バルクチェンジの概要 Suite

バルクチェンジ機能はコマンドランナーと似た機能ですが、より柔軟な機能を備えています。固定された一つのコマンドを発行する代わりに、コマンドをテンプレート化したものを作り、テンプレート変数を設けてデバイスごとに変数の値を変えることが出来ます。

例えば、デバイスのパスワードを変更したいが、それぞれのデバイスに違うパスワードを設定したい場合、コマンドランナーではそれぞれのデバイスに対してジョブを実行する必要があります。

しかし、バルクチェンジを使用することで、パスワードを変数化し、それぞれのデバイスに別の値を割り振ることで、1回のジョブで違ったパスワードで設定をすることができます。

バルクチェンジジョブを作成する

バルクチェンジジョブは「ジョブ管理」から作成できます。ジョブの作成方法は「6.10 ジョブ管理」を参照してください。

［ジョブ］タブ→［ジョブ管理］をクリックし、［新しいジョブ］→［バルクチェンジ］をクリックします。 asda {width=“4.1766502624671915in” height=“1.7784153543307086in”}
ジョブ名、コメントを入力し、機能を選択し、［OK］をクリックします。

{width=“3.5953969816272964in” height=“2.0521741032370953in”}

テンプレートで、ベースとなるコマンドを入力します。

{width=“4.477400481189851in” height=“1.9391305774278216in”}

代替値として変更する部分を選択し、{width=“0.18110236220472442in” height=“0.14488188976377953in”}ボタンをクリックします。

{width=“4.477165354330709in” height=“1.8166502624671916in”}

代替値の名前を入力し、タイプを選択します。

{width=“3.1565223097112862in” height=“1.4121970691163606in”}

タイプ説明

テキスト任意のテキスト

IPアドレス IPアドレス。正しいIPv4あるいはIPv6フォーマット以外の値が入力された時には、エラーが通知されます。

ホスト名ホスト名

IPアドレスまたはホスト名 IPアドレスあるいはホスト名

選択代替値入力の際に、ドロップダウンリストから選ぶようになります。予め設定した値しか入力されなくなるので安全です。

条件選択有効か無効かを選ぶチェックボックスを設けます。無効と指定されたデバイスでは、その代替値は空白の文字列になります。

変数化された部分は黄色で表示されます。

{width=“4.617714348206474in” height=“2.0in”}

デバイスタブで実行するデバイスを追加します。

{width=“5.052173009623797in” height=“2.964527559055118in”}

代替の値タブで、値を入力します。

{width=“3.991304680664917in” height=“1.7395833333333333in”}

代替データはエクセルファイルを用いてインポート/エクスポート出来ます。右上の(エクスポート)あるいは{width=“0.18110236220472442in” height=“0.17355643044619423in”}(インポート)を用いてください。

スケジュールタブでトリガーを追加します。

詳しくは、「6.10 ジョブ管理」を参照してください。

{width=“5.118110236220472in” height=“1.4823501749781278in”}

{width=“0.18110236220472442in” height=“0.18110236220472442in”} ボタンを押してジョブを保存します。

{width=“5.118110236220472in” height=“1.4823501749781278in”}

ユーザを登録する

ThirdEyeにログインするユーザを作成します。

ユーザに権限を割り当てることで、実行可能な操作を制限できます。ThirdEyeでは、複数の権限を組み合わせて、柔軟に操作範囲を設定することが可能です。

ユーザと権限の設定は、グローバルメニューの［設定］から行えます。

{width=“3.5232556867891516in” height=“1.744763779527559in”}

権限を追加する

※すべての実行権限を持つ「Administrator」権限があらかじめ登録されています。「Administrator」権限は削除できません。

［権限］をクリックします。

{width=“4.330708661417323in” height=“3.5148818897637795in”}

［権限の追加］欄に権限名を入力し、［＋(追加)］をクリックします。

{width=“4.330708661417323in” height=“3.53372375328084in”}

権限名が一覧に追加され、選択された状態になります。画面右下の権限項目から、必要な項目にチェックを付けます。

{width=“4.330708661417323in” height=“3.53372375328084in”}

【権限項目一覧】

権限項目		説明
モニターの作成/更新/削除を許可する。	共通	モニターの作成/更新/削除ができます。
インシデントの更新を許可する。	共通	インシデントを更新できます。
マップの閲覧を許可する。	共通	マップを閲覧できます。
マップの作成/更新/削除を許可する。	共通	マップの作成/更新/削除ができます。 (※「マップの閲覧を許可する。」に付随する権限)
MIBの追加/削除を許可する。	共通	MIBの追加/削除ができます。
Syslogの閲覧を許可する。	共通	デバイスから送信されるSyslogを閲覧できます。
コンプライアンスルールセットとポリシーの閲覧を許可する。	Suite	コンプライアンスタブを閲覧できます。
コンプライアンスポリシーの作成/更新/削除を許可する。	Suite	コンプライアンスポリシーの作成/更新/削除ができます。 (※「コンプライアンスルールセットとポリシーの閲覧を許可する。」に付随する権限)
コンプライアンスルールセットの作成/更新/削除を許可する。	Suite	コンプライアンスルールの作成/更新/削除ができます。 (※「コンプライアンスルールセットとポリシーの閲覧を許可する。」に付随する権限)
コンフィギュレーションの閲覧を許可する。	共通	デバイスから取得したコンフィグを閲覧できます。
クレデンシャル及びプロトコル設定を許可する。	共通	クレデンシャルとプロトコルを設定できます。
インベントリ内デバイス情報の作成/更新/削除を許可する。	共通	インベントリ内デバイス情報の作成/更新/削除ができます。
カスタムフィールド名の設定を許可する。	共通	カスタムデバイスフィールドの名前を変更できます。
インベントリ内デバイスへのタグ適用、解除を許可する。	共通	インベントリ内デバイスへのタグ適用、解除ができます。
ドラフトコンフィギュレーションの閲覧を許可する。	Suite	ドラフトコンフィギュレーションを閲覧できます。
ドラフトコンフィギュレーションの作成/更新/削除を許可する。	Suite	ドラフトコンフィギュレーションの作成/更新/削除ができます (※「ドラフトコンフィギュレーションの閲覧を許可する。」に付随する権限)
スケジュールのフィルタ設定を許可する。	共通	スケジュールのフィルタ設定ができます。
バックアップジョブの実行を許可する。	共通	バックアップジョブを実行できます。
バックアップジョブの作成/更新/削除を許可する。	共通	バックアップジョブの作成/更新/削除ができます。 (※「バックアップジョブの実行を許可する。」に付随する権限)
ディスカバリの実行を許可する。	共通	ディスカバリを実行できます。
ディスカバリジョブの作成/更新/削除を許可する。	共通	ディスカバリジョブの作成/更新/削除ができます。 (※「ディスカバリの実行を許可する。」に付随する権限)
ツールの実行を許可する。	共通	ツールを実行できます。
ツールの作成/更新/削除を許可する。	共通	ツールの作成/更新/削除ができます。 (※「ツールの実行を許可する。」に付随する権限)
ツールの実行を承認する権限。	共通	承認が必要なジョブに対して、承認を行うことができます。(※「ツールの実行を許可する。」に付随する権限)
承認なしにツールを実行する権限。	共通	承認を必要としないジョブを作成でき、実行することができます。 (※「ツールの実行を許可する。」に付随する権限)
バルクチェンジジョブの実行を許可する。	Suite	バルクチェンジジョブを実行することができます。 (※「ツールの実行を許可する。」に付随する権限)
バルクチェンジジョブの作成/更新/削除を許可する。	Suite	バルクチェンジジョブの作成/更新/削除ができます (※「バルクチェンジジョブの実行を許可する。」に付随する権限)
デバイスコンフィギュレーション変更ツールの実行を許可する。	Suite	変更ツールを実行することができます。 (※「ツールの実行を許可する。」に付随する権限)
レポートの実行を許可する。	共通	レポートを実行できます。
レポートの作成/更新/削除を許可する。	共通	レポートの作成/更新/削除ができます。 (※「レポートの実行を許可する。」に付随する権限)
コンフィギュレーション復元ジョブの実行を許可する。	共通	コンフィギュレーション復元ジョブを実行できます。
Agent-Dインストーラの実行を許可する。	共通	Agent-Dインストーラを実行できます。
ネイバー情報収集ジョブの実行を許可する。	共通	ネイバー情報収集ジョブを実行できます。
ネイバー情報収集ジョブの作成/更新/削除を許可する。	共通	ネイバー情報収集ジョブの作成/更新/削除ができます。 (※「ネイバー情報収集ジョブの実行を許可する。」に付随する権限)
URLランチャーの作成/更新/削除を許可する。	共通	URLランチャーの作成/更新/削除ができます。
メモの作成/更新/削除を許可する。	共通	メモの作成/更新/削除ができます。
管理ネットワークの作成/更新/削除を許可する。	共通	管理ネットワークの作成/更新/削除ができます。
セキュリティの設定を許可する。	共通	セキュリティの設定ができます。
システムバックアップの実行を許可する。	共通	システムバックアップを実行できます。
インベントリタグの作成/更新/削除を許可する。	共通	インベントリタグの作成/更新/削除ができます。
ターミナルサーバプロキシ経由でのログインを許可する。	共通	ターミナルサーバプロキシ経由でのログインができます。
ターミナルサーバプロキシ経由での自動ログインを許可する。	共通	ターミナルサーバプロキシ経由での自動ログインができます。 (※「ターミナルサーバプロキシ経由でのログインを許可する。」に付随する権限)
enable modeに直接自動ログインを許可する。	共通	enable modeに直接自動ログインができます。 (※「ターミナルサーバプロキシ経由での自動ログインを許可する。」に付随する権限)
他のユーザのターミナルアクセスログ閲覧を許可する。	共通	他のユーザのターミナルアクセスログを閲覧できます。
ターミナルアクセスログ閲覧の削除を許可する。	共通	ターミナルアクセスログの削除ができます。 (※「他のユーザのターミナルアクセスログ閲覧を許可する。」に付随する権限)

