センサーの管理

センサーの概要

センサーは、エンドポイントで実行されてTaniumのQuestionに対する応答を計算するスクリプトです。Tanium as a Service (TaaS) Tanium Serverは、Tanium Clientの登録中にセンサーをエンドポイントに配布します。センサーでは、以下のような情報を収集するQuestionを実行ができます。

  • ハードウェア/ソフトウェアのインベントリと設定を取得する
  • 実行中のアプリケーションとプロセス
  • ファイルとディレクトリ
  • ネットワーク接続

TaaS Tanium Serverのインストールプロセスは、広範な一般的なQuestion用のセンサーを含むTanium™ Default ContentおよびTanium™ Interactコンテンツパックを自動的にインポートします。その他のTaniumソリューションをインポートすると、インポートされたTaniumコンテンツパックまたはTaniumソリューションモジュールに応じて、追加のセンサーが提供されることがあります。Taniumが提供するコンテンツ内に必要なセンサーが見つからない場合は、カスタムセンサーを作成できます。

センサー構成には、設定、スクリプトの内容、およびスクリプトのパラメータが含まれます。センサーは、独自的なコーディング構文ではなく業界標準のスクリプト言語を使用します。ベストプラクティスは、多くの管理対象エンドポイントで利用可能なスクリプトエンジンをセンサーが使用することです。Windowsのエンドポイントでは、Windows 98以降のMicrosoft WindowsのすべてのデスクトップリリースおよびWindows NT 4.0 Option Pack以降のすべてのWindows ServerリリースにデフォルトでインストールされているVBScriptが、一般に最も包括的で「追加設定不要」の機能を提供します。MacOSまたはLinuxのエンドポイントでは、一般にシェルスクリプトが最も包括的で「追加設定不要」な機能を提供します。もちろん、オペレーティングシステムがサポートする他の任意のスクリプト言語(Windows PowerShellなど)もセンサーの作成に使用できます。ただし、関連するスクリプトエンジンがエンドポイントにすでに存在している場合、またはインストールされていないエンドポイントにエンジンをデプロイして構成できる場合に限ります。Taniumの予約済みセンサーは、コンピュータ名、アクションステータス、コンピュータID、ダウンロードステータスを含むコアシステムセンサーであるため、これらの構成を編集することはできません。

センサーの管理に必要なロールアクセス権限についてはコンテンツ管理のアクセス権限を参照してください。

センサーの詳細を表示する

センサー構成の属性と実行時間の指標を表示する。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。

    [Sensors (センサー)] グリッドには、表1で説明しているセンサー属性の大半が表示されます。

  2. (任意) デフォルトでは非表示の属性を表示するには、[Customize Column (列のカスタマイズ)] 列をカスタマイズするをクリックして、その属性を選択します。
  3. (任意) [Runtime (実行時間)] オプションで [Show (表示)] をクリックするとセンサーの実行時間の指標が表示され、[Hide (非表示)](デフォルト)をクリックすると非表示になります。

    各センサーの [Runtime (実行時間)] 列には、センサーが実行時間しきい値を超えたかどうかを示すアイコンが表示されます。このアイコンの上にカーソルを重ねると、実行時間の平均(ミリ秒)を示すツールチップが表示されます。アイコンおよび実行時間しきい値の設定手順についての詳細は、「センサーの実行時間しきい値の管理」を参照してください。

    [Show Hidden (非表示を表示)] オプションをYes (はい)に設定すると、非表示のセンサーとHidden State (非表示状態)列が表示されます。この列は、センサーがVisible (表示)またはHidden (非表示)のどちらに設定されているか示します。

  4. (任意) 特定のセンサーを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): センサーの名前カテゴリ説明のいずれかでグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • 属性でフィルタコンテンツ セットの割り当てなどの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックして、属性および演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  5. (任意) 表1で説明しているすべての属性を表示するには、センサーの名前をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。

    [Sensors (センサー)] グリッドには、表1で説明しているセンサー属性の大半が表示されます。

  2. (任意) デフォルトでは非表示の属性を表示するには、[Customize Column (列のカスタマイズ)] 列をカスタマイズするをクリックして、その属性を選択します。
  3. (任意) [Runtime (実行時間)] オプションで [Show (表示)] をクリックするとセンサーの実行時間の指標が表示され、[Hide (非表示)](デフォルト)をクリックすると非表示になります。

    各種センサーの [Runtime (実行時間)] 列には、センサーが実行時間しきい値を超えたかどうかを示すアイコンと実行時間平均(ミリ秒)が表示されます。アイコンおよび実行時間しきい値の設定手順についての詳細は、「センサーの実行時間しきい値の管理」を参照してください。

  4. (任意) 特定のセンサーを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): センサーの名前カテゴリ説明のいずれかでグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • 属性でフィルタコンテンツ セットの割り当てなどの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックして、属性および演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  5. (任意) 表1で説明しているすべての属性を表示するには、センサーを選択して、[Edit (編集)]編集 をクリックします。

センサーを編集する

ベストプラクティスとして、Taniumからインポートされたコンテンツパックを介して提供される定義済みのセンサーは編集しないでください。詳しくは、推奨4:カスタマイズをTaniumのコンテンツに限定するを参照してください。Tanium提供のセンサーを編集する場合は、Taniumサポートに問い合わせる。または、Taniumが提供するセンサーのクローンを作成し、そのコピーを編集できます(センサーのクローンを作成するを参照)。最初から作成したカスタムセンサーを編集することもできます。

同じセットに属している複数のパッケージのコンテンツセット割り当てを変更する場合は、「コンテンツセット間でセンサーを移動させる」を参照してください。

センサーを編集するには:

