使用 FedRAMP 的 Red Hat Insights 的客户端配置指南
Insights 客户端的配置选项和用例
摘要
第 1 章 Insights 客户端概述
Insights 客户端(insights-client)是 Red Hat Insights for Red Hat Enterprise Linux 的客户端。从命令行运行 insights-client。
1.1. Red Hat Insights 客户端发布
Insights 客户端可用于以下 Red Hat Enterprise Linux (RHEL)版本。
| RHEL 发行版本 | 注释 |
|---|---|
| RHEL 9 | 预安装的 Insights 客户端。 |
| RHEL 8 | 预安装 Insights 客户端,除非将 RHEL 8 作为最小安装安装。 |
| RHEL 7 | 随 Insights 客户端 RPM 软件包加载但未安装。 |
| RHEL 6.10 及更新的版本 | 您必须下载 Insights 客户端 RPM 软件包并安装它。 |
第 2 章 安装 insights-client
您可以在由 Red Hat 基础架构管理的现有系统上安装 Red Hat Enterprise Linux,也可以在 Red Hat Enterprise Linux 的最小安装上安装它。
安装 Insights 客户端后,您需要注册系统。有关注册系统的更多信息,请参阅 配置身份验证。
2.1. 在由 Red Hat Update Infrastructure 管理的现有系统上安装 insights-client
使用以下说明,在现有由 Red Hat Update Infrastructure (RHUI)管理的现有云市场购买的 Red Hat Enterprise Linux 上部署 Insights。
先决条件
- 系统的 root 级别访问权限。
流程
输入以下命令安装 Insights 客户端软件包的当前版本:
RHEL 版本 6 和 7
[root@server ~]# yum install insights-client
RHEL 版本 8 及更新的版本
[root@server ~]# dnf install insights-client
2.2. Insights 客户端 CLI 和配置文件如何进行交互
Insights 客户端根据其调度程序设置自动运行。默认情况下,它会每 24 小时运行一次。要以交互方式运行客户端,请输入 insights-client 命令。
当客户端运行时,以下值和设置会控制其行为:
-
从 CLI 运行
insights-client时提供的值会临时覆盖预设置配置文件设置和系统环境设置。您在insights-client命令中提供选项的任何值都仅用于那个 Insights 客户端实例。 -
配置文件中的设置(
/etc/insights-client/insights-client.conf和/etc/insights-client/remove.conf)覆盖系统环境设置。 -
任何系统环境变量(
printenv)的值都不受 CLI 或客户端配置文件的影响。
如果您使用 RHEL 6.9 或更早版本,client 命令为 redhat-access-insights。
2.3. 在 RHEL 的最小安装上安装 Insights 客户端
Insights 客户端不会在运行 Red Hat Enterprise Linux 8 最小安装的系统中自动安装。
有关最小安装的更多信息,请参阅执行标准 RHEL 安装中的 配置软件选择。
先决条件
- 系统的根级别访问权限。
流程
- 要使用 Insights 客户端创建最小安装,请从 Anaconda 安装程序中的 RHEL Software Selection 选项中选择 Minimal Installation。
-
确保选中 Additional Software for Selected Environment 部分中的 Standard 复选框。Standard 选项在 RHEL 安装中包含
insights-client软件包。
如果您没有选择 Standard 复选框,RHEL 安装在没有 insights-client 软件包的情况下安装。如果发生这种情况,请使用 dnf install 稍后安装 Insights 客户端。
2.4. 如何解决 Insights Client/real-time 调度问题
Insights 客户端执行一些命令,这些命令可在您的系统上收集数据。因此,它有一个配置限制,其 CPU 使用率限制为没有超过 30%。这个限制在配置文件中定义:
insights-client-boot.service: CPUQuota=30%
此配置可防止 Insights 客户端在系统中创建 CPU 激增。这个 spike 可能会影响您系统上运行的其他应用程序。具体来说,它可能会阻止依赖于实时调度的应用程序启动。
如果您需要启用实时调度,您可以禁用 CPU 配额限制。删除此配置的风险最小。但是,当 Insights 客户端运行时,CPU 使用率可能会变得不高。如果出现这种情况并对您的系统上的其他服务造成负面影响,请联系红帽支持以获得帮助。
第 3 章 配置身份验证
基本身份验证已弃用。如果使用基本身份验证,您必须更改为当前支持的验证方法之一。有关为用户访问从基本身份验证改为基于证书的验证的更多信息,请参阅 如何从 Basic Auth 切换到 Red Hat Insights 的 证书身份验证。
3.1. 身份验证方法
根据 Red Hat Insights for Red Hat Enterprise Linux 如何使用 Red Hat Insights,您必须使用以下验证方法之一:
基于证书的身份验证(CERT)
基于证书的验证是默认的身份验证方法。当使用 Red Hat Subscription Manager (RHSM)注册系统时,或您的系统由 Red Hat Satellite 系统管理管理时,会生成证书。客户端配置文件默认包含
authmethod=CERT。不需要额外的配置更改。激活码
首选验证方法使用激活码以及机构 ID 将系统注册到红帽托管服务,如 RHSM 或远程主机配置(RHC)。
您所在机构的激活码列在 Red Hat Hybrid Cloud Console 的 Activation Keys 页面中。您可以使用激活码作为身份验证令牌将系统注册到红帽托管服务,如 Red Hat Subscription Manager (RHSM)或远程主机配置(RHC)。管理员可以为您的组织创建、编辑和删除激活密钥。
3.2. 使用激活码进行身份验证
激活密钥是预共享身份验证令牌,使授权用户可以注册和配置系统。它消除了存储、使用和共享个人用户名和密码组合的需求,从而提高安全性并促进自动化。
您可以使用激活码和一个数字机构标识符(机构 ID)来将系统注册到红帽托管服务,如 Red Hat Subscription Manager (RHSM)或远程主机配置(rhc)。您的机构激活码和机构 ID 显示在 Hybrid Cloud Console 的 Activation Keys 页面中。
有关如何为您的系统创建和管理激活码的更多信息,请参阅 Red Hat Hybrid Cloud Console 中的创建和管理激活码。
3.3. 使用 Red Hat Hosted Services 注册系统
安装 Insights 客户端后,您需要注册系统。这需要两个步骤:
- 使用红帽托管服务注册,如 Red Hat Subscription Manager (RHSM)或远程主机配置(rhc)。
- 将系统注册到 Insights 客户端
有关在 Insights 客户端中注册系统的更多信息,请参阅配置 insights-client。
先决条件
- 每个系统的管理员登录访问权限
- 激活码
- 机构 ID
流程
RHEL 7 和 8
要注册运行 Red Hat Enterprise Linux 版本 7 或 8 的系统,请使用激活码和您的机构 ID 使用 RHSM 注册。
# subscription-manager register --activationkey=_activation_key_name_ --org=_organization_ID_
RHEL 9
要注册运行 RHEL 9 或更高版本的系统,请使用激活码在 rhc 客户端中注册。如果您不想在系统中运行 rhc 管理服务,请为 RHEL 9 系统使用与 RHEL 7 或 RHEL 8 相同的命令。
# rhc connect --activation-key example_key --organization
其他资源
- 有关安装 Insights 的更多信息,请参阅开始使用 Red Hat Insights
- 有关 rhc 客户端的更多信息,请参阅远程主机配置和管理
- 在 Red Hat Hybrid Cloud Console 中使用激活码
- 在 Red Hat Hybrid Cloud Console 中创建和管理激活码。
- RHEL 系统注册入门
- 有关在 Insights 客户端中注册系统的更多信息,请参阅配置 insights-client。
第 4 章 配置 insights-client
安装 Insights 客户端后,您必须将您的系统注册到 Red Hat Insights for Red Hat Enterprise Linux。通过注册,您可以使用 Red Hat Insights for Red Hat Enterprise Linux 服务。
4.1. 将您的系统注册到 Red Hat Insights
您可以使用 insights-client 命令在 Red Hat Insights 中注册系统。
作为选项,您可以在注册系统时为主机分配显示名称。显示名称在 Insights UI 中标识系统。如果在注册系统时没有分配显示名称,Insights 将使用系统的默认主机名。
先决条件
- 系统的 root 级别权限。
- Insights 客户端已安装在您的系统上。
流程
使用
--register选项输入insights-client命令。[root@insights]# insights-client --register
可选。要指定系统的显示名称,请包含
--display-name选项。例如:[root@insights]# insights-client --register --display-name ITC-4 System display name changed from None to ITC-4
验证
使用
--status选项输入insights-client命令。[root@insights]# insights-client --status System is registered locally via .registered file. Registered at 2019-08-20T12:56:48.356814 Insights API confirms registration.