［OK］をクリックします。

{width=“4.330708661417323in” height=“3.53372375328084in”}

ユーザを追加する

※「admin」ユーザがあらかじめ登録されています。「admin」ユーザは削除できません。

［＋(追加)］をクリックします。

{width=“4.330708661417323in” height=“3.526084864391951in”}

ユーザ追加画面が表示されます。項目を入力し、［OK］をクリックします。

{width=“4.174418197725284in” height=“2.46833552055993in”}

±------±---------±-------------------------------------------±—+ | カ | 項目 | 説明 | 必 | | テゴ | | | 須 | | リー | | | | +=======+==========+============================================+====+ | 一般 | ユーザ名 | ユーザ名を入力します。 | 必 | | | | | 須 | ±------±---------±-------------------------------------------±—+ | | フ | ユーザのフルネームを入力します。 | ― | | | ルネーム | | | ±------±---------±-------------------------------------------±—+ | | メール | ユーザのメールアドレスを入力します。 | ― | | | アドレス | | | ±------±---------±-------------------------------------------±—+ | | 権限 | ユーザの権限を選択します。「7.1 1.1権限を追加する」 | 必 | | | | で設定した | 須 | | | | 権限をプルダウンメニューから選択できます。 | | ±------±---------±-------------------------------------------±—+ | | パ | ユーザのパスワードを設定します。 | 必 | | | スワード | | 須 | | | | ※パスワードを設定するには | | | | | 、以下の条件を満たしている必要があります。 | | | | | | | | | | - 8文字以上であること | | | | | | | | | | - 推測されや | | | | | すい文字列（人名や固有名詞、辞書に載ってい | | | | | る単語、よく使われるパスワード）でないこと | | | | | | | | | | - 同じ文字の繰 | | | | | り返しやわかりやすい並びの文字列でないこと | | ±------±---------±-------------------------------------------±—+ | ネッ | ユー | ユーザが、システム内のすべての管理ネットワ | ― | | トワ | ザのアク | ークにアクセスできるかどうかを設定します。 | | | ーク | セスを制 | | | | | 限します | | | ±------±---------±-------------------------------------------±—+ | | ネッ | ユーザが | ― | | | トワーク | アクセスできる管理ネットワークの一覧です。 | | | | | | | | | | - 「ユーザのアクセスを以下の | | | | | ネットワークに制限します」にチェックが入っ | | | | | ていない場合、この一覧は無効になり、ユーザ | | | | | はすべてのネットワークにアクセスできます。 | | | | | | | | | | - 「ユー | | | | | ザのアクセスを以下のネットワークに制限しま | | | | | す」にチェックが入っている場合、この一覧が | | | | | 有効になり、チェックされたネットワークのみ | | | | | がユーザのアクセス対象として設定されます。 | | ±------±---------±-------------------------------------------±—+ | カ | カスタム | ユーザが閲覧可能 | ― | | スタ | 1～5 | なカスタムデバイスフィールドを選択します。 | | | ムフ | | | | | ィー | | ※表示される項目名は、「7.16カスタムデバイスフィールドのカラム名変更/カラム追加」の設定に基づいて変化します。 | | | ルド | | | | | | | | | | | | | | ±------±---------±-------------------------------------------±—+ | メ | イ | インシデントメールを曜日 | ― | | ール | ンシデン | /時間によって制限する場合に、設定します。 | | | | トメール | | | ±------±---------±-------------------------------------------±—+

［OK］をクリックします。

{width=“4.330708661417323in” height=“3.53372375328084in”}

ユーザ情報を変更する

編集したいユーザを選択し、［ (編集)］をクリックします。

{width=“4.330708661417323in” height=“3.5271030183727032in”}

ユーザ編集画面が表示されます。編集後、［OK］をクリックします。

※ユーザ名は変更できません。

※パスワードを変更したい場合は、［{width=“0.24418525809273842in” height=“0.17906933508311462in”} (鍵)］から設定します。

{width=“4.174409448818897in” height=“2.502587489063867in”}

ログイン中のユーザのパスワードを変更する

グローバルメニューにあるログインユーザ名からパスワードを変更することができます。ここでは、ユーザ名「admin」のパスワードを変更しています。

新しいパスワードを［新規パスワード］と［パスワードの再入力］に入力します。［パスワード変更］ボタンを押すと、新しいパスワードが登録されます。新規パスワードと再入力された文字列が異なる場合、［パスワード変更］ボタンが有効になりません。

Warning:

パスワードを設定するには、以下の条件を満たしている必要があります。

8文字以上であること

推測されやすい文字列（人名や固有名詞、辞書に載っている単語、よく使われるパスワード）でないこと

同じ文字の繰り返しやわかりやすい並びの文字列でないこと

二要素認証 (2FA) を設定する

リビジョン20240905.2154から、二要素認証を設定できるようになりました。二要素認証は、パスワードに加えて認証アプリによる追加認証を行うことで、ユーザアカウントのセキュリティを強化する機能です。ユーザは任意で設定できるほか、管理者はすべてのユーザに対して必須に設定することもできます。

二要素認証を有効にする

ユーザがログインしている場合、［ユーザプロフィール］ダイアログから二要素認証を設定できます。

ユーザ名をクリックし、［ユーザプロフィール］ダイアログを開きます。

［二要素認証を設定］をクリックします。

画面上の指示に従って設定を行い、認証コードを入力します。

［OK］をクリックします。

以上で設定は完了です。ログアウト後、再度ログインすると、認証コードの入力が求められるようになります。

二要素認証を解除する

二要素認証の設定を解除したい場合、ログイン中のユーザ自身で解除することができます。また、adminユーザの場合は、すべてのユーザの二要素認証の設定を解除することができます。

［設定］>［ユーザ］を開きます。
対象のユーザを選択し、［鍵］ボタンをクリックします。
［二要素認証を解除する］にチェックを入れ、［OK］をクリックします。

二要素認証が設定されていない場合は、「このユーザには二要素認証が設定されていません」と表示され、このチェックボックスオプションは表示されません。

［サーバ設定］ダイアログで［OK］をクリックします。

外部認証を構成する

外部認証を設定すると、認証サーバを使用してシステムにログインできるようになります。これにより、すべてのユーザアカウントを事前にシステム上で作成しておく必要がなくなります。また、認証サーバからグループ情報を取得することで、ユーザに権限や管理ネットワークの制限を自動的に割り当てることができます。

外部認証は、［サーバ設定］ダイアログ内の［外部認証］ページで設定します。このページでは、プロトコル固有の設定に加え、グループマッピングも設定できます。これにより、システムがユーザにどの権限を割り当て、どの管理ネットワークにアクセスを許可するかを指定できます。グループマッピングは、外部認証プロバイダ側の「グループ」と、システム側の権限や管理ネットワークに関連付けることで実現されます。

RADIUS連携

RADIUS認証を利用する場合、RADIUSサーバに Access-Request を送信して認証を行います。RADIUSサーバと連携するには、Access-Accept 応答に Filter-Id を含めて返すように設定する必要があります。

以下は、FreeRADIUSでユーザにグループ情報（Filter-Id）を付与する設定のサンプルです。

LogicVein Cleartext-Password := "password"

Filter-Id += "GROUP"

この設定では、「ユーザ名：LogicVein」「パスワード：password」で送信された Access-Request に対し、認証に成功すると Filter-Id 属性を含む Access-Accept 応答が返されます。

Filter-Id は、認証されたユーザが所属するグループを示す情報として扱われます。

［外部認証サーバの選択］を「RADIUS」に変更します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

RADIUSサーバのIPアドレス（またはホスト名）と共有シークレットを設定します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

外部グループマッピングの権限を設定します。［＋(追加)］をクリックします。

{width=“3.9340277777777777in” height=“2.1979166666666665in”}

RADIUSサーバのFilter-Idに設定されているグループを［外部グループ］に入力し、割り当てる［権限］を選択します。

{width=“2.3680555555555554in” height=“0.9715277777777778in”}

設定が完了したら、［OK］をクリックして保存し、RADIUSサーバに登録されたユーザでログインを確認します。

Active Directory連携

Active Directoryと連携することで、ユーザが所属するグループ情報をもとに、システム上での権限およびアクセス可能なネットワークを自動的に割り当てることができます。

{width=“3.4302318460192476in” height=“3.476022528433946in”}

［外部認証サーバの選択］を「アクティブディレクトリ」に変更します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

ドメイン名とActive DirectoryサーバのIPアドレス（またはホスト名）を設定します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

外部グループマッピングの権限を設定します。［＋(追加)］をクリックします。

{width=“3.9340277777777777in” height=“2.1979166666666665in”}

ユーザが所属するグループを［外部グループ］に入力し、割り当てる［権限］を選択します。

{width=“2.3680555555555554in” height=“0.9715277777777778in”}

設定が完了したら、［OK］をクリックして保存し、Active Directoryに登録されているユーザでログインを確認します。

SAML連携

外部認証サービス (IdP) と連携したSAML認証を構成することで、シングルサインオン (SSO) を実現できます。これにより、ユーザはIdP経由でThirdEyeにシームレスにログインできるようになります。

Microsoft Entra ID連携

【前提条件】

シングルサインオンを構成する前に、以下の条件を満たしていることを確認してください。

管理者権限でMicrosoft Entra IDにサインインできること
Microsoft Entra IDに連携対象のユーザおよびグループが存在すること
ThirdEyeで設定を構成する権限(※)を持っていること
(※) Administrator権限または「セキュリティの設定を許可する。」を有する権限

【手順】

ThirdEyeでSAMLを構成する

ThirdEyeにログインします。
［設定］>［外部認証］を開きます。
［外部認証サーバの選択］から「SAML」を選択します。
［コールバックURL］がThirdEyeサーバの正しいURLであることを確認します。

コールバックURLの形式： https://[IPアドレスまたはホスト名]/auth
デフォルトでは、［ネットワークサーバ］>［パブリックホスト名/IPアドレス］の値を参照します。

［SPメタデータXMLをダウンロード］リンクをクリックして、SPメタデータXMLファイルをダウンロードします。

ファイル名: LogicVein-saml-sp-metadata.xml
ダウンロードしたファイルは、次の手順で利用します。

新しいアプリケーションを作成

「Microsoft Entra 管理センター」にサインインします。
［ID］>［アプリケーション］>［エンタープライズアプリケーション］を開きます。
［新しいアプリケーション］メニューをクリックします。
［独自のアプリケーションの作成］メニューをクリックします。
アプリの名前を設定し、［ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)］を選択し、［作成］をクリックします。
［管理］>［シングルサインオン］を選択します。
［シングルサインオン方式の選択］ページで、［SAML］を選択します。
［SAML によるシングルサインオンのセットアップ］で、［メタデータファイルをアップロードする］をクリックし、先の手順でダウンロードした「LogicVein-saml-sp-metadata.xml」をアップロードし、［追加］をクリックします。
［保存］をクリックします。
［×］をクリックして編集画面を閉じます。

