ポリシーを使用した設定変更に対する監視および対応

Red Hat Insights 2023

インベントリー設定の変更を検出してメール通知を送信するポリシーを作成する方法

Red Hat Customer Content Services

概要

本書では、Policy サービスの概要と、システム設定の変更を検出して電子メールで通知するポリシーを作成する方法について説明します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Red Hat Insights ポリシーサービスの概要

ポリシーは環境内のシステム設定を評価し、変更が発生したときに通知を送信できます。作成するポリシーは、Insights インベントリー内のすべてのシステムに適用できます。Red Hat Hybrid Cloud Console の Red Hat Insights for Red Hat Enterprise Linux ユーザーインターフェイス、または Insights API を使用して、ポリシーを作成および管理できます。

ポリシーは、以下のようなタスクの管理に役立ちます。

  • システム設定で特定の条件が発生した場合にアラートを生成する。
  • システムでセキュリティーパッケージが古くなった場合にチームに電子メールを送信する。

ポリシーを使用してインベントリーの設定変更を監視し、電子メールで通知するには、以下が必要です。

  • ユーザーの電子メール設定を設定する (まだ設定されていない場合)。
  • ポリシーを作成して、設定変更をトリガーとして検出し、トリガーアクションとして電子メールを選択する。
注記

1.1. ユーザーアクセスに関する考慮事項

アカウントの組織管理者は、ユーザーアクセスで設定を設定し、Red Hat Insights for Red Hat Enterprise Linux 機能へのアクセスを制御します。アカウントのすべてのユーザーは、Insights for Red Hat Enterprise Linux のほとんどのデータにアクセスできます。ただし、一部のアクションを実行すると、ユーザーはアクセスの昇格が必要になります。

アクセスは、Red Hat Hybrid Cloud Console のユーザーアクセスで付与されます。アクセスを付与または変更するには、組織管理者またはユーザーアクセス管理者は、Red Hat Hybrid Cloud Console > Settings メニュー(歯車アイコン)> Identity & Access Management > User Access で必要なロールを持つ User Access グループに追加する必要があります。

重要

本書では、手順の前提条件は、手順を実行するためにアクセスを昇格する必要があるかどうかを宣言します。

ユーザーアクセスを理解する上で重要な事前定義済みグループおよびロールは次のとおりです。

  • デフォルトのアクセスグループ
  • デフォルトの管理者グループ
  • 組織管理者ロール

一部の定義済みグループおよびロールの概要

アクセスには、以下の事前定義済みのグループおよびロールが関連します。

  • デフォルトのアクセスグループ。アカウント上のすべてのユーザーが Default access グループのメンバーです。Default access グループのメンバーには読み取り専用アクセス権があり、Insights for Red Hat Enterprise Linux でほとんどの情報を表示できます。
  • Default admin access グループ組織管理者であるアカウントのすべてのユーザーがこのグループのメンバーである。ユーザーは、Red Hat が管理する Default admin access グループのロールを変更することはできません。Default admin access グループのメンバーには読み取り/書き込みアクセス権があり、Insights for Red Hat Enterprise Linux で他のアクションを表示して実行できます。
  • 組織管理者ロール組織管理者がユーザーアクセスグループを作成および変更し、他のアカウントユーザーにアクセスを付与することができるアカウントのすべてのユーザー。組織管理者であるかどうかを確認するには、画面の右上にある Red Hat Hybrid Cloud Console ヘッダーで名前をクリックし、組織 という単語を確認します。管理者 がユーザー名に表示されます。
重要

昇格されたアクセス を要求すると、必要な機能にアクセスできない場合は、以下を実行できます。

  • カスタマーサービス に連絡して、アカウントの組織管理者の詳細を取得します。

    • リクエストを送信する際に、アカウント番号を提供してください。

  • 組織管理者に連絡してアクセスを求めると、以下の情報が提供されます。

1.1.1. Policies サービスのユーザーアクセ出力ル

Red Hat Hybrid Cloud Console の以下の事前定義済みロールにより、Insights for Red Hat Enterprise Linux のポリシー機能にアクセスできます。