现在,您可以访问基于云的 Red Hat Insights for Red Hat Enterprise Linux 服务。
4.2. 使用 Insights 取消注册您的系统
您可以使用 Red Hat Insights for Red Hat Enterprise Linux 取消注册您的系统。当您这样做时,您的系统信息将不再上传到 Insights for Red Hat Enterprise Linux。
先决条件
- 对您的系统的根级别访问权限。
- 您的系统使用 Insights for Red Hat Enterprise Linux 注册。
流程
使用
--unregister选项输入insights-client命令。[root@insights]# insights-client --unregister Successfully unregistered from the Red Hat Insights Service
验证
使用
--status选项输入insights-client命令。[root@insights]# insights-client --status System is NOT registered locally via .registered file. Unregistered at 2021-03-12T10:36:39.257300 Insights API says this machine was unregistered at 2021-03-12T00:36:39.000Z
4.3. 使用 Red Hat Insights 重新注册您的系统
要重新注册 Red Hat Insights for Red Hat Enterprise Linux 中的系统,并在重新注册后避免 Insights 清单服务中的任何重复主机条目,请使用两个选项运行 insights-client 命令两次:
-
--unregister -
--register
先决条件
- 系统的 root 级别权限。
- Insights 客户端已安装在您的系统上。
流程
使用
--unregister选项输入insights-client命令。[root@insights]# insights-client --unregister
使用
--register选项输入insights-client命令。[root@insights]# insights-client --register
验证
使用带有 --unregister 选项的 insights-client 命令成功实现重新注册命令,后跟带有 --register 选项的 insights-client 命令会导致以下信息:
[root@insights]# Successfully uploaded report for <machine name> View the Red Hat Insights console at https://console.openshiftusgov.com/insights/
4.4. 更改主机显示名称
您可以更改在 GUI 中显示的主机显示名称。在将系统注册到 Red Hat Insights for Red Hat Enterprise Linux 或注册后,进行此更改。如果您在注册系统时没有分配显示名称,Red Hat Insights for Red Hat Enterprise Linux 将使用 /etc/hostname 中的值。
这个过程是可选的。除了默认主机名外,确定您是否要使用显示名称。
使用 insights-client 命令设置显示名称会立即生效,但不运行 Insights 客户端。
如果您模糊处理主机名,/etc/hostname 中的 hostname 配置会模糊处理。分配 显示名称,以便您可以识别主机,即使 其主机名 被模糊处理。
先决条件
- 系统的根级别访问权限。
流程
使用
--display-name选项输入insights-client命令并指定显示名称。[root@insights]# insights-client --display-name ITC-4 System display name changed from None to ITC-4
要创建包含空格的显示名称,请使用双引号。
[root@insights]# insights-client --display-name "ITC-4 B9 4th floor" System display name changed from None to ITC-4 B9 4th floor
4.5. 显示客户端版本
您可以显示客户端版本和客户端内核版本。
先决条件
- 对您的系统的根级别访问权限。
流程
使用
--version选项输入insights-client命令。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
第 5 章 Insights 客户端数据模糊
Insights 客户端为 IP 地址和主机名提供模糊处理。模糊处理使用 Python SoS 进程,在处理 Insights 客户端存档时,将主机名和 IP 地址替换为预设置的值。然后,已处理的存档文件将发送到 Red Hat Insights for Red Hat Enterprise Linux。
您可以在 /etc/insights-client/insights-client.conf 配置文件中启用或禁用模糊处理。您可以选择模糊处理系统 IP 地址,也可以选择模糊处理 IP 地址和主机名。您不能只为主机名选择模糊处理。
您不能选择模糊的值。Python SoS 进程会自动选择值。
Red Hat Insights for Red Hat Enterprise Linux 合规性服务使用 OpenSCAP 工具根据主机系统的信息生成合规性报告。与 OpenSCAP 的协作可防止合规服务完全模糊或红色的主机名和 IP 地址数据。另外,当主机系统上启动合规数据收集作业时,主机信息也会发送到 Insights for Red Hat Enterprise Linux。Red Hat Insights for Red Hat Enterprise Linux 旨在提高主机信息的模糊性选项。
有关 Red Hat Enterprise Linux 的 Red Hat Insights 如何处理数据收集的详情,请参考 Red Hat Insights Data & Application Security。
5.1. 模糊处理 IPv4 地址
在向 Red Hat Insights for Red Hat Enterprise Linux 发送之前,您可以在归档文件中模糊处理 IPv4 主机地址。
当您选择 IP 地址模糊时,存档文件中的主机地址将更改为 Python SoS 文件中提供的值。您无法配置为模糊处理提供的值。您也无法屏蔽或选择主机 IP 地址的一部分来模糊处理。
仅 IPv4 地址支持 IP 地址模糊处理。
流程
-
使用编辑器打开
/etc/insights-client/insights-client.conf文件。 找到包含以下设置的行:
#obfuscate=False
删除
#并将False改为True。obfuscate=True
-
保存并关闭
/etc/insights-client/insights-client.conf文件。
示例
原始主机 IP 地址
192.168.0.24
在 Red Hat Insights for Red Hat Enterprise Linux 中出现模糊的主机 IP 地址
10.230.230.1
如果您在另一个系统中选择了 IP 地址模糊,Python SoS 进程将其 IP 地址改为存档文件中相同的模糊值。在本例中,额外的系统也会显示一个模糊处理的 IP 地址 10.230.230.1。在 Red Hat Insights for Red Hat Enterprise Linux GUI 中,您可能会看到多个具有相同 IP 地址的系统,从而导致混淆。
5.2. 模糊处理主机名
在发送到 Red Hat Insights for Red Hat Enterprise Linux 之前,您可以在归档文件中模糊处理主机名。如果您为您的系统分配了一个单个的主机名,则 /etc/hostname 中的 hostname 会变为 host0。其他主机名会更改为 host1、host2,直到为系统配置的主机名数量。
您可以为没有模糊处理的系统分配显示名称。显示名称会出现在 Red Hat Insights for Red Hat Enterprise Linux 应用程序中。只有 /etc/hostname 被模糊处理。
如果要模糊处理主机名,还必须模糊处理 IP 地址。
先决条件
- 您已模糊处理 IP 地址。如需更多信息,请参阅 Obfuscating IPv4 地址。
流程
-
使用编辑器打开
/etc/insights-client/insights-client.conf文件。 找到包含
obfuscate_hostname的行。#obfuscate_hostname=False
删除
#并将False改为True。obfuscate_hostname=True
-
保存并关闭
/etc/insights-client/insights-client.conf文件。 (可选)使用带有
--display-name选项的insights-client命令来分配系统的显示名称。显示名称不会被混淆。[root@insights]# insights-client --display-name ITC-4