［シングルサインオンをTest］のポップアップメッセージが表示された場合、「いいえ、後でtestします」をクリックします。

［属性とクレーム］セクションで［編集］をクリックします。
［属性とクレーム］ページで、［グループ要求を追加する］を選択します。
［セキュリティグループ］オプションを選択し、［ソース属性］で「グループID」を選択します。
［保存］をクリックします。
［×］をクリックして［属性とクレーム］ページを閉じます。

IdPメタデータを取得

［SAML 証明書］セクションで、［フェデレーションメタデータ XML］の［ダウンロード］をクリックします。
IdPメタデータXMLファイルをダウンロードします。

ThirdEyeにアプリケーションを登録

ThirdEyeの［設定］>［外部認証］を開きます。
［IdPメタデータXMLをアップロード］をクリックし、手順「(iii) IdPメタデータを取得」で作成したXMLファイルを選択します。
［OK］をクリックし、［サーバ設定］を保存します。

オブジェクトID をメモ

「Microsoft Entra 管理センター」に戻り、［管理］>［ユーザーとグループ］をクリックします。
［ユーザーまたはグループの追加］をクリックします。
［ユーザー］セクションの［選択されていません］をクリックします。
一覧から、ThirdEyeへのログインを許可する必要があるユーザを選択します。
［選択］をクリックします。
［割り当て］をクリックして、ユーザーの割り当てを完了します。
左側のペインで［ID］>［グループ］>［すべてのグループ］に移動します。
ThirdEyeへのログインを許可するグループの［オブジェクト ID］をメモします。

外部グループマッピングを構成する

［設定］>［外部認証］を開きます。
［外部グループマッピング］で、［＋］をクリックします。
［外部グループ］フィールドに、先の手順でメモした「オブジェクト ID」を入力し、［権限］に割り当てる権限を指定して、［OK］をクリックします。
［OK］をクリックし、［サーバ設定］を保存します。
ThirdEyeのログアウトをクリックします。Microsoftのログインページに移動します。

Okta連携

【前提条件】

シングルサインオンを構成する前に、以下の条件を満たしていることを確認してください。

管理者権限でOktaダッシュボードにサインインできること
Oktaに連携対象のユーザおよびグループが存在すること
ThirdEyeで設定を構成する権限(※)を持っていること
(※) Administrator権限または「セキュリティの設定を許可する。」を有する権限

【手順】

ThirdEyeでSAMLを構成する

ThirdEyeにログインします。
［設定］>［外部認証］を開きます。
［外部認証サーバの選択］から「SAML」を選択します。
［コールバックURL］がサーバの正しいURLであることを確認します。

デフォルトでは、［ネットワークサーバ］>［パブリックホスト名/IPアドレス］の値を参照します。

［SP証明書をダウンロード］リンクをクリックして、SP証明書ファイルをダウンロードします。

ファイル名: LogicVein-saml-sp-signing-certificate.crt
ダウンロードしたファイルは、次の手順で利用します。

新しいアプリケーションを作成

Okta Admin Consoleで、［Applications］>［Applications］に移動します。
［Create App Integration］をクリックします。
［Sign-in method］として［SAML 2.0］を選択し、［Next］をクリックします。
［App name］に任意の名前を入力し、［Next］をクリックします。
［SAML Settings］の［General］セクションで、以下の項目を設定します。

項目設定

Single sign-on URL https://[IPアドレスまたはホスト名]/auth?client_name=SAML2Client

Audience URI (SP Entity https://[IPアドレスまたはホスト名]/auth ID)

Application username メール

Update application 作成・更新 username on

［Show Advanced Settings］をクリックします。
［Signature Certificate］で［Browse files.…］をクリックし、先の手順でThirdEyeからダウンロードしたSP証明書を選択します。

ファイル名: LogicVein-saml-sp-signing-certificate.crt

以下の項目を設定します。

±---------------±----------------------------------------------------+ | 項目 | 設定 | +================+=====================================================+ | Enable Single | 有効 | | Logout | | | | 「Allow application to initiate Single | | | Logout」オプションにチェックを入れる | ±---------------±----------------------------------------------------+ | Single Logout | https://[IPアドレスまたはホスト名] | | URL | | ±---------------±----------------------------------------------------+ | SP Issuer | https://[IPアドレスまたはホスト名]/auth | ±---------------±----------------------------------------------------+

［Attribute Statements (optional)］セクションで、次の2つの項目を追加します。

Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Name format URI参照

Value user.email

Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Name format URI参照

Value user.lastName

［Group Attribute Statements (optional)］セクションで、次のように設定します。

Name http://schemas.logicvein.com/ws/2024/05/identity/claims/groups

Name format URI参照

Filter 正規表現と一致

［Next］をクリックします。
「I'm an Okta customer adding an internal app」を選択します。
「It's required to contact the vendor to enable SAML」を選択します。
［Finish］をクリックします。

アプリケーションを利用するグループを割り当て

アプリケーションの［Assignments］タブを選択します。
［Assign］>［Assign to Groups］を選択します。
割り当てるグループを見つけて、［Assign］ボタンをクリックします。
［Done］をクリックします。

IdPメタデータを取得

［Sign On］タブを選択します。
［Settings］で［Metadata URL］のURLをコピーします。
ブラウザの新しいタブを開き、アドレスバーにURLを貼り付けてアクセスします。
メタデータページを右クリックし、［名前を付けて保存.…］を選択します。

メタデータを .xmlファイルとして保存します。
ダウンロードしたファイルは、次の手順で利用します。

ThirdEyeにアプリケーションを登録

ThirdEyeの［設定］>［外部認証］を開きます。
［IdPメタデータXMLをアップロード］をクリックし、手順「(iv) IdPメタデータを取得」で作成したXMLファイルを選択します。

外部グループマッピングを構成する

［設定］>［外部認証］を開きます。
［外部グループマッピング］で、［＋］をクリックします。
［外部グループ］フィールドに Oktaグループを入力し、［権限］に割り当てる権限を指定して［OK］をクリックします。
［OK］をクリックします。

ThirdEyeにログイン

Okta のユーザで ThirdEyeにログインします。

「(2) Okta連携」に記載された設定が完了後、ThirdEyeにアクセスするとOktaのサインオン画面が表示されます。

keycloak連携

【前提条件】

シングルサインオンを構成する前に、以下の条件を満たしていることを確認してください。

管理者権限でkeycloakダッシュボードにサインインできること
keycloakに連携対象のユーザおよびグループが存在すること
ThirdEyeで設定を構成する権限(※)を持っていること
(※) Administrator権限または「セキュリティの設定を許可する。」を有する権限

【手順】

ThirdEyeでSAMLを構成する

［設定］>［外部認証］を開きます。
［外部認証サーバの選択］から「SAML」を選択します。
コールバックURLが正しいことを確認します。

※デフォルトでは、［ネットワークサーバ］>［パブリックホスト名/IPアドレス］の値を参照します。

［SP証明書をダウンロード］リンクをクリックして、SP証明書ファイルをダウンロードします。

※ファイル名: LogicVein-saml-sp-signing-certificate.crt

※ダウンロードしたファイルは、次の手順で利用します。

Dockerでkeycloakを設定する

Keycloakにログインする際には、KEYCLOAK_ADMINとKEYCLOAK_ADMINを使用します。
以下のコマンドを使用して、Keycloakログ取得とデバッグを行います。

docker logs -f keycloak

https://localhost:8080に接続します。
[Client] >［Create Client］を選択します。
Client IDとNameを入力します。Client ID: https:// IPアドレスまたはホスト名/auth　 Name:任意の名前

[Next]をクリックし、コールバックURLを設定します。例. https:// IPアドレスまたはホスト名/auth?client_name=SAML2Client

[Save]をクリックします。
[Client Scope]タブをクリックします。
[https:// IPアドレスまたはホスト名/auth-dedicated]をクリックします。
[Add predefined mapper]をクリックします。
[X500 email]を選択し[Add]をクリックします。
X500 emailをクリックします。
[SAML Attribute Name]にhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressを設定します。
[SAML Attribute NameFormat]を"URI Reference"に設定します。
[Save]をクリックします。
左サイドバーにある[Client scopes]をクリックし、"Name"カラムにある[role list]をクリックします。
[Mappers]タブをクリックし"Name"カラムにある[role list]をクリックします。
"Role attribute name"にhttp://schemas.logicvein.com/ws/2024/05/identity/claims/groupsを設定します。
"SAML Attribute NameFormat"を"URI Reference"に設定します。
[Save]をクリックします。
左サイドバーにある[Users]をクリックします。
"Username"カラムにある[admin]をクリックし、メールアドレスを設定します。
[Save]をクリックします。
左サイドバーにある[Clients]をクリックし、client listにある[https:// IPアドレスまたはホスト名/auth]をクリックします。
[Advanced]タブをクリックします。
Logout Service POST Binding URLを"https:// IPアドレスまたはホスト名/"に設定します。
[Keys]タブをクリックします。
"Client signature required"をOFFにし、再度ONにします。
ポップアップウィンドウで[Import]を選択します。
"Archive format"を"Certificate PEM"に設定します。
LogicVein-saml-sp-signing-certificate.crtをアップロードします。(※)
[Confirm]をクリックします。
左サイドバーにある[Realm Settings]をクリックし、"SAML 2.0 Identity Provider Metadata"をダウンロードします。

※新しいKeycloakのバージョン(keycloak: 26.2.0)では証明書のアップロードに失敗します。keycloak:25.0.6-0では動作する事を確認しております。

ThirdEyeにアプリケーションを登録

ThirdEyeの［設定］>［外部認証］を開きます。
［IdPメタデータXMLをアップロード］をクリックし、作成したXMLファイルを選択します。

外部グループマッピングを構成する

ThirdEyeの［設定］>［外部認証］を開きます。
［外部グループマッピング］で、［＋］をクリックします。
［外部グループ］フィールドに keycloakグループを入力し、［権限］に割り当てる権限を指定して［OK］をクリックします。
［OK］をクリックします。