  • ポリシー管理者ロール。Policies administrator ロールは、これらのユーザーがポリシーリソースで利用可能な操作を実行できるように、読み取りおよび書き込みアクセスを提供します。この事前定義されたロールは Default admin access group にあります。
  • ポリシービューアーロール。Policies viewer ロールは、読み取り専用アクセスを提供します。Drift viewer ロールのデフォルト設定が不十分であると判断した場合には、ユーザーアクセス管理者 は必要な特定のパーミッションでカスタムロールを作成できます。 この事前定義されたロールは Default access グループ にあります。
注記

2023 年 4 月前にグループを設定した場合、組織管理者ではないユーザーには、Policies administrator のロールが Policies viewer ロールに置き換えられます。4 月前に Default access グループに加えられた変更は変更されません。

関連情報

第2章 通知およびメール通知の設定

Red Hat Insights は、Red Hat Hybrid Cloud Console で通知とユーザー設定を指定すると、Red Hat Enterprise Linux システムに対するポリシーの変更を通知します。

2.1. ポリシーサービスの通知と統合の有効化

Red Hat Hybrid Cloud Console で通知サービスを有効にすると、ポリシーサービスが問題を検出してアラートを生成するたびに、通知を送信できます。通知サービスを使用すると、Red Hat Insights ダッシュボードでアラートを継続的にチェックする必要がなくなります。

たとえば、サーバーのセキュリティーソフトウェアが古くなっていることをポリシーサービスが検出したときに自動的に電子メールメッセージを送信するように、またはポリシーサービスが毎日生成するすべてのアラートの電子メールダイジェストを送信するように通知サービスを設定できます。

通知サービスは、電子メールメッセージだけでなく、以下に示す他の方法でポリシーイベントデータを送信するように設定することもできます。

  • 認証済みクライアントを使用して Red Hat Insights API にイベントデータをクエリーする
  • Webhook を使用して受信要求を受け入れるサードパーティーのアプリケーションにイベントを送信する
  • Splunk などのアプリケーションと通知を統合してポリシーイベントをアプリケーションダッシュボードにルーティングする

通知サービスを有効にするには、以下の 3 つの主要なステップが必要です。

  • まず、組織管理者が通知管理者ロールを持つユーザーアクセスグループを作成し、そのグループにアカウントメンバーを追加します。
  • 次に、通知管理者が通知サービス内のイベントの動作グループを設定します。動作グループは、通知ごとに配信方法を指定します。たとえば、動作グループは、電子メール通知をすべてのユーザーに送信するか、組織の管理者にのみ送信するかを指定できます。
  • 最後に、イベントから電子メール通知を受信するユーザーは、各イベントの個別電子メールを受け取るようにユーザー設定する必要があります。

関連情報

2.2. ユーザー設定

メール通知を受け取るには、以下の手順に従ってメール設定を指定したり、更新したりできます。

手順

  1. 右上のユーザーメニューをクリックし、User preferences > Notifications > Red Hat Enterprise Linux https://console.redhat.com/user-preferences/email に移動します。ポリシーの通知設定を定義するには、適切なボックスにチェックを入れます。

  2. 電子メール通知の設定によっては、トリガーされたポリシーを含む各システムに関する 即時通知 電子メールや、トリガーされたアプリケーションイベントを 24 時間単位でまとめた 日次ダイジェスト をサブスクライブできます。

    注記

    即時通知をサブスクライブすると、大規模なインベントリーで多量の電子メールが届く可能性があります。つまり、システムのチェックインごとに 1 件の電子メールが届きます。