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。
  2. 検索および列ソート機能を使用して、編集するセンサーを検索します。
  3. センサーの行を選択し、[Edit (編集)] をクリックします。
  4. 表1の説明に従って構成設定して、[Save (保存)]をクリックします。

コンテンツセット間でセンサーを移動させる

Tanium展開のRBAC設定に対する変更に対応するために、必要に応じてコンテンツセット間のセンサーを移動できます。たとえば、特定のセンサーを非常に権限の高いユーザのみがアクセスできるコンテンツセットに移動させることができます。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。
  2. センサーを選択して、[Move to Content Set (コンテンツセットに移動)] > <content_set_name>を選択します

センサーのクローンを作成する

クローン作成は、以下のことが必要な場合に役立ちます。

  • Taniumコンテンツパックから定義済みのセンサーの変更されたバージョンを作成します。

    元のTaniumセンサーは変更しないでください。

  • 設定が多少異なる既存のセンサーを使用して新しいセンサーを作成します。多くの場合、このほうが最初から新しいセンサーを作成するより簡単です。

センサーのクローンを作成するには次の手順を実行します。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。
  2. 検索および列ソート機能を使用して、クローンを作成するセンサーを検索します。
  3. センサーを選択し、[Clone (クローンを作成)] をクリックします。
  4. 表1の説明に従って構成設定して、[Save (保存)]をクリックします。

センサーを作成する

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensor (センサー)] に移動します。
  2. [New Sensor (新規センサー)] をクリックし、次の構成設定を行って [Save (保存)] をクリックします。
 表1:センサーの構成に関するガイドライン
設定 ガイドライン
名前 アクションを識別するための名前を指定します。名前は、Tanium Console上のセンサーリストに表示されます。自分や他の管理者が簡単に探せるよう、すでにある命名方法に従ってください。センサーのサブ列の区切り文字であるアンダースコア文字(_)は使用しないでください。センサー名にアンダースコアがあると、センサーソースパッケージでセンサーをセンサー変数として使用できなくなります。

重要: 名前を変更する場合は、必ず名前を参照するコンテンツを再構成してください。たとえば、以前の名前で構成されたすべての保存されたQuestionに含まれるセンサー名を変更する必要があります。

説明 詳細を入力します。フォーマットした結果の例を含めます。この説明は、[Sensors (センサー)]ページと[Question Builder (Questionビルダ)][Browse Sensors (センサーの参照)]ダイアログに表示されます。
コンテンツセット コンテンツセットに割り当てます。リストには、センサー書き込みアクセス権限を持つすべてのコンテンツセットが表示されます。
カテゴリ [Sensors (センサー)]ページおよび[Question Builder (Questionビルダ)]のセンサーの[Browse Sensors (センサーの参照)]ダイアログに表示されるカテゴリのひとつを指定します。
結果の種類 [Question Results (Questionの結果)]グリッドでは、センサーが返す値は、以下のような指定されたデータ型として扱われます。
  • 日付/時刻(RFC822)
  • 日付/時刻(WMI)
  • ファイルサイズ
  • 整数
  • IPアドレス
  • 数値
  • テキスト
  • 時間
  • バージョン
Max Sensor Age (センサーの寿命) センサーを使用するQuestionに回答する時にTanium Clientがこのセンサーのキャッシュ結果を使用できる最大時間を入力します。たとえば、デフォルトではFile Sizeセンサーのデータの寿命は15分です。Tanium Clientは、[File Size (ファイルサイズ)]センサーを実行するQuestionを受信すると、その結果をキャッシュします。次の15分間にTanium Clientが[File Size (ファイルサイズ)]センサーを含むQuestionを受信したら、そのキャッシュ結果が回答として返されます。15分経過後に[File Size (ファイルサイズ)]センサーを含むQuestionを受信した場合、センサースクリプトを再度実行して新しい回答を計算します。

ステータスや使用率センサーなどの頻繁に変更される値を返すセンサーの経過時間値は短くします。筐体の種類やActive Directoryドメインのメンバーシップなど、通常は頻繁には変更のない値には、経過時間値を大きくします。

Max Sensor Age (センサー寿命)は、Tanium Client上の結果キャッシュにのみ影響し、Tanium™ Data ServiceがTanium Serverに保存する結果キャッシュには影響しません(「収集したセンサー結果を管理する」を参照)。

Max Strings Age (文字列の寿命) Questionの結果がTanium Serverのディスクスペースにもたらす影響を抑えたい場合、[Enable (有効化)]を選択し、サーバが回答の文字列を削除する前に文字列が到達できる最大経過時間を指定します。デフォルトは1週間です。文字列の経過時間は、Tanium Serverがその文字列を最後に使用した時、またはTanium Clientからその文字列を受信した時を起点とする分数に基づいています。詳しくはセンサー文字列の増大を管理するを参照してください。

Max String Age (文字列の寿命)は、Tanium Data ServiceがTanium Serverに保存する結果キャッシュには適用されません(「収集したセンサー結果を管理する」を参照)。

最大文字列 Questionの結果がTanium Serverのディスクスペースにもたらす影響を抑えたい場合、[Enable (有効化)]を選択し、最も古い文字列の削除前にこのセンサーについてサーバが保存する回答の最大文字列数を入力します。このサーバは、ソースセンサーの文字列カウントを計算する際、一時センサーの文字列カウントを含めます。デフォルトは0で、この場合、制限は指定されません。文字列の経過時間は、Tanium Serverがその文字列を最後に使用した時またはTanium Clientからそれを受信した時によって決まります。

重要: 文字列の増大を制限する場合、ベストプラクティスは[Max Strings (最大文字列)]ではなく[Max Strings Age (最大文字列の経過時間)]を設定することです(センサー文字列の増大を管理するを参照)。各種センサーで文字列数の制限が必要となる極端なケースでのMax Strings (最大文字列)の設定については、事前にTaniumサポートに問い合わせる

