterprise Linux へのシステムの登録

サービスを使用するには、システムを Insights for Red Hat Enterprise Linux に登録する必要があります。オプションで、システムを登録する際に、ホストに表示名を割り当てることができます。

注記

システムの登録時に表示名を割り当てないと、Insights for Red Hat Enterprise Linux は /etc/hostname の値を使用します。

注記

古いバージョンへの Insights クライアントのインストール

RHEL バージョン 6 および 7 に、Insights クライアントはプリインストールされていません。これらのバージョンのいずれかを使用している場合は、ターミナルで次のコマンドを実行します。

[root@server ~]# yum install insights-client

次に、システムを Insights for Red HatEnterpriseLinux に登録します。

[root@server ~]# insights-client --register

手順

  1. --register オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --register
  2. オプションで、--register オプションと --display-name オプションを指定して insights-client コマンドを入力し、GUI に表示する名前を指定します。

    [root@insights]# insights-client --register --display-name ITC-4
    System display name changed from None to ITC-4

検証手順

  • --status オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --status
    System is registered locally via .registered file. Registered at 2019-08-20T12:56:48.356814
    Insights API confirms registration.

3.2. Insights for Red Hat Enterprise Linux へのシステムの登録解除

Insights for Red Hat Enterprise Linux を使用して、システムの登録を取り消すことができます。登録を解除すると、システム情報が Insights for RHEL にアップロードされなくなります。

前提条件

  • システムが Insights for RHEL に登録されている。

手順

  1. --unregister オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --unregister
    Successfully unregistered from the Red Hat Insights Service

検証手順

  • --status オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --status
    System is NOT registered locally via .registered file. Unregistered at 2021-03-12T10:36:39.257300
    Insights API says this machine was unregistered at 2021-03-12T00:36:39.000Z

3.3. ホスト表示名の変更

GUI に表示されるホスト表示名を変更できます。Insights for Red Hat Enterprise Linux にシステムの登録時、または登録後に、この変更を加えます。システムの登録時に表示名を割り当てないと、Insights for Red Hat Enterprise Linux は /etc/hostname の値を使用します。

注記

ホスト名を難読化すると、/etc/hostname で設定した ホスト名 が難読化されます。ホスト名 が難読化された場合でもホストを特定できる ように 表示名 を割り当てます。

注記

Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名と IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集ジョブがホストシステムで起動すると、ホスト情報が Insights for RHEL に送信されます。Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。

Red Hat がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

前提条件

この手順はオプションです。デフォルトの ホスト名 に加えて表示名を使用するかどうかを決定します。

手順

  1. --display-name オプションを指定して insights-client コマンドを入力し、表示名を指定します。

    [root@insights]# insights-client --display-name ITC-4
    System display name changed from None to ITC-4
  2. スペースを含む表示名を作成するには、二重引用符を使用します。

    [root@insights]# insights-client --display-name "ITC-4 B9 4th floor"
    System display name changed from None to ITC-4 B9 4th floor

3.4. クライアントバージョンの表示

クライアントバージョンとクライアントコアバージョンを表示できます。

手順

  • --version オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --version
    Client: 3.0.6-0
    Core: 3.0.121-1

関連情報

以下のリンクは、クライアントの変更ログ情報を提供します。

第4章 Insights クライアントデータの難読化

Insights クライアントは、IP アドレスの難読化とホスト名の難読化を提供します。難読化は、/etc/insights-client/insights-client.conf 設定ファイルの設定で制御します。

設定ファイルで難読化を有効にするかどうかを選択します。IP アドレスの難読化を選択して、ホスト名の難読化を追加できます。ホスト名の難読化のみを選択することはできません。

難読化は Python SoS プロセスを使用して機能し、ホスト名および IP アドレスを Insights for RHEL クライアントアーカイブの処理時に事前設定された値に置き換えます。処理されたアーカイブファイルは、Insights for Red Hat Enterprise Linux に送信されます。

難読化の置換値を選択することはできません。

注記

Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名と IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集がホストシステムで起動すると、ホスト情報が Insights for RHEL に送信されます。Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。

Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

4.1. Insights クライアントの難読化の設定

以下の手順では、Insights クライアントで難読化オプションを設定する方法を説明します。

4.2. IPv4 アドレスの難読化

Insights for Red Hat Enterprise Linux に送信前に、アーカイブファイルの IPv4 ホストアドレスを難読化できます。

注記

ホスト名を難読化したい場合は、IP アドレスを難読化する必要があります。

手順

  1. エディターで /etc/insights-client/insights-client.conf ファイルを開きます。
  2. 以下の内容が含まれる行を見つけます。

    #obfuscate=False
  3. # を削除し、FalseTrue に変更します。

    obfuscate=True
  4. /etc/insights-client/insights-client.conf ファイルを保存して閉じます。

IP アドレスの難読化を選択すると、アーカイブファイルのホストアドレスは Python SoS ファイルで指定の値に変更されます。難読化に提供された値は設定できません。難読化する IPv4 ホストの IP アドレスの一部をマスクしたり、選択したりすることはできません。

  • 元のホスト IP アドレス

    192.168.0.24
  • Insights for Red Hat Enterprise Linux での表示時の難読化されたホストの IP アドレス

    10.230.230.1

別のシステムで IP アドレスの難読化を選択すると、アーカイブファイルの IP アドレスは、同じ難読化された値 10.230.230.1 に変更されます。Insights for Red Hat Enterprise Linux GUI では、難読化の結果として、IP アドレスが同じシステムが複数表示される場合があります。

注記

IP アドレスの難読化は、IPv4 アドレスにのみサポートされています。

4.3. ホスト名の難読化

Insights for Red Hat Enterprise Linux に送信前に、アーカイブファイルのホスト名を難読化できます。システムにホスト名が 1 つ割り当てられている場合には、/etc/hostnameホスト名host0 に変わります。追加のホスト名は host1host2 のように、システムに設定されたホスト名の数まで、名前が切り替わります。

注記

Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名と IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集ジョブがホストシステムで起動すると、ホスト情報が Insights for RHEL に送信されます。Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。

Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

手順

  1. エディターで /etc/insights-client/insights-client.conf ファイルを開きます。
  2. obfuscate_hostname が含まれる行を見つけます。

    #obfuscate_hostname=False
  3. # を削除し、FalseTrue に変更します。

    obfuscate_hostname=True
  4. /etc/insights-client/insights-client.conf ファイルを保存して閉じます。
  5. (必要に応じて)、insights-client コマンドに --display-name オプションを指定して使用し、システムの表示名を割り当てます。表示名は難読化されていません。

