Tanium ClientとClient Managementのトラブルシューティング

このセクションでは、Tanium™ ClientおよびClient Managementの問題のトラブルシューティングで利用できるリソースを紹介します。

‬基本的な推奨事項

Tanium Clientのインストールログを参照して、Windowsへのインストールをトラブルシューティングする

Windowsエンドポイントへのインストールで問題が発生した場合は、Tanium ClientのインストールディレクトリInstall.logを調べることでインストール中に失敗したアクションを特定することができます。Tanium Clientインストーラはこのログファイルを生成することで、インストーラが実行したアクションを時系列に記録します。インストーラが実行されるたびに(すなわち、インストールおよびアップグレードごと)、既存のログ ファイルの最後にその実行のためのアクションが追加されます。

接続と登録の問題をトラブルシューティングする

Tanium ClientがTanium CloudTanium Server/Zone Serverとの接続や登録に失敗したり、正常にピア接続を確立できなったり、あるいはQuestionに応答できなかったりした場合は、Tanium Clientのログをチェックして、次の情報を確認してください。

クライアントのステータスを確認する

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Client Status (クライアントステータス)] [Administration (運用管理)] > [Configuration (構成)] > [Client Status (クライアントステータス)] [] に移動します。エンドポイントを簡単に見つけられるよう、必要に応じてリストをフィルタリングします。

    [Client Status (クライアントステータス)] ページの詳細は、Tanium Clientのピアリングとリーダ接続を確認/改善するを参照してください。

  2. エンドポイントが現在のリストに表示されない場合は、[Show systems that have reported in the last (過去に報告のあったシステムを表示)] を選択し、期間を調整して過去にエンドポイントから報告があったかどうかを判断します。過去にエンドポイントから報告があった場合は、[Last Registration (最終登録)] 日時付近にTanium Clientの接続に影響した可能性のある変更がエンドポイントまたはネットワークであったかどうか調べます。

  3. エンドポイントが表示されない場合、または [Valid Key (有効なキー)] 列に [No (なし)] が表示される場合は、client:クライアントの公開キー(tanium.pubまたはtanium-init.dat)を確認します。詳細は、接続の問題のトラブルシューティングで公開キーをチェック/リセットするを参照してください。

    (Salesforce展開環境のみ) クライアントの登録に失敗した場合は、[Registration Error (登録エラー)] 列に追加の情報が表示されます。詳細は、Tanium Clientの登録および通信のステータスを表示するを参照してください。

  4. エンドポイントから現在報告がなく、クライアントに有効なキーがあるように見える場合は、次のトラブルシューティングタスクに進みます。

Tanium Clientサービスとプロセスがエンドポイントで実行されていることを確認する

Tanium Clientサービスのステータスを確認し、必要に応じて再開します。

さらに、次のコマンドを使用して、Tanium Clientプロセスが実行されていることを確認します。

  • Windows: tasklist | findstr /i "TaniumClient"

  • Windows以外: ps -eaf | grep -i TaniumClient

Tanium Clientサービス、プロセス、またはインストールディレクトリが存在しない場合は、Tanium Clientを再インストールします。詳細は、Client Managementを使用したTanium Clientの展開およびインストーラまたはパッケージファイルを使用したTanium Clientの展開を参照してください。

ポートのアクセス可不可とセキュリティ除外を確認する

ポート17472 (または別途カスタム設定したポート)での通信が、ファイアウォールやその他のセキュリティアプリケーションによって許可されている必要があります。

また、Tanium Clientディレクトリとプロセスに対してセキュリティ除外が設定されている必要があります。詳細は、Tanium Clientに対するセキュリティの除外を参照してください。

サーバ Tanium Cloud の接続設定を確認する

サーバ Tanium Cloud 接続の問題については、次のコマンドを使用して、 クライアントのサーバ接続設定をチェックして間違いがないことを確認します。

設定 OS  
Tanium ServerおよびZone ServerのFQDNまたはIPアドレス Tanium CloudのFQDN Windows TaniumClient config get ServerNameList
Windows以外 sudo ./TaniumClient config get ServerNameList
Tanium Serverのポート(ServerNameListにポートが指定されていない場合) Windows TaniumClient config get ServerPort
Windows以外 sudo ./TaniumClient config get ServerPort
プロキシサーバ(使用する場合) Windows TaniumClient config get ProxyServers
Windows以外 sudo ./TaniumClient config get ProxyServers
プロキシ自動設定(PAC)ファイル(使用する場合) Windows TaniumClient config get ProxyAutoConfigAddress

設定に誤りがある場合、またはサーバTanium Cloud接続の詳細は、Tanium Core Platformとの接続設定を参照してください。

ピア接続の問題については、Tanium Clientピアリングの設定を参照してください。

DNS解決をテストする

ServerNameListに指定するTanium ServerおよびZone Serverに完全修飾ドメイン名を使用する場合は、次のコマンドを使用して、各サーバ名のDNS解決をテストします。

ServerNameListに指定されているTanium Cloudの各FQDNのDNS解決をテストするには、次のコマンドを使用します。

nslookup <server_FQDN><Tanium Cloud_FQDN>

コマンドからサーバ名Tanium CloudのFQDNのIPアドレスが返されない場合は、DNSの解決に問題がある可能性があります。ネットワーク管理者と協力して問題を解決します。

