非アクティブなAgentのクリーンナップによるオフラインコンピュータの削除の自動化

Workload Securityの配信に大量のオフラインコンピュータがWorkload Securityと通信していない場合は、まずコネクタを使用してみてください(AWSアカウントの追加についてMicrosoft AzureアカウントをWorkload Securityに追加する、またはGoogle Cloud Platformアカウントの追加を参照)。コネクタを使用すると、コンピュータのライフサイクル全体が自動的に管理されます。つまり、クラウドアカウントから削除されたコンピュータもWorkload Securityから自動的に削除されます。環境内でコネクタを使用できない場合は、[非アクティブなAgentのクリーンナップ] を使用して、非アクティブなコンピュータの削除を自動化できます。非アクティブなAgentのクリーンナップを有効にすると、指定された期間 (2週間~12か月) にわたってオフラインまたは非アクティブになっているコンピュータが1時間おきに確認され、このようなコンピュータが見つかった場合は削除されます。

非アクティブなAgentのクリーンナップを使用すると、1時間おきの確認時に最大で1000台のオフラインコンピュータが削除されます。これを上回る数のオフラインコンピュータがある場合は、確認時に1000台ずつ削除され、すべてのオフラインコンピュータが削除されるまでこの動作が繰り返されます。

非アクティブなAgentのクリーンナップを有効にした後には、次のことも行えます。

非アクティブなAgentのクリーンナップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されません。

非アクティブなAgentのクリーンナップを有効にする

  1. [管理] ページに移動します。
  2. [システム設定]→[Agent]→[非アクティブなAgentのクリーンナップ] で、[次の期間を超過した非アクティブなAgentを削除する:] を選択します。
  3. 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
  4. アクティブなオフラインコンピュータが Workload Security に再接続できることを確認します(オプションですが推奨されます)。
  5. [Save] をクリックします。

長期間オフラインになっているコンピュータが Workload Securityで保護されていることを確認する

アクティブながオフラインでWorkload Securityと通信しているオフラインコンピュータがある場合、定義されていない時間内にコンピュータが通信しない場合、オフラインクライアントクリーンナップによって削除されます。これらのコンピュータが Workload Securityに再接続されるようにするには、 Agentからのリモート有効化不明なAgentの再有効化の再有効化の両方を有効にすることをお勧めします。これらを有効にするには、[システム設定]→[Agent]→[Agentからのリモート有効化] で、 [Agentからのリモート有効化を許可] を選択した後、[不明なAgentの再有効化] を選択します。

削除されたコンピュータが再接続した場合、ポリシーは割り当てられず、新しいコンピュータとして追加されます。コンピュータへの直接リンクは、 Workload Security イベントデータから削除されます。

イベントベースタスクを使用すると、Agentからのリモート有効化の際に、コンピュータに割り当てられたポリシーを自動的に割り当てることができます。

オーバーライド設定による特定のコンピュータの削除の回避

コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。

オーバーライドを設定するには、次の手順に従います。

  1. オーバーライドを設定するコンピュータやポリシーのコンピュータエディタまたはポリシーエディタを開きます。
  2. [設定]→[一般] に移動します。
  3. [非アクティブなAgentのクリーンナップのオーバーライド] で、[はい] を選択します。
  4. [保存] をクリックします。

非アクティブなAgentのクリーンナップジョブによって削除されたコンピュータの監査証跡の確認

非アクティブなAgentのクリーンナップジョブの実行時には、削除されたコンピュータの追跡に利用できるシステムイベントが生成されます。

次のシステムイベントを確認する必要があります。

システムイベントを検索する

非アクティブなAgentのクリーンナップジョブによって生成されたシステムイベントを表示するには、次のように、それらのイベントを表示するためのフィルタ条件を追加した検索を作成する必要があります。

  1. [イベントとレポート] ページに移動します。
  2. 右上にある検索フィールドのリストをクリックし、[詳細検索を開く] を選択します。
  3. [期間] のリストから [カスタム範囲] を選択します。
  4. [開始] に、非アクティブなAgentのクリーンナップジョブが最初に実行された時刻の直前にあたる日時を入力します。[終了] に、クリーンナップジョブが完了した時刻の直後にあたる日時を入力します。
  5. [検索] で、[イベントID][次のリストに含まれる] を選択し、「2953, 251」と入力します。必要に応じて、「716」やコンピュータの再有効化に関連するイベントID (130, 790, 350, 250) を入力することもできます。

これにより、非アクティブなAgentのクリーンナップジョブによって生成されたすべてのシステムイベントが表示されます。時間、イベントID、またはイベント名の列をクリックすると、表示されているイベントをソートできます。その後、イベントをダブルクリックすると、以下で説明するイベントの詳細情報が表示されます。

システムイベントの詳細

2953 - 非アクティブなAgentのクリーンナップが正常に完了しました

このイベントは、非アクティブなAgentのクリーンナップジョブが実行され、コンピュータが正常に削除された場合に生成されます。このイベントの説明には、削除されたコンピュータの数が表示されます。

すべてのコンピュータを削除するために複数回の確認が必要な場合は、確認が行われるたびにシステムイベントが生成されます。

251 - コンピュータの削除

「非アクティブなAgentのクリーンナップが正常に完了しました」イベントに加え、コンピュータが1台削除されるたびに「コンピュータの削除」イベントが生成されます。

716 - 不明なAgentの再有効化の試行

[不明なAgentの再有効化]が有効な場合、 Workload Securityに再接続しようとすると削除された、有効化されたコンピュータに対してこのイベントが生成されます。再有効化されたコンピュータごとに、次のシステムイベントも生成されます。

  • 130 - 資格情報の生成
  • 790 - Agentからのリモート有効化の要求
  • 350 - ポリシーの作成 (ポリシーを割り当てるイベントベースタスクが有効になっている場合)
  • 250 - コンピュータの作成または252 - コンピュータのアップデート