    [root@insights]# insights-client --display-name ITC-4

ホスト名の難読化を選択すると、アーカイブファイルの /etc/hostname の値が Python SoS ファイルに指定されている値に変更されます。難読化されたホスト名が Insights for Red Hat Enterprise Linux アプリケーションに表示されます。

  • 元の /etc/hostname

    RTP.data.center.01
  • Insights for Red Hat Enterprise Linux で表示される、難読化された /etc/hostname

    host0

ホスト名が難読化を使用するには、IP アドレスの難読を有効にする必要もあります。

注記

別のシステムでホスト名が難読化するように設定すると、その名前は同じ難読値を使用します。Insights for Red Hat Enterprise Linux GUI では、難読化の結果として、ホスト名 が同じシステムが複数表示される場合があります。

注記

難読化されず、Insights for Red Hat Enterprise Linux アプリケーションに表示される表示名をシステムに割り当てることができます。/etc/hostname のみが難読化されています。

第5章 Insights クライアントデータリダクション

Insights クライアントは、データリダクションオプションを提供します。RHEL のバージョンによっては、データリダクションを制御する 方法が 2 つあります。

表5.1 データリダクションアクションおよび RHEL バージョン

RHEL のバージョンリダクション方法

RHEL 6.9、7.8、8.2 以前

設定ファイル

remove.conf

RHEL 6.10、7.9、8.3 以降

YAM ファイル

file-redaction.yaml

file-content-redaction.yaml

remove.conf 設定ファイルまたは YAML ファイルを作成する必要があります。デフォルトではインストールされていません。

注記

Insights for Red Hat Enterprise Linux は、個人を特定できる情報 (PII) を含む可能性のあるデータを含め、最小限のデータを収集します。データリダクションオプションを適用して、PII (またはその他の設定データ) の収集を防止します。この章には、Insights クライアントのリダクションオプションに関する追加情報が含まれています。

注記

Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名と IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集ジョブがホストシステムで起動すると、ホスト情報が Insights for RHEL に送信されます。Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。

Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

5.1. Insights クライアントのリダクション設定

Insights クライアントは、データリダクションオプションを提供します。RHEL のバージョンによっては、データリダクションを制御する 方法が 2 つあります。

5.2. リダクションおよび remove.conf ファイルの使用

設定ファイルを使用すると、リダクションは /etc/insights-client/remove.conf の内容で制御されます。オプションで、別のリダクション設定ファイルを使用するように Insights クライアントを設定できます。

リダクション設定ファイルのエントリーに基づいて、以下のいずれかを指定できます。

  • データの収集から特定のファイルとそのコンテンツを削除する
  • データ収集から選択したコマンド出力を削除
  • パターンと一致する情報を取り除く
  • 特定の文字列をデフォルトの キーワード 文字列に置き換える

内容を取り除いてリダクションを設定した場合には、リダクションされた情報はアーカイブファイルには記録されません。リダクションは、アーカイブファイルでデータをキャプチャーする前に、データを事前処理して実行します。

文字列置換によるリダクションの場合には、アーカイブファイルは、Insights for Red Hat Enterprise Linux に送信される前に、Python SoS プロセスが処理します。

注記
正規表現の一致は remove.conf ファイルではサポートされません。

コマンドラインオプションを使用して、アーカイブファイルの出力を制御できます。たとえば、アーカイブファイルを生成できますが、Insights for Red Hat Enterprise Linux に送信できません。アーカイブが送信される前に、再アクションの結果を検査して検証できます。

注記
ファイルおよびコマンドの出力を訂正すると、それらの情報は Insights for RHEL ルールと比較できません。これらの省略により、Insights for RHEL はシステムに適用される問題を特定できない可能性があります。

5.3. remove.confを使用した Insights クライアントのリダクション設定

/etc/insights-client/remove.conf ファイルはリダクションを制御します。Insights クライアントのリダクションを使用する前に、このファイルを作成する必要があります。

手順

  1. エディターを使用して /etc/insights-client/remove.conf ファイルテンプレートを作成します。

    [remove]
    files=/etc/cluster/cluster.conf,/etc/hosts
    commands=/bin/dmesg,/bin/hostname
    patterns=password,username
    keywords=super$ecret,ultra$ecret+
  2. 必要に応じて、アーカイブのリダクションに適用しない行を削除します。
  3. remove.conf ファイルのパーミッションが root 所有者のみに設定されていることを確認します。

    [root@insights]# ll remove.conf
    -rw-------. 1 root root 145 Sep 25 17:39 remove.conf
  4. 利用可能なリダクションオプションごとの適用手順については、追加の手順を参照してください。

5.3.1. 特定のファイルコンテンツのリダクション

remove.conf ファイルを使用して、リダクションする特定のファイルを選択できます。選択ファイルとその内容は、アーカイブファイルには追加されません。

前提条件

手順

  1. エディターを使用して /etc/insights-client/remove.conf ファイルを開きます。

    [remove]
    files=/etc/cluster/cluster.conf,/etc/hosts
    commands=/bin/dmesg,/bin/hostname
    patterns=password,username
    keywords=super$ecret,ultra$ecret+
  2. files= の行で、アーカイブファイルからリダクションするファイルを追加または削除します。

    注記

    各ファイル名はコンマで区切り、空白は使用しないでください。

  3. Insights クライアントアーカイブからファイルをリダクションするには、files= 行を削除します。
  4. ファイルを保存してから閉じます。

5.3.2. 特定コマンドのリダクション

remove.conf ファイルを使用して、リダクションする特定のコマンドを選択できます。このようなコマンドの出力は、アーカイブファイルに追加されません。

前提条件

手順

  1. エディターを使用して /etc/insights-client/remove.conf ファイルを開きます。

    [remove]
    files=/etc/cluster/cluster.conf,/etc/hosts
    commands=/bin/dmesg,/bin/hostname
    patterns=password,username
    keywords=super$ecret,ultra$ecret+
  2. commands= 行で、アーカイブファイルからリダクションするコマンドを追加または削除します。

    注記

    各コマンド名はコンマで区切り、空白は使用しないでください。

  3. Insights クライアントアーカイブからコマンドをリダクションしない場合は、command= の行を削除します。
  4. ファイルを保存してから閉じます。

5.3.3. リダクションの文字列パターン

remove.conf ファイルを使用して、リダクションする特定の文字列パターンを選択できます。指定する文字列パターンは、行全体を削除することでアーカイブファイルからリダクションされます。たとえば、文字列パターンが name で、そのパターンが hostnamefilenameusername と一致するものをリダクションします。