ThirdEyeにログイン

keycloak のユーザで ThirdEyeにログインします。

ThirdEyeにアクセスするとkeycloakのサインオン画面が表示されます。

ローカル認証を使用する方法（SAML認証設定後）

SAML認証の設定完了後、ThirdEyeの製品ページにアクセスすると、連携先のサインインページが表示されます。SAML認証ではなく、ローカル認証を使用して製品にログインする場合は、URLの末尾に「/?forceLoginPage=true」を追加してアクセスしてください。

https://[IPアドレスまたはホスト名]/?forceLoginPage=true

このURLを開くことで、製品のログインページが表示されます。adminなどのローカルアカウントを使用してログインできます。

外部認証のテスト

外部認証の設定後、［テスト］から外部認証のテストを行うことができます。

{width=“3.9340277777777777in” height=“3.207638888888889in”} ［認証テスト］ダイアログが表示されたら、認証をテストする［ユーザ名］と［パスワード］を入力し、［テスト］をクリックします。認証に成功すると、下図のように「認証が成功しました」というメッセージが表示されます。

{width=“2.8680555555555554in” height=“1.4340277777777777in”}

ユーザのセッションタイムアウトを設定する

ThirdEyeでは、30分間操作を行わなかったユーザは再度認証が必要になります。この時間を変更するには、以下の手順で設定します。

グローバルメニューの［設定］をクリックします。

［ネットワークサーバ］をクリックし、「ユーザログインアイドルタイムアウト」の時間を変更します。

設定可能な範囲：10～525600（分）

［OK］をクリックします。
ログアウトして、再度ログインします。

設定内容を反映するには、ThirdEyeからログアウトして、再度ログインする必要があります。

ユーザを削除する

削除したいユーザを選択し、［×(削除)］をクリックします。

ユーザが削除されます。サーバ設定で［OK］をクリックします。

誤ってユーザを削除した場合は、［キャンセル］をクリックしてください。

権限を削除する

削除したい権限名を選択し、［×(削除)］をクリックします。

サーバ設定で［OK］をクリックします。

Warning:

使用中の権限を削除しようとすると、以下のエラーが発生します。

使用されているユーザの権限を割り当て直すなどしてから、削除を実行してください。

データ保存期間を変更する

データ保存期間では、データの保存期間と自動削除のタイミングを設定します。

±---------------±-------±------------------------------------------+ | 項目 | | 説明 | +================+========+===========================================+ | 週単位で | ![] | 一定期間経 | | 、次の時間にデ | (media | 過したデータを、毎週指定された曜日と時間 | | ータを削除する | /image | 帯に自動的に削除します。（初期値：月曜日, | | | 7.png | 6:00） | | | ){widt | | | | h=“0.5 | データ保存期間は、以降の | | | 520833 | 項目で指定します。（※ただし、「期限なし」 | | | 333333 | を指定した場合、データは削除されません） | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+ | ジョブ | ![] | ［ジョ | | 履歴の保存期間 | (media | ブ］→［ジョブ履歴］タブのデータの保存期間 | | | /image | を次の中から指定します。（初期値：3ヶ月） | | | 6.png | | | | ){widt | 「期限なし」、 | | | h=“0.5 | 「3ヶ月」、「6ヶ月」、「9ヶ月」、「1年」 | | | 520833 | | | | 333333 | | | | 334in” | | | | he | | | | ight=" | | | | 0.125i | | | | n"}![] | | | | (media | | | | /image | | | | 5.png | | | | ){widt | | | | h=“0.5 | | | | 520833 | | | | 333333 | | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+ | コンフィ | ![] | 各監視対象デバイ | | ギュレーション | (media | スのコンフィギュレーションの保存期間を次 | | 履歴の保存期間 | /image | の中から指定します。（初期値：期限なし） | | | 6.png | | | | ){widt | 「期 | | | h=“0.5 | 限なし」、「6ヶ月」、「1年」、「2年」、「 | | | 520833 | 3年」、「4年」、「5年」、「6年」、「7年」 | | | 333333 | | | | 334in” | | | | he | | | | ight=" | | | | 0.125i | | | | n"}![] | | | | (media | | | | /image | | | | 5.png | | | | ){widt | | | | h=“0.5 | | | | 520833 | | | | 333333 | | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+ | ターミナルログ | ![] | ［タ | | 履歴の保存期間 | (media | ーミナルプロキシ］タブのデータの保存期間 | | | /image | を次の中から指定します。（初期値：3ヶ月） | | | 6.png | | | | ){widt | 「期限なし」、「3ヶ月」 | | | h=“0.5 | 、「6ヶ月」、「9ヶ月」、「1年」、「3年」 | | | 520833 | | | | 333333 | | | | 334in” | | | | he | | | | ight=" | | | | 0.125i | | | | n"}![] | | | | (media | | | | /image | | | | 5.png | | | | ){widt | | | | h=“0.5 | | | | 520833 | | | | 333333 | | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+ | SNMPトラ | ![] | ［モニター］→［ | | ップの保存期間 | (media | SNMPトラップ］タブのデータの保存期間を次 | | | /image | の中から指定します。（初期値：期限なし） | | | 7.png | | | | ){widt | 「期限なし」、 | | | h=“0.5 | 「2週間」、「3ヶ月」、「6ヶ月」、「1年」 | | | 520833 | | | | 333333 | | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+ | 違反の保存期間 | ![] | ［モニ | | | (media | ター］→［違反］タブのデータの保存期間を次 | | | /image | の中から指定します。（初期値：期限なし） | | | 7.png | | | | ){widt | 「期限なし」、 | | | h=“0.5 | 「2週間」、「3ヶ月」、「6ヶ月」、「1年」 | | | 520833 | | | | 333333 | | | | 334in” | | | | heigh | | | | t=“0.1 | | | | 25in”} | | ±---------------±-------±------------------------------------------+

メールサーバを設定する

メールサーバでは、ThirdEyeからメール通知するためのSMTPサーバの情報を入力します。障害時にメール送信する場合やダッシュボードレポートを送信する場合には、予め設定する必要があります。

グローバルメニューの［設定］をクリックします。

{width=“2.7559055118110236in” height=“1.0675743657042869in”}

［メールサーバ］をクリックし、SMTPサーバの情報を入力します。

{width=“3.1496062992125986in” height=“2.5284995625546807in”}

［OK］をクリックします。

{width=“3.1496062992125986in” height=“2.5284995625546807in”}

SNMPトラップ送信を設定する

SNMPトラップ設定では、ThirdEyeからSNMPトラップを送信するための設定を構成します。トラップを送信する条件やトラップ送信先を設定します。

グローバルメニューの［設定］をクリックします。
［SNMPトラップ設定］をクリックし、送信対象のイベントにチェックを挿入します。

{width=“3.937007874015748in” height=“3.209235564304462in”}

［＋(追加)］をクリックします。
トラップ送信先の情報を入力し、［OK］をクリックします。

カスタムデバイスフィールドのカラム名変更/カラム追加

カスタムデバイスフィールドでは、デバイスタブや検索で使用するカスタムカラムの名前変更や、新しいカスタムカラムの追加が可能です。

グローバルメニューの［設定］をクリックします。
［カスタムデバイスフィールド］をクリックします。

{width=“3.543307086614173in” height=“2.8445625546806648in”}

カラム名を変更する場合には、入力欄に任意の表示名を設定します。

{width=“3.543307086614173in” height=“2.8445625546806648in”}

カラムを追加する場合には、追加ボタンをクリックしカラムを追加します。

{width=“3.543307086614173in” height=“2.8445625546806648in”}

※カスタムデバイスフィールドは、一度追加すると削除できません。

Note:

SNMPトラップアクションの変数には、デフォルトのカスタム1～5が含まれます。あとから追加されたカスタムフィールドは、SNMPトラップアクションの変数に含まれません。

ホスト名にsysNameを使用する

ThirdEyeは、DNSサーバからホスト名を取得し、それをデバイスタブに表示します。機器に設定されているホスト名(sysName)を使用するには、以下の設定をします。

グローバルメニューの［設定］をクリックします。

{width=“3.5232556867891516in” height=“1.744763779527559in”}

［ネットワークサーバ］内の「DNS Lookupを有効にする」のチェックを外します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

［OK］をクリックします。

Syslogファイルの詳細設定

Syslogファイルの保存期間/サイズを設定する

Syslogファイルの保存期間を設定します。

グローバルメニューの［設定］をクリックします。
［Syslog］をクリックし、各項目を設定します。

{width=“3.937007874015748in” height=“3.164909230096238in”}

項目説明

Syslogサーバを有効にする Syslogサーバの有効(起動)/無効(停止)を設定します。

ログサイズ(MB) Syslogファイルのサイズを指定します。

ログ数ローテーションされたファイルの保持数を指定します。

維持する日数ローテーションされたファイルの保持日数を指定します。

時間間隔 Syslogファイルを指定した時間間隔でローテートします。

Syslogの送信元IPアドレスをホスト名に変換する（DNSの逆引き） Syslogの送信元IPアドレスに対してDNSの逆引きを行い、ホスト名でSyslogファイルに記録します。

［OK］をクリックします。

Syslogルールを設定する

設定された条件に従って、Syslogの出力先を振り分けたり、他のホストにSyslogを転送したり、不要なメッセージを除外したりすることができます。

Syslogルールを追加するには、次の操作を行います。

グローバルメニューの［設定］をクリックします。
［Syslog］をクリックし、Syslogルールで［＋(追加)］をクリックします。

{width=“3.937007874015748in” height=“3.164909230096238in”}

［Syslogフィルタ］および［Syslogアクション］を設定します。

Syslogフィルタ

Syslogアクション

±-----------±-------------±----------------------------------------+ | アクション | 項目 | 説明 | +============+==============+=========================================+ | ファ | ** | 出力するSyslogファイル名を指定します。 | | イルへ出力 | ファイル名** | | ±-----------±-------------±----------------------------------------+ | | Split | 出力される | | | files by | Syslogファイルを指定単位で分割します。 | | | | | | | | - None：分割しない | | | | | | | | - Log Level：ログレベル単位で分割する | | | | | | | | - IPアドレス：IPアドレス | | | | またはオクテット(第1,2,3)単位で分割する | | | | | | | | - Hostname：ホスト名単位で分割する | | | | | | | | - 時間：選択した時間単位で分割する | ±-----------±-------------±----------------------------------------+ | 転送 | 転送形式 | 転送形式をSyslogとSNMPから選択します。 | ±-----------±-------------±----------------------------------------+ | | 転送 | 転送先を指定します。 | | | 先IPアドレス | | | | /ホスト名 | | ±-----------±-------------±----------------------------------------+ | | ポート | 転送先のポート番号を設定します。 | ±-----------±-------------±----------------------------------------+ | | ** | 転送プ | | | プロトコル** | ロトコルをUDPまたはTCPから選択します。 | | | | | | | | ※転送形式がSyslogの場合に表示 | ±-----------±-------------±----------------------------------------+ | | IPスプ | ※転送形式がSyslogの場合に表示 | | | ーフィング | | ±-----------±-------------±----------------------------------------+ | | コ | SNMPトラップコミュニティを指定します。 | | | ミュニティ | | | | | ※転送形式がSNMPの場合に表示 | ±-----------±-------------±----------------------------------------+ | 破棄 | ― | S | | | | yslogフィルタで指定されたSyslogを除外し | | | | 、Syslogファイルに記録しなくなります。 | ±-----------±-------------±----------------------------------------+