当您选择主机名模糊时,存档文件中的 /etc/hostname 值将改为 Python SoS 文件中提供的值。然后,Red Hat Insights for Red Hat Enterprise Linux 应用程序中显示模糊的主机名。
示例
原始
/etc/hostnameRTP.data.center.01
模糊处理
/etc/hostname,因为它出现在 Red Hat Insights for Red Hat Enterprise Linux 中host0
如果您在另一个系统上配置主机名模糊处理,其名称使用相同的模糊值。在 Red Hat Insights for Red Hat Enterprise Linux GUI 中,您可能会看到多个 具有相同主机名的 系统,从而导致混淆。
第 6 章 Insights 客户端数据重做
Red Hat Insights for Red Hat Enterprise Linux 会收集最少的数据,包括可能包含个人可识别信息(PII)的数据。要防止 PII (或其他配置数据)被收集,请应用数据重做。
6.1. Insights 客户端数据重做选项
Insights 客户端提供数据红色选项。根据您的 RHEL 版本,有两种控制数据重定位的方法。
表 6.1. 数据重做和 RHEL 版本
| RHEL 版本 | redaction 方法 |
|---|---|
| RHEL 6.9, 7.8, 8.2, 及更早版本 | 配置文件
|
| RHEL 6.10, 7.9, 8.3 和更新版本 | YAML 文件
|
您必须创建 remove.conf 配置文件或 YAML 文件。默认情况下不安装它们。
其他资源
- 有关 Red Hat Enterprise Linux 的 Red Hat Insights 如何处理数据收集的详情,请参考 Red Hat Insights Data & Application Security。
6.2. 使用 remove.conf 来掩盖数据
当您将配置文件用于数据重做时,文件的内容会控制哪些数据被重做,以及如何将其恢复。默认配置文件为 /etc/insights-client/remove.conf。作为一个选项,您还可以将 Insights 客户端配置为使用不同的掩盖操作配置文件。
根据您的 redaction 配置文件中的条目,您可以指定一个或多个以下操作:
- 从数据收集中消除特定文件及其内容
- 消除数据收集中所选的命令输出
- 消除与模式匹配的信息
-
使用特定的字符串替换默认的
keyword字符串
当您通过消除配置 redaction 时,策略信息永远不会记录在存档文件中。redaction 由在归档文件中捕获数据前预处理数据执行。
对于字符串替换,存档文件由 Python SoS 进程处理,然后再发送到 Red Hat Insights for Red Hat Enterprise Linux。
remove.conf 文件不支持正则表达式匹配。
您可以使用命令行选项控制存档文件输出。例如,您可以生成存档文件,但不能将其发送到 Red Hat Insights for Red Hat Enterprise Linux。您可以在发送存档前检查和验证红色结果。
当您重新定义文件和命令输出时,这些信息无法与 Insights for Red Hat Enterprise Linux 规则进行比较。这些遗漏可能会导致 Insights for Red Hat Enterprise Linux 无法识别适用于您的系统的问题。
6.2.1. 使用 remove.conf配置 Insights 数据恢复操作
/etc/insights-client/remove.conf 文件控制 Insights 客户端数据重新操作。您必须手动创建此文件。
如果您正在运行 Red Hat Enterprise Linux 6.9、8.8、8.2 及更早版本,请使用这个 redaction 方法。
先决条件
- 对您的系统的根级别访问权限。
流程
使用编辑器创建
/etc/insights-client/remove.conf文件模板。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
- 可选。删除您不希望应用到 Insights 客户端 redaction 文件中的任何行。
- 保存文件并退出编辑器。
使用命令行,验证只为
root所有者设置了remove.conf文件权限。[root@insights]# ll remove.conf -rw-------. 1 root root 145 Sep 25 17:39 remove.conf
6.2.2. 特定的文件内容
您可以使用 remove.conf 文件选择要确定的特定文件。您选择及其内容的文件不包含在归档文件中。
先决条件
-
/etc/insights-client/remove.conf文件必须存在。如果您还没有创建remove.conf文件,请创建该文件。 - 对您的系统的根级别访问权限。
流程
在一个编辑器中打开
/etc/insights-client/remove.conf文件。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
在
files=行中,从存档文件中添加或删除您要保留的文件。注意每个文件名使用一个逗号分开。不要使用空格。
-
可选。如果您不想从 Insights 客户端存档中清除任何文件,请删除
files=行。 - 保存并关闭该文件。
6.2.3. 特定于 Redacting 的命令
您可以使用 remove.conf 文件来代替特定的命令。红色命令的输出不包括在归档文件中。
先决条件
-
/etc/insights-client/remove.conf文件必须存在。如果您还没有创建remove.conf文件,请创建该文件。 - 对您的系统的根级别访问权限。
流程
在一个编辑器中打开
/etc/insights-client/remove.conf文件。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
在
commands=行中,添加您要从存档文件中 redact 的命令,或者删除您不想红色的命令。注意使用单个逗号分隔每个命令。不要使用空格。
-
可选。如果您不想从 Insights 客户端存档中清除任何文件,请删除
files=行。 - 保存并关闭该文件。
6.2.4. redacting 字符串特征
您可以使用 remove.conf 文件从存档文件中重做特定的字符串模式。
如果您将字符串模式指定为 redact,则进程会重做包含该模式的归档文件中所有行。例如,如果字符串模式是 name,则该模式匹配和红色 主机名、文件名、用户名。
不支持正则表达式和通配符匹配(egrep)。
先决条件
-
/etc/insights-client/remove.conf文件必须存在。如果您还没有创建remove.conf文件,请创建该文件。 - 对您的系统的根级别访问权限。
流程
在一个编辑器中打开
/etc/insights-client/remove.conf文件。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
在
pattern=行中,添加您要从存档文件中 redact 的任何字符串模式。注意使用单个逗号分隔每个字符串模式。不要使用空格。
-
可选。如果您不想从存档文件中清除任何模式,请删除
patterns=行。 - 保存并关闭该文件。
6.2.5. redacting 关键字
您可以使用 remove.conf 文件来重做特定的关键字。Python SoS 进程将在归档文件中替换您使用 keyword0, keyword1, keyword2 等选择的关键字。
先决条件
-
/etc/insights-client/remove.conf文件必须存在。如果您还没有创建remove.conf文件,请创建该文件。 - 对您的系统的根级别访问权限。
流程
在一个编辑器中打开
/etc/insights-client/remove.conf文件。[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
在
keywords=行中,添加您要从存档文件中红色的任何关键字。注意使用单个逗号分隔每个字符串模式。不要使用空格。
-
可选。如果您不想从存档文件中清除任何关键字,请删除
keywords=行。 - 保存并关闭该文件。
6.2.6. 验证 remove.conf 文件
您可以验证 remove.conf 文件,以确保其语法正确,然后才能将其用于 redaction。
先决条件
-
/etc/insights-client/remove.conf文件必须存在。如果您还没有创建remove.conf文件,请创建该文件。 - 对您的系统的根级别访问权限。
流程
使用
--validate选项输入insights-client命令。[root@insights]# insights-client --validate
- 更正命令显示的任何错误。
6.3. 使用 YAML 文件进行 redaction
当您将 YAML 文件用于 redaction 时,两个文件控制 redaction 操作:
-
file-redaction.yaml -
file-content-redaction.yaml