Max Strings (最大文字列)は、Tanium Data ServiceがTanium Serverに保存する結果キャッシュには適用されません(「収集したセンサー結果を管理する」を参照)。

結果値の大文字と小文字を無視する 大文字と小文字を区別しないで結果の値をグループ化してカウントします。
センサーリストと解析結果でこのセンサーを非表示にする ユーザインターフェイス全体でセンサーリストからこのオブジェクトを除外する場合は、このオプションを選択します。
複数の列に分割 (複数列センサーのみ) センサースクリプトが複数の結果を返す場合は、[Question Results (Questionの結果)]グリッドの複数の列に表示されます。スクリプトの結果値を区切るために使用する区切り文字を指定します。列名と対応する結果の型を入力して、結果グリッドに表示する順序通りに配置します。 [Hide (隠す)]オプションを選択すると、結果グリッドのデフォルトビューに列が表示されないようにできます。 次の図は、[Running Applications (実行中のアプリケーション)]センサーの設定を示しています。

複数列センサーの設定

: 多列センサーをフィルタリングするQuestionの作成の各列のフィルタリングは、センサーの定義で複数の文字(例:|:)ではなく、1文字(例:|)の列区切り文字が指定されている場合にのみ機能します。

スクリプト 各種対象オペレーティングシステム(OS)ごとに以下の手順を実行します。
  1. [+] をクリックして対象のOSを追加します。

  2. [Query Type (クエリタイプ)]を目的のスクリプトエンジンに設定します。

  3. スクリプトのテキストを入力します。

パラメータ入力 (パラメータ化センサーのみ) [+] をクリックし、[Add Parameter (パラメータの追加)]をクリックして、パラメータを設定します。

パラメータは次のとおりです。

  • [Checkbox (チェックボックス)] — ユーザは、ボックスをチェックすることによって設定を有効化します。0または1が変数に入力されます。選択された場合は1、選択されなかった場合は0が返されます。
  • [Date (日付)][Date Time (日付時刻)][Date Time Range (日付時間範囲)] - ユーザは日付と時刻、または範囲を選択します。日時は、ミリ秒単位のエポックタイムの形式です。範囲では、ユーザはパイプで区切って2つの日時を指定します。
  • [Drop Down List (ドロップダウンリスト)] - ユーザはリストから1つのオプションのみを選択します。
  • [List (リスト)] - ユーザは1つ以上の値を選択します。複数の値はパイプで区切ります。
  • [Numeric (数値)] - ユーザは数値を入力します。入力は最小値と最大値で制御できます。ステップサイズを指定すると、指定した値で入力を割り切れるように指定できます。スナップ間隔は、上下ボタンが押されたときの数字の増減量です。ステップサイズの値は、スナップ間隔が0でなければ、スナップ間隔の値の倍数にする必要があります。ユーザが選択した数字が変数に入力されます。
  • [Numeric Interval (数値間隔)] - ユーザはリストから数字と項目を選択します。リスト項目は数値を1つとります。 変数に入力される値は、乗算の結果です。たとえば、ユーザが2を選択してHigh(高)(値は3)を選択すると、変数の値は6になります。
  • [Plugin (プラグイン)] - ほとんどの場合、ユーザの使用に適しません。 使用の詳細は、Taniumサポートに問い合わせる
  • [Separator (セパレータ)] - セパレータは、ユーザ入力フォーム内のセクションを区切るグラフィカルな方法です。
  • [Text Area (テキスト領域)] - ユーザは大量のテキストを入力します。テキストは変数に入力されます。
  • [Text Input (テキスト入力)] - ユーザはテキストを入力します。許可されるエントリは、正規表現で制御できます。ユーザ入力は変数に入力されます。
  • [Time (時刻)] - ユーザはドロップダウンリストから時刻を選択します。入力は制限することができます。
センサのプレビュー 少数の非重要エンドポイントでセンサー結果をプレビューすることにより、Questionやセンサーのハーベスティングに使えるようにする前にセンサーをテストできます。プレビューは、エンドポイントに悪影響を及ぼす可能性のある不具合がセンサースクリプトにある場合に有用な対策です。

コンピュータグループを選択するか、[Add (追加)]をクリックしてセンサーを作成してから、[Preview (プレビュー)]をクリックすると、センサーのテスト結果を確認することができます。

センサーの構成をエクスポート/インポートする

以下の手順では、特定のセンサーまたはすべてのセンサーの構成をエクスポートおよびインポートする方法を説明しています。

本番環境にコンテンツをインポートする前に、ラボ環境でコンテンツの開発とテストを行ってください。

センサーをエクスポートする

CSVファイルの形式でセンサーをエクスポートすることで、その形式をサポートするアプリケーションでその設定を表示することができます。ユーザアカウントにExport Content (コンテンツのエクスポート)アクセス権限を持つロールがある場合は、JSONファイルの形式でアクションをエクスポートすることで別のTanium Serverにインポートすることもできます。Administrator予約ロールにはそのアクセス権限があります。

センサーに加えてその他の種類のコンテンツをエクスポートまたはインポートする場合は、「共有サービスとコンテンツを管理する」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensors (センサー)] に移動します。
  2. 特定のセンサーのみをエクスポートするには、グリッドで行を選択します。すべてのセンサーをエクスポートする場合、この手順は省略できます。
  3. エクスポート エクスポートエクスポート をクリックします。
  4. (任意) デフォルトのエクスポートファイル名を編集します。

    ファイルのサフィックス(.csv または .json)は、選択された [形式] に基づいて自動的に変更されます。

  5. [データのエクスポート] オプションを選択します。グリッド内のすべてのセンサー、または選択したセンサーのみ。
  6. ファイルの形式を選択します。JSONまたはCSV
  7. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

