Red Hat Insights のクライアント設定ガイド
Insights クライアントの設定オプションおよびユースケース
概要
第1章 Insights クライアントの概要
1.1. Red Hat Insights クライアントディストリビューション
Insights クライアントは、Red Hat Enterprise Linux (RHEL) の次のリリースで利用できます。
| RHEL リリース | コメント |
|---|---|
| RHEL 9 | Insights クライアントで配布される。 |
| RHEL 8 | RHEL 8 が最小インストールとしてインストールされていない限り、Insights クライアントがプリインストールされた状態で配布されます。 |
| RHEL 7 | Insights クライアント RPM パッケージはロードされていますが、インストールされていない状態で配布されます。 |
| RHEL 6.10 以降 | Insights クライアント RPM パッケージをダウンロードし、インストールする必要があります。 |
古いバージョンへの Insights クライアントのインストール
RHEL バージョン 6 および 7 に、Insights クライアントはプリインストールされていません。これらのバージョンのいずれかを使用している場合は、ターミナルで次のコマンドを実行します。
[root@server ~]# yum install insights-client
その後、Red Hat Insights for Red Hat Enterprise Linux にシステムを登録します。
[root@server ~]# insights-client --register
第2章 insights-client のインストール
2.1. Red Hat Cloud Access が管理する既存のシステムへの insights-client のインストール
以下の手順を使用して、Red Hat Cloud Access に接続された既存の Red Hat Enterprise Linux (RHEL) システムに Red Hat Insights for Red Hat Enterprise Linux をデプロイします。
前提条件
- システムのルートレベルのアクセス。
手順
以下のコマンドを実行し、現在のバージョンの insights クライアントパッケージをインストールします。
[root@server ~]# yum install insights-client
古いバージョンへの Insights クライアントのインストール
RHEL バージョン 6 および 7 に、Insights クライアントはプリインストールされていません。これらのバージョンのいずれかを使用している場合は、ターミナルで次のコマンドを実行します。
[root@server ~]# yum install insights-client
2.2. Red Hat Update Infrastructure によって管理される既存のシステムへの insights-client のインストール
これらの手順を使用して、Red Hat Update Infrastructure (RHUI) が管理するクラウドマーケットプレイスで購入した既存の Red Hat Enterprise Linux システムに Insights for Red Hat Enterprise Linux をデプロイします。
前提条件
- システムのルートレベルのアクセス。
手順
以下のコマンドを実行し、現在のバージョンの insights クライアントパッケージをインストールします。
[root@server ~]# yum install insights-client
2.3. Insights クライアント CLI と設定ファイルの対話方法
Insights クライアントは、スケジューラーの設定に従って自動的に実行されます。デフォルトでは、24 時間ごとに実行されます。クライアントをインタラクティブに実行するには、insights-client コマンドを入力します。
クライアントが実行すると、次の値と設定によってその動作が制御されます。
-
CLI から
insights-clientを実行するときに指定する値は、事前設定された構成ファイルの設定とシステム環境の設定を一時的にオーバーライドします。insights-clientコマンドのオプションに指定した値は、Insights クライアントのそのインスタンスに対してのみ使用されます。 -
構成ファイル (
/etc/insights-client/insights-client.confおよび/etc/insights-client/remove.conf) の設定は、システム環境設定を上書きします。 -
CLI またはクライアント設定ファイルの影響を受けないシステム環境変数 (
printenv) の値。
RHEL 6.9 以前を使用している場合は、クライアントのコマンドは redhat-access-insights です。
2.4. RHEL の最小インストールでの Insights クライアントのインストール
Insights クライアントは、Red Hat Enterprise Linux 8 の最小インストールを実行しているシステムに自動的にインストールされません。
最小インストールの詳細は、標準的な RHEL インストールの実行 の ソフトウェア選択の設定 を参照してください。
前提条件
- システムへのルートレベルのアクセス。
手順
- Insights クライアントで最小インストールを作成するには、Anaconda インストーラーの RHEL ソフトウェア選択オプションから Minimal Installation を選択します。
-
Additional Software for Selected Environment セクションで Standard チェックボックスを必ず選択してください。Standard オプションには、RHEL インストールに
insights-clientパッケージが含まれています。
Standard チェックボックスを選択しない場合、RHEL は insights-client` パッケージなしでインストールされます。その場合は、後で dnf install を使用して Insights クライアントをインストールできます。
2.5. Insights クライアント/リアルタイムスケジューリングの問題を解決する方法
Insights クライアントは、システム上のデータを収集する多数のコマンドを実行します。そのため、CPU 使用率を30%以下に制限する設定制限があります。この制限は、設定ファイルで定義します。
insights-client-boot.service: CPUQuota=30%
この設定により、Insights クライアントがシステムで CPU が急増しないようにします。CPU が急増すると、システムで実行している他のアプリケーションに干渉する可能性があります。具体的には、リアルタイムスケジューリングに依存するアプリケーションが起動しない場合があります。
リアルタイムスケジューリングを有効にする必要がある場合は、CPU クォータの制限を無効にできます。この設定を削除するリスクは最小限です。ただし、Insights クライアントの実行時に CPU 使用率が異常に高くなる可能性があります。この状況が発生し、システムの他のサービスに悪影響を与える場合は、Red Hat サポートにお問い合わせください。
How do I open and manage a support case on the Customer Portal?
第3章 認証の設定
3.1. 認証方法の設定
Red Hat Insights for Red Hat Enterprise Linux の使用方法に応じて、以下のいずれかの認証方法を使用する必要があります。
証明書ベースの認証 (CERT)
証明書ベースの認証は、デフォルトの認証方法です。証明書は、Red Hat Subscription Manager (RHSM) にシステムを登録するか、Red Hat Satellite のシステム管理でシステムを管理すると、生成されます。追加の設定変更は必要ありません。
アクティベーションキー
代替の認証方法では、アクティベーションキーと組織 ID を使用して、RHSM やリモートホスト設定 (RHC) などの Red Hat ホスト型サービスにシステムを登録します。
SSO 認証情報ベースの認証 (基本認証) は、セキュリティー上の理由から非推奨になりました。Red Hat Insights で Basic 認証を使用する必要がある場合は、Basic 認証を使用するタイミング を参照してください。
3.2. 認証でのアクティベーションキーの使用
アクティベーションキーは、承認されたユーザーがシステムを登録および設定できるようにする事前共有認証トークンです。個人のユーザー名とパスワードの組み合わせを保存、使用、共有する必要がなくなるため、セキュリティーが向上し、自動化が促進されます。
アクティベーションキーと数値の組織識別子 (組織 ID) を使用して、Red Hat Subscription Manager (RHSM) やリモートホスト設定 (rhc) などの Red Hat ホスト型サービスにシステムを登録できます。組織のアクティベーションキーと組織 ID は、Hybrid Cloud Console の Activation Keys ページに表示されます。
システムのアクティベーションキーを作成および管理する方法の詳細は、Red Hat Hybrid Cloud Console のアクティベーションキーの作成および管理 を参照してください。
第4章 Red Hat Insights へのシステムの登録
Insights クライアントをインストールして認証を設定したら、システムを Red Hat Insights for Red Hat Enterprise Linux に登録する必要があります。登録すると、Red Hat Insights for Red Hat Enterprise Linux サービスを使用できるようになります。
オプションで、システムを登録する際に、ホストに表示名を割り当てることができます。表示名は、Red Hat Insights for Red Hat Enterprise Linux UI でシステムを識別します。システムの登録時に表示名を割り当てないと、Red Hat Insights for Red Hat Enterprise Linux は /etc/hostname のデフォルト値を使用します。
前提条件
- システムのルートレベルのアクセス許可。
- Insights クライアントがシステムにインストールされている。
手順
--registerオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --register
オプション:システムの表示名を指定するには、
--display-nameオプションを含めます。以下はその例です。[root@insights]# insights-client --register --display-name ITC-4 System display name changed from None to ITC-4
検証
--statusオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --status System is registered locally via .registered file. Registered at 2019-08-20T12:56:48.356814 Insights API confirms registration.