設定後、［OK］をクリックします。

{width=“3.937007874015748in” height=“2.0732119422572177in”}

サーバ設定画面で［OK］をクリックします。

{width=“4.724409448818897in” height=“3.797891513560805in”}

Syslogファイルを外部ストレージに保存する

通常、受信したSyslogはローカルのsyslog.logファイルに保存されますが、NFS/SMBサーバと連携することで、外部ストレージに保存することができます。

外部ストレージとの連携手順については、「9.4外部ストレージに保存する」を参照してください。
この設定を反映させるには、ThirdEyeアプライアンスを再起動する必要があります。再起動中は監視が停止します。

グローバルメニューの［設定］をクリックします。

{width=“3.5232556867891516in” height=“1.744763779527559in”}

［Syslog］をクリックし、「外部ストレージへのロギング」にチェックをいれます。

{width=“3.5375in” height=“2.8868055555555556in”}

※この「外部ロギング」オプションは、NFS/SMBサーバと連携している場合に表示されます。

［OK］をクリックします。

{width=“3.5375in” height=“2.8868055555555556in”}

再起動の確認画面で［OK］をクリックします。

※設定を反映させるには、ThirdEyeを再起動する必要があります。［OK］をクリックすると、ThirdEyeが自動的に再起動します。

{width=“3.5375in” height=“2.9055555555555554in”}

Note:

syslog.logファイルの保存先をローカルから外部ストレージに変更すると、ローカルのファイルが外部ストレージにコピーされます。一方、syslog.logファイルの保存先を外部ストレージからローカルに変更しても、外部ストレージ上のファイルはローカルにコピーされません。

これは、セキュリティ上の理由からサポートされていません。

メモテンプレートを編集する

メモテンプレートでは、インベントリの「メモ」カラムでデバイスメモを新規作成する時に、自動的に挿入される定型（テンプレート）を設定することができます。

グローバルメニューの［設定］をクリックします。

{width=“3.5226115485564304in” height=“1.4418602362204724in”}

［メモテンプレート］をクリックします

{width=“3.5375in” height=“2.670138888888889in”}

±-------------±------------------------------------------------------+ | 項目 | 説明 | +==============+=======================================================+ | フ | フォントサイズを変更する。 | | ォントサイズ | | ±-------------±------------------------------------------------------+ | 太字 | 範囲指定された文字を太字に変更する。 | ±-------------±------------------------------------------------------+ | 斜字 | 斜字に変更する。 | ±-------------±------------------------------------------------------+ | 下線 | 下線を引く。 | ±-------------±------------------------------------------------------+ | テキストの色 | 文字の色を変更する。 | ±-------------±------------------------------------------------------+ | 左揃え | 文字列の配置を左揃えに設定する。 | ±-------------±------------------------------------------------------+ | 中央揃え | 文字列の配置を中央揃えに設定する。 | ±-------------±------------------------------------------------------+ | 入力文字数 | 入力可能な残り文字数。 | | | | | | ※全 | | | 角／半角にかかわらず、すべて1文字としてカウントされる | ±-------------±------------------------------------------------------+

［OK］をクリックします。

右クリックメニューに特定のURLを追加する

URLランチャーは、特定のページに簡単にアクセスするためのショートカット機能です。URLを登録することで、右クリックメニューからページにアクセスできるようになります。

グローバルメニューの［設定］をクリックします。

{width=“3.5232556867891516in” height=“1.744763779527559in”}

［URLランチャー］をクリックします

{width=“3.9340277777777777in” height=“2.9625in”}

名前を入力し、URLを指定します。

※名前は右クリックメニューのメニュー名として表示されます。

【URL変数の説明】

±----------±------------------------±------------------------------+ | 項目 | 説明 | 例 | +===========+=========================+===============================+ | ホスト名 | デバイス | ホスト名=thirdeye.co.jp | | | のホスト名を引用する。 | の | | | | デバイスを選択した場合、URLの | | | | “{device.hostname}” の部分が | | | | “thirdeye.co.jp” | | | | に | | | | 置き換えられて実行されます。 | | | | | | | | http://{device.hostname} | | | | | | | | ⇒ http://thirdeye.co.jp | ±----------±------------------------±------------------------------+ | I | デバイスの | IPアドレス=192.168.0.1 | | Pアドレス | IPアドレスを引用する。 | の | | | | デバイスを選択した場合、URLの | | | | “{device.ipAddress}” の部分が | | | | “192.168.0.1” | | | | に | | | | 置き換えられて実行されます。 | | | | | | | | http://{device.ipAddress} | | | | | | | | ⇒ http://192.168.0.1 | ±----------±------------------------±------------------------------+ | メーカ | コンフ | h | | | ィグバックアップで取得 | ttp://{device.hardwareVendor} | | | したメーカ名を引用する | | ±----------±------------------------±------------------------------+ | モデル | コンフ | http://{device.model} | | | ィグバックアップで取得 | | | | したモデル名を引用する | | ±----------±------------------------±------------------------------+ | シリ | コンフィグ | http://{device.assetIdentity} | | アル番号 | バックアップで取得した | | | | シリアル番号を引用する | | ±----------±------------------------±------------------------------+ | OSバ | コンフィグバックア | http://{device.osVersion} | | ージョン | ップで取得したソフトウ | | | | ェアバージョン引用する | | ±----------±------------------------±------------------------------+

［OK］をクリックします。

デバイスグループを使用する

リビジョン20240905.2154から、デバイスグループを使用した検索ができるようになりました。デバイスグループとは、任意の条件でデバイスを分類できる機能です。すべてのユーザが共通して使用する「共有」グループと、各ユーザが個別に使用する「プライベート」グループを設定できます。また、階層的なグルーピングにも対応しており、より柔軟な管理ができます。

デバイスグループを有効にする

デバイスグループ機能は、デフォルトで無効になっています。デバイスグループを有効にするには、［サーバ設定］→［デバイスグループ］メニューで「デバイスグループを有効にする」にチェックを入れ、［OK］をクリックします。

{width=“4.330708661417323in” height=“3.476672134733158in”}

デバイスタブにデバイスグループのアイコンが追加されます。アイコンをクリックするとサイドバーが表示され、デバイスグループを構成することができます。

{width=“4.519444444444445in” height=“2.1873972003499564in”}

デバイスグループを追加する

デバイスグループを追加するには、グループサイドバーの左下にある［+］ボタンをクリックします。「名前」と「条件」を設定した後、［OK］ボタンをクリックします。なお、デバイスグループが最上位階層にある場合のみ、グループの「共有」または「プライベート」を選択できます。

{width=“3.562204724409449in” height=“1.7106299212598426in”}

デバイスグループを追加すると、作成したグループがサイドバーに表示されます。デバイスグループを選択すると、インベントリ内のデバイスがその分類条件に基づいてフィルタリングされます。

デバイスグループは階層構造にすることができます。上位階層のグループを選択した状態で［+］ボタンをクリックすると、下位階層にグループを追加できます。ただし、下位階層のグループでは「共有」または「プライベート」を選択できません。

ライセンスを更新する

ライセンスのノード数を増やしたりサポート更新したりした場合に、適用されているライセンスを更新する必要があります。ライセンスの更新は、［ヘルプ］→［バージョン情報］から行うことができます。

※この作業は、Administrator権限を持つユーザのみ行うことができます。

グローバルメニューの［ヘルプ］→［バージョン情報］をクリックします。

{width=“4.528472222222222in” height=“1.0284722222222222in”}

［ライセンス更新］をクリックします。

{width=“1.800680227471566in” height=“2.5799212598425196in”}

オンライン環境では、自動でライセンス更新がされます。オフライン環境の場合は、アクティベーションキーを入力する画面が表示されます。事前にアクティベーションキーを用意して更新してください。

{width=“2.5284722222222222in” height=“1.9715277777777778in”}

オンラインでアップデートをする

ThirdEyeをインターネット経由でアップデートをすることができます。ソフトウェアアップデートは、ソフトウェアバージョンのオンラインアップデートに関する設定です。ソフトウェアアップデート設定は、インターネットに接続できる環境でのみ機能します。

{width=“3.543307086614173in” height=“2.859145888013998in”}

リビジョンを確認する

現在使用しているリビジョンを確認するには、ヘルプメニューの［バージョン情報］から確認します。

{width=“2.462247375328084in” height=“3.527781058617673in”}

また、仮想マシンのコンソールからも確認することができます。

{width=“4.160416666666666in” height=“3.292361111111111in”}

プロキシサーバを使用する

プロキシサーバ経由でソフトウェアアップデートやライセンス更新をオンラインで利用する場合、プロキシサーバの情報を設定します。

グローバルメニューの［設定］をクリックします。

{width=“3.6319444444444446in” height=“1.3958333333333333in”}

［Webプロキシ］をクリックし、プロキシサーバの情報を入力します。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

±-----------±--------------------------------------------------------+ | 項目 | 説明 | +============+=========================================================+ | プロ | プロキシ | | キシタイプ | サーバのタイプを次の中から選択します。（初期値：なし） | | | | | | 「なし」、「Web | | | プロキシ」、「SOCKS4プロキシ」、「セキュアWebプロキシ」 | ±-----------±--------------------------------------------------------+ | ホスト | プロキシとして | | | 使用するサーバのIPアドレスまたはホスト名を指定します。 | ±-----------±--------------------------------------------------------+ | ポート | プロ | | | キシサーバ上のポート番号を指定します。（初期値：8080） | ±-----------±--------------------------------------------------------+ | Realm | プロキシの認証レルムを指定しま | | | す。レルムが必要ない場合は、値を指定しないでください。 | ±-----------±--------------------------------------------------------+ | ユーザ名 | プロキシサーバに送信するユーザ名を指定します。 | ±-----------±--------------------------------------------------------+ | パスワード | プロキシサーバに送信するパスワードを指定します。 | ±-----------±--------------------------------------------------------+

Zero-Touch (オプション)