注記

正規表現とワイルドカードの一致 (egrep) はサポート対象外です。

前提条件

手順

  1. エディターを使用して /etc/insights-client/remove.conf ファイルを開きます。

    [remove]
    files=/etc/cluster/cluster.conf,/etc/hosts
    commands=/bin/dmesg,/bin/hostname
    patterns=password,username
    keywords=super$ecret,ultra$ecret+
  2. patterns= の行で、アーカイブファイルからリダクションする文字列パターンを追加します。

    注記

    各パターンはコンマ 1 つで区切り、空白は使用しないでください。

  3. Insights クライアントアーカイブからパターンをリダクションしない場合は、 patterns= の行を削除します。
  4. ファイルを保存してから閉じます。

5.3.4. キーワードのリダクション

remove.conf ファイルを使用して、リダクションする特定のキーワードを選択できます。指定したキーワードは、アーカイブファイルの keyword0keyword1keyword2 などに置き換えられます。

前提条件

手順

  1. エディターを使用して /etc/insights-client/remove.conf ファイルを開きます。

    [remove]
    files=/etc/cluster/cluster.conf,/etc/hosts
    commands=/bin/dmesg,/bin/hostname
    patterns=password,username
    keywords=super$ecret,ultra$ecret+
  2. keywords= の行で、アーカイブファイルからリダクションするキーワードを追加します。

    注記

    各キーワードはコンマ 1 つで区切り、空白は使用しないでください。

  3. Insights クライアントアーカイブからキーワードをリダクションしない場合は、 keyword= の行を削除します。
  4. ファイルを保存してから閉じます。

5.3.5. remove.conf ファイルの検証

remove.conf ファイルを検証して、リダクションに使用する前に構文が正しいことを確認してください。

前提条件

手順

  1. --validate オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --validate
  2. コマンドが表示するエラーを修正します。

5.4. リダクションおよび YAML ファイルの使用

リダクションに YAML ファイルを使用する場合は、2 つのファイルがリダクション操作を制御します。編集するコンテンツに応じて、1 つまたは両方のファイルを使用できます。指定された内容は、アーカイブファイルでキャプチャーされる前に再取得されます。

表5.2 リダクションおよび YAML ファイル

YAML ファイル説明

/etc/insights-client/file-redaction.yaml

このファイルは、リダクションするコマンドおよびファイルを一覧表示します。表示のコマンドまたはファイルの出力がリダクションされます。

/etc/insights-client/file-content-redaction.yaml

このファイルは、パターンのリダクションとキーワード置換を定義します。パターンのリダクションは、パターンの一致または正規表現の一致で行われます。キーワードの置換は、キーワードを汎用識別子に置き換える Python SoS プロセスで行われます。

5.5. YAML ファイルを使用した Insights クライアントのリダクションの設定

2 つの YAML ファイルは Insights クライアントリダクションを制御します。RHEL 6.10、7.9、8.3 以降では、リダクションを使用する前に、それぞれの YAML ファイルを作成する必要があります。

5.5.1. YAML コマンドおよびファイルのリダクション設定

/etc/insights-client/file-redaction.yaml ファイルは YAML ファイルです。リダクションするコマンドとシステムファイルを一覧表示します。一覧表示されているコマンドまたはファイルの出力は、アップロードしたアーカイブファイルに含まれません。

キーワード置換またはパターンの一致をもとにリダクションする場合は、「YAML パターンおよびキーワードリダクションの設定」 を参照してください。

前提条件

  • YAML 構文の基本を理解している必要があります。YAML の説明は、この手順の範囲外です。
  • /etc/insights-client/ にファイルを作成するには、root パーミッションまたは同等のパーミッションが必要です。

手順

  1. エディターを使用して /etc/insights-client/file-redaction.yaml ファイルを作成します。

    # file-redaction.yaml
    ---
    # Exclude the entire output of commands
    #   Specify the full command path or the symbolic name in .cache.json
    
     commands:
    - /bin/rpm -qa
    - /bin/ls
    - ethtool_i
    
    # Exclude the entire output of files
    #  Specify the full filename path or the symbolic name in .cache.json
    
    files:
    - /etc/audit/auditd.conf
    - cluster_conf

  2. file-redaction.yaml ファイルのパーミッションが root 所有者にのみ設定されていることを確認します。

    [root@insights]# ll file-redaction.yaml
    -rw-------. 1 root root 145 Sep 25 17:39 file-redaction.yaml

5.5.2. YAML パターンおよびキーワードリダクションの設定

/etc/insights-client/file-content-redaction.yaml ファイルは、パターンのリダクションとキーワードの置き換えをもとにリダクションを定義する YAML ファイルです。パターンのリダクションは、パターンの一致または正規表現の一致で行われます。キーワードの置換は、キーワードを汎用識別子に置き換える Python SoS プロセスで行われます。

コマンド出力または特定のファイルをもとにリダクションする場合は、「YAML コマンドおよびファイルのリダクション設定」 を参照してください。

前提条件

  • YAML 構文の基本を理解している必要があります。YAML の説明は、この手順の範囲外です。
  • /etc/insights-client/ にファイルを作成するには、root パーミッションまたは同等のパーミッションが必要です。

手順

  1. エディターを使用して /etc/insights-client/file-content-redaction.yaml ファイルを作成します。

    # file-content-redaction.yaml
    ---
    # Pattern redaction per matching line
    #  Lines that match a pattern are excluded from files and command output.
    #  Patterns are processed in the order that they are listed.
    # Example
    
    patterns:
     - "a_string_1"
     - "a_string_2"
    
    # Regular expression pattern redaction per line
    #  Patterns with regular expressions (regex) are wrapped with "regex:"
    # Example
    
    patterns:
     regex:
     - "abc.*def"
     - "localhost[[:digit:]]"
    
    
    # Keyword replacement redaction
    #  Replace keywords in files and command output with generic identifiers
    #  Keyword does not support regex
    # Example
    
    keywords:
    - "1.1.1.1"
    - "My Name"
    - "a_name"

  2. file-content-redaction.yaml ファイルのパーミッションが root 所有者にのみ設定されていることを確認してください。

    [root@insights]# ll file-content-redaction.yaml
    -rw-------. 1 root root 145 Sep 25 17:39 file-content-redaction.yaml

利用可能なリダクションオプションごとの適用手順については、追加の手順を参照してください。

5.6. Insights クライアントアーカイブの確認

アーカイブファイルの内容を確認できます。アーカイブファイルを検査して、Insights for Red Hat Enterprise Linux に送信されるデータを確認できます。