センサーをインポートする

センサーをインポートするには、署名付きコンテンツのインポート権限とセンサーの読み取り権限が必要です。AdministratorまたはContent Administrator予約ロールは、すべてのセンサーをインポートできます。

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

センサーの構成詳細をコピーする

[Sensors (センサー)] ページの情報をクリップボードにコピーすることで、その情報をメッセージやテキストファイル、スプレッドシートに貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Sensors (センサー)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] コピーをクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。

センサー隔離を管理する

センサーの隔離の概要

センサーが前のQuestionまたはアクションで実行時間タイムアウトを超えていた場合、センサー隔離を実施すると、現在のQuestionまたはアクションでセンサーは実行されなくなります。隔離は、Questionやアクションが長時間実行されるセンサーを使用する場合に、CPU使用率などのエンドポイントリソースに対する影響を限定するのに有用です。設定できないタイムアウトは1分に設定されます。

デフォルトでは、隔離は実施されません。センサーがタイムアウトを超えて、実行を停止した後、センサーは隔離済みステータスになりますが、以降のQuestionやアクションを実行できるよう完了またはタイムアウトするまで引き続き実行されます。この場合、Tanium Clientは隔離済みステータスを使用して、センサーがタイムアウトしたことを記録します。

施行を有効にするかどうかに関わらず、Tanium Clientは、タイムアウトを超えるとあらゆるセンサーを停止します。各クライアントはセンサーを隔離し、個別の隔離を実行します。その結果、エンドポイントによってセンサー隔離されたり、隔離されなかったりします。

Tanium Clientがセンサーを隔離する場合、Tanium Consoleは以下のメッセージを[Question Results (Question結果)]グリッドに表示します。TSE-Error:Sensor evaluation timed out (センサー評価タイムアウト)。すでに隔離を受けており施行が有効となっているセンサーを使用してQuestionを出すと、[Question Results (Questionの結果)]グリッドにTSE-Error:を表示します。The sensor is quarantined (このセンサーは隔離されています)。センサーを隔離する、またはすでに隔離されているセンサーが実行されないようにする場合、Tanium Clientはエントリをクライアントログおよびセンサー履歴ログに追加します。

一時センサーが1分のタイムアウトを超えた場合、Tanium Clientはもとのセンサーを隔離し、もとのセンサーに基づく現在および将来の一時センサーすべてを隔離します。

実施を有効にして、エンドポイントを対象にしたセンサーが隔離された場合は、そのセンサーがコンピュータグループに含まれていたとしても、実行されなくなります。ただし、隔離されたセンサーは、from all machines with Is Windows not equals trueなどの曖昧なfrom句を持つQuestionのターゲットを歪める可能性があります。この場合、Is Windowsセンサーが検疫されるWindowsエンドポイントは、応答がTSE-Error:になるため、not equals true条件に一致します。隔離されているセンサーはむしろtrueです。このような結果を避けるには、対象の句をできるだけ具体的に指定し、not equals trueなどの否定形の一致検索条件を使用しないでください。

隔離センサーを表示する

隔離されたセンサーの属性を表示する

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Quarantined Sensors (センサーの隔離)] に移動します。

    [Quarantined Sensors (センサーの隔離)] グリッドには、多くのセンサー属性が表示されます。

  2. (任意) デフォルトでは非表示の属性を表示するには、[Customize Column (列のカスタマイズ)] 列をカスタマイズするをクリックして、その属性を選択します。
  3. (任意) 特定のセンサーを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): センサーの名前または説明でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ)展開コンテンツ セットの割り当てなどの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、[追加Row (行)] または [追加Grouping (グループ化)](ブール演算子でグループ化する場合)をクリックします。続けて [追加Add (追加)] をクリックし、属性および演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Quarantined Sensors (センサーの隔離)] に移動します。

    [Quarantined Sensors (隔離センサー)] グリッドには、表1で説明しているセンサー属性の大半が表示されます。

  2. (任意) デフォルトでは非表示の属性を表示するには、[Customize Column (列のカスタマイズ)] 列をカスタマイズするをクリックして、その属性を選択します。
  3. (任意) 特定のセンサーを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): センサーの名前または説明でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ)展開:  [コンテンツ セットの割り当て] などの 1 つ以上の属性でグリッドをフィルタします。展開[Filters (フィルタ)] セクションを展開して、追加[Row (行)] または 追加[Grouping (グループ化)] (ブール演算子でグループ化) をクリックし、追加[Apply (適用)] をクリックして属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  4. (任意) 表1で説明しているすべての属性を表示するには、センサーを選択して、[Edit (編集)] をクリックします。

隔離にセンサーを追加する

センサーを実行するとエンドポイントにマイナスの影響を与えることが予想される場合、手作業でエンドポイントのセンサーを隔離できます。

センサーの隔離によって、隔離の実施を自動的に有効にすることはできません。

  1. Tanium Consoleへのアクセスに使用するブラウザのURLフィールドにhttps://<TaaS instanceTanium Server>/hash/<sensor>.https:///hash/を入力します。<TaaS instanceTanium Server>の場合は、TaaS Tanium ServerのFQDNまたはIPアドレスを入力します。<sensor>はTanium Consoleが表示しているセンサー名と大文字小文字とスペースに関して合致している必要があります。

    ブラウザはセンサーに関連するハッシュ値を表示しています。

  2. エンドポイントでオペレーティング システムのCLIにアクセスし、ディレクトリ(cd)をTanium Clientのインストールフォルダに変更します。
  3. 次のコマンドを入力します。

    • Windows: TaniumClient quarantine add <sensor_hash>
    • Windows以外: ./TaniumClient quarantine add <sensor_hash>

