ヘルプ 管理 サーバー監視 サーバー監視エージェントの概要と安全性

サーバー監視エージェントの概要と安全性

Site24x7はサーバーのパフォーマンスを監視するエージェントを提供しています。エージェントによって、パフォーマンスデータが設定したポーリング間隔 (1分、2分、3分、5分、10分、15分、30分、1時間、3時間、6時間、12時間、1日)に基づきSite24x7のデータセンターに送られます。
パフォーマンスの傾向をsite24x7のWebクライアントに表示できます。
また、しきい値を設定し、違反の発生時間の通知を受けることが可能です。

ユーザーは上述したエージェントをダウンロードすることができます。
エージェントは各種プラットフォーム(Windows、Linux、FreeBSD、OS X)をサポートしています。
不具合なく監視を継続するために、最新のエージェント をサーバーに常にインストールすることを推奨しております。
また、エージェントベースの監視となるため、本ページにてエージェントのセキュリティ、インストールの前提条件、必要なサーバーリソースをご確認ください。

エージェントのセキュリティ

Site24x7によってサーバーのパスワードが必要とされることはなく、よって、サーバーのセキュリティを脅かすデータがSite24x7中に保持されることはありません。

暗号化について(Site24x7データセンターとの通信用HTTPSプロトコルについて)

ユーザー環境からSite24x7データセンターへパフォーマンスデータを送信する際、サーバー監視エージェントはHTTPS接続を使用します。

アウトバウンド通信とプロキシのサポート

Site24x7データセンターへのパフォーマンスデータ送信には、アウトバウンドポート443のみが利用されます。つまり、Site24x7データセンターに向かう、確立されたトラフィックのみ通信が許可されます。
以下のドメイン、ポートを許可リストに追加することでエージェントとのアクセスが可能になります。他のドメイン、ポートを許可する必要はありません。

ドメイン

  • plus.site24x7.jp (プライマリーデータセンター)
  • plus2.site24x7.jp (リカバリーデータセンター)

ポート

  • 443(アウトバウンドポート)

これらのドメインにサーバーが接続する際、プロキシを必要とする場合、個々のエージェントのインストール時に表示されるプロキシ設定を利用します。

Webクライアントとデータセンターのセキュリティ

セキュリティ設定のミスやクロスサイトスクリプティングといったセキュリティリスクを回避するため、Site24x7のWebクライアントのセキュリティフレームワークは ISO27001:2013やOWASPスタンダードに準拠しています。

自然災害だけでなく物理的、または理論的な攻撃から守られた最も安全といえる様々な施設で、Site24x7データセンターと同様、ISO 27001:2013やOWASPスタンダードが採用されています。

  • データセンターは週7日間、一日24時間、一年中、私的に休みなく警護されています。
  • 各データセンターは夜間カメラで一日24時間、週7日間、年365日監視されています。
  • データセンターに入るには生体認証と2段階認証が必要です。
  • ゾーホーのサーバーはごく普通の隠された場所に設置されています。さらに、防弾壁の内にあります。

ネットワークセキュリティについて、また、セキュリティとデータ保護上のリスクを管理する他の試みについて、詳しくはセキュリティドキュメント(英語ページ)をご覧ください。

データの可用性と回復力

Site24x7において、データセンター(プライマリーデータセンター、リカバリーデーターセンター)は、障害時にもサーバー監視サービスが中断されないように、異なる場所に立地しています。
プライマリーデータセンターで問題が起こった際、ハートビートチェックの情報がリカバリーデータセンターに送られます。

装置メッセージングサービス(DMS)によるリアルタイム通信

装置メッセージングサービス(DMS)によって監視対象サーバーとのリアルタイムな通信が保証されます。
DMS(dms.zoho.jp)への通信が30秒ごとに起こり、サーバー監視エージェントによって以下のとおり各アクションが実行されます。

  • スタート/ストッププロセス
  • プロセスやサービスのディスカバリー
  • エージェントのアップデート
  • 根本原因分析(RCA)レポートの作成
  • ポート/URL/ファイル/ディレクトリーの追加
  • イベントログ/syslogチェック

エージェントのリソース最小利用量

メトリック Windows※1 Linux・FreeBSD・OS X
CPU 1%未満 1%未満
メモリ 10MB 25MB
帯域幅 最大4KB/分 最大6KB/分
ディスク 200MB 200MB