ネットワーク接続とポートのアクセス可不可をテストする

  1. ICMP pingトラフィックが許可されている場合は、次のコマンドを使用して、各サーバTanium CloudのFQDNにpingコマンドを実行します。

    ping <server_FQDN/IP_address><Tanium Cloud_FQDN>

    pingコマンドから適切な時間で応答を受信した場合は、手順3に進むことができます。

  2. ICMPトラフィックが許可されていて、サーバが稼働しているにもかかわず、pingから応答がなかった場合、ネットワークルーティングに問題がある可能性があります。次のいずれかのコマンドを使用すると、サーバTanium CloudのFQDNに対して取り得るルートがあることを確認できます。

    • Windows: tracert <server_FQDN/IP_address><Tanium Cloud_FQDN>

    • Non-Windows: traceroute <server_FQDN/IP_address><Tanium Cloud_FQDN>

    ルートを完成できない場合は、ネットワーク管理者と協力して問題を解決します。

  3. エンドポイントがポート17472 (または別途設定したカスタムポート)で通信できることを確認するには、次のいずれかのコマンドを使用します。

    • Windows PowerShell: Test-NetConnection -ComputerName <server_FQDN/IP_address> -Port 17472

    • Windows以外:nc -vz <server_FQDN/IP_address> 17472

    接続が失敗した場合は、ネットワーク管理者と協力して、ポート17472での通信(または別途設定したカスタムポートでの通信)がファイアウォールやその他のセキュリティアプリケーションによって許可されていることを確認します。

エンドポイントがポート17472 Tanium CloudのFQDNで通信できることを確認するには、次のいずれかのコマンドを使用します。

  • Windows PowerShell: Test-NetConnection -ComputerName <Tanium Cloud_FQDN> -Port 17472

  • Windows以外:nc -vz <Tanium Cloud_FQDN> 17472

接続が失敗した場合は、ネットワーク管理者と協力して、ご使用のTanium Cloud FQDNがネットワークから到達可能であること、そのFQDNとの接続ポート17472での通信ファイアウォールやその他のセキュリティアプリケーションによって許可されていることを確認します。

エンドポイントからトラブルシューティング情報を収集する

Client Managementを使用すると、エンドポイントに直接接続して、ログやその他の痕跡物をまとめて収集することができます(Endpoint Must Gather (EMG)とも言う)。

  1. メインメニューから [Administration (運用管理)] > [Shared Services (共有サービス)] > [Client Management (クライアント管理)] をクリックします。

  2. Client Managementのメニューで、[Client Health (クライアントの健全性)] をクリックします。

  3. Direct Connectの検索ボックスに、IPアドレスまたはコンピュータ名全体または一部を入力します。

    検索が終了すると、検索結果が表示されます。

  4. 検索結果からコンピュータ名をクリックしてエンドポイントに接続します。

  5. [Gather (収集)] タブをクリックします。[Domain (ドメイン)] セクションで、トラブルシューティング情報を収集するカテゴリまたはTaniumソリューションを選択します。

  6. [Gather from Endpoint (エンドポイントから収集)] をクリックします。

    選択したログと痕跡物がエンドポイントから収集されます。[Must Gathers (必須収集)] セクションにパッケージが表示され、パッケージにはタイムスタンプと呼応する名前が付きます。

  7. [Run State (実行状態)] 列に [Finished (終了)] と表示されたら、パッケージを選択し、[Download (ダウンロード)] をクリックして、トラブルシューティング情報を含むZIPファイルをダウンロードします。

エンドポイントとの直接接続についての詳細は、『Tanium Direct Connectユーザガイド』を参照してください。

Client Managementのクライアントの健全性機能を使用する場合について詳しくは、Client Managementでクライアントの健全性を全体的に監視するエンドポイントのクライアントの健全性のトラブルシューティング情報の詳細にアクセスするを参照してください。

Client Managementで個々のエンドポイントのログにアクセスする

Client Managementを使用してエンドポイントに直接接続し、各種ログを表示およびダウンロードできます。

  1. メインメニューから [Administration (運用管理)] > [Shared Services (共有サービス)] > [Client Management (クライアント管理)] をクリックします。

  2. Client Managementのメニューで、[Client Health (クライアントの健全性)] をクリックします。

  3. Direct Connectの検索ボックスに、IPアドレスまたはコンピュータ名全体または一部を入力します。

    検索が終了すると、検索結果が表示されます。

  4. 検索結果からコンピュータ名をクリックしてエンドポイントに接続します。

  5. [Logs (ログ)]タブをクリックし、表示するログを選択します。

  6. (任意)ログをダウンロードする場合は、[Download (ダウンロード)] をクリックします。

Tanium Clientのログを参照して、接続おおびその他クライアントの問題をトラブルシューティングする

Tanium Clientのログはクライアントの問題をトラブルシューティングするのに利用できます。たとえば、クライアントがTanium CloudTanium Server/Zone Serverに接続できないために、Questionに応答しなかったり、Tanium Console ([Administration (管理)] > [Configuration (設定)] > [Client Status (クライアントステータス)])に表示されなかったりしたとしましょう。この場合は、クライアントのログを調べることで、接続の失敗の原因が無効なTanium CloudFQDNサーバのIPアドレス、DNS解決の失敗、Tanium公開鍵ファイルの紛失、またはファイアウォールルールのどれによるものかを突き止めることができます。

