エージェントの概要で、「報告」 (緑) で表示されるはずの状態が、「未報告 (報告していません)」(赤) の状態で表示、またはその逆の状態が表示されてしまう。
DLP 15.8+
エージェントマシンからエンドポイントサーバーに、サーバー名、または IP アドレスで Ping を実行し、サーバーに正しく届いているか確認してください。
エージェントログに CurlTransportLayer と ServerCommunicatorService が記録されている行がないか検索します。
ハンドシェイク失敗のような証明書のエラーが見つかる可能性があります。
Aggregator ログに、問題を表す深刻なエラーにつながる通信エラーが記録されていないか確認してください。
各種プロパティファイルやエージェントの拡張設定の中には、パフォーマンスや利便性に関する多くの設定があります。
エージェントの拡張設定:
ServerCommunicator.CONNECT_POLLING_INTERVAL_SECONDS.int
エージェントがどのくらいの頻度でエンドポイントサーバーへの接続を開始 (チェックイン) するか設定します。
通常、デフォルト値 15分 (900 秒) から変更する必要はありません。
この値を小さくする場合、1000 エージェントあたり 1 分未満にならないよう設定してください。
CommLayer.NO_TRAFFIC_TIMEOUT_SECONDS.int
サーバーからトラフィックまたは ハートビートを受信していない場合、いつエージェントが接続を閉じるかを設定します。
設定された値よりも前に、エージェントはすべてのデータを転送しサーバーから切断されるため、一般的な環境ではこの設定を変更する必要はありません。
デフォルト値の 300 秒のままでお使いいただくことをお勧めします。
EndpointCommunications.HEARTBEAT_INTERVAL_IN_SECONDS.int
エージェントがまだ接続状態であるか検出するために、サーバーがハートビートをエージェントに送るタイミングを設定します。
この設定はエージェントのアイドルタイムアウトが無効に設定されている場合のみ使用されます。
一般的に期待される動作は、30 秒間トラフィックが停止すると、CommLayer.NO_TRAFFIC_TIMEOUT_SECONDSに設定されている時間の後に、サーバーからエージェントへの接続が切断されます。
デフォルト値の 270 秒から変更しないことをお勧めします。
EndpointCommunications.IDLE_TIMEOUT_IN_SECONDS.int
サーバーがエージェントを切断するタイミングを設定します。
エージェントが通常のポーリング間隔の中で接続を開始 (チェックイン) すると、すべてのデータを移行後、アイドル状態になります。
このアイドル接続が 30 秒続いた後、サーバーはエージェントへの切断を開始します。
これは正常なデフォルトの動作であると考えられます。
この設定は、デフォルトの 30 秒のまま変更しないことをお勧めします。
Enforce 一般設定
Not reporting time
Enforceコンソールで、システム > 設定 > 一般 に進むと、「エージェントの接続状態の設定 - 次の時間以降はエージェントを「未報告」として表示」という設定があります。
この設定は、エージェントからの報告が停止していることを Enforce サーバーに報告する前に、エンドポイントサーバーがどのくらい待つか制御します。
デフォルトの値は 18 時間です。
この設定は好みに応じて延長、短縮することができますが、ServerCommunicator.CONNECT_POLLING_INTERVAL_SECONDS.int. より小さい値に設定することはできません。
サーバーのプロパティファイル
MaxQueueSize
エンドポイントサーバー上にある MonitorController.properties と Aggregator.properties の両方に、MaxQueueSize の設定があります。
この設定は、それぞれのサーバーで、キューに入れることができるタスクの数を制御します。
デフォルトの値は 5000 ですが、この値を増やすことをお勧めします。
Aggregator.properties では、サーバーに定期的に接続するエージェントの数を 2 倍にした値を設定することを推奨しています。
また、MonitorController.propertiesでは、10000 に増加してください。
Communication.propeties(検出サーバのコンフィグファイル)
acceptTimeout
デフォルトでは、acceptTimeout値は60000に設定されていますが、これは十分な時間ではないことが多いです。
この値を2倍にし、acceptTimeoutの値を60000から120000にすることで、コマンドがタイムアウトするまでの受け付け時間を長くすることができ、ほとんどの人が環境の改善を実感することができます。
多くの場合、「最終更新日時」はエージェントが最後に開始 (チェックイン) した日時を参照していると思われていますが、これは間違いです。
「最終更新日時」は、エージェントの属性、またはステータスが新しい値を Oracle データベースで、受け取った場合にのみ更新されます。
強制的に「最終更新日時」の値を更新するには、エージェントに適用されているエージェント設定の説明を変更してください。
これにより、エージェントの「最終更新日時」が強制的に更新されます。
詳細は、ドキュメント 「What events cause Last Update Time to refresh on Agent overview?」 をご覧ください。
エージェントがエンドポイントサーバーに接続されている場合、いくつか考慮すべき点があります。
エージェントが未報告であることを Enforce に知らせる責任を担っているエンティティはエンドポイントサーバーであるため、「エージェントの接続状態の設定 - 次の時間以降はエージェントを「未報告」として表示」(デフォルト: 18 時間) が過ぎると、すぐに未報告の状態になります。
ポーリング間隔ごとに異なるサーバーにエージェントが接続を開始 (チェックイン) すると、18 時間連続でサーバーに接続していない状態になる可能性が非常に高くなります。
この時点で、エージェントは他のエンドポイントサーバーに正常に接続しているにも関わらず、エンドポイントサーバーはエージェントを未報告として報告します。
いくつかのケースでは、エージェントは予想していたサーバーとは異なるエンドポイントサーバーと通信している場合があります。
このような動作は、エージェントのステータスが Enforce コンソールで変更されないまま残ってしまう原因となります。
エンドポイントサーバーの削除を行うと、問題が解決される場合があります。
※ このドキュメントは、以下のドキュメントを元に作成されています。