センサーの隔離を解除する

Default Content (以前のInitial Content - Base)のバージョン7.1.10.0000またはそれ以降をインポートした場合は、Tanium Consoleを使用して一部またはすべてのエンドポイント上のセンサーを隔離解除できます(「共有サービスとコンテンツを管理する」を参照)。センサーの隔離を解除した後、Tanium Clientはそれ以降のQuestionとアクションの実行を許可しますが、タイムアウトを超えるとセンサーは再び停止、隔離されます。

センサーを修正すると、その新しい定義を受け取るTanium Clientはそのセンサーの隔離を自動的に解除します。

TaaS Tanium Serverが、オフラインのエンドポイント上のセンサーを隔離解除することはできません。いくつかのエンドポイントが後にオンラインになる可能性があることが分かっている場合、[Un-Quarantine Sensor (センサーの隔離解除)]または[Un-Quarantine Sensor (Non-Windows) (センサーの隔離解除) (Windows以外)]パッケージを使用するアクションの計画を検討します(アクションのデプロイを参照)。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Quarantined Sensors (センサーの隔離)] に移動します。
  2. センサーを選択して[Unquarantine (隔離解除)]をクリックします。
  3. センサーの隔離を解除するエンドポイントを含む[Action Group (アクショングループ)]を選択します。
  4. 影響を受けるエンドポイントを確認してから[Unquarantine (隔離解除)]をクリックします。

センサー隔離の適用を有効/無効にする

隔離の施行を有効化すると、Tanium Clientは、隔離センサーを使用するQuestionには回答せず、それらのセンサーはアクションに対して実行されません。施行を無効にした後、クライアントは依然としてセンサーとログの隔離イベントを検疫しますが、これらのセンサーが実行されないようにすることはできません。

隔離の適用を有効または無効にするユーザアカウントには、グローバル設定書き込みアクセス権限を持つロールが必要です。管理者予約ロールを割り当てられたユーザには、このアクセス許可があります。

適用を初めて有効化する場合、[EnableSensorQuarantine]設定を以下のようにTanium Server上でグローバル設定に追加する必要があります。デフォルトで、適用は無効化されており、設定はTanium Consoleで表示されません。設定を追加後、Tanium Serverはこの設定をすべてのTanium Clientに適用します。

  1. Tanium Consoleにアクセスする。
  2. メインメニューから、[Administration (運用管理) > [Management (管理)] > [Global Settings (グローバル設定)] に移動し、[New Setting (新規設定)] をクリックします。
  3. 以下の値を入力して[Save (保存)]をクリックします。
    • Setting Name (名称設定) = EnableSensorQuarantine
    • Setting Value (設定値) = 1
    • Affects (影響) = Client
    • Value Type (値の種類) = Numeric

グローバル設定に追加した後に施行設定を変更したい場合、

  1. メインメニューから、[Administration (運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
  2. [EnableSensorQuarantine] を選択して、[Edit (編集)] をクリックします。適用を有効にする場合は値に1、適用を無効にする場合は値に0に設定して、[Save (保存)]をクリックします。

すべてのクライアントではなく特定のTanium Clientにおける適用設定を変更したい場合は、そのクライアントのローカル構成のEnableSensorQuarantine設定を追加したり、変更したりできます(参照: Tanium Client Managementユーザガイド:Tanium ClientのCLIとクライアント設定)。

センサー隔離の詳細をエクスポートする

CSVファイルの形式でセンサー隔離情報をエクスポートすることで、その形式をサポートするアプリケーションで表示することができます。

特定のセンサー隔離の詳細をエクスポートするには、それらセンサーのコンテンツセットに対するセンサーの書き込み権限が必要です。AdministratorまたはContent Administrator予約ロールを持つユーザは、すべてのセンサー隔離の詳細情報をエクスポートできます。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Quarantined Sensors (センサーの隔離)] に移動します。
  2. 次のエクスポートオプションのいずれかを選択します。
    • 特定のセンサー隔離の詳細をエクスポートするには、対応するチェックボックスを選択して、[エクスポート] をクリックします。
    • 特定のセンサー隔離の詳細をエクスポートするには、[Export (エクスポート)]エクスポートエクスポート をクリックします。
  3. CSVファイルのファイル名を入力します。
  4. CSVファイルにグリッドの列ヘッダーを含めるには、[Include headers in export (エクスポートにヘッダーを含める)] を選択します。

    [Flatten Rows (行をフラット化)] オプションをスキップします。このオプションはセンサーの隔離には適用されません。

  5. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

センサー隔離の詳細をコピーする

[Quarantined Sensors (センサーの隔離)] ページの情報をクリップボードにコピーすることで、その情報をメッセージやテキストファイル、スプレッドシートに情報を貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから [Administration (運用管理)] > [Content (コンテンツ)] > [Quarantined Sensors (センサーの隔離)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] コピーをクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。

収集したセンサー結果を管理する

Tanium Data Serviceでは、Questionの発行時にオフラインであったエンドポイントの保存済みセンサー結果を表示することができます。収集用のセンサーを登録すると、サービスはすべての管理対象エンドポイントにクエリを実行して、それらセンサーの結果を収集してTaniumデータベースに保存します。結果を最新に維持するため、サービスは登録センサーを含むQuestionを定期的に再発行します。Interactの [Question Results (Question結果)] グリッドには、最新の収集結果のみが表示されます。結果の表示についての詳細は、「オンラインおよびオフラインのエンドポイントの結果を表示する」を参照してください。