Red Hat Insights for Red Hat Enterprise Linux にアクセスできるようになりました。
第5章 Insights でのシステムの登録解除
Red Hat Insights for Red Hat Enterprise Linux を使用して、システムの登録を取り消すことができます。これを行うと、システム情報は Insights for Red Hat Enterprise Linux にアップロードされなくなります。
前提条件
- システムへのルートレベルのアクセス。
- システムは Insights for Red Hat Enterprise Linux に登録されています。
手順
--unregisterオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --unregister Successfully unregistered from the Red Hat Insights Service
検証
--statusオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --status System is NOT registered locally via .registered file. Unregistered at 2021-03-12T10:36:39.257300 Insights API says this machine was unregistered at 2021-03-12T00:36:39.000Z
第6章 Red Hat Insights へのシステムの再登録
–-force-reregister オプションは非推奨です。insights-client コマンドで –-force-reregister オプションを実行すると、次のエラーメッセージが表示されます。
[root@insights]# ERROR: `force-reregistration` has been deprecated. Please use `insights-client --unregister && insights-client --register` instead
Red Hat Insights for Red Hat Enterprise Linux にシステムを再登録し、再登録後に Insights インベントリーサービスでホストエントリーが重複しないようにするには、次の 2 つのオプションを使用して、insights-client コマンドを 2 回実行します。
-
--unregister -
--register
前提条件
- システムのルートレベルのアクセス許可。
- Insights クライアントがシステムにインストールされている。
手順
--unregisterオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --unregister
--registerオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --register
検証
insights-client コマンドで —-register オプションを指定した後に、insights-client コマンドで —-unregister オプションを指定して再登録コマンドを実行すると、以下のメッセージが表示されます。
[root@insights]# Successfully uploaded report for <machine name> View the Red Hat Insights console at https://console.redhat.com/insights/
第7章 ホスト表示名の変更
GUI に表示されるホスト表示名を変更できます。Red Hat Insights for Red Hat Enterprise Linux にシステムの登録時、または登録後に、この変更を加えます。システムの登録時に表示名を割り当てないと、Red Hat Insights for Red Hat Enterprise Linux は /etc/hostname の値を使用します。
この手順はオプションです。デフォルトの hostname に加えて表示名を使用するかどうかを決定します。
insights-client コマンドを使用して表示名を設定すると、すぐに適用されますが、Insights クライアントは実行されません。
ホスト名を難読化すると、/etc/hostname で設定した hostname が難読化されます。hostname が難読化されている場合でもホストを識別できるように、表示名 を割り当てます。
前提条件
- システムへのルートレベルのアクセス。
手順
--display-nameオプションを指定してinsights-clientコマンドを入力し、表示名を指定します。[root@insights]# insights-client --display-name ITC-4 System display name changed from None to ITC-4
スペースを含む表示名を作成するには、二重引用符を使用します。
[root@insights]# insights-client --display-name "ITC-4 B9 4th floor" System display name changed from None to ITC-4 B9 4th floor
第8章 クライアントバージョンの表示
クライアントバージョンとクライアントのコアバージョンを表示できます。
前提条件
- システムへのルートレベルのアクセス。
手順
--versionオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
第9章 Insights クライアントデータの難読化
Insights クライアントは、IP アドレスとホスト名の両方を難読化します。難読化では、Python SoS プロセスを使用して、Insights クライアントアーカイブを処理するときに、ホスト名と IP アドレスを事前設定された値に置き換えます。処理されたアーカイブファイルは、Red Hat Insights for Red Hat Enterprise Linux に送信されます。
/etc/insights-client/insights-client.conf 設定ファイルで難読化を有効または無効にできます。システム IP アドレスを難読化するか、IP アドレスとホスト名の両方を難読化するかを選択できます。ホスト名のみの難読化は選択できません。
難読化の値を選択することはできません。Python SoS プロセスによって値が自動的に選択されます。
Red Hat Insights for Red Hat Enterprise Linux コンプライアンスサービスは、OpenSCAP ツールを使用して、ホストシステムからの情報に基づいてコンプライアンスレポートを生成します。OpenSCAP とのコラボレーションにより、コンプライアンスサービスがホスト名および IP アドレスのデータを完全に難読化または編集する機能が妨げられます。また、コンプライアンスデータ収集ジョブがホストシステムで起動されると、ホスト情報が Insights for Red Hat Enterprise Linux に送信されます。Red Hat Insights for Red Hat Enterprise Linux は、ホスト情報の難読化オプションの改善に取り組んでいます。
Red Hat Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。
9.1. IPv4 アドレスの難読化
Red Hat Insights for Red Hat Enterprise Linux に送信前に、アーカイブファイルの IPv4 ホストアドレスを難読化できます。
IP アドレスの難読化を選択すると、アーカイブファイルのホストアドレスは Python SoS ファイルで指定の値に変更されます。難読化のために提供される値を設定することはできません。また、難読化するホスト IP アドレスの一部をマスクまたは選択することもできません。
IP アドレスの難読化は、IPv4 アドレスにのみサポートされています。
手順
-
エディターで
/etc/insights-client/insights-client.confファイルを開きます。 次の設定を含む行を見つけます。
#obfuscate=False
#を削除し、FalseをTrueに変更します。obfuscate=True
-
/etc/insights-client/insights-client.confファイルを保存して閉じます。
例
元のホスト IP アドレス
192.168.0.24
Red Hat Insights for Red Hat Enterprise Linux での表示時の難読化されたホストの IP アドレス
10.230.230.1
別のシステムで IP アドレスの難読化を選択すると場合、Python SoS プロセスは、自身の IP アドレスを、アーカイブファイル内の同じ難読化された値に変更します。この例では、追加のシステムも難読化された IP アドレス 10.230.230.1 を示しています。Red Hat Insights for Red Hat Enterprise Linux GUI では、難読化の結果として、IP アドレスが同じシステムが複数表示される場合があります。
9.2. ホスト名の難読化
Red Hat Insights for Red Hat Enterprise Linux に送信前に、アーカイブファイルのホスト名を難読化できます。システムにホスト名が 1 つ割り当てられている場合には、/etc/hostname の hostname は host0 に変わります。追加のホスト名は host1、host2 のように、システムに設定されたホスト名の数まで、名前が切り替わります。
難読化されていない表示名をシステムに割り当てることができます。表示名は、Red Hat Insights for Red Hat Enterprise Linux アプリケーションに表示されます。/etc/hostname のみが難読化されています。
ホスト名を難読化したい場合は、IP アドレスも難読化する必要があります。
前提条件
- IP アドレスを難読化しました。詳細は、IPv4 アドレスの難読化 を参照してください。
手順
-
エディターで
/etc/insights-client/insights-client.confファイルを開きます。 obfuscate_hostnameが含まれる行を見つけます。#obfuscate_hostname=False
#を削除し、FalseをTrueに変更します。obfuscate_hostname=True
-
/etc/insights-client/insights-client.confファイルを保存して閉じます。 (必要に応じて)、
insights-clientコマンドに--display-nameオプションを指定して使用し、システムの表示名を割り当てます。表示名は難読化されていません。[root@insights]# insights-client --display-name ITC-4
ホスト名の難読化を選択すると、アーカイブファイルの /etc/hostname の値が Python SoS ファイルに指定されている値に変更されます。難読化されたホスト名は、Red Hat Insights for Red Hat Enterprise Linux に表示されます。
例
元の
/etc/hostnameRTP.data.center.01
Red Hat Insights for Red Hat Enterprise Linux で表示される、難読化された
/etc/hostnamehost0
