Security Center エージェントは、サーバー上で実行される軽量なセキュリティコンポーネントであり、セキュリティデータを収集して保護ポリシーを適用します。このトピックでは、クラウドおよびオンプレミスのサーバーにエージェントをインストールする方法、インストールを確認する方法、一般的な問題のトラブルシューティングについて説明します。
エージェントのワークフロー
Security Center エージェントは、ターゲットサーバー上で動作する軽量プロキシです。ワークフローは以下のとおりです。
-
インストールと登録: インストールコマンドを実行すると、エージェントは自動的にダウンロードされ、一意のインストールキーを使用してサービスに登録されます。
-
データ収集: エージェントはバックグラウンドで動作し、プロセス、ネットワーク接続、ログインの振る舞いなどのセキュリティデータをリアルタイムで収集します。
-
データ報告: エージェントは、トランスポート層セキュリティ (TLS) で暗号化されたチャネル経由で、収集したデータをサービスに安全に報告します。プロキシなどの異なるネットワーク環境にも対応します。
-
コマンドの実行: エージェントは、脆弱性スキャンやベースラインチェックなど、サービスから受信したセキュリティコマンドを実行し、結果を報告します。
-
ステータスの同期: エージェントは定期的にハートビートシグナルを送信し、オンラインおよびヘルスステータスを報告することで、コンソールにサーバーのリアルタイムの保護ステータスが表示されるようにします。
適用範囲
-
システムバージョン:サポートされているオペレーティングシステムにエージェントをインストールする必要があります。詳細については、「サポートされているシステム」をご参照ください。
-
サーバーの所有権:エージェントは、お客様の Alibaba Cloud アカウント内のサーバーにのみインストールできます。Security Center は、クロスアカウントでのインストールをサポートしていません。
説明Security Center でクロスアカウントのリソースを保護するには、マルチアカウント管理機能を使用してください。
前提条件
インストールに関する注意事項
-
インストール時間:インストールには、サーバーあたり約 5 分かかります。
-
リソース消費:エージェントは軽量プロキシです。スキャンなどの高負荷タスク中は、エージェントのリソース使用量 (CPU とメモリ) が一時的に増加する場合があります。
-
ビジネスへの影響:インストールにサーバーの再起動は必要なく、通常の業務を中断することもありません。
以前のインストールのクリーンアップ
エージェントがサーバーにすでにインストールされている場合は、まずエージェントをアンインストールしてから、インストールディレクトリに残っているファイルを手動で削除してください。デフォルトのパスは次のとおりです。
-
Linux: /usr/local/aegis
-
Windows (64 ビット): C:\Program Files (x86)\Alibaba\Aegis
エージェントがインストールされていないアセットの特定
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 の順に選択します。コンソールの左上で、アセットのリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
タブで、エージェントがインストールされていないサーバーを確認します。
インストール方法
|
インストール方法 |
シナリオ |
主な利点 |
|
サポート対象のリージョンで稼働しており、VPC を使用し、Cloud Assistant がインストールされている ECS インスタンスに適しています。 |
コンソールから簡単にインストールできます。サーバーへのログインは不要です。 |
|
|
ECS インスタンスや外部サーバーなど、インターネットにアクセスできるすべてのサーバーに適しています。 |
汎用性が高く、主要なオペレーティングシステムをすべてサポートしています。 |
|
|
エージェントを事前にインストールした標準化サーバーを複数作成する場合に適しています。 |
スケーラブルなデプロイメントを実現できます。一度作成すれば、複数のデプロイメントで再利用できます。 |
|
|
インターネットに直接アクセスできないサーバー、ネットワーク接続性が不安定なサーバー、または特定のエンドポイントが必要なサーバーに適しています。 |
プロキシまたは専用線を使用して、複雑なネットワークシナリオに対応できます。 |
インストール
ワンクリックインストール
ユースケース
ECS インスタンスが以下のすべての条件を満たす場合、ワンクリックインストールを使用できます。
-
ECS インスタンスが実行中で、Cloud Assistant がインストールされている。
説明Cloud Assistant がサーバーにインストールされていない場合は、まず Cloud Assistant をインストールしてください。
-
ネットワークタイプが VPC である。
-
ECS インスタンスが以下のサポート対象リージョンのいずれかに配置されている必要があります。
リージョンカテゴリ
リージョン名
アジアパシフィック
-