  3. Submit をクリックします。

第3章 ポリシーの作成

以下のワークフローの例では、複数のタイプのポリシーを作成し、システム設定の変更を検出して変更通知の電子メールを送信する方法を説明します。

注記

ポリシーの作成時に、メールのアラートにオプトインしていない旨の警告メッセージが表示される場合は、ポリシーからメールを受信するようにユーザー設定を行います。

3.1. パブリッククラウドプロバイダーがオーバープロビジョニングされないようにするポリシーの作成

以下の手順を使用してポリシーを作成します。

手順

  1. Red Hat Hybrid Cloud Console で、Red Hat Enterprise Linux > Policies に移動します。
  2. Create policy をクリックします。
  3. 必要に応じて、Create a policy ページで From scratch または As a copy of existing Policy をクリックします。As a copy of existing Policy オプションでは、開始点として使用する既存のポリシー一覧からポリシーを選択するように求められます。
  4. Next をクリックします。

  5. Condition を入力します。この場合は、['alibaba', 'aws', 'azure', 'google'] and(facts.number_of_cpus >= 8 or facts.number_of_sockets >=2) と入力します。この条件では、指定のパブリッククラウドプロバイダーで実行中のインスタンスが許容範囲を超える CPU ハードウェアで実行されているかどうかを検出します。

    注記

    What condition can I define? または Review available system facts を展開して、使用可能な条件の説明を表示し、利用可能なシステムファクトをそれぞれ表示できます。このセクションでは、使用できる構文の例を示します。

  6. Validate condition をクリックします。
  7. 条件を検証したら、Next をクリックします。
  8. Trigger actions ページで Add trigger actions をクリックします。通知がグレーアウトされたら、通知ボックスの Notification settings を選択します。ここで、通知とその動作をカスタマイズできます。

  9. Next をクリックします。

    注記

    Trigger actions ページで、電子メールアラートを有効にし、電子メール設定を開くこともできます。

  10. Review and enable ページで、切り替えスイッチをクリックしてポリシーを有効にし、詳細を確認します。
  11. Finish をクリックします。

新しいポリシーが作成されました。システムのチェックインでポリシーが評価されたときに、ポリシーの条件が満たされている場合、ポリシーは、ユーザーの電子メール設定に応じて、ポリシーにアクセスできるアカウントのすべてのユーザーに電子メールを自動的に送信します。

3.2. システムが RHEL の古いバージョンを実行しているかどうかを検出するポリシーの作成

システムが古いバージョンの RHEL を実行しているかどうかを検出し、検出内容について電子メールで通知を送信するポリシーを作成できます。

手順

  1. Red Hat Hybrid Cloud Console で、Red Hat Enterprise Linux > Policies に移動します。
  2. Create policy をクリックします。
  3. Create Policy ページで、必要に応じて From scratch または As a copy of existing Policy をクリックします。As a copy of existing Policy オプションでは、開始点として使用する既存のポリシー一覧からポリシーを選択するように求められます。
  4. Next をクリックします。
  5. ポリシーの Name および Description を入力します。
  6. Next をクリックします。
  7. Condition を入力します。この場合は、facts.os_release <8.1 と入力します。この条件は、システムが、RHEL 8.1 をベースとした以前のバージョンのオペレーティングシステムを実行しているかどうかを検出します。
  8. Validate condition をクリックして、Next をクリックします。
  9. Trigger actions ページで Add trigger actions をクリックし、Email を選択します。
  10. Next をクリックします。
  11. Review and activate ページで、切り替えスイッチをクリックしてポリシーを有効にし、詳細を確認します。
  12. Finish をクリックします。

新しいポリシーが作成されました。システムのチェックインでポリシーが評価されたときに、ポリシーの条件がトリガーされると、ポリシーサービスは、ユーザーの電子メール設定に応じて、ポリシーにアクセスできるアカウントのすべてのユーザーに電子メールを自動的に送信します。