5.6.1. アップロード前のアーカイブの検証

Insights for Red Hat Enterprise Linux に送信される前にアーカイブを検証するには、クライアントを実行し、アップロードせずにファイルを保存します。これにより、クライアントが Insights for RHEL に送信する情報を表示し、難読化またはリダクション設定を確認することができます。

アーカイブは /var/tmp/ ディレクトリーに保存されます。ファイル名は、insights-client の処理が完了すると表示されます。

前提条件

手順

  1. --no-upload オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --no-upload

    このコマンドでは、リダクションまたは難読化の適用時に、情報メッセージが表示されます。

    WARNING: Excluding data from files
    Starting to collect Insights data for ITC-4
    WARNING: Skipping patterns found in remove.conf
    WARNING: Skipping command /bin/dmesg
    WARNING: Skipping command /bin/hostname
    WARNING: Skipping file /etc/cluster/cluster.conf
    WARNING: Skipping file /etc/hosts
    Archive saved at /var/tmp/qsINM9/insights-ITC-4-20190925180232.tar.gz
  2. Archive saved at メッセージのように、一時ストレージディレクトリーに移動します。

    [root@insights]# cd /var/tmp/qsINM9/
  3. 圧縮された tar.gz ファイルを展開します。

    [root@insights]# tar -xzf insights-ITC-4-20190925180232.tar.gz

    この結果、ファイルを格納する新規ディレクトリーが作成されます。

5.6.2. アップロード後の Insights クライアントアーカイブの検証

クライアントを実行してファイルを保存すると、Insights for Red Hat Enterprise Linux に送信した後の検査用にアーカイブを保存できます。これにより、クライアントが Insights for RHEL に送信する情報を検証し、難読化またはリダクション設定を確認することができます。

前提条件

手順

  1. --keep-archive オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --keep-archive

    このコマンドでは、情報メッセージが表示されます。

    Starting to collect Insights data for ITC-4
    Uploading Insights data.
    Successfully uploaded report from ITC-4 to account 6229994.
    Insights archive retained in /var/tmp/ozM8bY/insights-ITC-4-20190925181622.tar.gz
  2. Archive saved at メッセージで表示されるように、一時ストレージディレクトリーに移動します。

    [root@insights]# cd /var/tmp/ozM8bY/
  3. 圧縮された tar.gz ファイルを展開します。

    [root@insights]# tar -xzf insights-ITC-4-20190925181622.tar.gz

    この結果、ファイルを格納する新規ディレクトリーが作成されます。

第6章 システムのフィルタリングとグループ

Insights for Red Hat Enterprise Linux を使用すると、管理者はインベントリー内のシステムや個々のサービスでシステムをフィルターできます。グループは、Insights for RHEL へのシステムデータの偽装方法によって識別されます。Insights for RHEL では、実行中の SAP ワークロード、Satellite ホストグループ、および root アクセスを持つシステム管理者が定義したカスタムフィルターにより、システムのグループをフィルタリングして、システム上の Insights クライアントを設定できます。

注記

2020 年秋の時点では、インベントリー、advisor、vulnerability、patch、drift、および policies は、グループでフィルタリングできます。その他のサービスは後から続きます。

グローバルの Filter Results ボックスを使用して、SAP ワークロード、Satellite ホストグループ、または Insights クライアント設定ファイルに追加されたカスタムフィルター、および Insights クライアント設定ファイルに追加されたカスタムフィルター別にフィルタリングします。

前提条件

Insights for Red Hat Enterprise Linux のフィルター機能を使用するには、以下の前提条件および条件を満たしている必要があります。

  • Insights クライアントが各システムにインストールされている。
  • カスタムタグを作成するには、/etc/insights-client/tags.yaml ファイルに追加したりこのファイルに変更を加える root 権限相当のパーミッションが必要です。

6.1. SAP ワークロード

2025 年に Linux は SAP ERP ワークロードの必須オペレーティングシステムになるため、Red Hat Enterprise Linux および Insights for Red Hat Enterprise Linux を連携して、Insights for RHEL が SAP 管理者に選ばれる管理ツールとなるように取り組んでいます。

この継続的な取り組みの一環として、Insights for RHEL は SAP ワークロードおよび SAP ID (SID) を実行しているシステムを自動的にタグ付けしますが、管理者がカスタマイズする必要がありません。ユーザーは、グローバル Filter results ドロップダウンメニューを使用して、Insights for RHEL アプリケーション全体でワークロードを簡単にフィルターできます。

6.2. Satellite ホストグループ

Satellite ホストグループは Satellite で設定され、Insights により自動的に認識されます。

6.3. システムタグ付けのカスタム

システムにカスタムグルーピングおよびタグ付けを適用することで、個別のシステムにコンテキストマーカーを追加したり、Insights for RHEL アプリケーションでこれらのタグでフィルタリングしたり、関連システムにより簡単にフォーカスしたりできます。この機能は、大規模な Insights for RHEL をデプロイする場合に特に有用です。これには、管理下で数百または数千ものシステムが含まれます。

注記

カスタムタグを作成するには、/etc/insights-client/tags.yaml ファイルに追加したりこのファイルに変更を加える root 権限相当のパーミッションが必要です。

6.3.1. フィルター構造

フィルターは、namespace/key=value のペアの構造を使用します。

  • Namespace 名前空間は、インジェストポイントである insights-client の名前であり、変更することはできません。この tags.yaml ファイルは名前空間から抽象化され、アップロード前にクライアントによってインジェクトされます。
  • Key キーは、ユーザーが選択したキーまたはシステムの定義済みのキーにすることができます。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。
  • Value 独自の記述文字列値を定義します。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。

6.3.2. カスタムグループおよび tags.yaml ファイルの作成

insights-client --group=<name-you-choose> を使用してタグ作成し、/etc/insights-client/tags.yaml に追加します。これは、以下を実行します。

  • etc/insights-client/tags.yaml ファイルを作成します。
  • group= キーおよび <name-you-choose> の値を tags.yaml に追加します。
  • システムから Insights for RHEL アプリケーションに新規アーカイブをアップロード。最新の結果とともに新規タグがすぐに表示される

初期 グループ タグを作成したら、必要に応じて /etc/insights-client/tags.yaml ファイルを編集し、タグを追加します。

以下の手順では、初期グループおよび /etc/insights-client/tags.yaml ファイルを作成し、Insights for RHEL インベントリーにタグが存在することを検証する方法を説明します。