China (Hangzhou)、China (Shanghai)、China (Qingdao)、China (Beijing)、China (Zhangjiakou)、China (Hohhot)、China (Shenzhen)、China (Hong Kong)
-
Singapore、Malaysia (Kuala Lumpur)、Indonesia (Jakarta)、および Japan (Tokyo)
ヨーロッパおよび南北アメリカ
Germany (Frankfurt)、UK (London)、US (Silicon Valley)、および US (Virginia)
中東およびインド
UAE (Dubai)
-
-
インストールの競合を防ぐため、サードパーティのセキュリティソフトウェアを無効化またはアンインストールしてください。
説明Security Center エージェントのインストール後、必要に応じてサードパーティのセキュリティソフトウェアを再起動または再インストールできます。
手順
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 の順に選択します。コンソールの左上で、アセットが配置されているリージョンを Chinese Mainland または Outside Chinese Mainland から選択します。
-
タブで、エージェントをインストールするサーバーを見つけ、Install Agent 列の 操作する をクリックします。
説明複数のサーバーを選択し、インストール をクリックして、エージェントを一括でインストールすることもできます。
一般インストール
ユースケース
インターネットアクセス可能な任意のサーバーに対してこの方法を使用できます。
インストールを確実に成功させるため、ファイアウォールまたはセキュリティグループで Security Center のサービスエンドポイントへのアウトバウンドトラフィックを許可してください。詳細については、「許可リストポリシーの設定」をご参照ください。
手順
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 の順に選択します。コンソールの左上で、アセットが配置されているリージョンを Chinese Mainland または Outside Chinese Mainland から選択します。
-
タブで、サーバーのオペレーティングシステムに対応するインストールコマンドをコピーします。
説明コマンドには専用のインストールキーが含まれています。このキーは
-kの後の値です。-
デフォルトインストールコマンド: 追加設定が不要な、迅速で便利なオプションです。この方法は、アセットを特定のグループに即座に割り当てる必要がないシナリオに適しています。
-
カスタムインストールコマンド: サーバーグループとコマンドの有効期限を設定できる柔軟なオプションです。この方法は、インストール時にアセットの分類を自動化し、きめ細かい管理を行う必要があるシナリオに適しています。
デフォルトコマンド
デフォルトインストールコマンドでインストールされたサーバーは、[未分類] グループに割り当てられます。サーバーグループの表示と作成方法の詳細については、「サーバーグループの管理」をご参照ください。
ECS
-
[Windows Installation Command (Command Prompt)]
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://update2.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=*****" -
[Windows Installation Command (PowerShell)]
(New-Object Net.WebClient).DownloadFile('https://update2.aegis.aliyun.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe')); ./AliAqsInstall.exe -k=***** -
[Linux Installation Command]
wget "https://update2.aegis.aliyun.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=*****
外部サーバー
-
[Windows Installation Command (Command Prompt)]
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('https://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=*****" -
[Windows Installation Command (PowerShell)]
(New-Object Net.WebClient).DownloadFile('https://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe')); ./AliAqsInstall.exe -k=***** -
Linux インストールコマンド
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=*****
カスタムコマンド
