この記事では、TIE サーバー配備をモニタリングするためのいくつかのオプションについて説明します。
注: サーバーバージョン 2.1.0 の関連付けで、マスターとスレーブ操作の名前付け規則がプライマリとセカンダリに変更されました。例:
マスターが プライマリ
になる
スレーブがセカンダリになる
以前のバージョンの TIE サーバーは、元のマスター/スレーブの指定を保持します。 ePolicy Orchestrator - TIE サーバーの正常性の自動応答 TIE サーバー 1.3.0 以降では、ePolicy Orchestrator (ePO) サーバー イベントを使用して、実行可能なアクションの中でも特に、電子メール通知を含む ePO 自動応答を作成することができます。
1 時間ごとに実行し、TIE サーバー インスタンスが到達できない場合やそれらの正常性 API が応答しない場合にイベントを作成する
TIE サーバー Monitoring という名前の ePO サーバー タスクがあります。 イベントの受信時に実行するための、対応する ePO 自動応答を作成する必要があります。 生成されるイベント ID の範囲は 37175 ~ 37179 です。 トラブルシューティングを容易にするために、各 ID は特定の TIE サーバー動作モードと一致します。 自動応答は、[
メニュー]、[
自動応答]、[
新しい応答] で作成します。
イベント タイプ を
サーバー に設定して、TIE サーバーの範囲
37175 ~ 37179 と
一致する イベント ID でフィルターし、
電子メールの送信 アクションを選択します。
注: 自動応答に関する電子メールを受信するには、[メニュー]、[サーバー設定]、[電子メール サーバー] で電子メール アカウントを設定する必要があります。
ePO - デバイス ツリーでの製品情報: ePO は、Advanced Threat Defense (ATD) と Global Threat Intelligence (GTI) の統合に関するメトリックスを含む TIE 用にカスタマイズされた製品プロパティを提供します。 これらは、[
システム ツリー]、[
TIE サーバー アプライアンスのシステム名]、[
製品]、[
McAfee Threat Intelligence Exchange サーバー] で見つけることができます。 次のスクリーンショットでサンプル出力を示します。
ePO - Data Exchange Layer ファブリック トポロジ ページ:
このページは、Data Exchange Layer (DXL) 1.1 以降の [メニュー]、[設定]、[サーバー設定]、[DXL トポロジ] で使用できます。 DXL ファブリック トポロジ ページには、DXL プロパティ、ブリッジ、およびサービスに関する情報が表示されます。 各 DXL ブローカーには、DXL サービスによって処理された 1 秒あたりのメッセージ数も表示されます。 次のスクリーンショットで、TIE サービスに関するサンプル出力登録情報を示します。
ePO Web API:
DXL ブローカーは、接続されたクライアントの数を報告するための ePO Web API を提供しています。 任意のモニタリング ソリューションで ePO Web API を再利用して、ある期間にわたってサービスとその正常性をモニタリングし、問題を特定することができます。 DXL 2.0 以降では、次のモニタリング リモート コマンドを使用できます。
- dxl.broker.queryRegisteredServices: DXL 登録済みサービスのリストを返します。
- dxl.client.fabricHeath.fabricHealthCommand: DXL ブローカー正常性情報を取得します。
正常性ステータス機能 TIE サーバー 2.0.0 以降では、各サーバーの全体的な正常性ステータスが
TIE サーバー トポロジ ページに表示されます。 [
メニュー]、[
設定]、[
サーバー設定] に移動して、[
TIE サーバー トポロジ管理] セクションを選択します。 ここでは、各 TIE サーバー インスタンスの DXL、ATD、および GTI の接続ステータスをチェックできます。 また、各 TIE サーバー内のデータベース バージョンに互換性があるかどうかと、インストールされている拡張ファイルのバージョンとサーバー拡張ファイルのバージョンが一致するかどうかも確認できます。 スレーブでは、データベースの複製のステータスもチェックできます。
例:
SAR 機能 TIE サーバー 2.0.0 以降では、アプライアンスに
sysstat パッケージがインストールされ、
sar コマンドが使用可能になります。
MER ツールは、すべての sar ログを
logs/sys/sar にコピーします。 sar コマンドのローカル コピー、または
sadf を使用すれば、これらのファイルを使用した複数のクエリーを実行できます。 これをさらに簡単にするために、ksar ツールを使用して
logs/sys/sar/ksar.txt ファイルが作成されます。