登録するセンサーを決める時は、結果の収集では、ネットワーク帯域幅やエンドポイントのリソース、Tanium Serverのディスク容量などのリソースが消費されること考慮してください。センサーのカーディナリティが大きくなるほど、リソースの消費量は増大します。たとえば、IP Addressセンサーはエンドポイントごとに一意の結果文字列を生成するのに対し、Operating System (OS)センサーは、同じOSを持つすべてのエンドポイントに対して同じ文字列を生成します。この場合、IP Addressセンサーのカーディナリティは大きく、Operating Systemセンサーよりも多くの帯域幅、CPU使用率、ストレージを必要とします。

リソース消費を最適化するには、日報など、よくアクセスされる結果が生成されるカーディナリティの低いセンサーについてのみ収集の設定をするようにします。たとえば、オンラインおよびオフライン両方の健全性またはセキュリティ態勢を評価するには、Applicable Patchesセンサーの結果に基づいてレポートを生成するようにします。これに対し、Hight CPU Processesセンサーの結果は変動が大きすぎるため、オフラインのエンドポイントのアクティビティの計測には信頼できません。

結果収集に関連するリソース消費の監視についての詳細は、「センサー結果収集時のリソースの使用状況を監視する」を参照してください。

Tanium Serverは、収集用のセンサーを自動的に登録します。たとえば、サーバは、エンドポイントを識別するセンサーやコンピュータ管理グループのメンバーシップを定義するセンサーを自動的に登録します。「デフォルトで登録されているセンサー」の全一覧を参照してください。

センサー収集の管理に必要なユーザロールのアクセス権限については、「 」を参照してください。

Tanium Data Serviceがセンサー結果の収集に使用するサービスアカウントの変更については、「Tanium Interactユーザガイド: サービスアカウントを設定する」を参照してください。

Max Sensor Age (センサーの寿命)Max String Age (文字列の寿命)、およびMax Strings (最大文字列数)の設定は、Tanium Data Serviceが収集および保存するセンサー結果には適用されません。これらの設定についての詳細は、表1を参照してください。

センサー収集の登録詳細を表示する

各センサーの登録ステータスとその他の詳細を表示します。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。

    [Registration & Collection (登録と収集)] タブの [Registered (登録)] 列は、センサーが収集用に登録されていて収集が有効な場合にTrueを表示します。収集用に登録されていないか、または登録されてはいるが収集が無効(収集が一時停止中)なセンサーの場合は、Falseと表示されます。

    右端の列の [Actions(アクション)] ドロップダウンは、各センサーに対して実行できる操作のメニューです。追加(登録)、rリリース(登録解除)、無効(収集の一時停止)、有効(収集の再開)、パージ(結果のパージ)があります。。デフォルトで登録されているセンサーとして列挙されているセンサーに対して登録解除、収集の一時停止、および結果のパージ操作を行うことはできません。

    デフォルトでは、センサーグリッドは非表示のセンサーを除外するようにフィルタリングされます。非表示のセンサーについての詳細は、表1の「センサーリストと解析結果でこのセンサーを非表示にする」設定を参照してください。

    センサーの構成を編集するには、その名前をクリックします。

  2. (任意) 特定のセンサーのみを表示するには、[詳細フィルタ] をクリックし、次のオプションのいずれかを選択します。
    • Category (カテゴリ):特定のカテゴリに含まれるダッシュボードに割り当てられているQuestionで使用されているセンサーのみを表示します。
    • Registered (登録済み): 収集用に登録および有効になっているセンサー(True)、または収集用に登録されていないセンサー(False)のみを表示します。
    • Hidden (非表示): 非表示のセンサー(True)、または非表示でないセンサー(False)のみを表示します。
    • Has Parameters (パラメータあり): パラメータ化センサー(True)または非パラメータ化センサー(False)のみを表示します。
  3. (任意) グリッドの上の [Filter Items (フィルタ項目)] フィールドにテキスト文字列を入力して、センサーの名前またはカテゴリでフィルタリングします。

収集用センサーを登録/登録解除する

収集用のセンサーが登録または登録解除されると、Tanium Data Serviceは、次回収集間隔(「センサー収集の詳細な構成設定をする」を参照)のタイミングでその変更を自動的に適用し、Questionを発行してセンサー結果を更新します。また、収集用にセンサーが登録されると、サーバはそのセンサーについてただちに結果の収集を開始します。手動で採取を開始するを開始した場合もまた、登録の変更が適用されます。デフォルトで登録されているセンサーを登録解除することはできません。

センサーを登録解除しても、Tanium Data Serviceのストレージから既存の結果が削除されることはありません。[Question Results (Question結果)] ページに表示されないようにストレージから結果をパージするには、「特定のセンサーの結果をパージする」を参照してください。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. (任意) 特定のセンサーを探すには、[Registration & Collection (登録と収集)] タブをフィルタリングします。「センサー収集の登録詳細を表示する」を参照してください。
  3. 次のいずれかのアクションを実行します。
    • Register sensors (センサーの登録): [Actions (アクション)] > [Add (追加)] を選択してセンサーを登録します。

      パラメータ化センサーの場合は、1つのセンサーに複数のインスタンスを登録できます。それぞれのインスタンスに、パラメータを指定して、[Apply (適用)] をクリックします。

    • Unregister sensors (センサーの登録解除): [Actions (アクション)] > [Release (リリース)]を選択してセンサーを登録解除します。

センサーの収集を一時停止/再開する

センサーの結果を更新するためにQuestionを発行する場合、Tanium Serverは一時停止中のセンサーを除外します。収集の一時停止または再開は、センサーを登録解除または再登録しなくてもセンサーごと行うことができます。センサーを一時停止すると、Interactの [Question Results (Questionの結果)] ページには、その一時停止の前にサーバがそのセンサーで最後に収集した結果が表示されます(該当する場合)。デフォルトで登録されているセンサーを一時停止することはできません。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. (任意) 特定のセンサーを探すには、[Registration & Collection (登録と収集)] タブをフィルタリングします。「センサー収集の登録詳細を表示する」を参照してください。
  3. [Actions (アクション)] > [Disable (無効)] を選択して収集を一時停止するか、[Actions (アクション)] > [Enable (有効)] を選択して収集を再開します。