インストールコマンドの追加 をクリックし、コマンドのパラメータを設定してから、OK をクリックします。インストールコマンド ページで、新しいコマンドを表示してコピーします。次の表で各パラメータについて説明します。
パラメータ
説明
[有効期限]
コマンドの有効期限を指定します。有効期限切れのコマンドを使用してエージェントをインストールすることはできません。
[サービスプロバイダー]
ドロップダウンリストから、サーバーのサービスプロバイダーを選択します。
[デフォルトグループ]
サーバーグループを選択します。サーバーグループの表示と作成方法の詳細については、「サーバーグループの管理」をご参照ください。
[OS]
サーバーのオペレーティングシステムを選択します。
[イメージシステムの作成]
いいえ を選択します。
[Access Method]
サーバーのアクセス方法を Public Endpoint に設定します。サーバーは、追加のプロキシやプライベート接続を必要とせず、パブリック IP アドレスを介して Security Center サービスと直接通信します。
-
-
サーバーにログインし、管理者権限または root 権限でインストールコマンドを実行します。
-
Windows: コマンドプロンプト (CMD) または PowerShell で、コピーしたインストールコマンドを実行して、エージェントをダウンロードしてインストールします。
-
Linux: サーバーのコマンドラインインターフェイスで、コピーしたインストールコマンドを実行して、エージェントをダウンロードしてインストールします。
-
イメージの一括インストール
ユースケース
この方法は、大規模なサーバーの作成に適しています。テンプレートサーバーにエージェントをアクティベーションせずにインストールし、そのサーバーからカスタムイメージを作成します。
手順
-
テンプレートサーバーを準備し、イメージインストールコマンドを生成する
-
イメージテンプレートとして使用するクリーンなサーバーを準備します (サードパーティのセキュリティソフトウェアがインストールされていないもの)。
-
Security Center コンソールにログインします。
-
左側のナビゲーションペインで、 の順に選択します。コンソールの左上で、アセットが配置されているリージョンを Chinese Mainland または Outside Chinese Mainland から選択します。
-
タブで、インストールコマンドの追加 をクリックし、次のパラメータを設定します。
-
[イメージシステムの作成] [はい] を選択します。これが最も重要な設定です。
-
[Operating System] テンプレートサーバーに一致するオペレーティングシステムを選択します。
-
その他のオプション (デフォルトグループ など): 必要に応じてオプションを設定します。詳細については、「カスタムインストールコマンド」をご参照ください。
-
-
-
テンプレートサーバーにエージェントをインストールする
-
管理者権限でテンプレートサーバーにログインします。
-
前の手順でコピーしたイメージインストールコマンドを実行します。スクリプトは、必要なエージェントファイルを指定されたディレクトリにダウンロードしますが、サービスプロセスは開始しません。
-
インストールが完了したら、直ちにテンプレートサーバーをシャットダウンします。テンプレートサーバーを再起動しないでください。
-
-
イメージを作成して使用する
警告-
イメージを作成する際は、テンプレートサーバーを再起動しないでください。
-
同じテンプレートサーバーを使用して複数のイメージを作成する前に、古いエージェントをアンインストールしてクリーンアップし、新しいインストールコマンドを取得してください。これにより、一意のエージェント識別子 (エージェント ID) の競合による登録の失敗を防ぎます。
-
電源オフのテンプレートサーバーを使用して、カスタムイメージを作成します。詳細については、「カスタムイメージの作成」をご参照ください。
-
イメージを使用して新しいインスタンスを作成します。詳細については、「カスタムイメージから ECS インスタンスを作成する」をご参照ください。
-
新しいインスタンスが初めて起動すると、エージェントの初期化が自動的に完了します。一意のエージェント識別子 (エージェント ID) を生成し、Security Center に接続します。
-
複雑なネットワークでのインストール
ユースケース
Security Center は、複雑なネットワーク環境向けに以下のインストール方法を提供しています。
-
プロキシ経由のアクセス: インターネットに直接アクセスできないサーバー向け。
-
サードパーティの専用線経由での中国本土以外からのアクセス: サードパーティの専用線経由で Alibaba Cloud リージョンに接続し、Security Center のリージョン固有のドメイン名を指定する必要があるシナリオ向け。
手順
-
このコマンドを実行するホストは、パブリックネットワーク、プロキシ、専用線、VPN などの指定された方法で Security Center サービスエンドポイントにアクセスできる必要があります。
-
このインストールコマンドは、32 ビット Linux オペレーティングシステムをサポートしていません。
プロキシアクセス
-
まず、プロキシクラスターをデプロイして設定します。詳細については、「プロキシアクセス」をご参照ください。
-