手順

  1. --group= の後にカスタムグループ名を追加して、root で以下のコマンドを実行します。

    [root@server ~]# insights-client --group=<name-you-choose>
  2. 必要に応じて Red Hat Insights > Inventory に移動し、ログインします。
  3. Filter results ドロップダウンメニューをクリックします。
  4. 一覧をスクロールするか、検索機能を使用してタグを見つけます。
  5. タグをクリックしてフィルター処理を行います。
  6. システムが、アドバイザーシステム一覧の結果に含まれていることを確認します。
  7. 必要に応じて Red Hat Insights > Inventory に移動し、ログインします。
  8. Name フィルターをアクティブにし、システムが表示されるまでシステム名を入力してから選択します。
  9. システム名の横にタグシンボルがグレイになり、適用されるタグの正確な数を表す数字が表示されることを確認します。

6.3.3. タグの追加または変更を行うための tags.yaml の編集

グループ タグの作成後に、必要に応じて tags.yaml の内容を編集してタグを追加または変更できます。システムに、複数のフィルター処理可能なタグを追加できます。

注記

Insights for Red Hat Enterprise Linux は、個人を特定できる情報 (PII) を含む可能性のあるデータを含め、最小限のデータを収集します。データリダクションオプションを適用して、PII (またはその他の設定データ) の収集を防止します。一部の設定ファイルのデータリダクションオプションの詳細については、Insights client data redaction および Redaction and YAML file use を参照してください。

Red Hat がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。

手順

  1. コマンドラインで、編集するタグ設定ファイルを開きます。

    [root@server ~]# vi /etc/insights-client/tags.yaml
  2. 必要に応じてコンテンツを編集するか、または追加の key=value ペアを追加します。以下の例は、システムに複数のタグを追加する際の tags.yaml の管理方法を示しています。

    # tags
    ---
    group: _group-name-value_
    location: _location-name-value_
    description:
    - RHEL8
    - SAP
    key 4: value
    注記

    必要な数の key=value ペアを追加します。大文字、文字、数字、記号、および空白文字の組み合わせを使用します。

  3. 変更を保存してエディターを閉じます。
  4. Insights for RHEL へのアップロードを生成します。

    [root@server ~]# insights-client
  5. 必要に応じて、インベントリーに移動し、ログインします。
  6. フィルター ドロップダウンメニューをクリックして、タグ を選択します。
  7. 検索ボックスで、下矢印をクリックしていずれかのタグを選択するか、タグの名前を入力して選択します。

    注記

    タグキーまたは値で検索できます。

  8. 結果でシステムを検索します。
  9. タグアイコンが禁止され、システムに適用されるタグの数を示す数字が表示されることを確認します。
  10. タグをクリックすると、そのシステムに適用される各タグが表示されます。

6.4. システムへのフィルターの追加

タグを tags.yaml に追加する最も簡単な方法は、insights-client --group=<name-you-choose> を使用して以下の操作を実行します。

  • etc/insights-client/tags.yaml ファイルを作成します。
  • グループ キーおよび <name-you-choose> の値を tags.yamlに追加します。
  • システムから Insights for Red Hat Enterprise Linux アプリケーションに新規アーカイブをアップロードすることで、最新の結果とともに新しいタグがすぐに表示されます。

初期 グループ タグの作成後に、必要に応じて tags.yaml を編集してタグを追加できます。

以下の手順では、初期グループと tags.yaml ファイルを作成し、Insights for RHEL インベントリーのタグを検証する方法を説明します。

手順

  1. 以下のコマンドを実行し、--group= の後にグループ名を追加します。

    [root@server ~]# insights-client --group=<name-you-choose>
  2. 必要に応じて、インベントリーに移動し、ログインします。
  3. フィルター ドロップダウンメニューをクリックして、タグ を選択します。
  4. 検索ボックスで、下矢印をクリックしていずれかのタグを選択するか、タグの名前を入力します。

    注記

    タグキーまたは値で検索できます。

  5. 結果の中からお使いのシステムを見つけ、タグのアイコンが暗くなっており、システムに適用されたタグの数が表示されていることを確認します。
  6. タグをクリックすると、そのシステムに適用される各タグが表示されます。

第7章 insights-client スケジュールの変更

Insights クライアントを実行するタイミングを制御するスケジュールを無効化、有効化、および変更できます。デフォルトでは、Insights クライアントは 24 時間ごとに実行されます。全システムが同時にクライアントを実行しないように、デフォルトのタイマーのスケジューリングは異なります。

注記

insights-client スケジュールの変更に使用する手順は、 /etc/redhat-release に記載されている RHEL バージョンにより異なります。

7.1. クライアントスケジュールの無効化

デフォルトの Insights クライアント設定を変更し、新しいスケジュールを作成する前に、クライアントスケジュールを無効にする必要があります。

Insights クライアントのどのバージョンと RHEL バージョンがインストールされているかに応じて、以下の表に示される手順を選択します。

表7.1 クライアントバージョンおよび RHEL リリースに基づくクライアントスケジュールの無効化

RHEL のバージョンクライアントバージョンアクション

RHEL 6 から RHEL 7.4

Client 1.x

注記

Client 1.x はサポート対象外になりました。

設定ファイル /etc/insights-client/insights-client.conf を変更し、CLI を使用します。

RHEL 7.5 以降

Client 1.x

注記

Client 1.x はサポート対象外になりました。

CLI の使用

RHEL 6、RHEL 7、およびそれ以降

Client 3.x

CLI の使用

クライアント 1.x で RHEL 7.4 以前を無効にする手順

注記

Client 1.x はサポート対象外になりました。

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 1.0.2-0
    Core: 1.0.76-1
  2. --no-schedule オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを無効にします。このコマンドは、/etc/cron.daily にあるシンボリックリンクを削除します。

    [root@insights]# insights-client --no-schedule
    注記

    --no-schedule オプションは、クライアント 3.x 以降で非推奨になりました。

  3. エディターで /etc/insights-client/insights-client.conf ファイルを開き、以下の行を追加します。

    no_schedule=True

クライアント 1.x で RHEL 7.5 以降のクライアントスケジュールを無効にする手順

注記

Client 1.x はサポート対象外になりました。

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 1.0.2-0
    Core: 1.0.76-1
  2. --no-schedule オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを無効にします。

    [root@insights]# insights-client --no-schedule
    注記

    --no-schedule オプションは、クライアント 3.x 以降で非推奨になりました。

クライアント 3.x で RHEL 6 で、RHEL 7 以降のクライアントスケジュールを無効にする手順

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 3.0.6-0
    Core: 3.0.121-1
  2. --disable-schedule オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを無効にします。