別のシステムでホスト名が難読化するように設定すると、その名前は同じ難読値を使用します。Red Hat Insights for Red Hat Enterprise Linux GUI では、難読化の結果として、hostname が同じシステムが複数表示される場合があります。
第10章 Insights クライアントデータリダクション
Red Hat Insights for Red Hat Enterprise Linux は、個人を特定できる情報 (PII) を含む可能性のあるデータを含め、最小限のデータを収集します。PII (またはその他の設定データ) が収集されないようにするには、データ編集を適用します。
Insights クライアントは、データリダクションオプションを提供します。RHEL のバージョンによっては、データリダクションを制御する方法が 2 つあります。
表10.1 データリダクションおよび RHEL のバージョン
| RHEL バージョン | リダクションの方法 |
|---|---|
| RHEL 6.9、7.8、8.2 以前 | 設定ファイル
|
| RHEL 6.10、7.9、8.3 以降 | YAML ファイル
|
remove.conf 設定ファイルまたは YAML ファイルを作成する必要があります。デフォルトではインストールされていません。
関連情報
- Red Hat Insights for Red Hat Enterprise Linux がデータ収集を処理する方法については、Red Hat Insights Data&ApplicationSecurity を参照してください。
10.1. remove.conf を使用してデータのリダクションを行う
データリダクションに設定ファイルを使用する場合は、ファイルの内容によって、リダクションされるデータとその方法が制御されます。デフォルトの設定ファイルは /etc/insights-client/remove.conf です。オプションとして、別のリダクション設定ファイルを使用するように Insights クライアントを設定することもできます。
リダクション設定ファイルのエントリーに基づいて、以下のアクションを 1 つ以上指定できます。
- データが収集されないように特定のファイルとそのコレクションを取り除く
- データ収集から選択したコマンド出力を取り除く
- パターンと一致する情報を取り除く
-
特定の文字列をデフォルトの
keyword文字列に置き換える
内容を取り除いてリダクションを設定した場合、リダクションされた情報はアーカイブファイルには記録されません。リダクションは、アーカイブファイルでデータをキャプチャーする前に、データを事前処理して実行します。
文字列置換によるリダクションの場合には、アーカイブファイルは、Red Hat Insights for Red Hat Enterprise Linux に送信される前に、Python SoS プロセスが処理します。
remove.conf ファイルは、正規表現の一致をサポートしていません。
コマンドラインオプションを使用して、アーカイブファイルの出力を制御できます。たとえば、アーカイブファイルを生成できますが、Red Hat Insights for Red Hat Enterprise Linux に送信できません。アーカイブを送信する前に、リダクション結果を調べて確認できます。
ファイルとコマンド出力を編集すると、その情報を Insights for Red Hat Enterprise Linux ルールと比較するために使用できなくなります。これらの省略により、Insights for Red Hat Enterprise Linux がシステムに適用される問題を特定できない場合があります。
10.1.1. remove.confを使用した Insights クライアントのリダクション設定
/etc/insights-client/remove.conf ファイルは、Insights クライアントデータのリダクションを制御します。このファイルは手動で作成する必要があります。
Red Hat Enterprise Linux 6.9、7.8、8.2、およびそれ以前を実行している場合は、このリダクション方法を使用します。
前提条件
- システムへのルートレベルのアクセス。
手順
エディターを使用して
/etc/insights-client/remove.confファイルテンプレートを作成します。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
- オプション:Insights クライアントのリダクションに適用しないファイル内の行をすべて削除します。
- ファイルを保存して、エディターを終了します。
コマンドラインを使用して、
remove.confファイルのアクセス許可がroot所有者のみに設定されていることを確認します。[root@insights]# ll remove.conf -rw-------. 1 root root 145 Sep 25 17:39 remove.conf
10.1.2. 特定のファイルコンテンツのリダクション
remove.conf ファイルを使用して、リダクションを行う特定のファイルを選択できます。選択ファイルとその内容は、アーカイブファイルには追加されません。
前提条件
-
/etc/insights-client/remove.confファイルが存在する必要があります。remove.confファイルをまだ作成していない場合は、作成します。 - システムへのルートレベルのアクセス。
手順
/etc/insights-client/remove.confファイルをエディターで開きます。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
files=の行で、アーカイブファイルからリダクションするファイルを追加または削除します。注記各ファイル名はコンマで区切り、空白は使用しないでください。
-
オプション:Insights クライアントアーカイブからファイルのリダクションを行いたくない場合は、
files=行を削除します。 - ファイルを保存してから閉じます。
10.1.3. 特定コマンドのリダクション
remove.conf ファイルを使用して、特定のコマンドにリダクションを行うことができます。リダクションを行ったコマンドの出力は、アーカイブファイルに含まれません。
前提条件
-
/etc/insights-client/remove.confファイルが存在する必要があります。remove.confファイルをまだ作成していない場合は、作成します。 - システムへのルートレベルのアクセス。
手順
/etc/insights-client/remove.confファイルをエディターで開きます。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
commands=行で、リダクションを行うコマンドをアーカイブファイルから追加するか、リダクションを行わないコマンドを削除します。注記各コマンドは、1 つのコンマで区切ります。空白は使用しないでください。
-
オプション:Insights クライアントアーカイブからファイルのリダクションを行いたくない場合は、
files=行を削除します。 - ファイルを保存してから閉じます。
10.1.4. リダクションの文字列パターン
remove.conf ファイルを使用して、アーカイブファイルから特定の文字列パターンのリダクションを行うことができます。
リダクションを行う文字列パターンを指定すると、アーカイブファイル内のそのパターンを含む全行のリダクションが行われます。たとえば、文字列パターンが name で、そのパターンが hostname、filename、username と一致するものをリダクションします。
正規表現とワイルドカードの一致 (egrep) はサポート対象外です。
前提条件
-
/etc/insights-client/remove.confファイルが存在する必要があります。remove.confファイルをまだ作成していない場合は、作成します。 - システムへのルートレベルのアクセス。
手順
/etc/insights-client/remove.confファイルをエディターで開きます。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
patterns=の行で、アーカイブファイルからリダクションする文字列パターンを追加します。注記各文字列パターンを 1 つのコンマで区切ります。空白は使用しないでください。
-
オプション:アーカイブファイルからパターンのリダクションを行わない場合は、
patterns=行を削除します。 - ファイルを保存してから閉じます。
10.1.5. キーワードのリダクション
remove.conf ファイルを使用して、特定キーワードのリダクションが行えます。Python SoS プロセスは、選択したキーワードをアーカイブファイル内の keyword0、keyword1、keyword2 などに置き換えます。
前提条件
-
/etc/insights-client/remove.confファイルが存在する必要があります。remove.confファイルをまだ作成していない場合は、作成します。 - システムへのルートレベルのアクセス。
手順
/etc/insights-client/remove.confファイルをエディターで開きます。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
keywords=の行で、アーカイブファイルからリダクションするキーワードを追加します。注記各文字列パターンを 1 つのコンマで区切ります。空白は使用しないでください。
-
オプション:アーカイブファイルからキーワードを削除したくない場合は、
keywords=行を削除します。 - ファイルを保存してから閉じます。
10.1.6. remove.conf ファイルの検証
remove.conf ファイルを検証して、リダクションに使用する前に構文が正しいことを確認してください。
前提条件
-
/etc/insights-client/remove.confファイルが存在する必要があります。remove.confファイルをまだ作成していない場合は、作成します。 - システムへのルートレベルのアクセス。
手順
--validateオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --validate
- コマンドが表示するエラーを修正します。
10.2. リダクションに YAML ファイルの使用
リダクションに YAML ファイルを使用する場合は、2 つのファイルでリダクションのアクションが制御されます。
-
file-redaction.yaml -
file-content-redaction.yaml
リダクションするコンテンツに合わせて、1 つまたは両方のファイルを使用できます。Python SoS プロセスが実行すると、アーカイブファイルにキャプチャされる前に、指定されたコンテンツのリダクションが行われます。
Red Hat Enterprise Linux 6.10、7.9、8.3 以降を実行している場合は、このリダクション方法を使用します。
YAML ファイルの仕組み
/etc/insights-client/file-redaction.yaml には、リダクションを行うコマンドとファイルの一覧が表示されます。プロセスが実行すると、リストされたコマンドとファイル出力のリダクションが行われます。
/etc/insights-client/file-content-redaction.yaml は、パターンのリダクションとキーワードの置換を定義します。パターンリダクションの場合、プロセスは、YAML ファイルで指定されたものと一致するパターンまたは正規表現をリダクションします。キーワード置換の場合、プロセスは指定されたキーワードを汎用識別子に置き換えます。
10.2.1. ファイル編集のための YAML コマンドの設定
/etc/insights-client/file-redaction.yaml ファイルには、リダクションを行うコマンドとシステムファイルが一覧表示されます。Python SoS プロセスが実行するとき、リストされたコマンドまたはファイルの出力は、アップロードされたアーカイブファイルに含まれません。
前提条件
- YAML 構文の基本を理解しているYAML の説明は、この手順の範囲外です。
- システムへのルートレベルのアクセス権が必要です。
手順
エディターを使用して
/etc/insights-client/file-redaction.yamlファイルを作成します。例
# file-redaction.yaml --- # Exclude the entire output of commands # Specify the full command path or the symbolic name in .cache.json commands: - /bin/rpm -qa - /bin/ls - ethtool_i # Exclude the entire output of files # Specify the full filename path or the symbolic name in .cache.json files: - /etc/audit/auditd.conf - cluster_conf
file-redaction.yamlファイルのパーミッションがroot所有者にのみ設定されていることを確認します。[root@insights]# ll file-redaction.yaml -rw-------. 1 root root 145 Sep 25 17:39 file-redaction.yaml
10.2.2. YAML パターンおよびキーワードリダクションの設定
/etc/insights-client/file-content-redaction.yaml ファイルは、パターンリダクションとキーワード置換の 2 つの方法を使用してファイルをリダクションします。パターンリダクションは、パターンマッチまたは正規表現マッチのいずれかを使用します。キーワード置換では、Python SoS プロセスがキーワードを一般的な識別子に置き換えます。
前提条件
- YAML 構文の基本を理解しているYAML の説明は、この手順の範囲外です。
- システムへのルートレベルのアクセス権が必要です。
手順
エディターを使用して
/etc/insights-client/file-content-redaction.yamlファイルを作成します。例
# file-content-redaction.yaml --- # Pattern redaction per matching line # Lines that match a pattern are excluded from files and command output. # Patterns are processed in the order that they are listed. # Example patterns: - "a_string_1" - "a_string_2" # Regular expression pattern redaction per line # Use "regex:" to wrap patterns with regular expressions" # Example patterns: regex: - "abc.*def" - "localhost[[:digit:]]" # Keyword replacement redaction # Replace keywords in files and command output with generic identifiers # Keyword does not support regex # Example keywords: - "1.1.1.1" - "My Name" - "a_name"
file-content-redaction.yamlファイルのパーミッションがroot所有者にのみ設定されていることを確認してください。[root@insights]# ll file-content-redaction.yaml -rw-------. 1 root root 145 Sep 25 17:39 file-content-redaction.yaml
10.3. Insights クライアントアーカイブの確認
アーカイブファイルの内容を確認できます。アーカイブファイルを検査して、Red Hat Insights for Red Hat Enterprise Linux に送信されるデータを確認できます。
難読化またはリダクションを使用する場合は、送信前にアーカイブを検査できます。アーカイブファイルを保存する場合は、システムにそのまま保管できます。
10.3.1. アップロード前のアーカイブの検証
Python SoS スクリプトがアーカイブを Red Hat Insights for Red Hat Enterprise Linux にアップロードする前にアーカイブを検査するには、Insights クライアントを実行し、ファイルをアップロードせずに保存します。これにより、クライアントが Insights for Red Hat Enterprise Linux に送信する情報を表示し、難読化または編集の設定を確認できます。
アーカイブファイルは /var/tmp/ ディレクトリーに保存されます。Insights-client が完了すると、ファイル名が表示されます。
前提条件
-
リダクションを使用する場合は、
/etc/insights-client/remove.confファイルが正しく設定されていることを確認します。 -
難読化を使用する場合は、
/etc/insights-client/insights-client.confファイルが正しく設定されていることを確認します。
手順
--no-uploadオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --no-upload
このコマンドでは、リダクションまたは難読化の適用時に、情報メッセージが表示されます。
WARNING: Excluding data from files Starting to collect Insights data for ITC-4 WARNING: Skipping patterns found in remove.conf WARNING: Skipping command /bin/dmesg WARNING: Skipping command /bin/hostname WARNING: Skipping file /etc/cluster/cluster.conf WARNING: Skipping file /etc/hosts Archive saved at /var/tmp/qsINM9/insights-ITC-4-20190925180232.tar.gz
Archive saved atメッセージのように、一時ストレージディレクトリーに移動します。[root@insights]# cd /var/tmp/qsINM9/
圧縮された
tar.gzファイルを展開します。[root@insights]# tar -xzf insights-ITC-4-20190925180232.tar.gz
スクリプトは、ファイルを含む新しいディレクトリーを作成します。
10.3.2. アップロード後の Insights クライアントアーカイブの検証
Python SoS スクリプトがアーカイブを Red Hat Insights for Red Hat Enterprise Linux にアップロードした後、検査のためにアーカイブのコピーを保持するには、insights-client を実行してファイルを保存します。これにより、クライアントが Insights for Red Hat Enterprise Linux に送信する情報を確認し、難読化または編集の設定を確認できます。
前提条件
-
リダクションを使用する場合は、
/etc/insights-client/remove.confファイルが正しく設定されていることを確認します。 -
難読化を使用する場合は、
/etc/insights-client/insights-client.confファイルが正しく設定されていることを確認します。
手順
--keep-archiveオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --keep-archive
このコマンドでは、情報メッセージが表示されます。
Starting to collect Insights data for ITC-4 Uploading Insights data. Successfully uploaded report from ITC-4 to account 6229994. Insights archive retained in /var/tmp/ozM8bY/insights-ITC-4-20190925181622.tar.gz
Insights archive retained inメッセージで表示されるように、一時ストレージディレクトリーに移動します。[root@insights]# cd /var/tmp/ozM8bY/
圧縮された
tar.gzファイルを展開します。[root@insights]# tar -xzf insights-ITC-4-20190925181622.tar.gz
スクリプトは、ファイルを含む新しいディレクトリーを作成します。
第11章 システムのフィルタリングとグループ
Red Hat Insights for Red Hat Enterprise Linux を使用すると、個々のサービスだけでなく、インベントリーでシステムをフィルタリングできます。Insights for Red Hat Enterprise Linux では、次の 3 つの基準でシステムのグループをフィルタリングすることもできます。
- SAP ワークロードを実行するグループ
- Satellite ホストグループ
- YAML ファイルで定義するカスタムフィルター
2022 年 春の時点で、インベントリー、アドバイザー、コンプライアンス、脆弱性、パッチ、ドリフト、およびポリシーで、グループとタグによるフィルタリングが有効になります。その他のサービスは後から続きます。
グローバルの Filter Results ボックスを使用して、SAP ワークロード、Satellite ホストグループ、または Insights クライアント設定ファイルに追加されたカスタムフィルター、および Insights クライアント設定ファイルに追加されたカスタムフィルター別にフィルタリングします。
前提条件
- Insights クライアントが各システムにインストールされている。
- システムのルートレベルのアクセス許可。
11.1. SAP ワークロード
2025 年に Linux は SAP ERP ワークロードの必須オペレーティングシステムになるため、Red Hat Enterprise Linux および Red Hat Insights for Red Hat Enterprise Linux では、Insights for RHEL が SAP 管理者に選ばれる管理ツールとなるように取り組んでいます。
この継続的な取り組みの一環として、Insights for Red Hat Enterprise Linux は、管理者によるカスタマイズを必要とせずに、SAP ワークロードを実行しているシステムに SAP ID (SID) によって自動的にタグを付けます。Insights for Red Hat Enterprise Linux アプリケーション全体でこれらのワークロードをフィルター処理するには、グローバルの Filter Results ドロップダウンメニューを使用します。
11.2. Satellite ホストグループ
Satellite ホストグループは Satellite で設定され、Insights for Red Hat Enterprise Linux で自動的に認識されます。
11.3. システムタグ付けのカスタム
システムにカスタムのグループ化とタグ付けを適用できます。これにより、コンテキストマーカーを個々のシステムに追加したり、Insights for Red Hat Enterprise Linux アプリケーションでこれらのタグでフィルター処理したり、関連するシステムに簡単に注目したりできます。この機能は、何百または何千ものシステムが管理されている環境で、Red Hat Enterprise Linux の Insights を大規模にデプロイメントする場合に特に価値があります。
複数の Insights for Red Hat Enterprise Linux サービスにカスタムタグを追加する機能に加えて、定義済みタグを追加できます。advisor サービスは、これらのタグを使用して、より高いレベルのセキュリティーを必要とするシステムなど、より注意が必要なシステムに的を絞った推奨事項を作成できます。
11.3.1. フィルター構造
フィルターは、namespace=value または key=value のペア構造を使用します。
-
名前空間。名前空間は、取り込みポイントの名前である Insights-client です。この値は変更できませんこの
tags.yamlファイルは名前空間から抽象化され、アップロード前にクライアントによってインジェクトされます。 - キー。キーを作成するか、システムから事前定義されたキーを使用できます。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。
- 値。独自の説明的な文字列値を定義できます。大文字、文字、数字、記号、および空白文字の組み合わせを使用できます。
11.3.2. カスタムグループおよび tags.yaml ファイルの作成
タグを作成して /etc/insights-client/tags.yaml に追加するには、insights-client を --group=<name-you-choose> オプションとともに使用します。このコマンドオプションは、次のアクションを実行します。
-
etc/insights-client/tags.yamlファイルを作成します。 -
group=キーおよび<name-you-choose>の値をtags.yamlに追加します。 - システムから Insights for Red Hat Enterprise Linux アプリケーションに新規アーカイブをアップロードすることで、最新の結果とともに新しいタグがすぐに表示されます。
前提条件
- システムへのルートレベルのアクセス。
手順
次のコマンドを root として実行し、
<name-you-choose>の代わりにカスタムグループ名を追加します。[root@server ~]# insights-client --group=<name-you-choose>
-
オプション:タグを追加するには、
/etc/insights-client/tags.yamlファイルを編集します。 - 必要に応じて Red Hat Insights > Inventory に移動し、ログインします。
- Filter by tags ドロップダウンメニューをクリックします。検索ボックスを使用してタグ名のすべてまたは一部を入力すると、タグ内にそのテキストが含まれるシステムが自動的に表示されます。
- リストを下にスクロールしてタグを見つけます。
- タグをクリックしてフィルター処理を行います。
システムが、アドバイザーシステム一覧の結果に含まれていることを確認します。
- 必要に応じて Red Hat Insights > Inventory に移動し、ログインします。
- Name フィルターをアクティブにし、システムが表示されるまでシステム名を入力してから選択します。
- タグの記号は濃い色で、その横の数字は実際に適用されたタグの数を示します。
11.3.3. タグの追加または変更を行うための tags.yaml の編集
group タグを作成したら、tags.yaml の内容を編集して、タグを追加または変更できます。
以下の手順では、/etc/insights-client/tags.yaml ファイルを編集し、Red Hat Enterprise Linux > Inventory にタグが存在することを確認する方法を説明します。
前提条件
- システムへのルートレベルのアクセス。
手順
タグ設定ファイル
tags.yamlをエディターで開きます。[root@server ~]# vim /etc/insights-client/tags.yaml
ファイルの内容を編集するか、
key=valueペアを追加します。必要に応じて、追加のkey=valueペアを追加します。大文字、文字、数字、記号、および空白文字の組み合わせを使用します。以下の例は、システムに複数のタグを追加するときにtags.yamlを整理する方法を示しています。# tags --- group: _group-name-value_ location: _location-name-value_ description: - RHEL8 - SAP key 4: value
- 変更を保存してエディターを閉じます。
Insights for Red Hat Enterprise Linux へのアップロードを生成します。
[root@server ~]# insights-client
- 必要に応じて Red Hat Enterprise Linux > Inventory に移動し、ログインします。
Filter by tags ボックスで、下矢印をクリックし、フィルターの 1 つを選択するか、フィルターの名前を入力して選択します。
注記タグキーまたはその値で検索できます。
- 結果でシステムを検索します。
- フィルターアイコンが禁止され、システムに適用されるフィルターの数を示す数字が表示されることを確認します。
11.4. 定義済みのシステムタグを使用した Red Hat Insights advisor サービスの推奨事項の精度とセキュリティーの向上
Red Hat Insights advisor サービスの推奨事項は、すべてのシステムを同等に扱います。ただし、システムによっては、他のシステムよりも高いレベルのセキュリティーが必要な場合や、異なるネットワークパフォーマンスレベルが必要な場合があります。カスタムタグを追加する機能に加えて、Red Hat Insights for Red Hat Enterprise Linux は定義済みタグを提供します。advisor サービスはこれを使用して、より注意が必要な可能性のあるシステムに的を絞った推奨事項を作成できます。
定義済みタグによって提供される拡張されたセキュリティー強化と強化された検出および修復機能をオプトインして取得するには、タグを設定する必要があります。設定後、advisor サービスは、調整された重大度レベルと、システムに適用されるネットワークパフォーマンス設定に基づいて推奨事項を提供します。
タグを設定するには、/etc/insights-client/tags.yaml ファイルを使用して、インベントリーサービスでシステムにタグを付ける場合と同様の方法で、定義済みタグを使用してシステムにタグを付けます。定義済みタグは、カスタムタグの作成に使用されるのと同じ key=value 構造を使用して設定されます。Red Hat の定義済みタグの詳細を次の表に示します。
表11.1 サポートされている定義済みタグのリスト
| キー | 値 | 注記 |
|---|---|---|
| security |
|
|
|
|
| ネットワークパフォーマンス設定 (ビジネス要件に応じたレイテンシーまたはスループット) は、システムに対する advisor サービスの推奨事項の重大度に影響します。 |
定義済みタグのキー名は予約されています。定義済みの値とは異なる値を持つキー security をすでに使用している場合、推奨事項に変更は加えられません。既存の key=value がいずれかの定義済みのキーと同じ場合にのみ、推奨事項に変更が加えられます。たとえば、key=value が security: high の場合、Red Hat の定義済みタグが原因で、推奨事項は変更されません。key=value ペアが security: strict である場合は、システムの推奨事項に変更が加えられます。
関連情報
11.4.1. 定義済みタグの設定
Red Hat Insights for Red Hat Enterprise Linux advisor サービスの定義済みタグを使用すると、システムの推奨事項の動作を調整し、拡張されたセキュリティー強化と強化された検出および修復機能を得ることができます。以下の手順に従って、事前定義されたタグを設定できます。
前提条件
- システムへの root レベルのアクセスがある。
- Insights クライアントがインストールされている。
- Insights クライアント内にシステムが登録されている。
-
すでに
tags.yamlファイルを作成している。tags.yaml ファイルの作成とカスタムグループの追加 を参照してください。
手順
コマンドラインと任意のエディターを使用して、
/etc/insights-client/tags.yamlを開きます。(次の例では Vim を使用しています。)[root@server ~]# vi /etc/insights-client/tags.yaml
/etc/insights-client/tags.yamlファイルを編集して、タグの定義済みのkey=valueペアを追加します。この例は、security: strictおよびnetwork_performance: latencyタグを追加する方法を示しています。# cat /etc/insights-client/tags.yaml group: redhat location: Brisbane/Australia description: - RHEL8 - SAP security: strict network_performance: latency
- 変更を保存します。
- エディターを終了します。
オプション:
Insights-clientコマンドを実行して、Red Hat Insights for Red Hat Enterprise Linux へのアップロードを生成するか、次のスケジュールされた Red Hat Insights アップロードまで待ちます。[root@server ~]# insights-client
定義済みタグが実稼働環境にあることの確認
Red Hat Insights へのアップロードを生成した後 (またはスケジュールされた次の Insights アップロードを待っている間)、Red Hat Enterprise Linux > Inventory にアクセスして、タグが実稼働環境にあるかどうかを確認できます。システムを見つけて、新たに作成されたタグを探します。次のことを示す表が表示されます。
- 名前
- 値
- タグソース (例: insights-client)。
次のイメージは、タグを作成した後にインベントリーに表示される内容の例を示しています。
定義済みタグを適用した後の推奨事項の例
次の図では、advisor サービスは network_performance: latency タグが設定されたシステムを示しています。
システムは、総リスク (重要に分類) が高い推奨事項を表示します。network_performance: latency タグのないシステムの場合、総リスクは中程度に分類されます。総リスクの高さに基づいて、システムの優先順位付けに関する決定を行うことができます。
第12章 insights-client スケジュールの変更
Insights クライアントを実行するタイミングを制御するスケジュールを無効化、有効化、および変更できます。デフォルトでは、Insights クライアントは 24 時間ごとに実行します。全システムが同時にクライアントを実行しないように、デフォルトのタイマーのスケジューリングは異なります。
12.1. Insights クライアントスケジュールの無効化
デフォルトの Insights クライアント設定を変更して新しいスケジュールを作成する前に、クライアントスケジュールを無効にする必要があります。
Insights-client スケジュールを無効にするために使用する手順は、Red Hat Enterprise Linux とクライアントのバージョンによって異なります。
12.1.1. Client 1.x を使用する RHEL 7.4 以前でのクライアントスケジュールの無効化
Client 1.x はサポート対象外になりました。
--no-schedule オプションは、クライアント 3.x 以降で非推奨になりました。
前提条件
- システムへのルートレベルのアクセス。
手順
--versionオプションを指定してinsights-clientコマンドを入力し、クライアントのバージョンを確認します。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
--no-scheduleオプションを指定してinsights-clientコマンドを入力し、クライアントスケジュールを無効にします。このコマンドは、/etc/cron.dailyのシンボリックリンクを削除します。[root@insights]# insights-client --no-schedule
エディターで
/etc/insights-client/insights-client.confファイルを開き、以下の行を追加します。no_schedule=True
12.1.2. Insights クライアント 1.x を使用した RHEL 7.5 以降のクライアントスケジュールの無効化
Insights クライアント 1.x はサポートされなくなりました。
--no-schedule オプションは、Insights クライアント 3.x 以降では非推奨です。
前提条件
- システムへのルートレベルのアクセス。
手順
--versionオプションを指定してinsights-clientコマンドを入力し、クライアントのバージョンを確認します。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
--no-scheduleオプションを指定してinsights-clientコマンドを入力し、クライアントスケジュールを無効にします。[root@insights]# insights-client --no-schedule
12.1.3. クライアント 3.x を使用した RHEL 6、RHEL 7 以降のクライアントスケジュールの無効化
Client 1.x はサポート対象外になりました。
--no-schedule オプションは、クライアント 3.x 以降で非推奨になりました。
前提条件
- システムへのルートレベルのアクセス。
手順
--versionオプションを指定してinsights-clientコマンドを入力し、クライアントのバージョンを確認します。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
--disable-scheduleオプションを指定してinsights-clientコマンドを入力し、クライアントスケジュールを無効にします。[root@insights]# insights-client --disable-schedule
12.2. Insights クライアントスケジュールの有効化
クライアントスケジュールを最初に有効にすると、デフォルトの設定を使用して実行します。スケジュールを変更すると、それらの設定が優先されます。
コマンドラインから insights-client を実行すると、Insights クライアントは、そのセッションに対してのみ指定した設定を使用して実行します。次にスケジュールされた実行が行われるときは、デフォルト設定が使用されます。
12.2.1. RHEL 7.4 以前および Client 1.x での Insights クライアントスケジュールの有効化
クライアントスケジュールを有効にして、デフォルト設定で実行できます。デフォルトのスケジュール設定を変更すると、変更された設定が優先されます。
前提条件
- システムへのルートレベルのアクセス。
- クライアントスケジュールが無効になっている。
- (オプション) デフォルトのスケジュールを変更している。
手順
クライアントのバージョンを確認するには、
insights-clientコマンドに--versionオプションを指定して入力します。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
エディターで
/etc/insights-client/insights-client.confファイルを開きます。以下の行をファイルに追加します。設定ファイルにすでにno_scheduleの値がある場合は、それをFalseに変更します。no_schedule=False
--registerオプションを指定してinsights-clientコマンドを入力し、クライアントを有効にします。[root@insights]# insights-client --register
12.2.2. RHEL 7.5 以降および Client 1.x での Insights クライアントスケジュールの有効化
クライアントスケジュールを有効にして、デフォルト設定で実行できます。デフォルトのスケジュール設定を変更すると、変更された設定が優先されます。
Client 1.x はサポート対象外になりました。
前提条件
- システムへのルートレベルのアクセス。
- クライアントスケジュールが無効になっている。
- (オプション) デフォルトのスケジュールを変更している。
手順
クライアントのバージョンを確認するには、
insights-clientコマンドに--versionオプションを指定して入力します。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
--registerオプションを指定してinsights-clientコマンドを入力し、クライアントスケジュールを有効にします。[root@insights]# insights-client --register
12.2.3. RHEL 7 以降および Client 3.x での Insights クライアントスケジュールの有効化
クライアントスケジュールを有効にして、デフォルト設定で実行できます。デフォルトのスケジュール設定を変更すると、変更された設定が優先されます。
前提条件
- システムへのルートレベルのアクセス。
- クライアントスケジュールが無効になっている。
- (オプション) デフォルトのスケジュールを変更している。
手順
クライアントのバージョンを確認するには、
insights-clientコマンドに--versionオプションを指定して入力します。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
--enable-scheduleオプションを指定して Insights-clientコマンドを入力し、クライアントスケジュールを有効にします。[root@insights]# insights-client --enable-schedule
12.3. Insights クライアントスケジュールの変更
Insights クライアントがいつ実行するかを変更するには、スケジュールを変更します。使用する方法は、システムが実行している RHEL のリリースとクライアントのバージョンによって異なります。
RHEL のバージョンに合った手順を選択します。
-
Red Hat Enterprise Linux 7.4 以前の場合は、
cronを使用してシステムスケジュールを変更します。 -
Red Hat Enterprise Linux 7.5 以降の場合は、
systemd設定とInsights-client-timerファイルを更新します。
12.3.1. cron を使用した Insights クライアントのスケジュール設定
この手順は、Client バージョン 1.x を使用して RHEL 7.4 リリース以前を実行しているシステムに使用します。
Client 1.x はサポート対象外になりました。
Insights-client を実行するためのデフォルトスケジュールを変更するには、システム cron ファイルを更新します。
Red Hat Enterprise Linux では、/etc/crontab ファイルは定期的に複数のサブディレクトリーでスクリプトを自動的に実行します。
/etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.monthly
前提条件
- システムへのルートレベルのアクセス。
- Insights クライアントのスケジュールが無効になっています。
手順
-
スケジュールを選択し、
cronをセットアップして、insights-clientを実行します。 -
変更が完了したら、
insights-clientスケジュールを有効にします。
関連情報
-
cronの依存関係について理解するにはcrontab(1)およびcron(8)の man ページを参照してください。 -
cronおよびその使用方法
12.3.2. systemd 設定を使用した insights-client のスケジューリング
Client 3.x で RHEL 7.5 以降を実行しているシステムにこれを使用します。
システムの systemd 設定および insights-client.timer ファイルを更新して、デフォルトの insights-client 実行スケジュールを変更できます。
前提条件
- システムへのルートレベルのアクセス。
手順
Insights-client.timerファイルの設定を編集するには、systemctl editコマンドとファイル名を入力します。[root@insights]# systemctl edit insights-client.timer
この動作により、デフォルトのシステムエディターで空のファイルが開きます。
別の設定を入力してスケジュールを変更します。この例の値は、
systemdのデフォルト設定です。[Timer] OnCalendar=daily RandomizedDelaySec=14400
insights-clientスケジュールを有効にします。[root@insights]# insights-client --enable-schedule
関連情報
-
systemctl(1)、systemd.timer(5)、およびsystemd.time(7)のマニュアルページを確認して、systemdを理解してください。 -
cronおよびその使用方法
第13章 Insights の自動ルール更新の無効化
Red Hat Insights for Red Hat Enterprise Linux の自動コレクションルールの更新を無効にできます。これを実行する場合は、古いルール定義ファイルを使用し、最新の検証更新を取得しないリスクがあります。
前提条件
- システムへのルートレベルのアクセス。
- 自動ルール更新が有効になっています。
手順
-
エディターで
/etc/insights-client/insights-client.confファイルを開きます。 以下の内容が含まれる行を見つけます。
#auto_update=True
#を削除し、TrueをFalseに変更します。auto_update=False
-
/etc/insights-client/insights-client.confファイルを保存して閉じます。
第14章 Insights の自動ルール更新を有効にする