Security Center コンソールにログインします。
-
左側メニューで、 の順に選択します。コンソールの左上で、アセットが配置されているリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。
-
タブで、インストールコマンドの追加 をクリックし、以下のパラメータを設定します。
-
[Access Method] 自作のプロキシクラスター を選択し、ドロップダウンリストから作成したプロキシクラスターを選択します。これが最も重要なステップです。
-
[イメージシステムの作成] [いいえ] を選択します。
説明[はい] を選択する場合は、「イメージを使用した一括インストール」の手順に従ってください。
-
[Operating System] ターゲットサーバーのオペレーティングシステムを選択します。
-
その他のオプション (デフォルトグループ など): 必要に応じてオプションを設定します。詳細については、「カスタムインストールコマンド」をご参照ください。
-
-
生成されたコマンドを使用してエージェントをインストールします。エージェントは、指定されたプロキシ経由で Security Center と通信します。
サードパーティの専用線
次の表に、中国本土以外にある外部サーバー向けの Security Center のリージョン固有ドメイン名を示します。
該当リージョンの Security Center ドメイン名にアクセスできることを確認してください。
|
リージョン |
ドメイン名 |
|
Malaysia (Kuala Lumpur) |
|
|
Philippines (Manila) |
|
|
South Korea (Seoul) |
|
|
Thailand (Bangkok) |
|
|
SAU (Riyadh - Partner Region) |
|
|
Indonesia (Jakarta) |
|
|
UK (London) |
|
|
Germany (Frankfurt) |
|
|
Japan (Tokyo) |
|
|
US (Silicon Valley) |
|
|
US (Virginia) |
|
-
インストールキーの取得: Security Center のインストールキーは、コンソールで生成されるデフォルトインストールコマンド内の、
-kに続く値です。 -
インストールコマンドを選択し、サーバーにログインして実行します。
重要以下のコマンドの
<YOUR_INSTALL_KEY>を実際のインストールキーに置き換えてください。-
Malaysia (Kuala Lumpur)
-
Linux
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh "-j=jsrv-ap-southeast-3.aegis.aliyuncs.com|jsrv-ap-southeast-1-internet.aegis.aliyuncs.com" "-u=update-ap-southeast-3.aegis.aliyuncs.com|aegis.alicdn.com|update-ap-southeast-1-internet.aegis.aliyuncs.com" -k=<YOUR_INSTALL_KEY> -
Windows
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe '-j=jsrv-ap-southeast-3.aegis.aliyuncs.com|jsrv-ap-southeast-1-internet.aegis.aliyuncs.com' '-u=update-ap-southeast-3.aegis.aliyuncs.com|aegis.alicdn.com|update-ap-southeast-1-internet.aegis.aliyuncs.com' -k <YOUR_INSTALL_KEY>"
-
-
その他のリージョン
コマンド内の
$jsrv_domainをjsrvで始まるリージョン固有のドメイン名に、$update_domainをupdateで始まるリージョン固有のドメイン名に置き換えてください。-
Linux
wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh "-j=$jsrv_domain|jsrv-ap-southeast-1-internet.aegis.aliyuncs.com" "-u=$update_domain|aegis.alicdn.com|update-ap-southeast-1-internet.aegis.aliyuncs.com" -k=<YOUR_INSTALL_KEY> -
Windows
powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe '-j=$jsrv_domain|jsrv-ap-southeast-1-internet.aegis.aliyuncs.com' '-u=$update_domain|aegis.alicdn.com|update-ap-southeast-1-internet.aegis.aliyuncs.com' -k <YOUR_INSTALL_KEY>"
-
-
インストールステータスの確認
インストール後、次のいずれかの方法でエージェントが実行中であることを確認します。