3.3. 最新の CVE をもとに脆弱なパッケージバージョンを検出するポリシーの作成

最新の CVE をもとに脆弱なパッケージバージョンを検出し、検出内容を電子メールで通知するポリシーを作成できます。

手順

  1. Red Hat Hybrid Cloud Console で、Red Hat Enterprise Linux > Policies に移動します。
  2. Create policy をクリックします。
  3. Create Policy ページで、必要に応じてFrom scratch または As a copy of existing Policy をクリックします。As a copy of existing Policy オプションでは、開始点として使用する既存のポリシー一覧からポリシーを選択するように求められます。
  4. Next をクリックします。
  5. ポリシーの Name および Description を入力します。
  6. Next をクリックします。
  7. Condition を入力します。この場合は、facts.installed_packages contains ['openssh-4.5'] と入力します。この条件は、システムが、最新の CVE に基づいて openssh パッケージの脆弱なバージョンを実行しているかどうかを検出します。
  8. Validate condition をクリックして、Next をクリックします。
  9. Trigger actions ページで Add trigger actions をクリックし、Email を選択します。
  10. Next をクリックします。
  11. Review and activate ページで、切り替えスイッチをクリックしてポリシーを有効にし、詳細を確認します。
  12. Finish をクリックします。

新しいポリシーが作成されました。システムのチェックインでポリシーが評価されたときに、ポリシーの条件が満たされている場合、ポリシーは、ユーザーの電子メール設定に応じて、ポリシーにアクセスできるアカウントのすべてのユーザーに電子メールを自動的に送信します。

第4章 ポリシーの確認および管理

Red Hat Enterprise Linux > Policies に移動すると、作成したすべての (有効および無効な) ポリシーを確認および管理できます。

ポリシーの一覧は、名前別およびアクティブ状態でフィルタリングできます。ポリシーの横にあるオプションメニューをクリックして、以下の操作を実行できます。

  • 有効化および無効化
  • 編集
  • 複製
  • 削除

また、ポリシー一覧から複数のポリシーを選択し、上部のポリシーの Create policy ボタンの横にあるオプションメニュー img options menu をクリックすると、以下の操作を一括で実行できます。

  • ポリシーの削除
  • ポリシーの有効化
  • ポリシーの無効化
注記

オプトインされていないメールアラートに関する警告メッセージが表示された場合は、ポリシーからメールを受信するようにユーザー設定を指定してください。

第5章 付録

この付録には、以下の参考資料が含まれています。

  • システムファクト
  • 演算子

5.1. システムファクト

以下の表に、システム比較用のシステムファクトを示します。

表5.1 システムファクトおよび機能

ファクト名詳細値の例

Ansible

Ansible 関連のファクトのリストを含むカテゴリー

値が 4.0.0 の controller_version

arch

システムアーキテクチャー

x86_64

bios_release_date

BIOS リリース日: 通常は MM/DD/YYYY

01/01/2011

bios_vendor

BIOS ベンダー名

LENOVO

bios_version

BIOS バージョン

1.17.0

cloud_provider

クラウドベンダー。値は googleazureawsalibaba、または empty です。

google

cores_per_socket

ソケットあたりの CPU コア数

2

cpu_flags

CPU フラグの一覧が含まれるカテゴリー。それぞれの名前は CPU フラグ (vmxなど) で、値は常に enabled です。

値が enabledvmx

enabled_services

有効なサービスの一覧が含まれるカテゴリー。各カテゴリーの名前はサービス名 (crond など) で、値は常に enabled です。

値が enabledcrond

fqdn

システムの完全修飾ドメイン名

system1.example.com

infrastructure_type

システムインフラストラクチャー。一般的な値は virtual または physical です。

virtual

infrastructure_vendor

インフラストラクチャーベンダー。一般的な値は kvmvmwarebaremetal などです。

kvm

installed_packages

インストールされている RPM パッケージの一覧。これはカテゴリーです。

値が 4.2.46-33.el7.x86_64bash

installed_services

インストールされているサービスの一覧が含まれるカテゴリー。各カテゴリーの名前はサービス名 (crond など) で、値は常に installed です。

値が installedcrond

kernel_modules

カーネルモジュールの一覧。カテゴリーの各名前はカーネルモジュール (例: nfs) で、値は enabled です。

値が enablednfs

last_boot_time

YYYY-MM-DDTHH:MM:SS 形式のブート時間。情報のみ。システム全体での起動時間は比較しません。

2019-09-18T16:54:56

mssql

MSSQL 関連のファクトのリストを含むカテゴリー

値が 15.0.4153.1 の mssql_version

network_interfaces

ネットワークインターフェイスに関連するファクトの一覧

 
 