您可以根据您要进行发布的内容,使用一个或多个文件。当 Python SoS 进程运行时,它会在归档文件中捕获之前对指定的内容进行重新处理。
如果您运行 Red Hat Enterprise Linux 6.10、7.9、8.3 及更新的版本,请使用这个 redaction 方法。
YAML 文件的工作方式
/etc/insights-client/file-redaction.yaml 列出您要重新处理的命令和文件。当进程运行时,它会清除列出的命令和文件的输出。
/etc/insights-client/file-content-redaction.yaml 定义模式 redaction 和 keyword 替换。对于模式 redaction,进程红色模式或正则表达式,与 YAML 文件中指定的匹配。对于关键字替换,进程会将指定的关键字替换为通用标识符。
6.3.1. 为文件 redaction 配置 YAML 命令
/etc/insights-client/file-redaction.yaml 文件列出了您要重新处理的命令和系统文件。当 Python SoS 进程运行时,它不会在上传的存档文件中包含列出的命令或文件的输出。
先决条件
- 您必须熟悉 YAML 语法的基础知识。解释 YAML 超出了此流程范围。
- 您必须具有系统的根级别访问权限。
流程
使用编辑器创建
/etc/insights-client/file-redaction.yaml文件。示例
# file-redaction.yaml --- # Exclude the entire output of commands # Specify the full command path or the symbolic name in .cache.json commands: - /bin/rpm -qa - /bin/ls - ethtool_i # Exclude the entire output of files # Specify the full filename path or the symbolic name in .cache.json files: - /etc/audit/auditd.conf - cluster_conf
验证是否只为
root所有者设置了file-redaction.yaml文件权限。[root@insights]# ll file-redaction.yaml -rw-------. 1 root root 145 Sep 25 17:39 file-redaction.yaml
6.3.2. 配置 YAML 模式和关键字 redaction
/etc/insights-client/file-content-redaction.yaml 文件使用两种方法: pattern redaction 和 keyword 替换。pattern redaction 使用模式匹配或正则表达式匹配。在关键字替换中,Python SoS 进程使用通用标识符替换关键字。
先决条件
- 您必须熟悉 YAML 语法的基础知识。解释 YAML 超出了此流程范围。
- 您必须具有系统的根级别访问权限。
流程
使用编辑器创建
/etc/insights-client/file-content-redaction.yaml文件。示例
# file-content-redaction.yaml --- # Pattern redaction per matching line # Lines that match a pattern are excluded from files and command output. # Patterns are processed in the order that they are listed. # Example patterns: - "a_string_1" - "a_string_2" # Regular expression pattern redaction per line # Use "regex:" to wrap patterns with regular expressions" # Example patterns: regex: - "abc.*def" - "localhost[[:digit:]]" # Keyword replacement redaction # Replace keywords in files and command output with generic identifiers # Keyword does not support regex # Example keywords: - "1.1.1.1" - "My Name" - "a_name"
确保只为
root所有者设置file-content-redaction.yaml文件权限。[root@insights]# ll file-content-redaction.yaml -rw-------. 1 root root 145 Sep 25 17:39 file-content-redaction.yaml
6.4. 验证 Insights 客户端存档
您可以验证存档文件的内容。通过检查存档文件,您可以确认将哪些数据发送到 Red Hat Insights for Red Hat Enterprise Linux。
如果使用 obfuscation 或 redaction,您可以在发送存档前检查存档。如果要保留存档文件,可以将其保存在系统中。
6.4.1. 在上传前验证存档
要在 Python SoS 脚本将其上传到 Red Hat Insights for Red Hat Enterprise Linux 前检查存档,请运行 Insights 客户端,然后在不上传文件的情况下保存文件。这可让您查看客户端发送给 Insights for Red Hat Enterprise Linux 的信息,并验证您的模糊或重操作设置。
归档文件存储在 /var/tmp/ 目录中。当 insights-client 完成后,它会显示文件名。
先决条件
-
如果使用 redaction,请确保正确配置了
/etc/insights-client/remove.conf文件。 -
如果使用混淆,请确保正确配置了
/etc/insights-client/insights-client.conf文件。
流程
使用
--no-upload选项输入insights-client命令。[root@insights]# insights-client --no-upload
当应用 redaction 或 obfuscation 时,命令会显示信息性消息。
WARNING: Excluding data from files Starting to collect Insights data for ITC-4 WARNING: Skipping patterns found in remove.conf WARNING: Skipping command /bin/dmesg WARNING: Skipping command /bin/hostname WARNING: Skipping file /etc/cluster/cluster.conf WARNING: Skipping file /etc/hosts Archive saved at /var/tmp/qsINM9/insights-ITC-4-20190925180232.tar.gz
导航到临时存储目录,如在消息
中保存的归档中所示。[root@insights]# cd /var/tmp/qsINM9/
解包压缩的
tar.gz文件。[root@insights]# tar -xzf insights-ITC-4-20190925180232.tar.gz
该脚本创建一个包含文件的新目录。
6.4.2. 上传后验证 Insights 客户端存档
要保留一个存档副本,在 Python SoS 脚本将其上传到 Red Hat Insights for Red Hat Enterprise Linux 后进行检查,请运行 insights-client,然后保存文件。这可让您验证客户端发送给 Insights for Red Hat Enterprise Linux 的信息,并验证您的模糊或重操作设置。
先决条件
-
如果使用 redaction,请确保正确配置了
/etc/insights-client/remove.conf文件。 -
如果使用混淆,请确保正确配置了
/etc/insights-client/insights-client.conf文件。
流程
使用
--keep-archive选项输入insights-client命令。[root@insights]# insights-client --keep-archive
命令显示信息性消息。
Starting to collect Insights data for ITC-4 Uploading Insights data. Successfully uploaded report from ITC-4 to account 6229994. Insights archive retained in /var/tmp/ozM8bY/insights-ITC-4-20190925181622.tar.gz
进入到在
Insights archive retained in信息中的临时存储目录。[root@insights]# cd /var/tmp/ozM8bY/