Tanium Clientは新たなクライアントログをlog0.txtファイルに書き込みます。デフォルトの最大ログファイルサイズは10 MBです。log0.txtが上限サイズに達すると、クライアントはこれをlog1.txtと名称変更し、新しいlog0.txtを作成します。log0.txtが再び上限に達すると、クライアントはlog1.txtlog2.txtと名称変更し、log0.txtlog1.txtとふたたび名称変更し、ふたたび新しいlog0.txtを作成します。log0.txtが上限サイズに達するたびにログを引き継ぐプロセスを繰り返し、それはlog0.txtからlog9.txtまで10のログができるまで続きます。

log0.txtが最大サイズに達した後、再び最大サイズに達すると、クライアントはlog9.txtを圧縮し、log10.zipという名前を付けます。log0.txtが再び10 MBに達した時、クライアントはlog10.ziplog11.zipと名称変更し、ふたたびlog9.txtlog10.zipという名称のファイルとして圧縮します。ZIPファイルの引継ぎプロセスはZIPファイルが、log10.zipからlog19.zipまでの、10個になるまで続きます。log0.txtが10 MBにふたたび達すると、クライアントはlog19.zipを名称変更することなくlog10.zipを新ファイルとして作成します。結果として、log18.zipを新たなlog19.zipと名称変更すると、log19.zipの情報はドロップされます。

ログレベルは設定変更できます(LogVerbosityLevel1を参照)。ログファイルの場所も設定変更できます(LogPathを参照)。デフォルトの場所は<Tanium Clientのインストールディレクトリ>/Logsです。

Client Managementのクライアント健全性機能を使用すると、エンドポイントに直接接続し、クライアントのログを読み出すことができます。詳細は、Client Managementで個々のエンドポイントのログにアクセスするを参照してください。

ログにネットワーク構成エラーが報告されている

一般に、Tanium Clientが Tanium CloudTanium Server/Zone Serverに接続または登録できないと、ネットワーク構成タイムアウト起動時にnetconfigのダウンロードに失敗エラーメッセージが表示されます。このエラーメッセージのトラブルシューティングについては、接続と登録の問題をトラブルシューティングするを参照してください。

ログに報告されるキャッシュ関連のエラー

クライアントログに報告されるキャッシュ関連のエラーは、たいていエンドポイントのディスク容量不足が原因です。クライアントがインストールされているエンドポイントのディスクまたはパーティションに十分な空き容量があることを確認してください。ディスク容量の要件については、ハードウェア要件を参照してください。

Linuxエンドポイントでは、Tanium Clientがインストールされているパーティションに十分な空き容量がない場合は、クライアントを移動することができます。詳細は、LinuxにインストールしたTanium Clientを移動するを参照してください。

アクションログと関連ファイルを参照して、アクションとパッケージをトラブルシューティングする

アクションを使用してパッケージを展開した後に正常に機能していないように見える場合は、アクションログをアクションに関係するファイルを調べることでトラブルシューティングすることができます。Tanium Clientは、実行する指示セットを含むアクションメッセージを受け取ると、その都度はAction_<ID>.log(<ID>はアクション識別子)という名前のアクションログファイルを作成します。アクションログにはアクションコマンドと関連するCLI出力が含まれます。Tanium Clientは、アクションパッケージの展開に必要なすべてのファイルをAction_IDディレクトリに保存します。

アクションログとAction_<ID>ディレクトリはともに<Tanium Clientのインストールディレクトリ>/Downloadsディレクトリにあります。Tanium Clientは設定可能な間隔の後、アクションログをホストから削除します(アクションログとパッケージのクリーンアップを参照)。

Tanium Consoleは [Action (アクション)] > [Action History (アクション履歴)]と [Action Summary (アクションサマリ)] ページにアクションIDを表示します(Tanium Console: アクションの展開を参照)。[Action Status (アクションステータス)] ページには、複数のエンドポイントからのアクションログ情報にアクセスするためのオプションがあります。次を参照してください。Tanium Consoleユーザガイド: アクションステータスを表示する

アクション履歴ログは、管理対象エンドポイントが実行したアクションの詳細な履歴を提供しますが、CLI出力やその他の詳細は含まれません。

Action_<ID>ディレクトリ

各アクション<ID>ディレクトリには、アクションパッケージの展開に必要なファイルのすべてが含まれています。例えば、5つのファイルがあるパッケージを展開する場合、Tanium Clientはダウンロードの終了後、そのすべてをAction_<ID>フォルダに保存します。5つのファイルのすべてがダウンロードされると、[Action Status (アクションステータス)] ページのアクションステータスは、Preparing Files (ファイルの準備中)からRunning (実行中)に変わります。展開されたパッケージに関連するパッケージファイルがない場合でも、Tanium Clientは空のAction_<ID>ディレクトリを作成します。Tanium Clientは設定変更可能な時間の経過後、ホストからAction_<ID>ディレクトリを削除します(アクションログとパッケージのクリーンアップを参照)。

Client Managementのアクションログにアクセスする

Client Managementを使用してエンドポイントに直接接続し、各種ログを表示およびダウンロードできます。

  1. メインメニューから [Administration (運用管理)] > [Shared Services (共有サービス)] > [Client Management (クライアント管理)] をクリックします。

  2. Client Managementのメニューで、[Client Health (クライアントの健全性)] をクリックします。

  3. Direct Connectの検索ボックスに、IPアドレスまたはコンピュータ名全体または一部を入力します。

    検索が終了すると、検索結果が表示されます。

  4. 検索結果からコンピュータ名をクリックしてエンドポイントに接続します。

  5. [Actions (アクション)] タブをクリックし、ログを表示する実行済みアクションを選択します。

  6. (任意)ログをダウンロードする場合は、[Download (ダウンロード)] をクリックします。

アクションログコンテンツ

アクションログはアクションのそれぞれのフェーズを以下のように記録します。

  • Downloading Files (ファイルのダウンロード中)

    このフェーズでは、アクションログエントリはファイルがダウンロード中であることを示します:

    2016-11-28 14:12:30 +0000|Downloading Files.
    2016-11-28 14:12:30 +0000|Files Failed Verification

    エラー状態のように見えますが、「Files Failed Verification (ファイルの検証に失敗しました)」というメッセージは単に、クライアントがローカルキャッシュに必要なファイルを持っていないことを示しており、ピアから必要なファイルを要求します。これは正常な動作を示します。

  • Running (実行中)

    このフェーズでは、アクションログにはアクションが現在実行中であることが記録されます。このエントリの後、ログはパッケージからエコーされたものを表示します。

    2016-11-28 14:12:37 +0000|Files Verified, running action.