Zero-Touchは、物理的に離れたネットワーク上のデバイスにコンフィギュレーションを効率的に配布するための機能です。この機能はCisco Plug and Play (PnP) やCisco Networking Services (CNS) の技術を基盤としており、それに対応したデバイスでのみ使用できます。

Zero-Touchのコンフィグ配布形式

Zero-Touchは以下の3つの形式でコンフィグを配布できます。

形式説明

テンプレートテンプレートを基にコンフィグを配布します。主に、リモートオフィスに新規デバイスを導入する際に使用します。

セルフリカバリ異常なコンフィグが適用され、動作しなくなったデバイスをリセットするのに利用します。

特定デバイスの復元故障したデバイスを同じモデルの新しいデバイスに置き換える際に、既存の設定を転送します。

ThirdEye Zero-Touchは、以下のプロトコルを使用してコンフィギュレーションを配布します。そのため、ファイアウォール設定を適切に構成する必要があります。

PnPを使用する場合

下図に示すように、DHCPを用いてデバイスにIPアドレスを割り当てた後、ThirdEyeサーバが処理を実行します。図では説明を簡潔にするため、DHCPサーバとThirdEyeサーバが分かれているように示していますが、実際には1台のコンピュータ上で実行されます。

{width=“3.3464566929133857in” height=“2.409448818897638in”}

CNSを使用する場合

下図に示すように、DHCPでIPアドレスを取得した後、TFTPでブートファイルを取得して処理を進めます。

{width=“3.3464566929133857in” height=“3.5729910323709535in”}

Zero-Touchの利用条件

Zero-Touchを利用するには、以下の条件を満たしている必要があります。ご使用前にご確認ください。

対象デバイスのIOSのバージョンが対応していること。
PnP: IOS 15.2(2)以降
CNS: IOS 12.2 以降
デバイスに startup-config が存在しないこと。
DHCPサーバでIPアドレスを割り当てた後、デバイスとThirdEyeサーバ間で通信が可能であること。

Zero-Touchタイプの選択

Zero-Touchのタイプには、「Plug and Play」と「Cisco CNS」の2種類があります。同時に使用することはできません。［設定］→［Zero-Touch配布］から、PnPタイプを選択してください。

{width=“3.2307622484689413in” height=“2.4015748031496065in”}

DHCPサーバ

ThirdEyeのDHCPサーバを使用する

[設定] → [Zero-Touch配布]を開き、「DHCPサーバを有効にする」にチェックを入れます。

{width=“3.3610236220472443in” height=“2.698225065616798in”}

［＋(追加)］をクリックまたはDefaultアドレスプールを編集します。
必要な情報を入力し、OKボタンをクリックします。

{width=“3.1496062992125986in” height=“1.9791393263342083in”}

項目説明

プール名作成するDHCPプールの名前を入力

リレーサーバCIDR DHCPリレーサーバの存在するIP範囲を入力

アドレス範囲配布するIPアドレス範囲を入力 (必須)

サブネットマスクサブネットマスクを入力 (必須)

デフォルトゲートウェイデバイスのデフォルトゲートウェイを指定

DNSサーバ(オプション) デバイスからサーバの名前解決するためのDNSサーバを指定

［OK］をクリックします。

外部のDHCPサーバを使用する

ThirdEye以外のDHCPサーバを使用する場合、以下のオプションを設定する必要があります。PnPタイプに応じて設定内容が異なります。

±---------±-------±------------------------------------------------+ | P | オプ | 説明 | | nPタイプ | ション | | +==========+========+=================================================+ | Plug and | 43 | 43では、ベンター固有の情報を追加することがで | | Play | | きます。以下の図はWindowsのDHCPサーバの設定例で | | | | す。ASCII欄に情報を「;」で区切って入力します。 | | | | | | | | | | | | | | | | | | | | | ±---------±-------±------------------------------------------------+ | CNS | 150 | CNSでは | | | または | 、TFTPを使用してブートファイルを送信します。そ | | | | のため、DHCPでIPを付与する際にTFTPサーバの情報 | | | 6と66 | も渡す必要があります。150ではTFTPサーバのIPアド | | | | レスを渡します。66ではTFTPサーバの名前を、6では | | | | DNSサーバのIPアドレスを渡します。 | ±---------±-------±------------------------------------------------+

同一ネットワーク外のDHCPサーバを使用する

DHCPサーバとデバイスが異なるネットワークにある場合は、DHCPリレーを設定し、デバイスからのDHCPリクエストがサーバに届くようにしてください。

{width=“4.479166666666667in” height=“1.7530172790901137in”}

コンフィギュレーションの配布

テンプレート

テンプレートの作成

大規模ネットワークでは、ほぼ同一の設定内容を持つデバイスが複数存在することがあります。IPアドレスやホスト名、DNS、syslogサーバのアドレスなど、一部の項目が異なるだけの場合が多いです。このような状況に対応するために、Zero-Touchでは「テンプレート」機能を活用することで、設定作業の効率化と自動化が実現できます。テンプレートの基本的な概念については「7.10バルクチェンジの概要 Suite」で解説していますので、未読の場合は参照してください。

テンプレートを作成する手順は以下の通りです。

[Zero-Touch] → [テンプレート] に移動し、{width=“0.24606299212598426in” height=“0.1968503937007874in”}をクリックします。

{width=“3.9673490813648296in” height=“2.93165791776028in”}

テンプレートタイプに「ダイナミックテンプレート」を選択します。
テンプレート名フィールドに名前を入力し、任意で説明を追加します。
OKボタンをクリックします。

{width=“3.0194608486439196in” height=“1.1264916885389327in”}

画面右側に表示されるテキストエリアに、元となるコンフィギュレーションを入力します。

既存デバイスの設定（例: startup-config）をコピーして貼り付けると効率的です。

必要に応じて、コンフィギュレーションの一部を変数に置き換えます。
テキストエリア右上の［保存］ボタンをクリックして、テンプレートを保存します。

{width=“6.299212598425197in” height=“1.9771489501312336in”}

デバイスの登録

テンプレートの準備が完了したら、次にコンフィグを適用するデバイスを登録します。対象デバイスごとのテンプレート変数の値を設定する必要もあります。

まず、メインペインをコンフィギュレーションサブタブに移動してください。そこで、Zero-Touchデバイスコンフィギュレーションのを押してください。

{width=“3.120877077865267in” height=“3.4645669291338583in”}

テンプレート変数の値を外部からインポート

テンプレート変数の値を、外部で作成したExcelファイルからインポートすることができます。以下の手順に従ってください。

代替値の入力画面で、［閉じる］ボタンをクリックします。
{width=“0.22847222222222222in” height=“0.20972222222222223in”} ボタンをクリックし、サブメニューを表示します。
メニューから「テンプレートをインポート」を選択します。

{width=“3.1496062992125986in” height=“4.641888670166229in”}

項目説明

テンプレートをインポート変数値を含むExcelファイルを読み込み、登録します。

インポート用ファイルをエクスポート変数値を追記可能な空のExcelシートを出力します。

テンプレートをエクスポート現在の変数値を反映したExcelシートを出力します。

Zero-Touchセルフリカバリ

Zero-Touchでは、新しいコンフィギュレーションを送信する代わりに、ThirdEye内部に保存されている過去のコンフィギュレーションを送信することができます。この機能は、たとえば現在稼働中のデバイスのコンフィギュレーションが誤って消去された場合に有効です。コンフィギュレーションが失われたデバイスは応答しなくなるため、Zero-Touchのような特別な機能を使わないと復旧できません。

この手順は、テンプレートを使用したZero-Touch操作と多くの点で共通しています。

メインペインの「コンフィギュレーション」サブタブに移動し、［+］をクリックします。

{width=“4.330708661417323in” height=“3.4565594925634295in”}

デバイスコンフィギュレーションダイアログで必要な情報を入力後、「配布タイプ」の項目で「セルフリカバリオプション」を選択し、［OK］ボタンをクリックします。

{width=“3.1496062992125986in” height=“1.0451607611548557in”}

その後、ThirdEye内に保存されたコンフィギュレーションデータがデバイスに書き戻されます。その他、テンプレート配信モードと異なる点はありません。

Zero-Touch 特定デバイスの復元

この機能は、古いデバイスを新しいデバイスで入れ替える場合に用います。この機能のおかげで、デバイスが壊れて正常に動かなくなった時でも、新しいデバイスを同じ位置に接続して復旧できます。このモードでZero-Touchを実行すると、それまで使っていた古いデバイスのコンフィグが新しいデバイスに書かれます。

この機能は、デバイスが遠く離れた位置にあって(別のデータセンターなど)、かつ現地に操作を担当できるものがおらず、直接手で操作することができない時に極めて有効です。Zero-Touchを用いれば、現地のデータセンターの人間にケーブルを挿し込むよう電話で指示できればよく、現地の人間に特殊技能は求められません。その後のデバイス復元などの操作が、現地でではなくネットワーク経由で行われるからです。

セルフリカバリと同様、特定デバイスの復元機能はZero-Touchテンプレート機能とほぼ同様の操作で行うことができます。

height=“0.18263888888888888in”}まず初めに、メインペインのコンフィギュレーションサブタブを開き、その中に表示されているを押してください。

{width=“4.724409448818897in” height=“3.7670395888013997in”}

Zero-Touchデバイスコンフィギュレーションダイアログ内で、必要な情報を入力します。配布タイプに、特定デバイスの復元機能を選択してください。完了後、OKボタンを押してください。

{width=“3.1496062992125986in” height=“1.2810761154855643in”}

ここには、リカバリデバイスIDという追加のフィールドがあります。リカバリデバイスIDは一つ目の欄と同じくデバイスIDを指定しますが、この項目には、入れ替え前の古い機器のIDを入力します。

その後、ThirdEyeにある、古いデバイス用のコンフィギュレーション情報が、ネットワーク経由で新しいデバイスにアップロードされます。その他の操作方法はZero-Touchテンプレートの操作方法と同じです。

新規導入デバイスを扱う際の注意

ThirdEye Zero-Touchを用いてコンフィギュレーションをアップロードする際、もしそのデバイスの電源を入れるのが購入してから初めてである場合には、そのデバイスにはstartup-configが存在しないようにする必要があります。そのようにするためには、ベンダーへのデバイスの発注時に適切な注文オプションを指定してください(例:CCP-CD-NOCF, CCP-EXPRESS-NOCFオプションなど。)