解包压缩的
tar.gz文件。[root@insights]# tar -xzf insights-ITC-4-20190925181622.tar.gz
该脚本创建一个包含文件的新目录。
第 7 章 系统过滤和组
Red Hat Insights for Red Hat Enterprise Linux 可让您过滤清单中的系统以及单个服务。Insights for Red Hat Enterprise Linux 还允许您根据三个标准过滤系统组:
- 运行 SAP 工作负载的组
- Satellite 主机组
- 您在 YAML 文件中定义的自定义过滤器
从 Spring 2022 开始,清单、公告、合规性、漏洞、补丁、偏移和策略根据组和标签进行过滤。其他服务将遵循。
使用全局过滤器 结果 框根据 SAP 工作负载、Satellite 主机组或添加到 Insights 客户端配置文件的文件过滤器中的自定义过滤器过滤。
先决条件
- Insights 客户端在每个系统上安装并注册。
- 系统上的 root 级别权限。
7.1. SAP 工作负载
由于 Linux 在 2025 年成为 SAP deployments 工作负载的强制操作系统,Red Hat Enterprise Linux 和 Red Hat Insights for Red Hat Enterprise Linux 致力于使 Insights for Red Hat Enterprise Linux 成为 SAP 管理员选择的管理工具。
作为这一持续工作的一部分,Red Hat Enterprise Linux 的 Insights 会自动标记运行 SAP 工作负载和 SAP ID (SID)的系统,而无需管理员进行任何自定义。要在 Insights for Red Hat Enterprise Linux 应用程序内过滤这些工作负载,请使用全局 Filter Results 下拉菜单。
7.2. Satellite 主机组
Satellite 主机组在 Satellite 中配置,并由 Insights for Red Hat Enterprise Linux 自动识别。
7.3. 自定义系统标记
您可以将自定义分组和标记应用到您的系统。这可让您向各个系统添加上下文标记,根据 Insights for Red Hat Enterprise Linux 应用程序中的标签进行过滤,并更轻松地专注于相关系统。在大规模部署 Insights for Red Hat Enterprise Linux 时,此功能特别有价值,管理有大量数百个或数千个系统。
除了将自定义标签添加到多个 Insights for Red Hat Enterprise Linux 服务外,您还可以添加预定义的标签。顾问服务可以使用这些标签为您的系统创建目标建议,这些系统可能需要更多关注,比如那些需要更高级别安全性的系统。
7.3.1. 过滤结构
过滤器使用 namespace=value 或 key=value 对的结构。
-
namespace。命名空间是 ingestion point, insights-client 的名称。无法更改这个值。
tags.yaml文件从命名空间中提取,它在上传前由客户端注入。 - 密钥。您可以创建密钥或使用系统中的预定义密钥。您可以使用大写、字母、数字、符号和空格的组合。
- 值。您可以定义自己的描述性字符串值。您可以使用大写、字母、数字、符号和空格的组合。
7.3.2. 创建自定义组和 tags.yaml 文件
要创建并添加标签到 /etc/insights-client/tags.yaml,使用带有 --group=<name-you-choose> 选项的 insights-client。这个命令选项执行以下操作:
-
创建
etc/insights-client/tags.yaml文件 -
将
group=键和 <name-you-choose> 值添加到tags.yaml - 将系统的新存档上传到 Insights for Red Hat Enterprise Linux 应用程序,使新标签立即可见以及最新的结果
先决条件
- 对您的系统的根级别访问权限。
流程
以 root 用户身份运行以下命令,添加自定义组名称以代替 <
name-you-choose>:[root@server ~]# insights-client --group=<name-you-choose>
-
可选。要添加其他标签,请编辑
/etc/insights-client/tags.yaml文件。 - 进入 Inventory > Systems 并在需要时登录。
- 点 Filter by tags 下拉菜单。您还可以使用搜索框输入所有标签名称的一部分,以便在标签中自动显示带有该文本的系统。
- 向上或向下滚动列表以查找标签。
- 单击标签以对其进行过滤。
验证您的系统是否在公告系统列表中的结果。
- 进入 Inventory > Systems 并在需要时登录。
- 激活 Name 过滤器并开始输入系统名称,直到您看到您的系统,然后选择它。
- 标签符号是一个黑色,它旁边的数字显示应用的正确标签数。
7.3.3. 编辑 tags.yaml 以添加或更改标签
创建组 标签后,您可以编辑 tags.yaml 的内容来添加或修改标签。
以下流程演示了如何编辑 /etc/insights-client/tags.yaml 文件,然后验证 Red Hat Insights > RHEL > Inventory 中存在该标签。
先决条件
- 对您的系统的根级别访问权限。
流程
在编辑器中打开标签配置文件
tags.yaml。[root@server ~]# vim /etc/insights-client/tags.yaml
编辑文件内容或添加额外的
key=value对。如果需要,添加额外的key=value对。使用大写、字母、数字、符号和空格的组合。以下示例演示了如何在向系统添加多个标签时组织tags.yaml。# tags --- group: _group-name-value_ location: _location-name-value_ description: - RHEL8 - SAP key 4: value
- 保存更改并关闭编辑器。
为 Red Hat Enterprise Linux 生成上传到 Insights 的上传。
[root@server ~]# insights-client
- 进入 Inventory > Systems 并在需要时登录。
在 Filter Results 框中,点向下箭头并选择其中一个过滤器,或者输入过滤器的名称并选择它。
注意您可以通过 tag 键或其值进行搜索。
- 在结果中查找您的系统。
- 验证过滤器图标是否被判断,并显示代表系统应用的过滤器数量的数字。
7.4. 使用预定义的系统标签获得更准确的 Red Hat Insights 顾问服务建议并提高安全性
Red Hat Insights 顾问服务建议同样地处理每个系统。但是,有些系统可能需要比其他系统更安全,或者需要不同的网络性能级别。除了添加自定义标签的功能外,Red Hat Insights for Red Hat Enterprise Linux 提供了预定义的标签,公告服务还可用来为可能需要更多关注的系统创建目标建议。
要选择并获取预定义的标签提供的扩展安全强化和增强检测和修复功能,您需要配置标签。配置后,公告服务会根据适用于您的系统的定制严重性级别和首选网络性能提供建议。
要配置标签,请使用 /etc/insights-client/tags.yaml 文件以类似的方式标记带有预定义标签的系统,您可能使用它来标记 inventory 服务中的系统。预定义的标签是使用用于创建自定义标签的相同 key=value 结构配置的。下表包括了 Red Hat-predefined tags 的详细信息。
表 7.1. 支持的预定义标签列表
| 键 | 值 | 备注 |
|---|---|---|
| 安全 |
|
使用 |
|
|
| 首选网络性能(根据您的业务要求的延迟或吞吐量)会影响到系统的公告服务推荐的严重性。 |
预定义的标签键名称被保留。如果您已使用关键 安全性,且值与其中一个预定义值不同,您不会在您的建议中看到更改。如果您的现有 key=value 与其中一个预定义键相同,才会看到建议更改。例如,如果您有一个 key=value of security: high,您的建议不会因为红帽定义的标签而改变。如果您目前有一个 key=value 对 security: strict,则会在您的系统建议中看到更改。
7.4.1. 配置预定义的标签
您可以使用 Red Hat Insights for Red Hat Enterprise Linux 顾问服务的预定义标签来调整系统的建议行为,以便扩展安全强化和增强检测和修复功能。您可以按照这个流程配置预定义的标签。
先决条件
- 有对系统的 root 级别访问权限
- 已安装 Insights 客户端
- 您已在 Insights 客户端中注册了系统
-
您已创建了
tags.yaml文件。请参阅 创建 tags.yaml 文件并添加自定义组
流程
使用命令行和您首选的编辑器,打开
/etc/insights-client/tags.yaml。(以下示例使用 Vim。)[root@server ~]# vi /etc/insights-client/tags.yaml
编辑