※1 Windowsアプリケーション(IISやSGL)がサーバーで起動している場合の利用量は上記と異なります。

アプリケーションログエージェントに関しては、リソース利用量が上記と多少異なります。詳しくはこちらをご確認ください。

Windowsエージェント

Windowsサーバー監視エージェントはシステムロールとして起動され、また、主に以下の4つのサービスで構成されます。

  • Site24x7 Windowsエージェント
  • Site24x7エージェントヘルパー
  • Site24x7アプリケーション監視エージェント
  • Site24x7プラグインエージェント

上記4つのサービスに加えて、トレイアイコン(プロセスとして起動)とエージェントログ(「インストールディレクトリー」→ Site24x7 → WinAgent → Monitoring → Logs)があります。
エージェントはネイティブC/C++の実行可能ファイルで、Site24x7のWindowsエージェントサービスとして、またはMonitoringAgent.exeプロセスとして起動します。

パフォーマンスデータの収集

エージェントはVBスクリプト、PowerShellスクリプト、WMIクエリ、パフォーマンスカウンター、組み込みAPIを利用して、データを収集します。 パフォーマンスデータと自動化のためのエージェントデバイスキーは以下のディレクトリーに保存され、 ポーリング設定に基づきSite24x7データサーバーに送られます。

  • <インストールディレクトリー>\monitoring\conf

設定データ(WMIクエリ、パフォーマンスカウンター、プロキシ詳細等)はSQLiteデータベースとシステムリポジトリー(HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ManageEngine)に保存されます。

Linux/FreeBSD/OS Xエージェント

Linuxサーバー監視エージェントはPythonで記述され、以下のとおり2つのコンポーネントを持ちます。

  • Site24x7エージェント
  • Site24x7エージェントWatchdog

上記のコンポーネントは二つの分離したプロセスとして起動します。
rootユーザーと非rootユーザーの両方でLinuxエージェントをインストールできます。 一度エージェントがインストールされると、ユーザーはrootユーザー/非rootユーザーとしてSite24x7エージェントの起動を選択できます。
パフォーマンスデータの収集にshellコマンド(top、free、df、ps等)が利用されることはありません。

エージェントは以下の場所に保管されます。

  • root:/opt/site24x7/monagent
  • 非root:<home_dir_of_user_who_installed_the_agent>/site24x7/monagent

認証のためのエージェントデバイスキーを含む、設定データとプロキシ情報は、暗号化後、エージェント設定ファイルに保管されます。 エージェント設定ファイルは以下の場所に保管されます。

  • root:/opt/site24x7/monagent/conf/monagent.cfg
  • 非root:<home_dir_of_user_who_installed_the_agent>site24x7/monagent/conf/monagent.cfg

FreeBSD、OS XエージェントはLinuxエージェントと同様に構築されています。 そのため、エージェント、設定ファイルが保管されている場所と、パフォーマンスデータ収集方法はLinuxエージェントと同じです。

Linux/FreeBSD/OS Xエージェントが一度インストールされると、Dockerコンテナが自動的に発見され、監視のため、マークアップされます。
サーバーのみを監視したい場合、 自動ディスカバリ機能を無効にできます。

プラグイン連携

Site24x7は100以上のプラグイン連携を用意しています。
また、自身でプラグインをWindowsの向けにPowerShell、VB、Batch、DLLを使用して書くこと、Linux向けにPython、Shell scriptを使用して書くことができます。

すべてのプラグインファイルはオープンソースです。 Site24x7の監視エージェントを使用すると、標準的なプロトコルを通じてパフォーマンスデータが収集されます(プロトコルはプラグインスクリプトファイルで定義されています)。
また、Site24x7の監視エージェントとアプリケーション監視インターフェースとの通信はポーリング設定に従います。
実行プラグインの出力のみがSite24x7データセンターにアップロードされます。 Site24x7によってスクリプトファイルに書かれた機密のデータが保管されたり、アクセス対象になることはありません。
エージェントインストールの間に、プラグイン追加の無効化を選択することもできます。

  • Windowsプラグイン用フォルダーパス:C:\Program Files (x86)\Site24x7\WinAgent\monitoring\Plugins\
  • Linuxプラグイン用フォルダーパス:/opt/site24x7/monagent/plugins/

アプリケーションログエージェント

Site24x7のアプリケーションログエージェントは既存のSite24x7サーバー監視エージェントと共に動きます。
一度サーバーにアプリケーションログエージェントがインストールされれば、Site24x7でサポートされる全アプリケーションログが自動的に検出されます。 ログが検出されると、管理するログを選択できます。
暗号化された形式で、当社のサーバーにログは保管されます。
全ログデータは作成されてから30日間保持されます。 つまり、30日間が過ぎると、ログを検索することができません。