以前に更新を無効にしている場合は、Red Hat Insights for Red Hat Enterprise Linux のコレクションルールの自動更新を有効にできます。デフォルトでは、ルール自動更新は有効になっています。
前提条件
- システムへのルートレベルのアクセス。
- 自動ルール収集が無効になっています。
手順
-
エディターで
/etc/insights-client/insights-client.confファイルを開きます。 以下の内容が含まれる行を見つけます。
auto_update=False
FalseをTrueに変更します。auto_update=True
-
/etc/insights-client/insights-client.confファイルを保存して閉じます。
第15章 サポート用の診断ログの作成
サポートチームと共有する診断ログを作成できます。
前提条件
- システムへのルートレベルのアクセス。
手順
--supportオプションを指定してinsights-clientコマンドを入力します。[root@insights]# insights-client --support
このコマンドは、サポートファイルの作成時に情報メッセージを表示します。
Collecting logs... Insights version: insights-core-3.0.121-1 Registration check: status: True unreachable: False . . . . Copying Insights logs to archive... Support information collected in /var/tmp/H_Y43a/insights-client-logs-20190927144011.tar.gz
メッセージで
Support information collected inに表示されているコレクションディレクトリーに移動します。[root@insights]# cd /var/tmp/H_Y43a
圧縮された
tar.gzファイルを展開します。[root@insights]# tar -xzf insights-client-logs-20190927144011.tar.gz
tar.gzファイルを解凍すると、ログファイルを含む新しいディレクトリーが作成されます。依頼を受けた場合は、サポートチームとtar.gzファイルを共有してください。
付録A insights-client のコマンドオプション
root 権限を持つシステム管理者は、insights-client コマンドとそのオプションを使用して、システムでの Insights クライアントの操作を制御できます。insights-client.rpm は Insights for Red Hat Enterprise Linux の個々のコンポーネントよりも更新頻度が低いため、man ページには insights-client コマンド操作に関する最新情報が含まれていない可能性があります。
insights-client コマンドを入力するたびに、クライアントはデータを収集し、それを Insights for Red Hat Enterprise Linux に送信します。
insights-client --display-name コマンドを使用して表示名を設定すると表示名はすぐに有効になりますが、Insights クライアントは実行されません。
表A.1 insights-client ユーザーコマンドオプション
| オプション | 詳細 |
|---|---|
|
| ヘルプ情報を表示します |
|
|
|
|
| Insights for Red Hat Enterprise Linux からホストを登録解除します。 |
|
|
GUI でホスト表示名を設定または変更します。 |
|
|
登録時にホストを GROUP に追加します。グループ名は |
|
| アップロードを再試行する回数を設定します。デフォルトは 1 です。再試行の間隔は 180 秒で、Insights クライアントがアップロードを再試行するまで待機する時間です。 注記: スケジューラーでは、再試行回数は 3 回です。 |
|
|
|
|
| エラーメッセージのみをコンソールに記録します。 |
|
| コンソールに何もログを記録しません。 |
|
| ジョブスケジュールを有効にします。デフォルトでは、Insights クライアントは毎日午前 0 時ごろに実行します。
注記: クライアント 1.x を使用している場合は、 |
|
| 毎晩のジョブスケジュールを無効にします。 |
|
|
デフォルトの |
|
|
アーカイブの作成時に使用する圧縮を選択します。利用可能なオプションは |
|
|
クライアントを実行しますが、Red Hat Insights for Red Hat Enterprise Linux または CMSfR Web アプリケーションにアーカイブをアップロードしません。アーカイブは |
|
|
ネットワーク機能を使用せずにクライアントを実行します。 |
|
|
指定の LOGFILE にログデータを出力します。デフォルトのログファイルは |
|
|
API から診断情報を取得します。システムは、 |
|
| OpenSCAP でシステムをスキャンし、レポートをアップロードします。 |
|
|
特定のアーカイブの PAYLOAD ファイルを Red Hat Insights for Red Hat Enterprise Linux にアップロードします。 |
|
|
PAYLOAD ファイルの content-type を設定します。タイプには gz、bz2、xz、および none を指定できます。TYPE は PAYLOAD で使用される |
|
| Red Hat Insights for Red Hat Enterprise Linux から分析結果を取得します。 |
|
|
|
|
| コレクションは、アップロードせずに、指定したディレクトリーに書き込みます。 |
|
| コレクションを、アップロードせずに、指定したアーカイブに書き込みます。 |
insights-client コマンドには、操作のデバッグに便利な複数のオプションがあります。
表A.2 insights-client デバッグオプション
| オプション | 詳細 |
|---|---|
|
|
|
|
| Red Hat Insights for Red Hat Enterprise Linux サービスへの接続をチェックします。 |
|
| このオプションは非推奨です。システムを再登録するには、Red Hat Insights へのシステムの再登録 を参照してください。 |
|
| すべてのデバッグ出力をコンソールに記録します。 |
|
|
クライアントは実行しますが、アーカイブはアップロードされません。アーカイブは |
|
| アップロード後もアーカイブを保持します。 |
|
| サポート用の診断ログを生成します。 |
|
| ホスト登録のステータスを表示します。 |
|
| コンソールにネットワーク呼び出しのログを記録します。 |
付録B リダクション設定ファイルのオプション
設定ファイル /etc/insights-client/remove.conf は、Insights for Red Hat Enterprise Linux クライアントがデータを編集する方法を制御します。
RHEL 6.10、7.9、8.3 以降では、remove.conf の使用が非推奨となり、YAML ファイル 2 つに置き換えられます。
Insights クライアントは、remove.conf の情報に基づいてアーカイブファイルでリダクションを実行します。リダクションアクティビティーの多くは、アーカイブファイルが生成され、Red Hat Insights for Red Hat Enterprise Linux サービスに送信する前に行われます。
ファイル名および場所
リダクション設定ファイルの推奨名は、/etc/insights-client/remove.conf です。このファイルの作成には、root 権限が必要です。このファイルは、Insights クライアントのデプロイメントの一部として自動作成されません。
/etc/insights-client/insights-client.conf 設定ファイルは、リダクション設定ファイルの名前と場所を指定します。
remove.conf のファイルテンプレート
以下は、remove.conf ファイルのテンプレート例です。
[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
- 各入力値は、スペースなし、コンマ 1 つで、区切ります。
- リダクションしないデータの行は追加しないでください。
-
正規表現とワイルドカードの一致 (
egrep) はサポート対象外です。 - すべてのエントリーは、大文字と小文字が区別されます。
表B.1 remove.conf 設定オプション
| オプション | 詳細 |
|---|---|
|
|
これは、 |
|
| 記載のファイルは、データ収集から除外されます。 |
|
| ここに記載のコマンドの出力は、データ収集から除外されます。コマンド名は、コレクションルール のコマンド名と完全一致する必要があります。 |
|
| パターン に完全一致または部分一致するアーカイブファイルの行はすべて削除されます。 |
|
|
キーワードは、
たとえば、 |
付録C リダクション設定 YAML ファイルのオプション
RHEL 6.10、7.9、8.3 以降では、Insights クライアントは YAML ファイルを使用してリダクションを設定します。以前のリリースでは、remove.conf ファイルでリダクションを制御します。
表C.1 file-redaction.yaml ファイルのリダクション例
| コンテンツ | 詳細 |
|---|---|
# file-redaction.yaml --- | ファイル名を含むコメント (任意)。 |
# Exclude the entire output of commands # Specify the full command path or the symbolic name in .cache.json commands: - /bin/rpm -qa - /bin/ls - ethtool_i |
|
# Exclude the entire output of files # Specify the full filename path or the symbolic name in .cache.json files: - /etc/audit/auditd.conf - cluster_conf | 指定されたファイルは、ファイル名とファイルの内容がアーカイブファイルから除外されます。
|
表C.2 file-content-redaction.yaml のコンテンツリダクションの例
| コンテンツ | 詳細 |
|---|---|
# file-content-redaction.yaml --- | ファイル名を含むコメント (任意)。 |
# Pattern redaction per matching line # Lines that match a pattern are excluded from files and command output. # Patterns are processed in the order that they are listed. # Example patterns: - "a_string_1" - "a_string_2" |
パターンが |
# # Regular expression pattern redaction per line # Patterns with regular expressions (regex) are wrapped with "regex:" # Example patterns: regex: - "abc.*def" - "localhost[[:digit:]]" # |
正規表現は |