/etc/insights-client/tags.yaml文件,为标签添加预定义的key=value对。本例演示了如何添加security: strict和network_performance: latency标签。# cat /etc/insights-client/tags.yaml group: redhat location: Brisbane/Australia description: - RHEL8 - SAP security: strict network_performance: latency
- 保存您的更改。
- 关闭编辑器。
可选: 运行
insights-client命令生成到 Red Hat Insights for Red Hat Enterprise Linux 的上传,或等待下一个调度的 Red Hat Insights 上传。[root@server ~]# insights-client
确认预定义的标签在您的生产区中
在生成上传到 Red Hat Insights (或等待下一个调度的 Insights 上传)后,您可以通过访问 Red Hat Insights > RHEL > Inventory 来查找标签是否在生产环境中。查找您的系统并查找新创建的标签。您会看到一个显示的表:
- Name
- 值
- 标签源(例如 insights-client)。
下图显示了您在创建标签后在清单中看到的示例。
应用预定义的标签后的建议示例
以下公告服务镜像显示了配置了 network_performance: latency 标签的系统。
系统显示具有较高的 Total Risk 级别 Important 的建议。没有 network_performance: latency 标签的系统具有中等总风险。您可以决定系统优先级更高的总风险。
第 8 章 更改 insights-client 调度
您可以禁用、启用和修改控制 Insights 客户端何时运行的调度。默认情况下,Insights 客户端每 24 小时运行一次。默认调度中的计时器有所不同,因此所有系统都不同时运行客户端。
8.1. 禁用 Insights 客户端调度
您必须禁用客户端调度,然后才能更改默认的 Insights 客户端设置并创建新调度。
您用来禁用 insights-client 调度的步骤取决于您的 Red Hat Enterprise Linux 和客户端版本。
8.1.1. 使用 Client 1.x 禁用 RHEL 7.4 及更早版本的客户端调度
客户端 1.x 不再被支持。
在 Client 3.x 及更高版本中已弃用 --no-schedule 选项。
先决条件
- 对您的系统的根级别访问权限。
流程
使用
--version选项输入insights-client命令以验证客户端版本。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
使用
--no-schedule选项输入insights-client命令以禁用客户端调度。此命令会删除/etc/cron.daily中的符号链接。[root@insights]# insights-client --no-schedule
使用编辑器打开
/etc/insights-client/insights-client.conf文件并添加以下行:no_schedule=True
8.1.2. 使用 Insights 客户端 1.x 禁用 RHEL 7.5 及之后的版本的客户端调度
Insights 客户端 1.x 不再被支持。
--no-schedule 选项在 Insights 客户端 3.x 及更高版本中已弃用。
先决条件
- 对您的系统的根级别访问权限。
流程
使用
--version选项输入insights-client命令以验证客户端版本。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
使用
--no-schedule选项输入insights-client命令以禁用客户端调度。[root@insights]# insights-client --no-schedule
8.1.3. 禁用 RHEL 6、RHEL 7 及之后的版本的客户端调度,使用 Client 3.x
客户端 1.x 不再被支持。
在 Client 3.x 及更高版本中已弃用 --no-schedule 选项。
先决条件
- 对您的系统的根级别访问权限。
流程
使用
--version选项输入insights-client命令以验证客户端版本。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
使用
--disable-schedule选项输入insights-client命令以禁用客户端调度。[root@insights]# insights-client --disable-schedule
8.2. 启用 Insights 客户端调度
第一次启用客户端调度时,它会使用其默认设置运行。如果您更改了调度,则优先使用这些设置。
当您从命令行运行 insights-client 时,Insights 客户端将使用您为该会话指定的设置运行。当下一次调度的运行发生时,它会使用默认设置。
8.2.1. 在 RHEL 7.4 或更早版本启用 Insights 客户端调度,客户端 1.x
您可以启用客户端调度,使其在默认设置上运行。如果您更改了默认调度设置,则更改的设置将具有优先权。
先决条件
- 对您的系统的根级别访问权限。
- 客户端调度被禁用。
- (可选)您修改了默认调度。
流程
要验证客户端版本,请使用
--version选项输入insights-client命令。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
使用编辑器打开
/etc/insights-client/insights-client.conf文件。将以下行添加到 文件中。如果您的配置文件已经具有no_schedule的值,请将其更改为False。no_schedule=False
使用
--register选项输入insights-client命令以启用客户端。[root@insights]# insights-client --register
8.2.2. 在 RHEL 7.5 或更高版本和客户端 1.x 上启用 Insights 客户端调度
您可以启用客户端调度,使其在默认设置上运行。如果您更改了默认调度设置,则更改的设置将具有优先权。
客户端 1.x 不再被支持。
先决条件
- 对您的系统的根级别访问权限。
- 客户端调度被禁用。
- (可选)您修改了默认调度。
流程
要验证客户端版本,请使用
--version选项输入insights-client命令。[root@insights]# insights-client --version Client: 1.0.2-0 Core: 1.0.76-1
使用
--register选项输入insights-client命令以启用客户端调度。[root@insights]# insights-client --register
8.2.3. 在 RHEL 7 或更高版本上启用 Insights 客户端调度,客户端 3.x
您可以启用客户端调度,使其在默认设置上运行。如果您更改了默认调度设置,则更改的设置将具有优先权。
先决条件
- 对您的系统的根级别访问权限。
- 客户端调度被禁用。
- (可选)您修改了默认调度。
流程
要验证客户端版本,请使用
--version选项输入insights-client命令。[root@insights]# insights-client --version Client: 3.0.6-0 Core: 3.0.121-1
使用
--enable-schedule选项输入insights-client命令以启用客户端调度。[root@insights]# insights-client --enable-schedule
8.3. 修改 Insights 客户端调度
要更改 Insights 客户端何时运行,请修改调度。您使用的方法取决于系统运行的 RHEL 发行版本和客户端版本。
选择与您的 RHEL 版本匹配的流程。
-
对于 Red Hat Enterprise Linux 7.4 及更早版本,使用
cron修改系统调度。 -
对于 Red Hat Enterprise Linux 7.5 及更新的版本,更新
systemd设置和insights-client-timer文件。
8.3.1. 使用 cron调度 Insights 客户端
对于运行 RHEL 7.4 版本且更早版本和客户端版本 1.x 的系统,使用此流程。
客户端 1.x 不再被支持。
要更改运行 insights-client 的默认调度,请更新系统 cron 文件。
在 Red Hat Enterprise Linux 中,/etc/crontab 文件会定期在多个子目录中自动执行脚本。
/etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.monthly
先决条件
- 对您的系统的根级别访问权限。
- Insights 客户端调度被禁用。
流程
-
选择一个计划并设置
cron,以在其上执行insights-client。 -
完成更改后,启用
insights-client调度。
其他资源
-
查看
crontab (1)和cron (8)的 man page,以了解cron依赖项。 -
什么是
cron以及如何使用它?