  • Completed (完了)

    アクションが実行を終了すると、ログはアクションの標準的出力のキャプチャの下で完了エントリを記録します。

    2016-11-28 14:12:37 +0000|Command Completed

完了は成功を示すものではありません。たとえば、コマンド自体が失敗した場合でも、そのコマンドを実行するアクションが実行完了する場合があります。たとえば、パッケージに対するコマンドラインが、配布ファイルの名前と一致しなかったり、コマンドがファイルの配布に失敗した場合です。管理対象エンドポイントは、何も起きていなくても、アクションは完了したことを示します。必要に応じてアクションステータスで成功または失敗を示す検証クエリを追加することを検討してください。

アクションログとパッケージのクリーンアップ

Tanium Clientは1時間おき、またはリセット後(2~6時間おきに発生)はただちにAction_<ID>.logファイルの古さをチェックし、7日より古い場合は削除します。Tanium Clientはまた、対応するAction_<ID>ディレクトリが期限切れかどうかも1時間おき、またはリセット後はただちにチェックし、期限切れの場合は削除します。この処理により、エンドポイントがTaniumアクションに必要なディスク容量以上を消費しないようにします。アクションログまたはアクションディレクトリを長期間保存する場合は、Taniumサポートにお問い合わせください

アクション履歴ログを参照して、アクションをトラブルシューティングまたは監査する

管理対象のエンドポイントに対するアクションをトラブルシューティングまたは監査する場合は、アクション履歴ログを参照することで、実行されたアクション、開始および実行時刻、関連するコマンドを確認することができます。記録される情報はアクションログの方が詳細ですが、Tanium Clientはよりより長期にわたってアクション履歴ログを保持し(個々のログファイルのサイズは小さい)、そのためより長期のアクションの時系列の履歴になります。Tanium Clientは、プレーンテキストファイルの形式でアクション履歴ログの最初の10MBをアーカイブします。10MBのしきい値に達した後は、プレーンテキストファイルの形式で新しいログを追加する前に、古いものから順にzipファイルの形式でログをアーカイブします。ログの引継ぎプロセスは以下のとおりです。

プレーンテキスト形式のログファイル

Tanium Clientは、アクションが実行されるたびに新しいaction-history0.txtファイルを作成します。そのファイルが1 MBのサイズになると、クライアントはaction-history0.txtaction-history1.txtに名称変更し、新しいaction-history0.txtを作成します。action-history0.txtがふたたび1 MBに達すると、クライアントはaction-history1.txtaction-history2.txtに名称変更し、ふたたびaction-history0.txtaction-history1.txtに名称変更し、ふたたびaction-history0.txtを作成します。ログの引継ぎプロセスはaction-history0.txtが1 MBに達して、action-history0.txtからaction-history9.txtまでの10つのログに至るまで続きます。

ZIP形式のログファイル

10 MB分のプレーンテキスト形式のアクション履歴ログが記録されると、Tanium Clientはaction-history9.txtを圧縮し、その圧縮ファイルにaction-history10.zipという名前を付けます。action-history0.txtが再び1MBに達すると、action-history10.zipaction-history11.zipという名前に変更され、再びaction-history9.txtaction-history10.zipという名前で圧縮します。ZIPファイル引継ぎプロセスはZIPファイルが、action-history10.zipからaction-history19.zipまでの10個になるまで続きます。その後action-history10.zipが再び1MBに達すると、新しいファイルとしてaction-history19.zipが名前を変更されることなく、新しいaction-history10.zipが作成されます。この結果、古いaction-history19.zipの情報はaction-history18.zipが新しいaction-history19.zipに名前が変更された後、廃棄されます。

Tanium Clientは、<Tanium Clientのインストールディレクトリ>/Logsディレクトリにアクション履歴ログを保存します。

Client Managementを使用して、エンドポイントに直接接続し、クライアントのアクション履歴ログを読み出すことができます。詳細は、Client Managementで個々のエンドポイントのログにアクセスするを参照してください。

センサー履歴ログを参照して、センサーのアクティビティをトラブルシューティングまたは監査する

管理対象のエンドポイントに対するセンサーアクティビティをトラブルシューティングまたは監査する場合は、センサー履歴ログを参照することで、実行されたそれぞれのセンサーに関する以下の情報を確認することができます。

  • 名称別およびハッシュ値別のセンサーアイデンティティー
  • 開始およびランタイム
  • サイズ(バイト数)
  • パラメータ値(パラメータ制御センサーを一時センサーとして識別するログ)
  • 回答文字列の数および関連ハッシュ値

Tanium Clientはセンサー履歴ログの最初の10MBをプレーンテキストファイルの形式でアーカイブします。10MBのしきい値に達した後は、プレーンテキストファイルの形式で新しいログを追加する前に、古いものから順にzipファイルの形式でログをアーカイブします。ログの引継ぎプロセスは以下のとおりです。

