センサーの実行時間しきい値の管理

センサーの実行時間しきい値の概要

Tanium ClientがQuestionを実行するために必要な時間は、センサーの種類、センサーの数、呼び出すQuestionによって大きく異なります。TaniumのQuestionの実行がエンドポイントのリソースに及ぼす影響を評価できるよう、Tanium Consoleでインジケータ付きアイコンをトリガーするセンサーの実行時間しきい値をカスタマイズすることができますセンサーの実行時間しきい値に基づくインジケータ付きアイコンが表示されます

図1:センサーの実行時間インジケータ

[Administration (運用管理)] > [Configuration (構成)] > [Common (共通)] > [Sensor Thresholds (センサーのしきい値)] ページを表示および使用するには、ユーザアカウントにAdministrator予約ロールが必要です。

Tanium ClientはQuestionが各センサーを実行するときにセンサーの実行時間を追跡し、そのセンサーのこれまでのすべての実行時間の平均を計算し、3時間ごとに更新された実行時間の情報をTanium Serverに送信します。Tanium Serverは、センサーの実行時間をレポートしたすべてのエンドポイントからの最新の更新データに基づいて平均実行時間を計算します。

次の表は、しきい値のアイコンとそのデフォルトのラベルと値をまとめています。

 表1:センサーの実行時間しきい値のアイコン
しきい値のアイコン 説明
Not Run (未実行) Tanium Serverは、このセンサーのどのエンドポイントからも実行時間の情報をまだ受信していません。

このアイコンは、実行時間に関係なく組み込みセンサーに表示されます。Tanium Serverは、組み込みセンサーの実行時間の統計情報を記録せず、これらのセンサーを使用するQuestionの実行時間を計算する際にこれらを考慮しません。組み込みセンサーは次のとおりです。

  • アクションステータス
  • ダウンロードステータス
  • Computer Name
  • コンピュータID
  • マニュアルグループのメンバーシップ
  • IPアドレス
チェック Below any threshold (すべてのしきい値未満) /センサーの実行時間平均はどのしきい値も超えていません。
Low (低) 実行時間の平均は、低しきい値を超えていますが、中しきい値は超えていません。デフォルトでは、低しきい値は、センサーの場合は100ms、。しきい値とラベルはカスタマイズできます。
実行時間 - 中 Medium (中) 実行時間の平均は、中しきい値を超えていますが、高しきい値は超えていません。デフォルトでは、中しきい値は、センサーの場合は500ms、。しきい値とラベルはカスタマイズできます。
実行時間 - 高 High (高) 実行時間平均が高しきい値を超えています、デフォルトでは、高しきい値はセンサーの場合は1,000ms、。しきい値とラベルはカスタマイズできます。

しきい値インジケータを表示する場合は、以下のことに注意してください。

  • Tanium Serverは、実行時間の平均を計算する際にQuestionに対するキャッシュされた応答を使用しません。
  • データサンプリングを必要とするセンサーは、実行時間のしきい値を超える可能性が高くなります。ただし、サンプリングに必要な実行時間が長くなることは、エンドポイントがこれらのセンサーを実行する際のリソース使用率が高くなることを必ずしも示唆しません。詳細は、Taniumサポートに問い合わせるを参照してください。影響を受けるセンサーは次のとおりです。
    • プロセスごとのCPU
    • CPU消費
    • ディスクIOPS
    • 高いCPU消費
    • 高いCPUプロセス
    • ネットワークスループット(受信)
    • ネットワークスループット(送信)
    • SQLサーバのCPU消費
    • Tanium ClientのCPU

使用を開始する前に

Questionの実行可否、実行頻度、およびQuestionに含めるセンサーに関する管理者の決定に影響すると思われる実行時間しきい値を決定するにあたっては、Taniumサポートと協力してください(「Taniumサポートに問い合わせる」を参照)。目標は、エンドポイントが実行する他のより重要なタスクを妨げない方法でQuestionを計画することです。

組織のエンドポイント管理ポリシーに基づいてTaniumユーザが行う必要がある決定を反映したしきい値を設定します。たとえば、Questionに対する応答よりも優先順位の高いタスクを実行するエンドポイントに対し、トラフィックがピークの時間帯に10秒を超えるQuestionを実行してはならないというポリシーがある場合があります。

センサーのしきい値を設定する

Tanium Consoleは、デフォルトでしきい値のインジケータを表示します。ただし、次のようにしてデフォルトのしきい値を変更できます。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Sensor Thresholds (センサーのしきい値)] に移動します。
  2. Tanium Consoleが定義済みの管理ロール([Admin (管理者)])を保有するTaniumユーザにのみしきい値を表示するか、Questionとセンサーを表示できるすべてのユーザ([Admin and Users (管理者とユーザ)])に表示するかを選択します。
  3. しきい値ごとに() の平均実行時間 (ミリ秒単位) を設定するか、デフォルト値をそのままにして、 [Save (保存)] をクリックします。

    現在のリリースでは、センサーの実行時インジケータのみサポートされています。Questionの実行時しきい値は無視します。

センサーのしきい値を確認する

Tanium Consoleでセンサーを表示して選択すると、必ず、そのしきい値インジケータのアイコンが表示されます。しきい値を評価したら、Tanium Serverが変更を適用したことを確認します。

[Administration (運用管理)] > [Content (コンテンツ)] > [Sensors (センサー)] ページに、すべてのセンサーの実行時間統計が表示されます。

  1. Taniumの [Home (ホーム)] ページまたはInteractの [Overview (概要)] ページに移動します。
  2. [Explore Data (データを探索)] フィールドに、実行時間が短いと考えられるセンサーを使用するセンサー(Computer Nameなど)と、実行時間が長いと考えられるセンサー(Running Processes of User)を使用するQuestionを入力します。例:Get Computer Name and Applicable Patches from all machines。Enterキーを押すと、推奨されるQuestionのリストが表示されます。
  3. 推奨されるQuestionのリストに予測したしきい値のアイコンが表示されることを確認します。想定外のインジケータが表示された場合は、「センサーの実行時間しきい値の概要」で説明しているアイコンの説明と注意を確認します。
  4. 提案されたQuestionのアイコンにカーソルを重ねて、ポップアップに各センサーの予想実行時間(ミリ秒)と予想しきい値アイコンが表示されることを確認します。