他のバージョン

コンピュータグループの管理

コンピュータグループは、共通して1つのセンサー結果を持つ一群のエンドポイントの定義からなる構成です。例えば、特定のオペレーティングシステムがあるすべてのエンドポイント、あるいは特定のタグを持つすべてのエンドポイントなどが、これに該当します。

コンピュータグループの使用

コンピュータグループの構成は、プラットフォーム全体で使用されます。

コンピュータグループの管理権限

ユーザー各人には、ユーザー構成においてコンピュータグループの「管理権限」 を直接割り当てます。ユーザーはユーザーグループの割り当てを通して権限を継承できます。

ユーザーから質問があると、Tanium ServerはTanium Clientの一次チェーンを介して配信する質問メッセージを作成し、オンラインで接続しているすべてのTanium Clientにはそのメッセージが表示されます。質問メッセージには3つのコンポーネントがあります。

  1. そのユーザーのコンピュータグループ管理権限。
  2. 対象のフィルタ句。
  3. selectステートメント。

質問メッセージの処理では、エンドポイントは、ユーザーが所属するコンピュータグループの管理権限を持っているかどうかをまず評価します。持っていない場合、エンドポイントは質問をそれ以上処理せず、回答メッセージに回答を追加しません。持っている場合は、対象フィルタ句にあるすべてのセンサーを評価します。対象のフィルタ式がtrue(真)と評価された場合、エンドポイントはselectステートメントセンサーを評価し、その結果を回答メッセージに追加します。このとき、selectステートメントのフィルタ(ある場合)は処理されません。 selectステートメントのセンサーからの結果はすべて回答メッセージに取り込まれて、結果のフィルタリングはTanium Serverが担当します。

次の例では、ユーザーは、Windows、Westブランチ、およびマニュアル12のコンピュータグループの管理権限を持っています。質問はすべてのエンドポイントに配信され、Tanium Client A、B、およびCが質問メッセージを受け取ります。ユーザーには、Tanium Client Bが所属するグループの管理権限はありません。このため、Tanium Client Bはそれ以上、質問を処理しません。ユーザーには、Tanium Client AとTanium Client Cが所属するグループの管理権限があります。このため、これらの2つのエンドポイントは、対象フィルタ句から始まる質問を評価します。Tanium Client AはWindowsホストにデプロイされています。このため、対象フィルタ句はtrue(真)と評価され、オペレーティングシステムセンサーが評価されます。エンドポイントは 「contains 2008」フィルタを処理しません。これは、selectステートメントフィルタはTanium Serverによって担当されるためです。 Tanium Client CはSolarisホストにデプロイされています。このため、対象フィルタ句はfalse(偽)と評価され、オペレーティングシステムセンサーは評価されません。

F:図1:コンピュータグループの管理権限

アクショングループ

コンピュータグループは、定期アクションおよび1回限りのアクションを対象にする目的に使用されるアクショングループの構成要素でもあります。

結果フィルタ

コンピュータグループを使用して、以下の結果をフィルタリングすることもできます。

ロール要件

コンピュータグループの構成を作成、変更、または削除するには、Write Computer Group (Micro Admin)(コンピュータグループの書き込み)のアクセス許可を持つロールが割り当てられている必要があります。構成を作成するには、Reserved content (予約コンテンツ)セットに対するRead Sensor (センサー読み取り)アクセス許可も必要です。予約コンテンツセットには、プレビュー質問をするために使用されるコンテンツが含まれます。Administrator (管理者)ロールまたはContent Administrator (コンテンツ管理者)予約ロールを割り当てられたユーザーには、これらのアクセス許可が与えられます。

コンピュータグループを作成する

グループを定義する方法は次の2通りあります。

フィルタベースのコンピュータグループ

推奨。「 is Windows equals true」などのセンサーフィルタ式の結果に基づきます。Tanium Clientは、指定されたセンサーフィルタ式を処理して、エンドポイントがグループに属しているかどうかを判別します。

マニュアルグループ

非推奨。コンピュータ名またはIPアドレスの指定されたリストに基づきます。Tanium Clientは、クライアントの登録時にマニュアルグループ構成情報を取得します。