プレーンテキスト形式のログファイル

Tanium Clientは、センサーが実行されるたびに新しいsensor-history0.txtファイルを作成します。そのファイルが1MBのサイズになると、クライアントはsensor-history0.txtsensor-history1.txtに名称変更し、新しいsensor-history0.txtを作成します。sensor-history0.txtが再び1MBに達すると、sensor-history1.txtsensor-history2.txtという名前に変更され、sensor-history0.txtが再びsensor-history1.txtという名前に変更されて、再び新しいsensor-history0.txtが作成されます。sensor-history0.txtが1MBに達するたびに発生するこのログ循環プロセスは、10個のログ(sensor-history0.txtsensor-history9.txt)が生成されるまで繰り返されます。

ZIP形式のログファイル

10 MB分のプレーンテキスト形式のセンサー履歴ログが記録されると、Tanium Clientはsensor-history9.txtを圧縮し、その圧縮ファイルにsensor-history10.zipという名前を付けます。sensor-history0.txtが再び1MBに達すると、sensor-history10.zipsensor-history11.zipという名前に変更され、sensor-history9.txtが再びsensor-history10.zipという名前で圧縮されます。ZIPファイル引継ぎプロセスはZIPファイルが、sensor-history10.zipからsensor-history19.zipまでの10個になるまで続きます。その後sensor-history10.zipが再び1MBに達すると、sensor-history19.zipが新しいファイルとして名前を変更されることはなく、新しいsensor-history10.zipが作成されます。この結果、古いsensor-history19.zipの情報はsensor-history18.zipが新しいsensor-history19.zipに名前を変更された後、廃棄されます。

Tanium Clientは、<Tanium Clientのインストールディレクトリ>/Logsディレクトリにセンサー履歴ログを保存します。

Client Managementを使用して、エンドポイントに直接接続し、センサー履歴ログを読み出すことができます。詳細は、Client Managementで個々のエンドポイントのログにアクセスするを参照してください。

接続の問題をトラブルシューティングで公開キーを確認/リセットする(Tanium Client 7.4のみ)

公開キーを参照またはリセットして、無効なキーに関連する接続の問題の解決に役立てることができます。

(Salesforce展開環境のみ) [Client Status (クライアントステータス)] ページの [Registration Error (登録エラー)] 列には、キーに関する具体的な問題が表示されます。詳細は、Tanium Clientの登録および通信のステータスを表示するを参照してください。

  1. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールフォルダに変更します。

  2. 次のコマンドを入力します。

    • Windows: TaniumClient pki show
    • Windows以外: ./TaniumClient pki show

    出力には、現在の公開キーに関する情報が表示されます。コマンドから、適切なサーバTanium Cloudインスタンスのライセンスが返されること、各サーバTanium Cloudインスタンスのステータスがtrusted (信頼確立)であること、 Tanium Cloudで各ライセンスのフィンガープリントがサーバ上のフィンガープリントと一致することを確認します。詳細については、以下を参照してください。Tanium Consoleユーザガイド:Taniumのキーを管理

  3. (任意)新しいtanium-init.datファイルを使用してキーをリセットします。

    1. Tanium Consoleのメインメニューから [Administration (管理)] > [Shared Services (共有サービス)] > [Client Manaement (クライアント管理)] に移動します。
    2. Client Managementの概要ページから、エンドポイントのOS用のインストールパッケージをダウンロードします。
    3. ダウンロードしたバンドルからtanium‑init.datファイルを抽出し、Tanium Clientのインストールディレクトリにコピーします。
    4. Tanium Consoleのメインメニューから、[Administration (管理)] > [Configuration (構成)] > [Tanium Server] > [Infrastructure Configuration Files (インフラストラクチャ構成ファイル)] に移動します。
    5. [Clients v7.4+とZone Server] セクションで、[Download (ダウンロード)] をクリックします。
    6. ダウンロードしたファイルをTanium Clientのインストールディレクトリにコピーします。

    7. エンドポイントのCLIで次のコマンドを入力します。

      • Windows: TaniumClient pki reset tanium-init.dat
      • Windows以外: ./TaniumClient pki reset tanium-init.dat
    tanium-init.dat およびtanium.pubファイルを、一般アクセス可能なソースコードリポジトリや公共のインターネットからアクセス可能なその他の場所などの組織の外部に配布および保存することを許可することのないよう注意してください。Tanium Clientのデプロイでは配布を特定の用途に限定します。

    これらのファイルこのファイルには秘密キーは含まれておらず、Tanium環境の制御に使用することはできませんが、悪意のあるユーザは、これらのファイルこのファイルを使用して未承認のクライアントを接続し、この不正アクセスを使用して、組織がTaniumをどのように使っているか知ることができます。

センサー隔離を参照および管理して、センサーをトラブルシューティングする

センサーが前のQuestionまたはアクションで実行時間タイムアウトを超えていた場合、センサー隔離を実施すると、現在のQuestionまたはアクションでセンサーは実行されなくなります。隔離は、Questionやアクションが長時間実行されるセンサーを使用する場合に、CPU使用率などのエンドポイントリソースに対する影響を限定するのに有用です。設定できないタイムアウトは1分に設定されます。

デフォルトでは、隔離は実施されません。センサーがタイムアウトを超えて、実行を停止した後、センサーは隔離済みステータスになりますが、以降のQuestionやアクションを実行できるよう完了またはタイムアウトするまで引き続き実行されます。この場合、Tanium Clientは隔離済みステータスを使用して、センサーがタイムアウトしたことを記録します。