# Lines matching these regular expressions are excluded # from output. patterns: regex: - "*\.conf" - "^include" |
この例では、文字列に |
# Replace keywords in files and command output with generic identifiers by the Python soscleaner module keywords: - "1.1.1.1" - "My Name" - "a_name" |
たとえば、
|
付録D Insights クライアント設定ファイルのオプション
/etc/insights-client/insights-client.conf 設定ファイルの設定を使用して、システムでの Insights クライアントの動作を変更できます。
設定ファイルと CLI に同様のオプションがある場合は、insights-client コマンドを入力すると CLI オプションが実行します。スケジューラーがクライアントを実行すると、設定ファイルのオプションが実行します。
選択肢は、示されているとおりに正確に入力する必要があります。True と False は、最初の文字を大文字にします。
設定ファイルでオプションを有効にするには、行頭の # を削除し、オプションの値を指定します。変更は、次回のスケジュール実行時または insights-client コマンドの実行時に適用されます。
表D.1 insights-client.conf 設定オプション
| オプション | 詳細 |
|---|---|
| [insights-client] | クライアント設定ファイルに別の場所または名前を指定した場合でも、設定ファイルの最初の行が必要です。 |
| #loglevel=DEBUG |
ログレベルを変更します。オプション: DEBUG、INFO、WARNING、ERROR、CRITICALデフォルトは DEBUG です。デフォルトのログファイルの場所は |
| #auto_config=True |
Satellite Server で自動設定を試みます。値は 注記
|
| #authmethod=BASIC |
認証方法を設定します。有効なオプションは BASIC、CERT です。 |
| #username= |
認証方法が BASIC の場合に使用する |
| #password= |
認証方法が BASIC の場合に使用する |
| #base_url=cert-api.access.redhat.com:443/r/insights | API のベース URL。 |
| #proxy= | プロキシーの URL。例: http://user:pass@192.168.100.50:8080 |
| #auto_update=True |
動的設定を自動更新します。デフォルトは |
| #obfuscate=False |
IPv4 アドレスを難読化します。デフォルトは |
| #obfuscate_hostname=False |
ホスト名を難読化します。ホスト名を難読化するには |
| #display_name= |
登録の表示名。デフォルトは |
| #cmd_timeout=120 | コレクション中に実行するコマンドのタイムアウト (秒単位)。タイムアウト値に達すると、コマンドプロセスは終了します。 |
| #http_timeout=120 | HTTP 呼び出しのタイムアウト (秒単位) |
| #remove_file=/etc/insights-client/remove.conf | リダクションファイルの場所 Insights client may prevent processes from initializing real-time scheduling. |
付録E Red Hat Insights での Basic 認証の使用
SSO 認証情報ベースの認証 (基本認証) は、セキュリティー上の理由から非推奨になりました。証明書ベースの認証など、よりセキュアな認証方法の使用を検討してください。
Red Hat Insights for Red Hat Enterprise Linux で SSO 認証情報を使用するには、システムが Basic 認証を使用するように設定する必要があります。有効な Red Hat カスタマーポータルのユーザー名がある場合は、有効な Red Hat SSO 認証情報が作成されます。
E.1. Basic 認証の使用のタイミング
証明書ベースの認証は、Red Hat Insights for Red Hat Enterprise Linux のデフォルトです。
以下のいずれかの状況で Basic 認証を使用する必要があります。
- Red Hat Enterprise Linux (RHEL) システムが Red Hat Subscription Manager (RHSM) に登録されていません。
- RHEL システムは、Red Hat Network Satellite サービスによって管理されていません。
- RHEL システムは、Red Hat Certified Cloud and Service Provider からプロビジョニングされ、Red Hat Update Infrastructure (RHUI) で更新されている。
- RHEL システムは、クラウドマーケットプレイスプロバイダーから提供され、Red Hat Cloud Access プログラムを使用して取得されない。
システムに有効な RHEL サブスクリプションがある場合は、Insights for Red Hat Enterprise Linux のデフォルトの証明書ベースの認証と Insights for Red Hat Enterprise Linux の Basic 認証を切り替えることができます。新しい RHEL システムで Basic 認証を設定する場合は、Insights for Red Hat Enterprise Linux クライアントアプリケーションを登録する前に、基本的な認証手順を実行する必要があります。
E.2. Basic 認証の設定要件
Red Hat Insights for Red Hat Enterprise Linux のデフォルトの証明書ベース認証の代わりに、シングルサインオン (SSO) の認証情報を Basic 認証に使用するようにシステムを設定する場合は、Red Hat SSO 認証情報を指定します。SSO 認証情報は、有効な Red Hat カスタマーポータルのユーザー名およびパスワードです。
基本認証を使用するために、プレーンテキストのユーザー名とパスワードが設定ファイルに保存されます。ベストプラクティスとして、Red Hat Insights for Red Hat Enterprise Linux Basic 認証専用の SSO 認証情報を使用して、Red Hat カスタマーポータルアカウントを作成します。このアクションは、個別ユーザーの SSO 認証情報の公開を回避します。
E.3. Basic 認証の設定
Insights クライアント設定は /etc/insights-client/insights-client.conf で管理されます。このファイルは、Basic 認証を設定するための設定テンプレートを提供します。証明書ベースの認証のデフォルト設定は以下のとおりです。
auto_config=TRUE authmethod=BASIC username=<your customer portal username> password=<your customer portal password>
前提条件
- クリアテキストで保存できる Red Hat SSO ユーザー名および SSO パスワードがある。
-
/etc/insights-client/ディレクトリーに読み取り書き込みパーミッションがある。 -
insights-clientパッケージがシステムにインストールされている。
手順
-
テキストエディターを使用して
/etc/insights-client/insights-client.confファイルを開きます。 -
auto_config=TRUEの値をauto_config=FALSEに変更します。 -
<your customer portal username>を Red Hat SSO ユーザー名に置き換えます。 -
<your customer portal password>を Red Hat SSO パスワードに置き換えます。 - 設定を保存してエディターを終了します。
E.4. Basic 認証を設定する必要があるかどうかを知る方法
Red Hat が生成した認証証明書がないシステムを登録しようとすると、以下のメッセージが表示される可能性があります。=== End Upload URL Connection Test: FAILURE === が表示された場合は、お使いのシステムに Basic 認証を設定します。
insights-client --register Running connection test... Connection test config: === Begin Certificate Chain Test === depth=1 verify error:num=0 verify return:1 depth=0 verify error:num=0 verify return:1 === End Certificate Chain Test: SUCCESS === === Begin Upload URL Connection Test === HTTP Status Code: 401 HTTP Status Text: Unauthorized HTTP Response Text: Connection failed === End Upload URL Connection Test: FAILURE === === Begin API URL Connection Test === HTTP Status Code: 200 HTTP Status Text: OK HTTP Response Text: lub-dub Successfully connected to: https://cert-api.access.redhat.com/r/insights/ === End API URL Connection Test: SUCCESS === Connectivity tests completed with some errors See /var/log/insights-client/insights-client.log for more details.
Red Hat ドキュメントへのフィードバック (英語のみ)
当社のドキュメントに関するご意見やご感想をお寄せください。フィードバックを提供するには、ドキュメントのテキストを強調表示し、コメントを追加してください。
前提条件
- Red Hat カスタマーポータルにログインしている。
- Red Hat カスタマーポータルで、Multi-page HTML 形式でドキュメントを表示している。
手順
フィードバックを提供するには、以下の手順を実施します。
ドキュメントの右上隅にある Feedback ボタンをクリックして、既存のフィードバックを確認します。
注記フィードバック機能は、Multi-page HTML 形式でのみ有効です。
- フィードバックを提供するドキュメントのセクションを強調表示します。
ハイライトされたテキスト近くに表示される Add Feedback ポップアップをクリックします。
ページの右側のフィードバックセクションにテキストボックスが表示されます。
テキストボックスにフィードバックを入力し、Submit をクリックします。
ドキュメントに関する問題が作成されます。
- 問題を表示するには、フィードバックビューで問題リンクをクリックします。