8.3.2. 使用 systemd 设置调度 insights-client
对于运行 RHEL 7.5 及之后的版本的系统,使用 Client 3.x。
您可以通过更新系统 systemd 设置和 insights-client.timer 文件来更改运行 insights-client 的默认调度。
先决条件
- 对您的系统的根级别访问权限。
流程
要编辑
insights-client.timer文件中的设置,请输入systemctl edit命令和文件名。[root@insights]# systemctl edit insights-client.timer
此操作将打开带有默认系统编辑器的空文件。
输入不同的设置来修改调度。本例中的值是
systemd的默认设置。[Timer] OnCalendar=daily RandomizedDelaySec=14400
启用
insights-client调度。[root@insights]# insights-client --enable-schedule
其他资源
-
查看
systemctl (1)、systemd.timer (5)和systemd.time (7)的 man page 以了解systemd -
什么是
cron以及如何使用它?
8.3.3. 为由 Red Hat Satellite 管理的系统刷新软件包缓存
Insights 现在提供可选的 --build-packagecache 命令,以便为 Satellite 管理的系统上适用的更新提供准确的报告。这个选项为 insights-client 重建 yum/dnf 软件包缓存,并为系统创建适用的更新列表。
您可以手动运行命令来立即重建软件包缓存,或者您可以编辑客户端配置文件(/etc/insights-client/insights-client.conf),在每次系统检查 Insights 时自动重建软件包缓存。
其他资源
-
有关如何运行
--build-packagecache命令的更多信息,请参阅使用 Remediation Playbook 的系统补丁。 -
有关
--build-packagecache选项的更多信息,请参阅以下 KCS 文章 :https://access.redhat.com/solutions/7041171 - 有关在 Red Hat Satellite 中管理勘误的更多信息,请参阅管理内容。
第 9 章 为 Insights 启用和禁用自动规则更新
默认情况下,Insights 启用自动集合规则更新。您可以编辑客户端配置文件来禁用它们或重新启用它们。
9.1. 为 Insights 禁用自动规则更新
您可以为 Red Hat Insights for Red Hat Enterprise Linux 禁用自动集合规则更新。如果您这样做,则使用过时的规则定义文件的风险,而不是获得最新的验证更新。
先决条件
- 对您的系统的根级别访问权限。
- 启用自动规则更新。
流程
-
使用编辑器打开
/etc/insights-client/insights-client.conf文件。 找到包含的行
#auto_update=True
删除
#并将True改为False。auto_update=False
-
保存并关闭
/etc/insights-client/insights-client.conf文件。
9.2. 为 Insights 启用自动规则更新
如果您之前禁用了更新,您可以重新启用 Red Hat Insights for Red Hat Enterprise Linux 的自动集合规则更新。默认情况下启用自动规则更新。
先决条件
- 对您的系统的根级别访问权限。
- 自动规则集合被禁用。
流程
-
使用编辑器打开
/etc/insights-client/insights-client.conf文件。 找到包含的行
auto_update=False
将
False更改为True。auto_update=True
-
保存并关闭
/etc/insights-client/insights-client.conf文件。
第 10 章 创建诊断日志来支持
如果您需要红帽支持团队的帮助,您可以创建并共享诊断日志文件。这些日志文件可帮助支持团队排除 insights-client 的问题。
10.1. 创建诊断日志
您可以创建一个诊断日志来与支持团队共享。
先决条件
- 对您的系统的根级别访问权限。
流程
使用
--support选项输入insights-client命令。[root@insights]# insights-client --support
命令在创建支持文件时显示信息信息。
Collecting logs... Insights version: insights-core-3.0.121-1 Registration check: status: True unreachable: False . . . . Copying Insights logs to archive... Support information collected in /var/tmp/H_Y43a/insights-client-logs-20190927144011.tar.gz
按照消息
中收集的支持信息所示,导航到集合目录。[root@insights]# cd /var/tmp/H_Y43a
解包压缩的
tar.gz文件。[root@insights]# tar -xzf insights-client-logs-20190927144011.tar.gz
解压
tar.gz文件会生成一个包含日志文件的新目录。如果需要,您可以将tar.gz文件与支持团队共享。
附录 A. insights-client的命令选项
作为具有 root 特权的系统管理员,您可以使用 insights-client 命令及其选项来控制系统上的 Insights 客户端操作。因为 insights-client.rpm 的更新频率比 Insights for Red Hat Enterprise Linux 中的独立组件更新,所以手册页可能不包括 insights-client 的最新信息。
每次输入 insights-client 命令时,客户端都会收集数据并将其发送到 Insights for Red Hat Enterprise Linux。
使用 insights-client --display-name 命令设置显示名称可立即生效,但不运行 Insights 客户端。
A.1. Insights 客户端的选项
表 A.1. insights-client user 命令选项
| 选项 | 描述 |
|---|---|
|
| 显示帮助信息 |
|
|
使用 |
|
| 从 Insights for Red Hat Enterprise Linux 中取消注册主机。 |
|
|
在 GUI 中设置或更改主机显示名称。如果您希望一个与 |
|
|
在注册期间将主机添加到 GROUP。组名称在 |
|
| 设置重试上传的次数。默认值为 1。重试间隔为 180 秒,这是 Insights 客户端在重试上传前等待的时间。 注意:在调度程序中,重试次数为 3。 |
|
|
验证 |
|
| 仅将错误消息记录到 console。 |
|
| 不记录控制台。 |
|
| 启用作业调度。默认情况下,Insights 客户端每天、或接近午夜运行。
注意:如果您使用 Client 1.x,请使用 |
|
| 禁用每日作业调度。 |
|
|
使用自定义配置文件 CONF,而不是默认的 |
|
|
选择创建存档时使用的压缩器。可用选项包括 |
|
|
运行客户端,但不会将存档上传到 Red Hat Insights for Red Hat Enterprise Linux 或 CMSfR web 应用程序。归档存储在 |
|
|
在不使用网络功能的情况下运行客户端。表示 |
|
|
将日志数据输出到指定的 LOGFILE。默认日志文件为 |
|
|
从 API 获取诊断信息。在使用 |
|
| 使用 OpenSCAP 扫描系统并上传报告。 |
|
|
将特定的存档 PAYLOAD 文件上传到 Red Hat Insights for Red Hat Enterprise Linux。需要 |
|
|
为 PAYLOAD 文件设置 content-type。type 可以是 gz、bz2、xz 和 none。TYPE 必须与用于 PAYLOAD 的 |
|
| 从 Red Hat Insights for Red Hat Enterprise Linux 检索分析结果。 |
|
|
显示 |
|
| 将集合写入指定的目录,而不是上传。 |
|
| 将集合写入指定的存档,而不是上传。 |
insights-client 命令有几个在调试其操作时有用的选项。
表 A.2. insights-client 调试选项
| 选项 | 描述 |
|---|---|
|
|
输出 |
|
| 测试到 Red Hat Insights for Red Hat Enterprise Linux 服务的连接。 |
|
| 这个选项已弃用。要重新注册您的系统,请参阅使用 Red Hat Insights 重新注册您的系统。 |
|
| 将所有调试输出记录到控制台。 |
|
|
运行客户端,但不会上传存档。归档存储在 |
|
| 上传后保留存档。 |
|