3GネットワークあるいはVPN付きモバイルルータ経由での配布

ThirdEyeは、コンフィギュレーションを3Gネットワーク経由で配布することができます。

{width=“4.333333333333333in” height=“1.2083333333333333in”}

あるデバイスにコンフィグを配布しないといけないとして、そのデバイスが配置される予定のネットワークで、いくつかのサービスが利用不可である場合を考えてみてください。たとえば、対象のネットワークではインターネットへのアクセスが遮断されているかもしれません。これは、セキュリティを重視しているネットワークでは容易に想像できることです。

遮断は、物理的に接続が無いことが理由のこともあれば、注意深く設定された強力なファイアウォールが稼動しているからかもしれません。デバイスコンフィグの配布のために一時的にファイアウォールを変更するという回答は正しいでしょうか? セキュリティについて厳格であれば、それが極めてリスクを伴うことだという事はお気づきでしょう。

利用不可であるサービスはインターネットに限りません。DNSやDHCPサービスが利用不可なネットワークもありえます。すべてが静的なIPテーブルで動いているネットワークでは、メンテナンス用のターミナルデバイスを挿入する余地すらないかもしれません。

このような問題が起こるのは、主にその対象ネットワークがあなた自身のものでない時です。たとえば、仮に御社がネットワークのメンテナンス事業を受けおっており、対象ネットワークがあなたの顧客のネットワークである場合です。そのような場合は、3G接続をうまく活用することができます。なぜなら、3Gの無線ネットワークを用いてインターネットに接続すれば、対象ネットワークを一切利用することなくデバイスとThirdEyeを接続できるからです。

3Gを用いる他の大きな利点としては、次のようなものが挙げられます。

3G回線からインターネットに接続するためには PPPoEを設定する必要がありません。

3Gモバイルルータは再利用できるので、対象ネットワークのあるデータセンターごとに常時準備しておく必要のあるモバイルルータは極少数です。そのため、必要経費は限定的です。

以下の説明では、3Gベースのコンフィグ配布方法について簡単に説明します。

Zero-Touchタブにて、Ciscoデバイスにコンフィグを配布するのに必要な設定をあらかじめすべて行なっておきます。つまり、テンプレートを作り、デバイスIDを登録することが含まれます。

モバイルルータの電源を入れ、データセンターへのVPN接続を有効にします。

新たなCisco製デバイスをモバイルルータに接続します。

ThirdEye がデバイスからのリクエストを自動的に受け取り、コンフィギュレーションを3Gネットワーク経由で送信します。

配布が終了したあと、電話などで対象ネットワークの近くにいる管理要員に指示し、デバイスにネットワークケーブルを差し込みます。そうすれば、デバイスはデータセンターのネットワークに正しく接続されます。

デバイスを手元で設定してから遠隔地に送付する場合

デバイスを遠隔地に送付するもうひとつの方法は、デバイスを手元で設定してから遠隔地に宅配便で送付する方法です。

{width=“4.333333333333333in” height=“2.6875in”}

ただ単純に、Zero-Touchを用いて手元でデバイスにコンフィグを書き込み、その後デバイスを遠隔地に送付します。この手法の良い点は極めてシンプルでわかりやすいことですが、悪い点は、デバイスを一旦手元に取り寄せるための手間と経費がかかってしまうことです。デバイスを製造元から直接遠隔地に送る必要がある場合には、この手法を使うことはできません。

ブートストラップコードの配布

DHCPの利用が不可能なネットワークでのコンフィギュレーション配布には、ブートストラップコードを予め送付しておく必要があります。下に示すものは、ThirdEye Zero-Touchのためのブートストラップ例です。<IP>の部分を、実際のThirdEyeサーバのIPアドレスに読み替えてください。

cns id hardware-serial

cns connect cns-profile ping-interval 10 retries 3 sleep 5 discover interface FastEthernet template cns-profile

cns template connect cns-profile

cli description Basic CNS Initial Template

cli ip address dhcp

cli ip route 0.0.0.0 0.0.0.0 ${interface}

cli no shutdown

exit

cns config initial <IP> status http://<IP>/cns/config。asp

end

冗長機能

概要

リビジョン20241218.0941より、冗長機能がサポートされました。冗長機能では、「Standalone」と「Standby」という２つの役割を使用します。Standaloneでは、通常どおり監視や設定を行います。Standbyは、Standaloneからのトランザクションログ（以後、WAL）を受信し、それをリカバリすることで同期を行います。

{width=“4.9600929571303585in” height=“1.5857556867891514in”}

Standaloneは冗長構成において「プライマリサーバ」と呼ばれます。
OSイメージファイルや添付されたファイル、マップのアイコンなどのファイルは120秒間隔でスタンバイサーバに同期されます

利用条件

冗長機能は、eth1を使用してデータを同期します。SSHを使用するため、プライマリサーバとスタンバイサーバ間にファイアウォールがある場合は、スタンバイサーバからプライマリサーバへのSSH通信を許可してください。また、両サーバのCPUコア数、メモリ容量、ディスクサイズは同一である必要があります。

制限される機能

冗長機能には以下の制限があります。これらの機能はサポートされていませんので、ご注意ください。

スマートブリッジとの同時使用
AWSやAzureなどのクラウド環境での使用
プライマリサーバで受信したSyslogデータの引き継ぎ
プライマリサーバで取得したシステムバックアップファイルの引き継ぎ
OVAコンソールで設定する内容の引き継ぎ

設定

冗長構成の設定は、OVAコンソールを使用して行います。この設定を実施するためには、VMwareやWindows Hyper-Vを操作できる権限を持つユーザが必要です。

手順

設定を行う前に、プライマリサーバとスタンバイサーバのeth1インタフェースにIPアドレスを設定し、eth1間で通信可能な状態にしておいてください。

プライマリサーバのOVAコンソールに接続します。
キーボードの[3](SSH Server)->[1](Enable SSH Server)->[2](Bind to interface eth1)と押下し、eth1に対してSSHを有効にします。

SSH ServerがRunningになっていることを確認します。

スタンバイサーバのOVAコンソールに接続します。
キーボードの[5](Admin Tools)->[7](Setup replication)->[1](Setup SSH host authentication)と押下し、プライマリサーバのSSHホスト認証設定をします。

プライマリサーバのeth1のIPアドレスを入力します。

プライマリサーバへSSHする時のパスワードを入力します。

Enterキーなど何かキーを押下します。

キーボードの[5]( Admin Tools)->[7](Setup replication)->[2](Toggle standby mode)と押下し、スタンバイサーバをサーバの役割をStandaloneからStandbyに変更します。

「y」を押下します。

{width=“3.9368055555555554in” height=“1.908753280839895in”}

設定は以上です。「y」を押下すると、自動でスタンバイサーバが再起動されます。

ステータスの確認

冗長機能のステータスは、OVAコンソールから確認することができます。

プライマリサーバのOVAコンソールに接続します。
キーボードの[5](Admin Tools)->[7](Setup replication)->[3](Monitor replication status)と押下し、ステータスを確認します。

ステータスが表示されると自動で更新されていきます。ステータス画面を閉じるには、ctrl+cを押してください。

冗長構成が設定されると、まずはバックアップフェーズが開始されます。バックアップフェーズでは、初期データがプライマリサーバからスタンバイサーバにコピーされます。

バックアップフェーズが完了すると、データストリーミングが開始されます。開始されると、以下のような画面が表示されます。設定後は、"Replication state: streaming"が表示されることを確認します。

再設定が必要ケース

以下のケースでは、再度冗長機能の設定が必要です。

プライマリサーバでシステムバックアップを復元した場合
フェイルオーバー後、元の状態に戻す場合

フェイルオーバー

手動フェイルオーバー

スタンバイサーバで監視を行う場合には、役割をStandbyからStandaloneに変更します。変更手順は以下のとおりです。

スタンバイサーバのOVAコンソールに接続します。
キーボードの[5]( Admin Tools)->[7](Setup replication)->[2](Toggle standby mode)と押下し、スタンバイサーバをサーバの役割をStandbyからStandaloneに変更します。

{width=“3.936715879265092in” height=“1.8657097550306212in”}

「y」を押下します。

{width=“3.9365234033245846in” height=“2.406473097112861in”}

「y」を押下すると、自動でスタンバイサーバが再起動されます。再起動後、Webブラウザからログインしてください。

自動フェイルオーバー

自動フェイルオーバーを有効に設定すると、プライマリサーバとスタンバイサーバ間で60秒以上の意図しない通信断が発生した場合、スタンバイサーバが自動で役割をStandbyからStandaloneに変更し、監視を引き継ぎます。ユーザがプライマリサーバを再起動/シャットダウンした場合、または60秒以内の再接続に成功した場合、切り替わりは行われません。

デフォルトでは、自動フェイルオーバーは無効に設定されています。プライマリサーバに障害が発生した場合に、スタンバイサーバが自動的に監視を引き継ぐようにするには、次の手順に従って自動フェイルオーバーを有効に設定します。

スタンバイサーバのOVAコンソールに接続します。
キーボードの[5](Admin Tools)->[7](Setup replication)->[4](Toggle auto failover)と押下し、自動フェイルオーバーを有効にします。

{width=“3.936362642169729in” height=“1.844012467191601in”}

[4]を押下後、自動で最初の画面に戻ります。再度、[5](Admin Tools)->[7](Setup replication)と進み、Toggle auto failoverのcurrentが「enabled」になっていることを確認します。

{width=“3.9363681102362205in” height=“1.8574945319335083in”}

システムバックアップ／復元

システムバックアップとは、ThirdEye全体をバックアップするものです。各種設定やモニターデータ（ポーリング、SNMPトラップなど）をバックアップ／復元することができます。システムバックアップは、［設定］→［システムバックアップ］から実行します。

自動でシステムバックアップを実行する

自動でシステムバックアップを実行する設定は、デフォルトで無効になっています。有効にする場合は、自動でシステムバックアップを実行する時間を変更する場合には、以下の赤枠の内容を変更します。

{width=“3.9340277777777777in” height=“3.216666666666667in”}

項目説明

日次システムバックアップを有効にする日次システムバックアップを有効に設定します。この設定が有効になっている場合、指定された時間にシステムバックアップが実行されます。（初期値：有効）

日次システムバックアップを次の時間に実行する日次システムバックアップの実行時間を指定します。（初期値：7:00）

手動でシステムバックアップを実行する

設定変更などで、システムバックアップを実行する場合には、［システムバックアップを実行］をクリックします。

{width=“3.9340277777777777in” height=“3.216666666666667in”}

バックアップ実行中は、ボタンがグレーアウトされます。グレーアウトが解除され、最新のシステムバックアップ日時が更新されれば完了です。

システムバックアップの保有数を変更する

システムバックアップを保持する世代数をリストから選択します。リビジョン20240131.0749以降では、ローカルに保存されるシステムバックアップの数は「1」に制限されます。

