Red Hat Training

A Red Hat training course is available for Red Hat Satellite

5.4. コンプライアンスのモニター

コンプライアンスのモニターは、監査が実行されていることを確認し、非コンプライアンスを確実に特定できるようにするための継続的なタスクです。Red Hat Satellite 6 は一元化したコンプライアンスのモニターと管理を可能にします。Satellite の管理下にあるホストについては、カスタムスケジュールに基づいてコンプライアンス状況のチェックが行われ、詳細が Satellite Server によって照合されます。コンプライアンスダッシュボードでは、ホストのコンプライアンスの概要を示し、ポリシーの範囲内の各ホストの詳細を表示できます。コンプライアンスレポートでは、各ホストの適用可能なポリシーへのコンプライアンスの詳細な分析を行います。この情報を利用して、各ホストが提示するリスクを評価し、ホストのコンプライアンスを確保するために必要なリソースをより効果的に管理できます。
SCAP を使用してコンプライアンスをモニターする際の共通の目的には以下が含まれます。
  • ポリシーコンプライアンスの表示
  • コンプライアンスの変更の検知
Satellite web UI は、これらの目的を達成するために必要なすべての情報を提供します。コンプライアンスポリシーダッシュボードでポリシーのコンプライアンス状況を検証します。コンプライアンスレポートの履歴を確認するか、または変更のメール通知をサブスクライブするかのいずれかによって、ポリシーコンプライアンスにおける変更を検出します。

5.4.1. コンプライアンスポリシーダッシュボード

コンプライアンスポリシーダッシュボードは、ホストのポリシーへのコンプライアンス状況の概要を示します。コンプライアンスポリシーのダッシュボードを表示するには、Satellite web UI を開いてから ホストPolicies (ポリシー) に移動し、ポリシーの名前をクリックします。ダッシュボードでは以下の情報が提供されます。
  • ホストのポリシーへのコンプライアンス状況のハイレベルビューを表示するリングチャート
  • ホストのポリシーコンプライアンス状況についての統計の内訳 (表形式)
  • 各ホストのポリシーの最新レポートへのリンク
ダッシュボードビューは、ホストのコンプライアンス状況の統計的な概要を表示するため、コンプライアンスの管理をここから開始することができます。非コンプライアンスとして評価されたすべてのホストについては、Failed (失敗)の統計でコンプライアンスタスクの優先付けに使用できるメトリックを提供します。未監査 として検出されたホストも、それらの状況が不明なために優先する必要があります。
コンプライアンスポリシーダッシュボード

図5.1 コンプライアンスポリシーダッシュボード

5.4.2. コンプライアンスレポートの概要

コンプライアンスレポートは、ホストに対して実行されるポリシーの出力です。利用可能なすべてのコンプライアンスレポートを一覧表示するには、Satellite web UI を開いてから ホストレポート に移動します。各レポートについて、ポリシーごとに合格または不合格となったルールの合計数が一覧表示されます。デフォルトでは、すべてのレポートは日付の降順で一覧表示されます。並べ替え順序を変更するには、並べ替える列のラベルをクリックします。次に、その同じラベルをもう一度クリックして降順または昇順のいずれかに変更します。Compliance Reports (コンプライアンスレポート) ページで、レポートを表示 をクリックして個別レポートを表示するか、または 検索 フィールドを使用してレポートの一覧をホストまたはホストのサブセットに制限します。コンプライアンスレポートを削除するには、レポートを表示 の横にあるドロップダウンリストから 削除 を選択します。
ホストのポリシーコンプライアンスを管理する際に、一定期間におけるコンプライアンスの変更をモニターすることが役立ちます。Satellite 6 はコンプライアンスの変更を手動でモニターするのに必要な情報およびメールによる通知を提供します。「コンプライアンスレポートの検索」 に詳述されているように、検索 フィールドを使用してレポートの一覧を 1 つ以上のホストに制限し、変更を手動で評価します。『Server Administration Guide』 の Configuring Email Notifications に詳述されているように、コンプライアンス変更についてのメールのメッセージをサブスクライブします。
コンプライアンスレポートの概要

図5.2 コンプライアンスレポートの概要

5.4.3. コンプライアンスレポートの検索

コンプライアンスレポートの検索フィールドを使用して、レポートの一覧の範囲を制限することができます。ホストのサブセットに範囲を狭めることにより、最も必要とされるリソースを重点的に確認することができます。フィルターを適用するには、検索 フィールドに検索条件を入力し、Enter を押すか、または 検索 をクリックします。実行される検索では大文字と小文字が区別されません。空の 検索 フィールドをクリックして利用可能な検索パラメーターの一覧を表示します。
利用可能なすべての検索演算子の詳細については、『サーバー管理ガイド』 の 詳細な検索に対してサポートされる演算子 を参照してください。論理演算子の andnot および has を使用して複雑なクエリーを作成することができます。正規表現は有効な検索条件として使用できませんが、複数のフィールドを単一の検索式で使用することができます。

論理演算子

  • not: 式を否定します。
  • has: オブジェクトには指定したプロパティーがなければなりません。
  • and: 検索条件を組み合わせます。
ユースケースの検索

以下の検索条件により、ルールが 6 回以上パスしなかったコンプライアンスレポートすべてを検索します。 

failed > 5
以下の検索条件により、ホスト名に文字列 prod-. 
host ~ prod- AND date > "Nov 5, 2015"
が含まれるホストについての、2015 年 11 月 5 日より後に作成されたすべてのコンプライアンスレポートが検索されます。
以下の検索条件により、1 時間前より compliance_policy rhel7_audit を使用して生成されたすべてのレポートが検索されます。 
"1 hour ago" AND compliance_policy = date = "1 hour ago" AND compliance_policy = rhel7_audit
すべての 利用可能なコンプライアンスレポートを再び一覧表示するには、検索 条件を削除してから Enter を押すか、または 検索 をクリックします。
検索のブックマーク