| 为支持生成诊断日志。 |
|
| 显示主机注册状态。 |
|
| 记录对控制台的网络调用。 |
附录 B. redaction 配置文件的选项
配置文件 /etc/insights-client/remove.conf 控制 Insights for Red Hat Enterprise Linux 客户端如何重新定义数据。
在 RHEL RHEL 6.10, 7.9, 8.3 和更高的版本中,使用 remove.conf 已被弃用,并被两个 YAML 文件替代。
Insights 客户端根据 remove.conf 中的信息对存档文件执行重操作。在生成存档文件并将其发送到 Red Hat Insights for Red Hat Enterprise Linux 服务之前,最重要的操作活动都会发生。
B.1. Insights 客户端 redaction 文件的选项
文件名和位置
建议的名称为 /etc/insights-client/remove.conf 用于 redaction 配置文件。您必须具有 root 权限才能创建此文件。它不会作为 Insights 客户端部署的一部分自动创建。
/etc/insights-client/insights-client.conf 配置文件指定 redaction 配置文件的名称和位置。
remove.conf的文件模板
以下是 remove.conf 文件的示例模板:
[remove] files=/etc/cluster/cluster.conf,/etc/hosts commands=/bin/dmesg,/bin/hostname patterns=password,username keywords=super$ecret,ultra$ecret+
- 一个没有空格的逗号,每个输入的值都分开。
- 不要包含您不想进行数据的行。
-
不支持正则表达式和通配符匹配(
egrep)。 - 所有条目都区分大小写。
表 B.1. remove.conf 配置选项
| 选项 | 描述 |
|---|---|
|
|
这必须是 |
|
| 列出的文件不包括在收集数据中。 |
|
| 此处列出的命令的输出不包括在数据收集中。命令名称必须与 集合规则 中的命令名称完全匹配。 |
|
| 归档文件中的任何行如果与一个特征完全或部分匹配时会被删除。 |
|
|
使用实际的
例如,如果您定义了两个关键字: |
附录 C. redaction 配置 YAML 文件的选项
从 RHEL RHEL 6.10, 7.9, 8.3 和更高的版本开始,Insights 客户端使用 YAML 文件来配置 redaction。在早期版本中,remove.conf 文件控制掩盖操作。
C.1. redaction 配置 YAML 文件的选项
从 RHEL RHEL 6.10, 7.9, 8.3 和更高的版本开始,Insights 客户端使用 YAML 文件来配置 redaction。在早期版本中,remove.conf 文件控制掩盖操作。
表 C.1. file-redaction.yaml的文件 redaction 示例
| 内容 | 描述 |
|---|---|
# file-redaction.yaml --- | 包含文件名的可选注释。 |
# Exclude the entire output of commands # Specify the full command path or the symbolic name in .cache.json commands: - /bin/rpm -qa - /bin/ls - ethtool_i |
在 |
# Exclude the entire output of files # Specify the full filename path or the symbolic name in .cache.json files: - /etc/audit/auditd.conf - cluster_conf | 对于指定的文件,文件名和文件内容不包括在归档文件中。
在 |
表 C.2. file-content-redaction.yaml的内容 redaction 示例
| 内容 | 描述 |
|---|---|
# file-content-redaction.yaml --- | 包含文件名的可选注释。 |
# Pattern redaction per matching line # Lines that match a pattern are excluded from files and command output. # Patterns are processed in the order that they are listed. # Example patterns: - "a_string_1" - "a_string_2" |
当模式与包含 |
# # Regular expression pattern redaction per line # Patterns with regular expressions (regex) are wrapped with "regex:" # Example patterns: regex: - "abc.*def" - "localhost[[:digit:]]" # |
正则表达式被打包为 |
# Lines matching these regular expressions are excluded # from output. patterns: regex: - "*\.conf" - "^include" |
在本例中,如果任何字符串包含 |
# Replace keywords in files and command output with generic identifiers by the Python soscleaner module keywords: - "1.1.1.1" - "My Name" - "a_name" |
例如,字符串
您在 |
附录 D. insights-client的命令选项
您可以使用 /etc/insights-client/insights-client.conf 配置文件中的设置来更改 Insights 客户端在系统上的工作方式。
D.1. Insights 客户端配置文件的选项
当配置文件和 CLI 有类似的选项时,当您输入 insights-client 命令时,将执行 CLI 选项。当调度程序运行客户端时,将执行配置文件选项。
您必须按照如下所示输入选项。True 和 False 使用初始大写字母。
若要在配置文件中启用某个选项,删除行中的第一个字符 #,并为该选项提供一个值。更改在下次调度的运行时或输入 insights-client 命令时生效。
表 D.1. insights-client.conf 配置选项
| 选项 | 描述 |
|---|---|
| [insights-client] | 配置文件所需的第一行,即使您为客户端配置文件指定不同的位置或名称。 |
| #loglevel=DEBUG |
更改日志级别。选项包括: DEBUG、INFO、WARNING、ERROR、CRITICAL。默认值为 DEBUG。默认日志文件位置为 |
| #auto_config=True |
尝试使用 Satellite 服务器自动配置。值可以是 注意
当 |
| #authmethod=CERT | 设置身份验证方法。有效选项为 CERT。默认值为 CERT。 |
| #username= |
当 authmethod 为 BASIC 时使用的 |
| #password= |
当验证是 BASIC 时使用的 |
| #base_url=cert-api.access.redhat.com:443/r/insights | API 的基本 URL。 |
| #proxy= | 代理的 URL。示例:http://user:pass@192.168.100.50:8080 |
| #auto_update=True |
自动更新动态配置。如果您不想自动更新,默认的 |
| #obfuscate=False |
模糊处理 IPv4 地址。默认值为 |
| #obfuscate_hostname=False |
模糊主机名。您必须设置 |
| #display_name= |
显示注册的名称。默认值为使用 |
| #cmd_timeout=120 | 命令在集合期间运行的超时时间,以秒为单位。当超时值达到时,命令进程将被终止。 |
| #http_timeout=120 | HTTP 调用的超时时间,以秒为单位 |
| #remove_file=/etc/insights-client/remove.conf | redaction 文件的位置 |
对红帽文档提供反馈
我们非常感谢并对我们文档的反馈进行优先排序。提供尽可能多的详细信息,以便快速解决您的请求。
先决条件
- 已登陆到红帽客户门户网站。
流程
要提供反馈,请执行以下步骤:
- 点击以下链接: Create Issue
- 在 Summary 文本框中描述问题或功能增强。
- 在 Description 文本框中提供有关问题或请求的增强的详细信息。
- 在 Reporter 文本框中键入您的名称。
- 点 Create 按钮。
此操作会创建一个文档票据,并将其路由到适当的文档团队。感谢您花时间来提供反馈。