コンピューターグループは、できる限り、センサーフィルタ式を使用して定義してください。コンピュータグループは、管理権限をユーザーに割り当てる上で、またアクショングループと質問の対象を絞る上で基礎となるものです。 仕様上、コンピュータグループの構成は変更できません。フィルタベースのコンピュータグループは、コンピュータの追加または削除といったネットワークの変化に動的に対応します。マニュアルグループは対応しません。例えば、3つの特別なサーバーにCritical Serversというマニュアルグループを使用しているとしましょう。 このクラスタに4台目のサーバーを追加します。このTaniumコンピュータグループを更新するには、新しいマニュアルグループを作成してから、管理権限の構成を更新し、新しいコンピュータグループを対象とする適切なアクショングループと登録質問を作成し直す必要があります。このような手間を省くことができます。 そのためには、フィルタベースのコンピュータグループを使用することです。

フィルタベースのコンピュータグループを作成する

  1. [Administration (管理)]>[Computer Groups (コンピュータグループ)]に移動します。
  2. [New Group (新規グループ)]をクリックします。
  3. 構成名を指定し、センサーフィルタを追加します。
  4. 構成を保存します。

マニュアルグループを作成する

  1. [Administration (管理)]>[Computer Groups (コンピュータグループ)]に移動します。
  2. [New Manual Group (新規マニュアルグループ)]をクリックします。
  3. 構成名とコンピュータ名またはIPアドレスのリストを指定します。コンピュータ名を指定する場合は、名前はコンピュータ名センサーによって返される結果の名前の形式と同じである必要があります。短縮形または別名は使用できません。
  4. 構成を保存します。

コンピュータグループを編集する

コンピュータグループの表示名のみを編集できます。定義は編集できません。名前を編集してもオブジェクトIDは変更されないことに注意してください。事実上、構成で編集できる項目は表示名だけです。

コンピュータグループを削除する

コンピュータグループを削除するにあたっては、次のことに注意してください。

  • ユーザーへの管理権限の割り当てでユーザーおよびユーザーグループ構成によってそのコンピュータグループが参照されていないか。 必要に応じて、これらの構成を変更するための準備をしておきます。
  • アクショングループ、定期アクション、登録質問などの他の構成によってそのコンピュータグループが参照されたことがないか。 コンピュータグループを対象とするように構成された定期アクションおよび登録質問は、コンピュータグループIDではなく、それらが作成された時点にコンピュータグループによって提供された情報にのみ依存するため、引き続きそのコンピュータグループを対象とします。
  • エンドポイントは、センサーのフィルタ式またはマニュアルグループIDと一致する限り、引き続き対象を絞った質問を一致検索します。登録時に取得したマニュアルグループID がクライアント構成から消去されることはないため、マニュアルグループID に基づく対象を絞った質問も引き続き一致検索されます。
  • そうしたコンピュータを対象とする定期アクティビティを中止するには、構成を無効にするか、編集または削除する必要があります。

例: カスタムタグに基づいてコンピュータグループを作成する

これまで顧客は、重要なサーバーやエグゼクティブのラップトップなど、特別な取り扱いが必要なコンピュータにマニュアルグループを使用していました。しかし、マニュアルグループは、メンバーの追加や削除といった変更ができないため、推奨できません。フィルタベースのコンピュータグループとカスタムタグ(Critical_Serversなど)を使用して、「特別な取り扱い」や同様の目的に対応できます。クライアント構成内のタグを管理することで、グループ内のメンバーシップを管理できます。

基本的なワークフローは次のとおりです。

  1. Interactを使用して、タグ付けするコンピュータを対象にします。
  2. 結果グリッドから、アクションをデプロイします。[Custom Tagging - Add Tags (カスタムタグ - タグの追加)]パッケージを選択します。この例では、Critical_Serversタグを適用しています。
  3. Interactから質問をして、タグが適用されたことを確認します。
  4. タグに基づいてフィルタベースのコンピュータグループを作成します。

アクションを使用してエンドポイントからタグを追加または削除し、効果的にグループメンバーシップを変更できます。

最終更新:12/13/20181:48 PM| フィードバック

Powered by Translations.com GlobalLink OneLink Software