センサーの収集を再開すると、サーバはただちにそのセンサーについて結果の収集を開始します。

手動で採取を開始する

センサーの結果を最新に維持するため、Tanium Serverは収集間隔(デフォルトでは時間単位)になるたびにすべてのエンドポイントにQuestionを自動的に再発行します。サーバはまた、センサーが登録されるか、収集が再開されたときにも直ちに結果を収集します。手動収集は収集間隔スケジュールには影響しないことに注意してください(「センサー収集の詳細な構成設定をする」を参照)。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. [Registration & Collection (登録と収集)] タブで、グリッドの上にある [Collect Now (今すぐ収集)] をクリックします。

特定のセンサーの結果をパージする

特定のセンサーの結果をストレージからパージすることで、[Question Results (Question結果)] ページを表示されないようにすることができます。

デフォルトで登録されているセンサーの結果をパージすることはできません。

[Max Endpoint Age (エンドポイントの寿命)] の時間内にエンドポイントから応答がない場合、Tanium Data Serviceはそのエンドポイントの結果を自動的に削除します。このガベージ収集プロセスを構成設定するには、「期限切れのセンサー結果の削除を設定する」を参照してください。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. (任意) 特定のセンサーを探すには、[Registration & Collection (登録と収集)] タブをフィルタリングします。「センサー収集の登録詳細を表示する」を参照してください。
  3. パージするセンサーを登録解除するか、収集を一時停止します。
    • Pause collection (収集の一時停止): [Actions (アクション)] > [Disable (無効)] を選択します。
    • Unregister (登録解除): [Actions (アクション)] > [Release (リリース)] を選択します。
  4. センサーのパージでは、センサーごとに [Actions (アクション)] > [Purge (パージ)] を選択し、[Confirm (確定)] をクリックします。

センサー収集の詳細な構成設定をする

登録済みセンサーの結果を収集する場合、Tanium Data Serviceはそのセンサーを含むQuestionを発行します。サービスは、1回分ずつQuestionsを発行し、Tanium Serverから結果をダウンロードして、Taniumデータベースに結果を書き込みます。デフォルトの収集設定は、Questionによってネットワーク帯域幅およびエンドポイントのリソースが消費されすぎないように構成されています。また、デフォルト設定は、結果のダウンロードと書き込み時に、サービスがTanium Serverのメモリを消費すぎないように構成されています。これらの設定は、収集用に登録したセンサーの数、およびネットワーク、エンドポイント、Tanium Serverのリソース制限に基づいて必要に応じて編集することができます。

収集設定の変更にあたっては、Taniumサポートに問い合わせるを参照してください。これらの設定は、Administrator予約ロールを持つユーザのみが変更できます。

センサー収集処理を監視またはトラブルシューティングするには、[Interact] > [Info (情報)] を選択し、[Data Service Status (Data Serviceステータス)] チャートで [Data Collection (データ収集)] 指標を表示します。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. [Service Configuration (サービス構成)] を選択し、[Collection (収集)] タブで次の構成設定をします。
     表2:センサー収集処理の設定
    設定説明
    収集間隔Tanium Data Serviceが、登録済みのセンサーの結果を収集するプロセスを実行する頻度を指定します。単位は分で、デフォルトは60(1時間)です。
    Polling Interval (ポーリング間隔)Tanium Data Serviceが発行された各Questionの結果の有無をチェックする頻度を指定します。単位は秒で、デフォルトは30です。
    Poll Timeout (ポーリングのタイムアウト)Tanium Data ServiceがQuestionに対する新しい結果を最後に受信してから、新しい結果の有無確認を停止するまでの時間の長さを指定します。単位は秒で、デフォルトは60(1分)です。
    Max Sensors per Question (Questionあたりの最大センサー数)Tanium Data Serviceが結果を収集するために発行するQuestionの単一列センサーの最大数を指定します。単一センサーが返す応答は、Question Results (Question結果)グリッドで1つの列に表示されます。。デフォルトは、Questionあたりセンサー30個です。この構成設定では、最大同時Question数との組み合わせと収集時のリソース消費との関係を考慮してください。

    このサービスでは、Questionあたりの多列センサーの制限(設定変更不可)が適用されます。

    Max Concurrent Questions (最大同時Question数)結果の収集でTanium Data Serviceが1回分として同時に発行するQuestionの最大数を指定します。デフォルトは10個です。この構成設定では、Questionあたり最大センサー数との組み合わせと収集時のリソース消費との関係を考慮してください。
    Results Download Page Size (結果のダウンロードページサイズ)収集時にTanium Data ServiceがTanium Serverから結果をダウンロードするエンドポイントの最大数を指定します。デフォルトでは10,000です。この設定の目的は、1回のダウンロードで処理するデータセットが大きすぎることのないようにし、サービスとサーバのメモリ使用量を最適化することです。
    Continuous Harvest (連続収集)定期的なスケジュールではなく、使用可能になったタイミングでエンドポイントから結果が送信されるように、収集のQuestionを開いたままにしておきます。これにより、結果が更新される速度が速くなります。この設定の変更にあたっては、Taniumサポートに問い合わせるを参照してください。