-
コンソールで確認:サーバーにログインせずに、コンソールからエージェントのステータスを確認します。この方法はデータ同期に依存するため、通常数分のレイテンシーがあります。
-
サーバーで確認:サーバーのローカルステータスについて、即座に正確なフィードバックが得られます。サーバーにログインしてコマンドを実行する必要があるため、即時の確認やインストールの問題のトラブルシューティングに最適です。
コンソール (約 5 分のレイテンシー)
Security Center コンソールの ホストアセット ページで、エージェントのオンラインステータスを確認できます。
-
Alibaba Cloud サーバーの場合、クライアント 列のアイコンが
から
に変わります。 -
Alibaba Cloud 以外のサーバーの場合、サーバーリストに表示され、クライアント 列のアイコンが
から
に変わります。重要Security Center コンソールは、インストールされたエージェントのアセット情報を 1 分ごとに自動的に同期します。ネットワーク状況により、エージェントのインストール後、Alibaba Cloud 以外のサーバーの情報同期にレイテンシーが発生する場合があります。 ホストアセット ページにサーバーが表示されない場合は、 最新のアセットの同期 をクリックして、アセット情報を手動で同期してください。詳細については、「アセットの同期」をご参照ください。
サーバー (リアルタイム)
エージェントプロセスのステータスとサーバーのネットワーク接続を確認することで、インストールが成功したかを確認します。
-
サービスプロセスの確認: Security Center エージェントのコアプロセス (AliYunDun、AliYunDunMonitor、AliYunDunUpdate) がサーバー上で実行されているかを確認します。エージェントプロセスの詳細については、「Security Center エージェントプロセス」をご参照ください。
Linux
プロセスを表示するコマンド:
# コアプロセスを確認します。AliYunDun、AliYunDunMonitor、AliYunDunUpdate がすべて存在する必要があります。 ps -ef | grep -E 'AliYunDun|YunDunMonitor|YunDunUpdate' # サービスステータスを確認します。ステータスは active (実行中) である必要があります。 systemctl status aegis正常なステータス出力の例:
root 5472 1 0 Sep10 ? 00:00:18 /usr/local/aegis/aegis_update/AliYunDunUpdate root 5524 1 0 Sep10 ? 00:01:34 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun root 5546 1 0 Sep10 ? 00:03:13 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDunMonitor ● aegis.service - LSB: Aegis service Loaded: loaded (/etc/rc.d/init.d/aegis; generated) Active: active (running) since Mon 2023-10-30 10:00:00 CST; 1 day 2h agoWindows
方法 1: タスクマネージャーでプロセスを表示する

方法 2: PowerShell でコマンドを実行する
プロセスを表示するコマンド:
# コアプロセスを確認します。 Get-Process | Where-Object {$_.Name -match '^(AliYunDun|AliYunDunMonitor|AliYunDunUpdate)$'} # サービスステータスを確認します。ステータスは Running である必要があります。 Get-Service | Where-Object {$_.Name -match 'Aegis|AliYunDun'}正常なステータス出力の例:
Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName ------- ------ ----- ----- ------ -- -- ----------- 380 26 15948 19656 615.75 6072 0 AliYunDun 599 31 47576 37356 968.73 2488 0 AliYunDunMonitor 257 14 8072 11336 232.03 2904 0 AliYunDunUpdate Status Name DisplayName ------ ---- ----------- Running Alibaba Securit... Alibaba Security Aegis Detect Service Running Alibaba Securit... Alibaba Security Aegis Update Service
-
ネットワーク接続の確認:サーバーで、次のコマンドを実行して、ポート 443 または 80 で Security Center サービスエンドポイントに接続できるかどうかを確認します。 接続に成功した場合、ターミナルに
Connected to ...というメッセージが表示されます。 接続に失敗した場合、Connection refusedまたはConnection timed outというメッセージが返されます。説明サーバーは、少なくとも 1 つの jsrv ドメイン名と 1 つの update ドメイン名に接続できる必要があります。jsrv ドメイン名は、脆弱性スキャンやウイルス検出などの指示を発行するために使用されます。update ドメイン名は、エージェントプラグインのダウンロードと更新に使用されます。
-
telnet jsrv.aegis.aliyun.com 443 -
telnet jsrv2.aegis.aliyun.com 443 -
telnet jsrv3.aegis.aliyun.com 443 -
telnet update.aegis.aliyun.com 443 -
telnet update2.aegis.aliyun.com 443 -
telnet update3.aegis.aliyun.com 443
-
トラブルシューティング
インストールコマンドの失敗
エージェントのインストールコマンドの実行に失敗した場合は、以下の一般的な原因と解決策を参照してください。
スクリプトの実行権限不足
現象:インストールスクリプトを実行すると、システムから Permission denied エラーが返されます。
解決策:管理者権限または root 権限を持つアカウントに切り替えて、インストールコマンドを再度実行してください。
自己保護
現象:ウイルスを除去した後に Security Center エージェントを再インストールしようとすると失敗します。エラーメッセージに、自己保護が実行中であり、まず Security Center コンソールでアンインストールまたは無効化する必要があると表示されます。
解決策:サーバーを再起動します。この操作で自己保護プロセスが無効になり、エージェントをインストールできるようになります。
実行する前に、潜在的なリスクを評価してください。
エージェントがオフライン
コンソールに offline ステータスが表示される場合、エージェントがサービスと通信できなくなっていることを示します。以下のセクションでは、一般的な診断手順と解決策について説明します。
エージェントプロセス
診断手順: 2 つのコアプロセス AliYunDun と AliYunDunUpdate が実行中であることを確認します。
-
Linux:
ps -ef | grep AliYunDunコマンドを実行して確認します。 -
Windows: [タスクマネージャー] を開き、[詳細] タブまたは [サービス] タブに移動して、関連するプロセスとサービスを見つけます。
解決策: エージェントプロセスを手動で再起動します。
Linux
次のコマンドを実行してプロセスを再起動します。
-
関連するプロセスを停止します。
killall AliYunDun killall AliYunDunUpdate -
最新バージョンのエージェントを起動します。
/usr/local/aegis/aegis_clientディレクトリでaegis_xx_xxフォルダを見つけ、バージョン番号が最も大きいフォルダを選択します。たとえば、
aegis_10_70、aegis_10_73、aegis_10_75の中から、aegis_10_75を選択します。/usr/local/aegis/aegis_client/aegis_xx_xx/AliYunDun
Windows
[サービス] パネルで、2 つの Security Center サービス (Alibaba Security Aegis Detect Service と Alibaba Security Aegis Update Service) を再起動します。各サービスを右クリックして、[再起動] を選択します。

ネットワーク接続
診断手順: ファイアウォールまたはセキュリティグループで、jsrv.aegis.aliyun.com や update.aegis.aliyun.com といった Security Center サービスの IP アドレスまたはドメイン名へのアウトバウンドトラフィックが許可されているかを確認します。サーバーが Security Center サービスに接続できない場合も、エージェントがオフラインになることがあります。
Security Center サービスのアドレスとドメイン名の詳細については、「付録: エージェント通信エンドポイント (ドメイン名と IP アドレス)」をご参照ください。
解決策:
-
サーバー上の DNS サービスが正常に動作していることを確認します。
DNS サービスが動作していない場合は、サーバーを再起動するか、DNS サービスのトラブルシューティングを行ってください。
-
サーバーにネットワークアクセスポリシーが設定されているかを確認します。
-
ファイアウォール ACL ルール
Security Center サービスの IP アドレスまたはドメイン名をファイアウォールの許可リストに追加して、ネットワークアクセスを許可します。アウトバウンドトラフィックのルールのみを設定する必要があります。
説明Alibaba Cloud Firewall を使用している場合は、「内部ネットワークからインターネットへのトラフィックに対するアウトバウンドアクセス制御ポリシーの作成」をご参照ください。