アプリケーションログエージェントはHTTPSプロトコルで動きます。APIログはHTTPSプロトコルでアップロードされます。
ログデータにアクセスするには、Site24x7のWebクライアントにHTTPSでログインする必要があります。
Site24x7ではある特定のサーバーログを検索する権限を持つメンバーにアクセスが提供されます。
Site24x7アプリケーションログを利用するには、以下のサーバーを許可する必要があります。

  • logu.site24x7.jp
  • plus.site24x7.jp

logu.site24x7.jpによってお客様のサーバーからSite24x7にログがアップロードされます。

アプリケーションログエージェントによるリソース使用についての詳細はこちらです。

リソースチェック

サーバー内部のリソース(ファイル、ディレクトリ、URL、ポート、syslog、イベントログ等)を監視するためにはリソースチェックを使用します。

  • ファイル、ディレクトリ、ログを監視する際に必要なのは読み込み許可のみです。
  • 上記のリソースを監視する際は、内容すべてではなく、メタデータのみがアクセスを受けます*。
  • イベントログとsyslogに関しては、どこにもデータは保管されず、クライアントサーバーから取得されたデータはWebクライアントに表示されます。

*例外はコンテンツチェックです。読み込みのみが許可された際、ファイル/ディレクトリ内の内容すべてがアクセスされます。

IT自動化

管理者、スーパー管理者はIT自動化テンプレートに更新を加えること、IT自動化テンプレートを新しく作ることができます。 このIT自動化テンプレートを使用して、様々なIT自動化を設定可能です。

  • サーバースクリプト自動化
    • ユーザーによってアップロードされたファイルがSite24x7データセンターに送られ、ゾーホーファイルシステムに保管されます。 実行中は、エージェントによってHTTPS通信で該当ファイルがダウンロードされます。
    • ファイルパスのみ言及されていた場合、メタデータへのアクセスが起こり、要求した自動化が実行されます。
  • Linuxエージェント18.2.0バージョン以降、または、Windowsエージェント20.1.0バージョン以降では、ファイルがアップロードされた際、エージェントによりチェックサムが実行されます。
  • サーバーコマンド自動化では、ユーザーより与えられたコマンドがSite24x7データセンターのデータベースに保管されます。しきい値違反が起こった際、このデータは自動化を実行するためエージェントに送られます。
  • 他すべての自動化(IIS、Hyper-V、Server Reboot等)では、与えたアクションを実行する際、メタデータのみがアクセス対象になります。

デフォルトでは、Windowsサーバー監視エージェント20.1.0バージョン、Linuxサーバー監視エージェント18.2.0バージョンにおいてIT自動化は機能しません。 これらのバージョンで有効にするには、インストール中に以下の手順を実行ください。

  • Windows:Site24x7WindowsエージェントインストーラーでIT自動化を選択します。
  • Linux:インストールコマンドに引数「-automation=true」を加えます。

サービス・プロセス監視

サービス/プロセス名、パス、プロセスコマンドライン引数をもとにサービスとプロセスは監視されます。 コマンドライン引数とパスは暗号化され、Site24x7に保管されます。

エージェントのインストールの前提条件

  • デバイスキーを正確に入力します。
  • 必ず、ファイアウォールで当ドキュメントに示したIPアドレス、ドメイン、ポートを許可します。
  • サポートされるOSプラットフォームについて、以下のシステム要件をお読みください。
パラメーター Windows Linux FreeBSD OX S
最小RAM 512MB
プロセッサー速度 1.0Ghz
ディスク容量 30MB 70MB
OSのバージョン/フレーバー Windows Server 2008、2008 R2、2012、2012 R2、2016、2019、2022、Windows 7以上 Debian、Ubuntu、CentOS、RedHat、Madriva、Fedora、Suse、Amazon Linux、Gentoo、CoreOS、Raspberry Pi、ARM プロセッサー、RancherOS
※Glibc2.5以上が必須
9以上 10以上

Glibcのバージョンを確認するには、Linuxターミナルでコマンド「ldd--version」を使用します。

セキュリティ認定

Site24x7を含むゾーホーサービス/ゾーホーCloudサービスは、 アプリケーション、システム、人、テクノロジー、プロセスに対するISO/IEC 27001:2013認定を取得しています。 この認定はISOの高レベルな世界基準に従っている組織に授与されます。

同様に、Site24x7はSOC 2にも準拠しています。SOC 2はAICPAのトラストサービス原則の基準を満たす内部統制の設計と運用の有効性を評価します。

関連記事: