点検ジョブ

製品情報 >

ジョブについて >

点検ジョブ

点検ジョブ

こんなに凄い、POLESTAR Automationの点検自動化機能

ITインフラの運用自動化というと、設定変更やアップデートの自動化、サーバ構築自動化、Configの投入・変更などを思い浮かべる人が多いだろう。
しかし、点検は定期的に、同じ内容で繰り返し行うもの。すなわち、毎朝、毎週、毎月といった間隔で、正常に稼働しているか?正しい設定になっているか?許容値を超えていないか?などのチェックは、自動化により多くの効率化が期待できる領域である。

毎日15分程度の点検でも、年間では50時間に相当する。手間がかかるばかりでなく、担当者による点検内容やレベルのバラツキも生じるため、標準化が求められる作業でもある。

ここでは、POLESTAR Automationにおける点検自動化の考え方と実現方法、点検自動化による効果を説明するとともに、既に用意されている点検ポリシーについてご紹介する。

点検作業の領域

これまで目視やターミナルログインで行っていた毎朝、毎週等の点検作業。多くは人手による力仕事として行っていたものである。

毎日実施するのが理想的だが、実際には毎日実施するのは工数的に辛かったり、準備に時間がかかる、作業ミスによるリスクを伴うなど、間隔を開けて実施せざるをえなかったりするものもある。
例えば、サーバの死活状況の確認、ファイルサーバのHDD残容量やバッチログの確認などは、多くの企業で実施されていることと思う。
各種ログのエラー状況の確認、部門毎のファイルサーバの消費傾向、ディスクアレイの正常動作やCPUの温度など、これまでの点検手順では個別に確認しなければならないものばかりで、ついつい見逃しがちなポイントでもあった。

問題が発生していなければ、やらなくてもよい点検ではある。しかし、運用自動化の1つの機能として、簡単にチェックができるのであれば、点検を実施したほうが確実にシステム運用の信頼性がアップし、ダウンタイムを減らすことに貢献できるだろう。

点検自動化の考え方

POLESTAR Automationでは、点検を自動化するために情報を収集し、その情報に基づき決められたロジックで「遵守」と「違反」を判断し、ダッシュボードに表示する。
重要な「違反」の検出時にアラートをメールで送る機能も、まもなく実装する予定である。

その主なチェックパターンは次の6つに分類できる。

  1. 収集した値が適正範囲内にあるか(例:CPUの温度、HDDの使用量%)
  2. 設定されているかどうか(例:パスワードの複雑性や脆弱性のある設定)
  3. ログの中に特定のキーワードが含まれているかどうか(例:イベントログやバッチログ)
  4. 指定したアプリケーションがあるか(例:Java、パッチ)
  5. 古いバージョンのプログラムがあるかどうか(例:OS、アプリ、SUDO)
  6. 実行したジョブの結果による判断(例:Config情報の差分、正常終了など)

イベントログエラ―の点検ポリシー例を図1に示す。

<図1> イベントログエラ―の点検ポリシー例
<図1> イベントログエラ―の点検ポリシー例

点検自動化による効果

点検を実施するにあたり、点検の方法や手順が明確にされ、手順書として標準化されていればよいが、多くの場合は作業者のスキルや知識に委ねられていることが多い。
このため、点検手順のベストプラクティスを抽出し、その内容を点検ポリシー(点検内容と作業方法の手順書及び判断基準)として文書化することが望ましい。

POLESTAR Automationでは点検ポリシーを一種のプログラムとして持つことができるので、チェックの手順、方法、判断基準を登録し、それをジョブとして決められたタイミングで実行することが可能になる。 これにより属人的な点検方法を排除し、点検漏れを無くすとともに、最適な点検タイミングでの点検が可能になる。
たとえば、脆弱性の点検であれば毎朝、ファイルサーバの状況は午前・午後1回ずつ、Config情報の収集は毎週など、細かく点検タイミングを設定できる。
図2に点検自動化導入前と導入後のイメージを示す。

<図2> 点検自動化導入前と導入後のイメージ
<図2> 点検自動化導入前と導入後のイメージ

このような点検自動化を取り入れることで、導入前に比べ点検業務を70%効率化した事例もある。

POLESTAR Automationで用意されている点検ポリシー

POLESTAR Automationでは、200種類以上の点検ポリシーをOS毎のオプションで利用できるようになっている。既存の点検ポリシーではカバーできなかったり、新たな脆弱性に関する点検ポリシーを追加する場合は、スクラッチからの新規作成も可能である。既存の点検ポリシーをエクスポートして、修正後インポートすることで、作成時間の短縮も図れる。

代表的な点検ポリシーの例(Windows、Linux、UNIXなどOS毎に提供)を表1に示す。
詳細な点検ポリシーリストは、以下の点検ポリシー一覧のページをご覧いただきたい。
点検ポリシー一覧

表1 点検ポリシー例
名称(config-name)
Array Controller状態点検 HW
CPU Device状態点検 HW
Disk Device状態点検 HW
Disk状態点検 HW
イベントログ エラー点検 OS
サーバTime zone OS
Bashリモート任意コード実行点検 脆弱性
OpenSSL HeartBleed点検 脆弱性
[U-08]パスワード最長有効期限設定 脆弱性
[U-09]パスワード最短有効期限設定 脆弱性
[U-10]不要アカウント削除 脆弱性
[U-11]管理者グループに最低限のアカウントを登録 脆弱性
[U-12]アカウントが存在しないGID禁止 脆弱性
[U-13]同じUID禁止 脆弱性
[U-14]ユーザshell点検 脆弱性
[U-15]Session Timeout設定 脆弱性

点検ジョブの作成

点検ジョブは、①点検ポリシー → ②点検グループ(ポリシーをまとめたもの) → ③点検ジョブ(グループにスケジューリングを設定したもの)の順番で作成する。
図3はパスワードの桁数を確認するための点検ジョブを作成した例である。
複雑なように見えるが、ジョブの作成はすべてマウスで実行可能である。

<図3> 点検ジョブの作成フロー(パスワード桁数のチェック例)
<図3> 点検ジョブの作成フロー(パスワード桁数のチェック例)

まとめ

POLESTAR Automationの点検機能を利用することで、日常行われているほとんどの点検業務を自動化することが可能となる。

POLESTAR Automationを使いこなして業務の効率化を実現している企業は、この点検ポリシーの数が日々増える傾向にある。日常の点検業務を点検ポリシーに落とし込み自動化することで、標準化と効率化、そして作業ミスの撲滅につなげている。
点検業務の自動化に着手している企業はまだ少ないが、実際に業務の効率化や標準化につなげている企業も増えつつあり、ぜひとも今後の自動化検討対象に加えることをおすすめしたい。