ファイアウォール設定の例 (iptables):
# 制御サービスへのアクセスを許可 iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 80 -j ACCEPT # 更新サービスへのアクセスを許可 iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 80 -j ACCEPT -
Alibaba Cloud セキュリティグループルール
ECS インスタンスを使用している場合は、具体的な手順について「セキュリティグループの管理」をご参照ください。
説明Security Center の CIDR ブロックへのアウトバウンドトラフィックを許可します。ポートは無制限にするか、ポート 80 および 443 でのトラフィックを許可します。
以下は、100.100.0.0/16 CIDR ブロックの設定例です。
-
方向:アウトバウンド
-
許可ポリシー:許可
-
プロトコルタイプ:TCP
-
ポート範囲:80/443
-
許可対象: 100.100.0.0/16
-
-
システムリソース
診断手順:
サーバーに十分なリソースがあることを確認します。サーバーリソースが枯渇すると、エージェントが停止する可能性があります。
-
CPU/メモリ:
top(Linux) または [タスクマネージャー] (Windows) を使用して使用状況を確認します。 -
ディスク容量:
df -h(Linux) または [PC] (Windows) を使用して残りのディスク容量を確認します。
解決策:
-
リソース使用率が高い
-
AliYunDunプロセスが原因の場合は、テクニカルサポートに連絡し、関連するログを提供してください。 -
他のビジネスプロセスが原因の場合は、アプリケーションを最適化するか、サーバー構成のアップグレードを検討してください。
-
-
ディスク容量不足: 不要なファイルを削除して、ディスク容量を解放してください。
重複したエージェント ID
診断手順: この問題は、同じシステムイメージから複数のサーバーを作成した場合によく発生します。以下の設定ファイル内の uuid フィールドが複数のサーバー間で重複していないかを確認してください。
-
Linux:
/usr/local/aegis/aegis_client.conf -
Windows:
-
32 ビット: C:\Program Files\Alibaba\aegis\aegis_client.conf
-
64 ビット: C:\Program Files (x86)\Alibaba\aegis\aegis_client.conf
-
解決策:
1 つのテンプレートサーバーから複数のイメージを作成する前に、古いエージェントをアンインストールしてクリーンアップし、新しいインストールコマンドを取得してください。
ソフトウェアの競合
診断手順: サーバーに他のホストベースの侵入検知システム (HIDS)、エンドポイントでの検出と対応 (EDR)、またはウイルス対策ソフトウェアがインストールされているかを確認します。このようなソフトウェアは、Security Center エージェントと競合する可能性があります。
解決策:
サードパーティのセキュリティソフトウェアを無効化またはアンインストールします。Security Center エージェントのインストール後、必要に応じて元のソフトウェアを再起動または再インストールできます。
エージェントログ
診断手順: エージェントログで特定のエラーメッセージを確認します。ログファイルは次のディレクトリにあります。
-
Linux: /usr/local/aegis/aegis_client/aegis_xx_xx/data/
説明aegis_xx_xxプレースホルダーは、実行中のエージェントのバージョンディレクトリを表します。正確なパスを見つけるには、ps -ef | grep AliYunDunコマンドの出力を確認してください。 -
Windows: C:\Program Files (x86)\Alibaba\Aegis\aegis_client\aegis_xx_xx\data\
解決策:
ログ内のエラーメッセージに基づいて問題をトラブルシューティングします。問題を解決できない場合は、テクニカルサポートに連絡し、完全なログファイルを提供してください。
エージェントのトラブルシューティング機能
Security Center は、エージェントの包括的なチェックを実行するエージェントのトラブルシューティング機能を提供しています。この機能を使用すると、エージェントに起因するシステム例外、エージェントプロセスの高い CPU 使用率、インストールの失敗、予期しないオフラインステータスなどの問題を迅速に特定し、潜在的な原因と解決策を提供します。以下に手順と設定例を説明します。
-
左側のナビゲーションペインで、 の順に選択します。
-
ホストアセット ページの サーバー タブで、トラブルシューティングを行うサーバーを選択します。More Operations メニューから、Agent Troubleshooting をクリックします。
-
チェック要件を設定した後、Start Check をクリックします。
-
[Issue Type]: Overall Check (Unknown Issues)
-
[Mode]: Enhancement Mode