各インターフェイスには、ipv6_addressesipv4_addressesmac_addressmtustatetype のファクトが 6 つあります。2 つのアドレスフィールドは IP アドレスのコンマ区切りリストです。state フィールドは UP または DOWN のいずれかになります。type フィールドはインターフェイス種別です (例: etherloopbackbridge など)。

 
 

各インターフェイス (例: loem1 など) は、ファクト名の前に付けられます。たとえば、em1 の MAC アドレスは em1.mac_address という名前のファクトになります。

 
 

多くのネットワークインターフェイスのファクトは、システム全体で等しいことを確認するために比較されます。ただし、ipv4_addressesipv6_addresses、および mac_address は、システム全体で異なることを確認するためにチェックされます。lo のサブ例外 (subexception) は、すべてのシステムで常に同じ IP アドレスと MAC アドレスを持つ必要があります。

 

number_of_cpus

CPU の合計数

1

number_of_sockets

ソケットの合計数

1

os_kernel_version

カーネルバージョン

4.18.0

os_release

カーネルリリース

8.1

running_processes

実行中のプロセスの一覧。ファクト名はプロセスの名前で、値はインスタンス数です。

値が 1crond

sap_instance_number

SAP インスタンス番号

42

sap_sids

SAP システム ID (SID)

A42

sap_system

SAP がシステムにインストールされているかどうかを示すブール値フィールド

True

sap_version

SAP バージョン番号

2.00.052.00.1599235305

satellite_managed

システムが Satellite Server に登録されているかどうかを示すブール値フィールド

FALSE

selinux_current_mode

現在の SELinux モード

enforcing

selinux_config_file

設定ファイルに設定されている SELinux モード

enforcing

system_memory

人が読める形式のシステムメモリーの合計

3.45 GiB

tuned_profile

tuned-adm active コマンドから生成された現在のプロファイル

desktop

yum_repos

yum リポジトリーの一覧。リポジトリー名がファクトの最初に追加されます。各リポジトリーには、関連するファクト base_urlenabled、および gpgcheck があります。

Red Hat Enterprise Linux 7 Server(RPMs).base_url の値は https://cdn.redhat.com/content/dist/rhel/server/7/$releasever/$basearch/os になります。

5.2. 演算子

表5.2 条件で利用可能な演算子

演算子

論理演算子

AND

 

OR

ブール演算子

EQUAL

 

NOTEQUAL

数値比較演算子

GT

 

GTE

 

LT

 

LTE

文字列比較演算子

CONTAINS

配列演算子

IN

 

CONTAINS

解析演算子

OR

 

AND

 

NOT

 

EQUAL

 

NOTEQUAL

 

CONTAINS

 

NEG

Red Hat ドキュメントへのフィードバック (英語のみ)

当社のドキュメントに関するご意見やご感想をお寄せください。フィードバックを提供するには、ドキュメントのテキストを強調表示し、コメントを追加してください。

前提条件

  • Red Hat カスタマーポータルにログインしている。
  • Red Hat カスタマーポータルで、Multi-page HTML 形式でドキュメントを表示している。

手順

フィードバックを提供するには、以下の手順を実施します。

  1. ドキュメントの右上隅にある Feedback ボタンをクリックして、既存のフィードバックを確認します。

    注記

    フィードバック機能は、Multi-page HTML 形式でのみ有効です。

  2. フィードバックを提供するドキュメントのセクションを強調表示します。

  3. 強調表示されたテキスト近くに表示される Add Feedback ポップアップをクリックします。

    ページの右側のフィードバックセクションにテキストボックスが表示されます。

  4. テキストボックスにフィードバックを入力し、Submit をクリックします。

    ドキュメントに関する問題が作成されます。

  5. 問題を表示するには、フィードバックビューで問題リンクをクリックします。

法律上の通知

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.