    [root@insights]# insights-client --disable-schedule

7.2. Insights クライアントスケジュールの有効化

クライアントスケジュールを有効にして、デフォルト設定で実行できます。スケジュールを変更した場合は、この設定が優先されます。

前提条件

RHEL 7.4 以前およびクライアント 1.x でクライアントスケジュールを有効にする手順

注記

Client 1.x はサポート対象外になりました。

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 1.0.2-0
    Core: 1.0.76-1
  2. エディターで /etc/insights-client/insights-client.conf ファイルを開き、以下の行を False に変更します。

    no_schedule=False
  3. --register オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを有効にします。

    [root@insights]# insights-client --register

RHEL 7.5 以降およびクライアント 1.x でクライアントスケジュールを有効にする手順

注記

Client 1.x はサポート対象外になりました。

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 1.0.2-0
    Core: 1.0.76-1
  2. --register オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを有効にします。

    [root@insights]# insights-client --register

RHEL 7 以降およびクライアント 3.x でクライアントスケジュールを有効にする手順

  1. --version オプションを指定して insights-client コマンドを入力し、クライアントバージョンを確認します。

    [root@insights]# insights-client --version
    Client: 3.0.6-0
    Core: 3.0.121-1
  2. --enable-schedule オプションを指定して insights-client コマンドを入力し、クライアントスケジュールを有効にします。

    [root@insights]# insights-client --enable-schedule

7.3. クライアントスケジュールの変更

スケジュールを変更することで、Insights クライアントが実行時に変更できます。使用する方法は、RHEL リリースと、システムが実行しているクライアントバージョンによって異なります。RHEL のバージョンに合った手順を選択します。

7.3.1. cron を使用した insights-client のスケジューリング

システムの cron ファイルを更新して、デフォルトの insights-client 実行スケジュールを変更できます。

注記

croninsights-client を修正する手順は、クライアントバージョン 1.x を実行している RHEL 7.4 リリースおよびそれ以前のリリースに適用されます。

前提条件

手順

  1. Insights クライアントスケジュールを無効にしたら、希望のスケジュールで insights-client を実行するように cron を設定します。
  2. 変更を加えたら、RHEL 7.4 以前の insights-client スケジュールを有効にします。

7.3.2. systemd 設定による insights-client のスケジューリング

システムの systemd 設定および insights-client-timer ファイルを更新して、デフォルトの insights-client 実行スケジュールを変更できます。

注記

systemd の手順は、RHEL 7.5 以降に該当します。

前提条件

手順

  1. systemctl コマンドを入力して、insights-client.timer systemd ユニットの設定を上書きします。

    [root@insights]# systemctl edit insights-client.timer

    この動作により、デフォルトのシステムエディターで空のファイルが開きます。

  2. 以下の設定は、systemd ユニットのデフォルト値です。別の設定を入力してスケジュールを変更します。

    [Timer]
    OnCalendar=daily
    RandomizedDelaySec=14400
  3. --enable-schedule オプションを指定して insights-client コマンドを入力し、insights-client のスケジュールを有効にします。

    [root@insights]# insights-client --enable-schedule

第8章 Insights for Red Hat Enterprise Linux 自動ルール更新の変更

以下の手順では、Insights クライアントで自動ルール更新設定を変更する方法を説明します。

8.1. Insights for Red Hat Enterprise Linux の自動ルール更新の無効化

Insights for Red Hat Enterprise Linux の自動コレクションルールの更新を無効にできます。これを実行する場合、古いルール定義ファイルを使用し、最新の検証更新を取得しないリスクがあります。

手順

  1. エディターで /etc/insights-client/insights-client.conf ファイルを開きます。
  2. 以下の内容が含まれる行を見つけます。

    #auto_update=True
  3. # を削除し、TrueFalse に変更します。

    auto_update=False
  4. /etc/insights-client/insights-client.conf ファイルを保存して閉じます。

8.2. Insights for Red Hat Enterprise Linux のルール自動更新の有効化

以前に更新を無効にしている場合は、Insights for Red Hat Enterprise Linux のコレクションルールの自動更新を有効にできます。デフォルトでは、ルール自動更新は有効になっています。

前提条件

自動ルールコレクションを無効にしておく。

「Insights for Red Hat Enterprise Linux の自動ルール更新の無効化」

手順

  1. エディターで /etc/insights-client/insights-client.conf ファイルを開きます。
  2. 以下の内容が含まれる行を見つけます。

    auto_update=False
  3. FalseTrue に変更します。

    auto_update=True
  4. /etc/insights-client/insights-client.conf ファイルを保存して閉じます。

第9章 認証方法の設定

Insights for Red Hat Enterprise Linux の使用方法に応じて、以下のいずれかの認証方法を使用する必要があります。

  • 証明書ベースの認証 (CERT)

    デフォルトの認証方法は、証明書を使用します。証明書は、Red Hat Subscription Manager (RHSM) にシステムを登録するか、システムが Red Hat Satellite システム管理で管理される際に生成されます。その他の設定変更は必要ありません。

  • SSO 認証情報ベースの認証 (BASIC)

    代替の認証方法は SSO 認証情報を使用します。有効な Red Hat カスタマーポータルのユーザー名がある場合は、有効な Red Hat SSO 認証情報が作成されます。Insights for Red Hat Enterprise Linux で SSO 認証情報を使用するには、システムが Basic 認証を使用するように設定する必要があります。

第10章 サポート用の診断ログの作成

サポートチームと共有する診断ログを作成できます。

手順

  1. --support オプションを指定して insights-client コマンドを入力します。

    [root@insights]# insights-client --support

    このコマンドは、サポートファイルの作成時に情報メッセージを表示します。

    Collecting logs...
    Insights version: insights-core-3.0.121-1
    Registration check:
    status: True
    unreachable: False
    . . . .
    Copying Insights logs to archive...
    Support information collected in /var/tmp/H_Y43a/insights-client-logs-20190927144011.tar.gz
  2. メッセージで 収集されたサポート情報 に表示されているコレクションディレクトリーに移動します。

    [root@insights]# cd /var/tmp/H_Y43a
  3. 圧縮された tar.gz ファイルを展開します。

    [root@insights]# tar -xzf insights-client-logs-20190927144011.tar.gz

    この結果、ファイルを格納する新規ディレクトリーが作成されます。依頼を受けた場合には、サポートチームと tar.gz ファイルを共有してください。

第11章 insights-client のコマンドオプション

insights-client コマンドおよびそのオプションを使用して、システムで Insights クライアント操作を制御できます。insights-client.rpm は Insights for RHEL の個々のコンポーネントよりも更新頻度が低いので、man ページには insights-client コマンド操作に関する最新情報が含まれていない可能性があります。

root 権限のあるシステム管理者は insights-client コマンドを入力すると必ず、クライアントがデータを収集して Insights for RHEL に送信します。

注記

insights-client --display-name コマンドを使用して表示名を設定すると表示名はすぐに有効になりますが、Insights クライアントは実行されません。

表11.1 insights-client ユーザーコマンドオプション

オプション説明

--help

-h

ヘルプ情報を表示します

--register

/etc/hostname の情報を使用して、ホストを Insights for RHEL に登録します。--disable-schedule が設定されていない限り、cron ジョブを毎晩、自動的に有効にします。

--unregister

Insights for RHEL からホストの登録を解除します。

--display-name=DISPLAY_NAME

GUI でホスト表示名を設定または変更します。/etc/hostname のホスト名とは別のものを指定するには、--register を使用して、ホストの登録時に display_name を設定します。

--group=GROUP

登録時にホストを GROUP に追加します。グループ名は /etc/insights-client/tags.yaml で定義されます。

--retry=RETRIES

アップロードを再試行する回数を設定します。デフォルトでは 1 回です。再試行の間隔は 180 秒で、これは Insights クライアントがアップロードを再試行するまで待機する時間です。

注記: スケジューラーでは、再試行回数は 3 回です。

--validate

/etc/insights-client/remove.conf ファイルの構造を検証します。

--quiet

エラーメッセージのみをコンソールに記録します。

--silent

コンソールに何もログを記録しません。

--enable-schedule

ジョブスケジュールを有効にします。デフォルトでは、Insights クライアントは毎日午前 0 時ごろに実行されます。

注記: クライアント 1.x を使用している場合は、--register オプションを使用してスケジュールを有効にします。

--disable-schedule

毎晩のジョブスケジュールを無効にします。

--conf=CONF

-c=CONF

デフォルトの /etc/insights-client/insights-client.conf ファイルの代わりに、カスタム設定ファイル CONF を使用します。

--compressor

アーカイブの作成時に使用する圧縮を選択します。利用可能なオプションは gz、bz2、xz、none です。デフォルトは gz です。none オプションは、圧縮なしで tar ファイルを作成します。

--no-upload

クライアントを実行しますが、Insights for Red Hat Enterprise Linux または CMSfR Web アプリケーションにアーカイブをアップロードしません。アーカイブは /var/tmp/ ディレクトリーに保存されます。ファイル名は、insights-client の処理が完了すると表示されます。

--offline

ネットワーク機能を使用せずにクライアントを実行します。--no-upload を意味します。

--logging-file=LOGFILE

指定の LOGFILE にログデータを出力します。デフォルトのログファイルは /var/log/insights-client/insights-client.log です。

--diagnosis

API から診断情報を取得します。システムは、--diagnosis を使用する前に、登録してアップロードする必要があります。

--compliance

OpenSCAP でシステムをスキャンし、レポートをアップロードします。

--payload=PAYLOAD

特定のアーカイブの PAYLOAD ファイルを Insights for Red Hat Enterprise Linux にアップロードします。--content-type が必要です。

--content-type=TYPE

PAYLOAD ファイルの content-type を設定します。タイプには gz、bz2、xz、および none を指定できます。TYPE は PAYLOAD で使用される --compressor と一致する必要があります。

--check-results

Insights for Red Hat Enterprise Linux から分析結果を取得します。

--show-results

--check-results が取得した分析結果を表示します。

--output-dir=DIR

コレクションは、アップロードせずに、指定したディレクトリーに書き込みます。

--output-file=FILE

コレクションを、アップロードせずに、指定したアーカイブに書き込みます。

insights-client コマンドには、操作のデバッグに便利な複数のオプションがあります。

表11.2 insights-client デバッグオプション

オプション説明

--version

insights-client クライアントおよびコアのバージョンを出力します。

--test-connection

Insights for Red Hat Enterprise Linux サービスへの接続をチェックします。

--force-reregister

Insights for RHEL でシステムを再登録し、新しい ID を使用します。このアクションは、すでに登録済みのシステムを複製するものです。

--verbose

すべてのデバッグ出力をコンソールに記録します。

--no-upload

クライアントは実行しますが、アーカイブはアップロードされません。アーカイブは /var/tmp/ ディレクトリーに保存されます。ファイル名は、insights-client の処理が完了すると表示されます。

--keep-archive

アップロード後もアーカイブを保持します。

--support

サポート用の診断ログを生成します。

--status

ホスト登録のステータスを表示します。

--net-debug

コンソールにネットワーク呼び出しのログを記録します。

第12章 Insights クライアントの remove.conf リダクション設定ファイルのオプション

注記

RHEL 6.10、7.9、8.3 以降では、remove.conf の使用が非推奨となり、YAML ファイル 2 つに置き換えられます。

設定ファイル /etc/insights-client/remove.conf は、データのリダクション方法を制御します。Insights クライアントは、remove.conf の情報に基づいてアーカイブファイルでリダクションを実行します。リダクションアクティビティーの多くは、アーカイブファイルが生成され、Insights for Red Hat Enterprise Linux サービスに送信する前に行われます。

ファイル名および場所

リダクション設定ファイルの推奨名は、/etc/insights-client/remove.conf です。このファイルの作成には、root 権限が必要です。このファイルは、Insights クライアントのデプロイメントの一部として自動作成されません。

注記

/etc/insights-client/insights-client.conf 設定ファイルは、リダクション設定ファイルの名前と場所を指定します。13章Insights クライアント設定ファイルのオプション を参照してください。

remove.conf のファイルテンプレート

以下は、remove.conf ファイルのテンプレート例です。

[remove]
files=/etc/cluster/cluster.conf,/etc/hosts
commands=/bin/dmesg,/bin/hostname
patterns=password,username
keywords=super$ecret,ultra$ecret+
  • 各入力値は、スペースなし、コンマ 1 つで、区切ります。
  • リダクションしないデータの行は追加しないでください。
  • 正規表現とワイルドカードの一致 (egrep) はサポート対象外です。
  • すべてのエントリーは、大文字と小文字が区別されます。

表12.1 remove.conf 設定オプション

オプション説明

[remove]