説明拡張モードでは、ネットワーク、プロセス、ログ情報などのエージェント関連データを収集し、分析のために Security Center へ送信します。チェックには約 5 分かかります。
-
-
チェックが完了したら、Agent Task Management ページの右上にある ホストアセット パネルで結果を確認します。
-
タスクの詳細ページで、Result 列に記載されている解決策に従ってください。
重要Result 列に解決策が記載されていない場合は、Download Diagnostic Logs をクリックしてください。その後、エクスポートした診断ログと Alibaba Cloud アカウント ID (AliUid) を Security Center のテクニカルサポートに提出し、詳細な分析を依頼してください。
付録: エージェントの通信エンドポイント
ワイルドカードドメイン
|
ドメイン名 |
業務タイプ |
|
|
エージェントと Security Center サーバー間の通信を可能にします。 |
|
|
|
|
|
Security Center の静的ファイルをダウンロードするための CDN ドメインです。 |
IP アドレス範囲
|
IP アドレス範囲 |
業務タイプ |
|
|
Security Center サーバーのプライベート IP アドレス範囲です。 |
|
|
Security Center サーバーのパブリック IP アドレスです。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ドメイン名
|
リージョン |
ドメイン名 |
ユースケース |
業務タイプ |
|
[Chinese Mainland] |
|
パブリックネットワーク経由で Security Center にアクセスします。 |
永続的 TCP 接続 |
|
|
プライベートネットワーク経由で Security Center にアクセスします。 |
||
|
|
クラシックネットワーク (廃止予定) 経由で Security Center にアクセスします。 |
||
|
|
|||
|
|
|||
|
|
パブリックネットワーク経由で Security Center にアクセスします。 |
HTTP 短時間接続 |
|
|
|
プライベートネットワーク経由で Security Center にアクセスします。 |
||
|
|
クラシックネットワーク (廃止予定) 経由で Security Center にアクセスします。 |
||
|
|
|||
|
|
|||
|
|
エージェントがパブリック CDN から静的ファイルをダウンロードすることを許可します。 |
ファイルダウンロード |
|
|
[Outside Chinese Mainland] |
|
パブリックネットワーク経由で Security Center にアクセスします。 |
永続的 TCP 接続 |
|
プライベートネットワーク経由で Security Center にアクセスします。 |
||
|
|
クラシックネットワーク (廃止予定) 経由で Security Center にアクセスします。 |
||
|
|
パブリックネットワーク経由で Security Center にアクセスします。 |
HTTP short-lived connections |
|
|
プライベートネットワーク経由で Security Center にアクセスします。 |
||
|
|
クラシックネットワーク (廃止予定) 経由で Security Center にアクセスします。 |
||
|
|
エージェントがパブリック CDN から静的ファイルをダウンロードすることを許可します。 |
ファイルダウンロード |
よくある質問
インストールとアンインストール
-
エージェントをアンインストールするにはどうすればよいですか。
Security Center では、コンソールからのワンクリックアンインストールと手動アンインストールの 2 つのアンインストール方法を提供しています。詳細については、「エージェントのアンインストール」をご参照ください。
-
イメージを作成する際に、テンプレートサーバーを再起動できますか。
いいえ。イメージインストールコマンドを実行した後、イメージを作成するには、直ちにサーバーをシャットダウンする必要があります。再起動すると、テンプレートサーバー上でエージェントがアクティブ化され、固定のインスタンス ID が生成されます。このイメージから作成されたサーバーは、ID 競合によりデータ報告ができなくなります。
資産とグループ
-
エージェントを手動でインストールした後、サーバーは自動的にどのグループに追加されますか。
デフォルトのインストールコマンドを使用してインストールされたサーバーは、自動的に [未分類] グループに割り当てられます。[インストールコマンドの作成] 時に [デフォルトグループ] を指定するか、インストール後に [ホスト資産] ページでサーバーのグループを手動で変更できます。
-
「エージェント未インストール」リストにサーバーが表示されないのはなぜですか。
次のいずれかの理由が考えられます。
-
サーバーにエージェントがすでにインストールされています。
-
サーバーが新しく、その資産情報がまだ同期されていません。数分待つか、[今すぐ同期] を手動でクリックしてください。
-
サーバーが現在の Alibaba Cloud アカウントまたは選択したリージョンに属していません。
-