強制を有効にするかどうかに関わらず、Tanium Clientは、タイムアウトを超えるとあらゆるセンサーを停止します。各クライアントはセンサーを隔離し、個別の隔離を実行します。その結果、エンドポイントによってセンサー隔離されたり、隔離されなかったりします。

Tanium Clientがセンサーを隔離する場合、Tanium Consoleは以下のメッセージを[Question Results (Question結果)]グリッドに表示します。TSE-Error:Sensor evaluation timed out (センサー評価タイムアウト)。すでに隔離を受けており施行が有効となっているセンサーを使用してQuestionを出すと、[Question Results (Questionの結果)]グリッドにTSE-Error:を表示します。The sensor is quarantined (このセンサーは隔離されています)。センサーを隔離する、またはすでに隔離されているセンサーが実行されないようにする場合、Tanium Clientはエントリをクライアントログおよびセンサー履歴ログに追加します。

一時センサーが1分のタイムアウトを超えた場合、Tanium Clientはもとのセンサーを隔離し、もとのセンサーに基づく現在および将来の一時センサーすべてを隔離します。

実施を有効にして、エンドポイントを対象にしたセンサーが隔離された場合は、そのセンサーがコンピュータグループに含まれていたとしても、実行されなくなります。ただし、隔離されたセンサーは、from all machines with Is Windows not equals trueなどの曖昧なfrom句を持つQuestionのターゲットを歪める可能性があります。この場合、Is Windowsセンサーが検疫されるWindowsエンドポイントは、応答がTSE-Error:になるため、not equals true条件に一致します。隔離されているセンサーはむしろtrueです。このような結果を避けるには、対象の句をできるだけ具体的に指定し、not equals trueなどの否定形の一致検索条件を使用しないでください。

隔離センサーを表示する

Tanium ClientからQuestionに対する応答がない場合は、関連するセンサーが隔離されているかどうかを確認することができます。すべてのエンドポイントで隔離されているすべてのセンサーのリストの表示については、『Tanium Consoleユーザガイド』を参照してください。センサー隔離を管理するを参照してください。特定のエンドポイント上の隔離されたセンサーをすべて一覧表示するには、次の手順を実行します。

  1. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールフォルダに変更します。

  2. 次のコマンドを入力します。

    • Windows: TaniumClient quarantine list
    • Windows以外: ./TaniumClient quarantine list

    出力リストは隔離センサーを名称および関連ハッシュ値ごとに表示します。

隔離からすべてのセンサーを削除する

ケースによっては、センサー実行の長時間化によってエンドポイントのリソースが受ける影響よりも、隔離済みセンサーを使用するQuestionをTanium Clientが実行できるようにすることの方が重要な場合があります。センサーを隔離解除した後でも、以降のQuestionでそのセンサーがタイムアウトした場合、Tanium ClientはQuestionに応答することなくセンサーを停止し、再度隔離することになることに注意してください。Tanium Consoleを使用したセンサーの隔離解除については、次を参照してください。Tanium Consoleユーザガイド:センサー隔離を管理するを参照してください。エンドポイントのオペレーティングシステムのCLIを使用してセンサーを隔離解除する場合は、次の手順を実行します。

  1. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールフォルダに変更します。

  2. 次のコマンドを入力します。

    • Windows: TaniumClient quarantine clear
    • Windows以外: ./TaniumClient quarantine clear

    この出力では隔離から削除されたセンサーの数が表示されます。

隔離から単一のセンサーを削除する

Tanium Consoleを使用したセンサーの隔離解除については、次を参照してください。Tanium Consoleユーザガイド:センサー隔離を管理するを参照してください。エンドポイントのオペレーティングシステムのCLIを使用してセンサーを隔離解除する場合は、次の手順を実行します。

  1. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールディレクトリに変更します。

  2. 以下のコマンドを入力して、隔離センサーに関連するハッシュ値を確認します。

    • Windows: TaniumClient quarantine list
    • Windows以外: ./TaniumClient quarantine list

  3. <sensor_hash>が隔離から外したいセンサーに関連するハッシュである場合、以下のコマンドを入力してください。

    • Windows: TaniumClient quarantine remove <sensor_hash>
    • Windows以外: ./TaniumClient quarantine remove <sensor_hash>

センサーを修正すると、その新しい定義を受け取ったTanium Clientは自動的にそのセンサーを隔離解除します。

隔離にセンサーを追加する

センサーを実行するとエンドポイントにマイナスの影響を与えることが予想される場合、手作業でエンドポイントのセンサーを隔離できます。

センサーの隔離によって、隔離の実施を自動的に有効にすることはできません。

  1. Tanium Consoleへのアクセスに使用するブラウザのURLフィールドに https://<Tanium Cloud Client Edge URLTanium Server>/hash/<sensor> と入力します。<Tanium Server>の場合は、Tanium ServerのFQDNかIPアドレスを入力します。<sensor>はTanium Consoleが表示しているセンサー名と大文字小文字とスペースに関して合致している必要があります。

    ブラウザはセンサーに関連するハッシュ値を表示しています。

  2. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールフォルダに変更します。

  3. 次のコマンドを入力します。

    • Windows: TaniumClient quarantine add <sensor_hash>
    • Windows以外: ./TaniumClient quarantine add <sensor_hash>

センサー隔離の適用を有効/無効にする

隔離の施行を有効化すると、Tanium Clientは、隔離センサーを使用するQuestionには回答せず、それらのセンサーはアクションに対して実行されません。施行を無効にした後、クライアントは依然としてセンサーとログの隔離イベントを検疫しますが、これらのセンサーが実行されないようにすることはできません。