検索をブックマークして、同じ検索条件を再び適用することができます。

手順5.8 検索をブックマークするには、以下を実行します。

  1. 検索条件を適用します。
  2. 検索 一覧から、この検索をブックマーク を選択します。
  3. 名前 フィールドに記入します。
    ブックマークをこの Satellite インスタンスの他のユーザーが利用できるようにするには、公開 チェックボックスを選択します。
  4. 送信 をクリックします。
ブックマークを使用するには、ホストレポート に移動し、検索 ボタンの横にあるドロップダウン項目をクリックしてから、ブックマークをクリックします。

5.4.4. コンプライアンスレポートの表示

ホストレポート に移動してから、特定のホストの列にある レポートを表示 をクリックします。
コンプライアンスレポートは以下のセクションで構成されています。
  • Introduction (導入)
  • Evaluation Characteristics (評価特性)
  • Compliance and Scoring (コンプライアンスおよびスコアリング)
  • Rule Overview (ルールの概要)

5.4.4.1. Evaluation Characteristics (評価特性)

このセクションでは、評価されたホスト、評価に使用されたプロファイル、および評価の開始と終了を含む、特定のプロファイルに対する評価についての詳細情報を提供します。参照用として ホストの IPv4、IPv6、および MAC アドレスも一覧表示されます。

Evaluation Characteristics (評価特性)

Target machine (ターゲットマシン)
評価されるホストの完全修飾ドメイン名 (FQDN) です。例: test-system.example.com
Benchmark URL (ベンチマーク URL)
ホストの評価に使用される SCAP コンテンツの URL です。例: /var/lib/openscap/content/1fbdc87d24db51ca184419a2b6f
Benchmark ID (ベンチマーク ID)
ホストの評価に使用されるベンチマークの ID です。ベンチマークはプロファイルのセットです。例: xccdf_org.ssgproject.content_benchmark_RHEL_7
Profile ID (プロファイル ID)
ホストの評価に使用されるプロファイルの ID です。例: xccdf_org.ssgproject_content_profile_rht-ccp
Started at (開始時刻)
ISO 8601 形式で示される評価が開始された日時です。例: 2015-09-12T14:40:02
Finished at (終了日時)
ISO 8601 形式で示される評価の終了日時です。例: 2015-09-12T14:40:05
Performed by (実行ユーザー)
評価をホストに実行したローカルのアカウント名です。例: root
Evaluation Characteristics (評価特性)

図5.3 Evaluation Characteristics (評価特性)

5.4.4.2. Compliance and Scoring (コンプライアンスおよびスコアリング)

このセクションでは、ホストがプロファイルのルールに準拠しているかどうかの概要、重大度別の非コンプライアンスの内訳、およびパーセンテージで示される全体のコンプライアンススコアを示します。ルールへのコンプライアンスがチェックされなかった場合には、Rule results (ルール結果)Other (その他)と分類されます。
Compliance and Scoring (コンプライアンスおよびスコアリング)

図5.4 Compliance and Scoring (コンプライアンスおよびスコアリング)

5.4.4.3. Rule Overview (ルールの概要)

このセクションでは、階層的に示されるルールと共にすべてのルールの詳細とコンプライアンスの結果を示します。
コンプライアンスレポートに組み込まれるルールの一覧を制限するためにチェックボックスを選択したり、クリアしたりします。たとえば、非コンプライアンスを重点的にレビューする場合には、pass および informational チェックボックスをクリアします。
すべてのルールを検索するには、検索 フィールドに条件を入力します。検索は、入力時に動的に適用されます。検索 フィールドは、単一のプレーンテキストの検索用語のみを受け入れ、それは大文字と小文字を区別しない検索に適用されます。検索の実行時には、説明が検索条件に一致するルールのみが一覧表示されます。検索フィルターを削除するには、検索条件を削除します。
それぞれの結果の説明については、結果 列に示される状況の上にカーソルを合わせます。
Rule Overview (ルールの概要)

図5.5 Rule Overview (ルールの概要)

5.4.4.4. ルール結果の検査

ホストがルールのコンプライアンスに失敗した理由を判別するには、ルールのタイトルをクリックします。次に開かれるウィンドウでは、ルールの説明 (該当する場合は、ホストのコンプライアンスを確保する方法が含まれる)、ルールの根拠、および場合によっては修復スクリプトを含む追加情報が提供されます。
ルール評価の結果

図5.6 ルール評価の結果

警告

推奨される修復操作やスクリプトのいずれについても、まずそれらを本番以外の環境でテストしてから実装するようにしてください。

5.4.5. コンプライアンスのメール通知

Satellite Server は、Openscap policy summary (Openscap ポリシー概要) のメール通知をサブスクライブするすべてのユーザー宛に OpenSCAP 概要メールを送信します (『サーバー管理ガイド』 の 電子メール通知の設定 を参照)。ポリシーが実行されるたびに、Satellite は直前の実行との比較で結果をチェックし、それらの間に変更がないかどうかを確認します。メールは各サブスクライバーがリクエストする頻度で送信され、各ポリシーの概要と最近の結果の情報を提供します。
OpenSCAP の概要 メールメッセージには、以下の情報が含まれます。
  • 対象とする期間の詳細。
  • すべのホストの合計 (状況別): 変更済み、準拠、および非準拠。
  • 各ホストの表形式の内訳と、合格、失敗、変更済み、または結果が不明な場合などのルールの合計を含む最新ポリシーの結果。
以下は、OpenSCAP 概要のメールメッセージの例になります。