期限切れのセンサー結果の削除を設定する

結果を保存する際、Tanium Data Serviceはそれられの結果を各エンドポイントにマッピングし、エンドポイントが最後に更新を返した時間を基準に有効寿命を評価します。このことは、複数のエンドポイントから同じ結果が返されたが、返された時間が異なる場合は、ガベージ収集処理によって、有効期限(エンドポイントの寿命)内に更新を返さなかったエンドポイントの結果のみが削除されることを意味します。ガベージ収集の設定は、結果文字列の増加の割合と展開環境で使用可能なリソース(ストレージ容量とメモリ)に基づいて必要に応じて編集できます。文字列の増加の割合を監視し、最も多くの文字列を生成するセンサーを特定する方法については、「センサー結果収集時のリソースの使用状況を監視する」を参照してください。

ガベージ収集設定の変更にあたっては、Taniumサポートに問い合わせるを参照してください。これらの設定は、Administrator予約ロールを持つユーザのみが変更できます。

ガベージ収集処理を監視またはトラブルシューティングするには、[Interact] > [Info (情報)] を選択し、[Data Service Status (Data Serviceステータス)] チャートで [Garbage Collection (ガベージ収集)] 指標を表示します。たとえば、期限切れの結果をすべて削除する前に処理がタイムアウトした場合、チャートにはそのプロセスのエラーエラーが表示されます。

  1. Interact [Home (ホーム)] ページに移動し、[Settings (設定)]設定 をクリックします。
  2. [Service Configuration (サービス構成)] > [Garbage Collection (ガベージ収集)] を選択し、次の構成設定をします。
     表3:センサーの結果に対するガベージ収集の設定
    設定説明
    ガベージ収集間隔Tanium Data Serviceが期限切れになった結果をチェックし、削除する頻度を指定します。単位は分で、デフォルトは15です。
    Garbage Collection Timeout (ガベージ収集のタイムアウト)ガベージ収集処理をタイムアウトにする時間を指定します。単位は分で、デフォルトは30です。処理の実行中、Tanium Data Serviceは保存済み結果に対する保留中の更新を先延ばしします。最新の結果を表示する必要があるユーザに大きな影響を与える更新を先延ばしすることなく、期限切れの結果をすべて削除するのに十分な時間を指定してください。

    期限切れの結果をすべて削除する前にガベージ収集処理がタイムアウトした場合は、次回のガベージ収集のタイミングで削除が再開されます。

    Max Endpoint Age (エンドポイント寿命)収集した結果の寿命を指定します。各エンドポイントについて、Tanium Data Serviceは、エンドポイントがセンサーの更新を最後に返した日時に基づいて結果の寿命を評価します。単位は日にちで、デフォルトは30です。[Max Endpoint Age (エンドポイントの寿命)] 時間内にエンドポイントがセンサー収集のQuestionに応答しなかった場合、ガベージ収集処理は、そのエンドポイントのエントリとその関連結果をストレージから削除します。
    Reference Sensor Name (基準センサー名)[Max Endpoint Age (エンドポイントの寿命)] に基づいて期限切れになった結果を評価する際にTanium Data Serviceがエンドポイントの特定に使用するセンサーを指定します。デフォルトのセンサーはComputer IDセンサーです。ベストプラクティスは、以下のエンドポイント識別(EID)センサーのうちのいずれかを使用することです。これらの識別情報は、最も頻繁に更新されます。Computer ID、Computer Name、Computer Serial Number。
    コンピュータグループのエンドポイント寿命コンピュータグループごとに、収集した結果の有効期限(寿命)を指定できます。このオプションを使用して、[Max Endpoint Age (エンドポイントの寿命)] で指定した値よりも短い寿命を設定することができます。[Computer Group Max Endpoint Age (コンピュータグループのエンドポイント寿命)] で設定した値は、[Max Endpoint Age (エンドポイントの寿命)] で設定した値を上書きするのではないことに注意してください。どちらか小さい方の値によって、ガベージ収集処理がトリガーされます。単位は時間です。

センサー収集をトラブルシューティングする

センサー収集によってネットワーク帯域幅やエンドポイントのリソース、Tanium Serverのリソースが過剰に消費されていないかどうかを調べる方法については、「センサー結果収集時のリソースの使用状況を監視する」を参照してください。

その他のセンサー収集の問題をトラブルシューティングについては、以下を参照してください。

  • Tanium Core Platform展開リファレンスガイド:Tanium Data Serviceのログ:ログは、結果を収集するためにTanium Serverが各Questionを発行した日時とQuestion ID、Question内の各センサーに関する情報を示します。
  • Question履歴:[Administration (運用管理)] > [Management (管理)] > [Question History (Question履歴)] ページで、Tanium Data ServiceログのQuestion ID (Harvesting qid)を使用して、センサー結果を収集するためにTanium Serverが発行した特定のQuestionを探すことができます。

デフォルトで登録されているセンサー

収集用にデフォルトで登録されているTanium Core Platformセンサーはこの後に示す通りです。Interactをインストールすると、Tanium Data Serverはこれら登録済みセンサーの結果をただちに収集および保存します。これらのセンサーに対して登録解除、収集の一時停止、結果のパージ操作を行うことはできません。

これとは別に、Taniumのモジュールによっては、そのモジュールをインポートしたときにデフォルトで登録されるセンサーもあります。

コンピュータグループのメンバーシップを定義するセンサーが展開環境にまだない場合は、Default Computer Groupsコンテンツパックを使用してインポートすることができます。「共有サービスとコンテンツを管理する」参照してください。

  • エンドポイント識別子(EID)センサー:
    • Computer ID
    • Computer Name
    • Computer Serial Number
  • コンピュータ管理グループのメンバーシップを定義するセンサー:
    • Chassis Type
    • Computer Name
    • Is AIX (AIX)
    • Is Linux (Linux)
    • Is Mac (Mac)
    • Is Solaris (Solaris)
    • IsVirtual
    • Is Windows (Windows)
    • Operating System
    • Operating System Generation
    • Windows OS Release ID
    • Windows OS Type