隔離の施行を有効または無効にするユーザアカウントには、プラットフォーム設定書き込みアクセス権限を持つロールが必要です。Administrator予約ロールを持つユーザには、このアクセス権限があります。

施行を初めて有効にする時は、以下のように、Tanium ServerでEnableSensorQuarantine設定をプラットフォーム設定に追加する必要があります。デフォルトで、適用は無効化されており、設定はTanium Consoleで表示されません。設定を追加後、Tanium Serverはこの設定をすべてのTanium Clientに適用します。

  1. Tanium Consoleにアクセスする。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] >[Settings (設定)]> [Advanced Settings (詳細設定)] に移動し、[Add Setting (設定を追加)] をクリックします。
  3. 以下の値を入力して[Save (保存)]をクリックします。
    • Setting Type = Server
    • Platform Setting (プラットフォーム設定)Name (名前) = EnableSensorQuarantine
    • Value Type (値の種類) = Numeric
    • Value = 1

プラットフォーム設定に追加した後に施行設定を変更する場合は以下の手順を実行します。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] >[Settings (設定)] > [Advanced Settings (詳細設定)] に移動します。
  2. [Name (名前)] 列でEnableSensorQuarantineをクリックしし、値を1に設定して施行を有効にするか、0に設定して施行を無効にして、[Save (保存)] をクリックします。

すべてのクライアントではなく、特定のクライアントの適用設定を変更する場合は、そのクライアントのローカル設定のEnableSensorQuarantine設定を追加または編集します。

隔離適用を有効または無効にするTanium ClientでEnableSensorQuarantine設定を追加または編集します。

Client Managementをトラブルシューティングする

トラブルシューティングのために情報を収集してTaniumに送信するには、ログおよびその他関連情報を収集します。

ログを収集する

Client ManagementのログはZIPファイルの形式で保存し、ブラウザを使ってダウンロードすることができます。

  1. Client Managementの [Overview (概要)] ページでヘルプ をクリックします。
  2. [Collect Information for Support Requests (サポート要請用の情報を収集)] セクションで [Collect (収集)] をクリックします。
  3. パッケージを作成したら、[Download (ダウンロード)] をクリックします。
    tanium-client-management-support.zipファイルがローカルのダウンロードディレクトリにダウンロードされます。
  4. Taniumサポート案件フォームにzipファイルを添付するか、Taniumサポートに問い合わせます

ログを表示および設定する

Windowsインフラストラクチャの場合、Tanium Client Managementは、サービスログを次の場所に記録します。client-management.logファイル - \Program Files\Tanium\Tanium Module Server\services\client-management-files ディレクトリ (Module Server)。

ログレベルを調整する

  1. Client Managementの [Overview (概要)] ページでヘルプ をクリックします。

  2. [Log Level (ログレベル)] でサービスログに記録する情報のレベルを選択し、[Save (保存)] をクリックします。

ログ保持を調整する

  1. Client Managementの [Overview (概要)] ページで [Settings (設定)] をクリックします。

  2. [Data Retentiopn Settings (データ保持設定)] セクションの [サービスログ (日数)] でサービスログを保持する日数を入力し、[Save Settings (設定を保存)] をクリックします。

展開情報をダウンロードする

展開設定と展開対象のエンドポイントの詳細を含むJSONファイルをダウンロードすることができます。

  1. Client Managementメニューで [Client Installation (クライアントのインストール)] > [Deployments (展開)] をクリックします。

  2. [Name (名前)] 列で展開の名前をクリックします。

  3. ダウンロード をクリックして、JSONファイルをダウンロードします。

展開時の問題をトラブルシューティングする

問題: 新規デプロイを行うと、エンドポイントへのデプロイが試みられることなく即座に完了ステータスに切り替わる

原因: Module Serverによるクライアントバイナリのダウンロードで問題が発生しています。

解決策: TDownloaderログにダウンロードエラーがないか確認してください。このログがある場所については、Tanium Core Platformデプロイリファレンスガイド:TDownloaderのログを参照してください。

問題: Endpointインストールステータスが「ERROR_CONNECTION_FAIL」で「no response」ログメッセージ

デプロイのログメッセージに、次のメッセージが含まれています。

Deployment Result Generated: All n connection attempt(s) resulted in no response from the target.

原因: Tanium Module Serverは、エンドポイントと通信できないか、エンドポイントと認証できません。

解決策: 次の項目を確認してください。

  • 資格情報に指定されたユーザ名を確認します。資格情報はアクティブかつ有効である必要があります。ドメインが正しく追加されていることを確認します。たとえば、ドメインアカウントであればdomain\\username、ローカルエンドポイントアカウントであればusernameの形式です。資格情報を設定するを参照してください。
  • 資格情報に指定されたパスワードで、有効かつ期限切れしていないことを確認します。
  • 宛先エンドポイントのファイアウォールとネットワークデバイスのファイアウォールの両方をチェックします。ファイアウォールによってModule Serverが宛先エンドポイントへの接続を開始できない可能性があります。WMIポート135、SMB ポート445、およびSSHポート22が開いている必要があります。次のテスト方法でポートを確認します。 
    • ネットワーク接続のテスト: 
      • Windows PowerShell: Test-NetConnection -ComputerName ip_address -Port port_number
      • Non-Windows: nc -vz ip_address port_number
    • TanOSネットワークステータスの確認: 次を参照してください。Tanium Appliance展開ガイド:サポートメニュー