これは、remove.conf ファイルの最初の行に配置する必要があります。

files=

記載のファイルは、データ収集から除外されます。

commands=

ここに記載のコマンドの出力は、データ収集から除外されます。コマンド名は、コレクションルール のコマンド名と完全一致する必要があります。

patterns=

パターン に完全一致または部分一致するアーカイブファイルの行はすべて削除されます。

keywords=

キーワードは、keyword の実際の値と数字に置き換えられます。

たとえば、keywords=host,domain のようにキーワードを 2 つ定義した場合には、host が出現すると文字列 keyword0 に、domain が出現すると keyword1 に置き換えられます。それ以外に定義したキーワードはそれぞれ、 keywordn (n の数字は 1 つずつ漸増) に置き換えられます。

Insights クライアントの YAML リダクション設定ファイル

注記

RHEL 6.10、7.9、8.3 以降では、Insights クライアントは YAML ファイルを使用してリダクションを設定します。以前のリリースでは、remove.conf ファイルでリダクションを制御します。

表12.2 file-redaction.yaml ファイルのリダクション例

コンテンツ説明
# file-redaction.yaml
---

ファイル名を含むコメント (任意)。

# Exclude the entire output of commands
#   Specify the full command path or the symbolic name in .cache.json

 commands:
- /bin/rpm -qa
- /bin/ls
- ethtool_i

/bin/rpm -qa および bin/ls からの全出力がアーカイブファイルから除外されます。

.cache.json ファイルで /sbin/ethtool -i の全コマンドがシンボリック名 ethtool_i にマッピングされます。

# Exclude the entire output of files
#  Specify the full filename path or the symbolic name in .cache.json

files:
- /etc/audit/auditd.conf
- cluster_conf

指定されたファイルは、ファイル名とファイルの内容がアーカイブファイルから除外されます。

.cache.json ファイルで /etc/cluster/cluster.conf の完全ファイルパスがシンボリック名 cluster_conf にマッピングされます。

表12.3 file-content-redaction.yaml のコンテンツリダクションの例

コンテンツ説明
# file-content-redaction.yaml
---

ファイル名を含むコメント (任意)。

# Pattern redaction per matching line
#  Lines that match a pattern are excluded from files and command output.
#  Patterns are processed in the order that they are listed.
# Example

patterns:
 - "a_string_1"
 - "a_string_2"

パターンが a_string_1 または a_string_2 を含む行に完全一致する場合には、そのパターンがコマンドの出力やファイルから除外されます。パターンの文字列を引用符で囲みます。

#
# Regular expression pattern redaction per line
#  Patterns with regular expressions (regex) are wrapped with "regex:"
# Example

patterns:
 regex:
 - "abc.*def"
 - "localhost[[:digit:]]"
 #

正規表現は regex でラップされます。egrep コマンドで認識される正規表現 (regex) を使用できます。正規表現を引用符で囲みます。

# Lines matching these regular expressions are excluded
# from output.
patterns:
  regex:
  - "*\.conf"
  - "^include"

egrep 式は引用符で囲み、正規表現が正しく認識されるようにします。

この例では、文字列に .conf が含まれる場合、行が include で始まる場合に、行がアーカイブファイルからリダクションされます。

# Replace keywords in files and command output with generic identifiers by the Python soscleaner module
keywords:
- "1.1.1.1"
- "My Name"
- "a_name"

keywords: 配列の文字列は、keyword の実際の値と数字に置き換えられます。

たとえば、1.1.1.1 の文字列は keyword0 に置き換えられます。文字列 My Name が出現するたびに、keyword1 に置き換えられます。a_namekeyword3 に置き換えられます。他に定義したキーワードは、keywordn (n は 1 ずつ漸増) に置き換えられます。置き換えられた keywordn の値は、Python SoS プロセスで決定されるので変更できません。

keywords: 配列で定義する文字列は、大文字と小文字が区別されます。

第13章 Insights クライアント設定ファイルのオプション

/etc/insights-client/insights-client.conf 設定ファイルの設定を使用して、システムでの Insights クライアントの動作を変更できます。

設定ファイルと CLI に同様のオプションがある場合は、insights-client コマンドを入力すると CLI オプションが実行されます。スケジューラーがクライアントを実行すると、設定ファイルのオプションが実行されます。

注記

選択内容はすべて、指示どおりに入力する必要があります。TrueFalse は、最初の文字を大文字にします。

設定ファイルでオプションを有効にするには、行頭の # を削除し、値を指定します。変更は、次回のスケジュール実行時または insights-client コマンドの実行時に適用されます。

表13.1 insights-client.conf 設定オプション

オプション説明

[insights-client]

クライアント設定ファイルに別の場所や名前を指定した場合は、設定ファイルの最初の行が必要です。

#loglevel=DEBUG

ログレベルを変更します。オプション: DEBUG、INFO、WARNING、ERROR、CRITICALデフォルトは DEBUG です。デフォルトのログファイルの場所は /var/log/insights-client/insights-client.log です。

#auto_config=True

Satellite Server で自動設定を試みます。値は True (デフォルト) または False です。

注記

auto_config=True (デフォルト) の場合には、使用する認証方法は CERT です。

#authmethod=BASIC

認証方法を設定します。有効なオプションは BASIC、CERT です。auto_config=True が設定されていて CERT が使用されている場合でも、デフォルト値は BASIC です。

#username=

認証方法が BASIC の場合に使用する ユーザー名ユーザー名 はクリアテキストで保存されます。

#password=

認証方法が BASIC の場合に使用するパスワードパスワード はクリアテキストで保存されます。

#base_url=cert-api.access.redhat.com:443/r/insights

API のベース URL。

#proxy=

プロキシーの URL。例: http://user:pass@192.168.100.50:8080

#auto_update=True

動的設定を自動更新します。デフォルトは True です。自動的に更新しない場合は、False に変更します。

#obfuscate=False

IPv4 アドレスを難読化します。デフォルトは False です。アドレスの難読化を有効にするには、True に変更します。

#obfuscate_hostname=False

ホスト名を難読化します。ホスト名を難読化するには obfuscate=True と設定する必要があり、この設定で IPv4 アドレスの難読化が可能になります。ホスト名のみを難読化することはできません。

#display_name=

登録の表示名。デフォルトは /etc/hostname を使用します。注記: この値は、insights-client --display-name コマンドと対話します。CLI を使用して表示名を変更したにも拘らず、設定ファイルで別の表示名が有効な場合には、スケジューラーが Insights クライアントを実行すると、表示名は設定ファイルの値に戻ります。

#cmd_timeout=120

コレクション時に実行されるコマンドのタイムアウト (秒単位)。タイムアウト値に達すると、コマンドプロセスが終了します。

#http_timeout=120

HTTP 呼び出しのタイムアウト (秒単位)。

#remove_file=/etc/insights-client/remove.conf

リダクションファイルの場所