目次

非アクティブなAgentのクリーンナップによるオフラインコンピュータの削除の自動化

Workload Securityの配信に大量のオフラインコンピュータがWorkload Securityと通信していない場合は、まずコネクタを使用してみてください(AWSアカウントの追加についてMicrosoft AzureアカウントをWorkload Securityに追加する、またはGoogle Cloud Platformアカウントの追加を参照)。コネクタを使用すると、コンピュータのライフサイクル全体が自動的に管理されます。つまり、クラウドアカウントから削除されたコンピュータもWorkload Securityから自動的に削除されます。環境内でコネクタを使用できない場合は、[非アクティブなAgentのクリーンナップ] を使用して、非アクティブなコンピュータの削除を自動化できます。非アクティブなAgentのクリーンナップを有効にすると、指定された期間 (2週間~12か月) にわたってオフラインまたは非アクティブになっているコンピュータが1時間おきに確認され、このようなコンピュータが見つかった場合は削除されます。

非アクティブなエージェントのクリーンナップでは、1時間ごとのチェックで最大1000台のオフラインコンピュータが削除されます。オフラインコンピュータの数がこれより多い場合は、すべてのオフラインコンピュータが削除されるまで、チェックごとに1000台が削除されます。

非アクティブなエージェントのクリーンナップを有効にすると、次の操作を実行できます。

非アクティブなエージェントのクリーンナップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されないことに注意してください。

非アクティブなAgentのクリーンナップを有効にする

  1. [管理] ページに移動します。
  2. [システム設定]→[Agent]→[非アクティブなAgentのクリーンナップ] で、[次の期間を超過した非アクティブなAgentを削除する:] を選択します。
  3. 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
  4. アクティブなオフラインコンピュータが Workload Security に再接続できることを確認します(オプションですが推奨されます)。
  5. [Save] をクリックします。

オフラインコンピュータの保護を維持する

アクティブであるがWorkload Securityとの通信が不規則なオフラインコンピュータがある場合、指定された非アクティブ期間内に通信が行われなければ、非アクティブなAgentのクリーンナップによってそれらのコンピュータが削除されます。これらのコンピュータがWorkload Securityに確実に再接続するには、Agentからのリモート有効化不明なAgentの再有効化の両方を有効にします。これを行うには、[ システム設定]→[エージェント]→[Agentからのリモート有効化] で、[ Agentからのリモート有効化を許可 ] を選択してから、[ 不明なAgentの再有効化] を選択します。

削除されたコンピュータが再接続すると、ポリシーがないため、新しいコンピュータとして追加されます。コンピュータへの直接リンクはすべて、Workload Securityイベントデータから削除されます。

イベントベースタスクを使用すると、Agentからのリモート有効化の際に、コンピュータに割り当てられたポリシーを自動的に割り当てることができます。

コンピュータが削除されないようにする

コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。

オーバーライドは次のように設定します。

  1. 上書きを設定するコンピュータまたはポリシーの Computer または Policy エディタを開きます。
  2. [設定]→[一般] に移動します。
  3. [非アクティブなAgentのクリーンナップのオーバーライド] で、[はい] を選択します。
  4. [保存] をクリックします。

削除されたコンピュータの監査を確認する

非アクティブなエージェントのクリーンナップジョブが実行されると、削除されたコンピュータの追跡に使用できるシステムイベントが生成されます。

次のシステムイベントを確認します。

システムイベントを検索する

非アクティブなエージェントのクリーンナップジョブによって生成されたシステムイベントを表示するには、イベントをフィルタする検索を作成します。

  1. [イベントとレポート] ページに移動します。
  2. 右上の [ Search ] をクリックし、[ Open Advanced Search] を選択します。
    詳細検索
  3. [ Period]で、[ Custom Range] を選択します。
  4. [開始] に、非アクティブなAgentのクリーンナップジョブが最初に実行された時刻の直前にあたる日時を入力します。[終了] に、クリーンナップジョブが完了した時刻の直後にあたる日時を入力します。
  5. [検索] で、[イベントID][次のリストに含まれる] を選択し、「2953, 251」と入力します。必要に応じて、「716」やコンピュータの再有効化に関連するイベントID (130, 790, 350, 250) を入力することもできます。

非アクティブなエージェントのクリーンナップジョブによって生成されたすべてのシステムイベントが表示されます。対応する列をクリックすると、時間、イベントID、またはイベント名でイベントを並べ替えることができます。イベントをダブルクリックすると、そのイベントの詳細を表示できます。

システムイベントの詳細

2953 - 非アクティブなAgentのクリーンナップが正常に完了しました

このイベントは、非アクティブなエージェントのクリーンナップジョブが実行され、コンピュータが正常に削除されたときに生成されます。このイベントの説明は、削除されたコンピュータの数を示します。

すべてのコンピュータを削除するために複数のチェックが必要な場合は、チェックごとに個別のシステムイベントが生成されます。

251 - コンピュータの削除

[非アクティブなエージェントのクリーンナップが正常に完了しました] イベントに加えて、削除されたコンピュータごとに個別の [コンピュータの削除] イベントが生成されます。

716 - 不明なAgentの再有効化の試行

[不明なエージェントの再アクティブ化] が有効な場合、このイベントは、アクティブ化されたコンピュータがWorkload Securityに再接続しようとしたときに削除された場合に生成されます。再アクティベートされた各コンピュータでは、次のシステムイベントも生成されます。

  • 130 - 資格情報の生成
  • 790 - Agentからのリモート有効化の要求
  • 350 - ポリシーの作成 (ポリシーを割り当てるイベントベースのタスクを有効にしている場合)
  • 250 - コンピュータの作成または252 - コンピュータのアップデート