  • (Windowsのみ) 次の条件の両方が満たされている場合は、ユーザアカウント制御(UAC)リモート制限によって、管理共有とリモートインストールにアクセスすることができなくなります。

    • エンドポイントがドメインに参加していない。
    • デフォルト以外の管理者アカウントを利用しているか、事前定義済みの管理者アカウントポリシー設定の管理者承認モードを有効にしたデフォルトのローカル管理者アカウントを利用している。

    これらの管理タスクはClient Managementを使用したTanium Clientの展開に必要であり、これらの条件下で展開を行えるようにするには、UACリモート制限を無効にする必要があります。UACリモート制限を無効にするには、Windowsレジストリに次の値を追加し、マシンを再起動します。

    サブキー: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    データ型: REG_DWORD
    値の名前: LocalAccountTokenFilterPolicy
    値のデータ: 1

    WindowsオペレーティングシステムのHomeエディションでは、管理共有は使用できません。

    Tanium Clientを展開したら、LocalAccountTokenFilterPolicyレジストリ値を削除するか、0に設定してUACリモート制限を元通り有効にします。これらの制限は、悪意のあるユーザが管理者権限でエンドポイントにリモートからアクセスするのを防ぐのに役立ちます。

問題: Endpointインストールステータスが「ERROR_CONNECTION_FAIL」で、SSH接続のログメッセージ

デプロイのログメッセージに、次のメッセージが含まれています。

Command resulted in error: エラー:Connection to 'SSH Client for '192.168.24.11'' was not established

原因: Tanium Module ServerはSSHデプロイメントを試みていますが、エンドポイントと通信できないか、エンドポイントで認証できません。

解決策: 次の項目を確認してください。

  • クライアントの設定とデプロイの設定を確認します。接続方法としてはSSHのみを使用しながら、デプロイのあるWindowsエンドポイントを宛先に指定している可能性があります。クライアント設定を作成するおよびデプロイの設定をするを参照してください。
  • 対象となるLinuxエンドポイントでSSHが有効で、かつポート22に設定されていることを確認してください。
  • 資格情報に指定されたユーザ名を確認します。資格情報はアクティブかつ有効である必要があります。ドメインが正しく追加されていることを確認します。たとえば、ドメインアカウントであればdomain\\username、ローカルエンドポイントアカウントであればusernameの形式です。資格情報を設定するを参照してください。
  • 資格情報に指定されたパスワードで、有効かつ期限切れしていないことを確認します。

問題: エンドポイントインストールステータスが「ERROR_ACQUIRE_LOGS_FAIL」で「cli_rpc_pipe_open_noauth」のログメッセージ

デプロイのログメッセージに、次のメッセージが含まれています。

Error creating/starting the installation bootstrap service on the target: Error: cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe svcctl failed with error NT_STATUS_CONNECTION_DISCONNECTED Could not initialise pipe svcctl. Error was NT_STATUS_CONNECTION_DISCONNECTED

原因: Tanium ServerがエンドポイントとWMIまたはRPC通信を確立できませんでした。

解決策: ファイアウォールでTaniumサーバとエンドポイント間のWMI、RPC、SMBトラフィックが許可されていることを確認してください。詳細は、ネットワーク接続とポート、ファイアウォールを参照してください。

アプリケーションベースの制御があるファイアウォールでは、デフォルトではTaniumのこの種のトラフィックが許可されていない場合があります。

問題: エンドポイントのインストールステータスが「ERROR_ACQUIRE_LOGS_FAIL」で、「'mkdir' command exited」のログメッセージ

デプロイのログメッセージに、次のメッセージが含まれています。

SMB 'mkdir' command exited with exit code 1.

原因: Tanium Clientが以前にこのエンドポイントにインストールされていて、削除が完全ではない可能性があります。

解決策: Tanium Clientがすでにインストールされているエンドポイントにデプロイしていないことを確認します。エンドポイントに削除が完全ではないTanium Clientがあるか、または参照しているTanium ServerまたはZone Serverが異なるTanium Clientがインストールされている可能性があります。

Client Managementをアンインストールする

Client Managementをアンインストールすると、Endpoint Configurationもアンインストールされ、すべてのTaniumソリューションに影響します。Client Managementをアンインストールする前に、Taniumサポートにお問い合わせください。

  1. メインメニューで [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] をクリックします。
  2. [Content (Taniumコンテンツ)] セクションで [Client Management (クライアント管理)] の行を選択します。
  3. 選択済みを削除 をクリックします。[Uninstall (アンインストール)]をクリックしてプロセスを完了します。

Taniumサポートに問い合わせる

Taniumサポートは、初期展開で問題が起きたときのトラブルシューティングで最初に接触すべき場所であり、管理対象のエンドポイント増大に伴う速度と規模の最適化で接触すべき場所でもあります。Taniumサポートは、必要に応じてTanium Clientに関連する以下の設定の調整も対応できます。

  • Tanium Clientの登録頻度
  • Tanium ClientとTanium CloudTanium Core Platformサーバ間の接続
  • クライアント間の接続
  • 帯域幅
  • ファイルのキャッシング

Taniumからのサポートがさらに必要な場合は、Tanium ClientとTanium Core PlatformコンポーネントのTanium Client Managementバージョン情報(該当する場合)Tanium Client Management(該当する場合)を含めてください。また、ホストシステムのハードウェアやOSの詳細などの具体的な依存関係情報も記載してください。最後に、Tanium Clientのインストールでデフォルト以外のインストールディレクトリが使用されているかどうかも示してください。

Taniumサポートに問い合わせるには、https://support.tanium.comにサインインします。