システムバックアップを外部サーバに保存する場合、［保持するシステムバックアップの数］のデフォルト値は「7」です。この場合、7世代分のシステムバックアップがファイルとして保持され、保持数を超えた古いデータは削除されます。

動作環境にもよりますが、運用期間が長くなるにつれて蓄積されるデータが増加し、システムバックアップ自体のファイルサイズが大きくなる傾向にあります。そのため、保持するシステムバックアップの数が多い場合、システムバックアップがディスク容量を圧迫する可能性があります。保持するシステムバックアップの世代数を減らすことで、ディスク使用量を抑えることができます。

{width=“3.9340277777777777in” height=“3.263888888888889in”}

外部ストレージに保存する

デフォルトでは、システムバックアップファイルは仮想アプライアンス内部に保存されますが、外部ストレージを設定することで仮想アプライアンスの外部に自動的に保存することができます。対応プロトコルはNFS/SMBです。

外部ストレージを設定するには、次の操作を行います。

キーボードの「5」キーを押し、「Admin Tools」を選択します。

{width=“4.062864173228347in” height=“3.188976377952756in”}

キーボードの「4」キーを押し、「Configure a remote filesystem for backups」を選択します。

{width=“3.543307086614173in” height=“1.1734251968503937in”}

サーバの種類を選択します。

{width=“3.543307086614173in” height=“0.8796391076115485in”}

必要な情報を入力し、「Enter」キーを押します。

{width=“3.616111111111111in” height=“1.1023622047244095in”}

±----------------------------±---------------------------------------+ | 項目 | 説明 | +=============================+========================================+ | Remote NFS/SMB path | ネットワークパス/IPアドレス | ±----------------------------±---------------------------------------+ | Username | サーバに設定しているユーザ名 | | | | | | ※SMBの場合のみ | ±----------------------------±---------------------------------------+ | Password | サーバに設定しているパスワード | | | | | | ※SMBの場合のみ | ±----------------------------±---------------------------------------+

以下を選択します。

{width=“3.580002187226597in” height=“2.1653543307086616in”}

項目説明

[1] Copy existing backups to the NFS/SMB and 既存のバックアップをNFS/SMBにコピーしてから削除する delete

[2] Delete existing backups 既存のバックアップを削除する

以上でコンソール画面の設定は完了です。

ThirdEyeの自動再起動後、コンソール画面で設定内容を確認できます。

{width=“4.310615704286964in” height=“3.3858267716535435in”}

システムバックアップをZIPファイルにする

システムバックアップを外部ストレージに保存している場合は、手動でZIPファイルを作成する必要があります。

バックアップフォルダを開きます。フォルダ名は「backup_YYYY
MM
DD」の形式になっています。
次の3つのファイル/フォルダを1つのZIPファイルにまとめます。

pgsql（フォルダ）
complete（ファイル）
version.txt（ファイル）

システムバックアップを復元する

復元を行うには、バックアップ元とリストア先のバージョン（リビジョン）が同一である必要があります。

バージョンの確認方法については、「7.24リビジョンを確認する」を参照してください。

Administrator権限を持つユーザでログインします。
［設定］をクリックします。

{width=“2.6285804899387575in” height=“1.1811023622047243in”}

［システムバックアップ］から［システムバックアップを復元］をクリックします。

{width=“3.9340277777777777in” height=“3.216666666666667in”}

復元するファイルを選択し、［開く］をクリックします。

{width=“3.5375in” height=“2.48125in”}

警告メッセージが表示された場合は、内容を確認し、［はい］をクリックします。

{width=“3.9340277777777777in” height=“3.1979166666666665in”}

ファイルがアップロードされ、復元処理が自動的に開始されます。

{width=“3.9340277777777777in” height=“3.207638888888889in”}

以上で操作は完了です。アップロード後、サービスが自動的に再起動し、ログイン画面が表示されます。

再起動／シャットダウン

再起動およびシャットダウンは、仮想マシンコンソール上でキーボードを使って操作します。

{width=“4.016583552055993in” height=“3.0708661417322833in”}

再起動する場合は、キーボードの「6」キーを押し［Reboot］を選択します。

シャットダウンする場合は、キーボードの「7」キーを押し［Power Off］を選択します。

メニュー選択後、確認メッセージが表示されるので、キーボードの「Y」キーを押し実行します。

【再起動】

【シャットダウン】

アンインストール

アンインストールする

ThirdEyeをシャットダウンします。
シャットダウン完了後、仮想のホストOSからThirdEyeの仮想マシンを削除します。

VMware ESXi 6.5での削除画面（例）

{width=“3.9340277777777777in” height=“2.783333333333333in”}

Windows Hyper-Vでの削除画面（例）

{width=“4.329861111111111in” height=“2.1527777777777777in”}

以上でThirdEyeのアンインストールは完了です。

お問い合わせ

ThirdEyeの操作中に問題や疑問が生じた場合は、下記の弊社サポートまでお問い合わせください。

お問い合わせの前に、あらかじめ下記の必要事項をご確認ください。

【必須事項】

製品名
製品のバージョン情報（リビジョンを含む）
製品のシリアル番号（ThirdEyeのライセンス情報）
具体的な症状や疑問点（スクリーンショットをお送りいただけると、情報共有を円滑に行うことができ、問題の解決に役立つことがあります。）

■お問い合わせ先■

株式会社ロジックベイン　サポート窓口
電話：044-871-4010
メール：support@lvi.co.jp
受付時間：平日 9:00～12:00／13:00～17:00 （※土・日・祝日および弊社休業日を除く）

巻末資料

ICMPポーリングについて

ThirdEyeのICMPモニターは、「インターバル」、「ICMP送信回数」、「リトライ」の設定で構成されています。各項目の説明を以下に示します。

{width=“5.729166666666667in” height=“1.6172484689413824in”}

動作イメージ①

【設定例①】

項目設定値

インターバル 30秒

ICMP送信回数 1回送信

リトライ自動リトライ

【説明①】

インターバルを30秒に設定すると、30秒のあいだにPing（ここでは1回）、リトライが5回実行されます。リトライ間隔は、モニターのポーリング間隔に基づいて動的に平均化され、ここでは5.2秒となっています。

動作イメージ②

【設定内容②】

項目設定値

インターバル 5分（300秒）

ICMP送信回数 2回送信

リトライ自動リトライ

【説明②】

ICMP送信回数が「2回送信」の場合、Pingを2回送信した後、リトライが5回実行されます。

リトライ間隔は、モニターのポーリング間隔に基づいて動的に平均化されますが、最大25秒であるため、インターバルが長いと上図のように実行されます。

■アラート発生までの所要時間

理論値：30秒 (2+5.2*5+2)

※インターバルを30秒に設定した場合

また、ThirdEyeには、アラートを発生させるトリガーとして、「無応答検知」と「期間」があります。

無応答検知トリガーでは、「カウント」と「期間」を使用して、「一定期間内に、Ｎ回応答がない」場合にアラートを発生させることができます。

[サンプル画像]

※上記の場合は、3分以内に2回応答がない場合にアラートを発生させます。

しきい値判定トリガーでは、無応答検知トリガーの「カウント」と「期間」に加え、「条件」を使用することができます。「条件」にはPing応答のパケットのラウンドトリップタイム（RTT）と、パケットロスのパーセントを使用することができます。この条件を併用することにより、例えば監視対象からのPing応答が返って来てもRTTがユーザの期待する水準に達していないのでNGと判定しアラートを発生させるといった監視が可能となります。

[サンプル画像]

スマートブリッジ (オプション)

ThirdEyeは、スマートブリッジとコアサーバ間の接続に、以下の2つのモードをサポートしています。

ブリッジ→サーバ モード
サーバ→ブリッジ モード

いずれのモードでも、通信はHTTPSを使用して行われるため、通信内容はすべて暗号化されます。

ブリッジ→サーバモード（デフォルト）

このモードでは、スマートブリッジ側からコアサーバへ接続を開始します。コアサーバがスマートブリッジに対して接続を開始することはありません。

スマートブリッジは、社内ネットワークの外、あるいはパブリックネットワーク上に設置されることが多く、多くの場合ファイアウォールの内側にあります。セキュリティ上の理由から、外部からの着信接続を許可することに慎重な組織も多いため、このモードではスマートブリッジ側のファイアウォールに穴を開ける必要がありません（HTTPSのアウトバウンド通信が可能であれば動作します）。ファイアウォール管理者による設定変更は不要です。

サーバ→ブリッジモード

このモードは、コアサーバがスマートブリッジに対して接続を開始する構成であり、主にファイアウォールのない社内ネットワーク（LAN/WAN）での利用に適しています。スマートブリッジはコアサーバに対して接続を開始しません。

なお、コアサーバとスマートブリッジの間にファイアウォールが存在する場合は、コアサーバからの着信接続（HTTPS）を許可する設定が必要です。

トークン

スマートブリッジをコアサーバに登録すると、ユニークなトークン（接続トークン）が自動的に生成されます。

ブリッジ→サーバモードでは、スマートブリッジがこのトークンを提示しない限り、コアサーバは接続を受け付けません。これにより、不正な接続を防止できます。

サーバ→ブリッジモードでも、トークンなしで接続することは可能ですが、セキュリティ上の観点から、トークンの使用を強く推奨します。

スマートブリッジのインストール

スマートブリッジのインストール手順は、コアサーバのインストール手順とほぼ同一です。異なるのは使用するファイル名のみです。

【例】：

コアサーバ： lvi-core-2024.03.0-202406180814-appliance.ova
スマートブリッジ： lvi-bridge-2024.03.0-202406180814-appliance.ova

インストール手順は「2インストール」を、ネットワーク設定については「2.2ネットワークを設定する」を参照してください。

スマートブリッジをコアサーバに登録する

スマートブリッジをコアサーバに登録すると、接続トークンが自動的に生成されます。

Administrator権限でコアサーバにログインし、［設定］をクリックします。
左側のメニューから［スマートブリッジ］を選択し、［＋］をクリックします。
スマートブリッジの名前を入力します。
接続モードを選択します。「サーバ→ブリッジ」を選択した場合は、スマートブリッジのIPアドレスとポート番号も入力します。
［OK］をクリックします。
登録後、スマートブリッジ一覧の下に表示される「トークン」をコピーします。
［OK］をクリックします。

登録が完了したら、スマートブリッジ側にコアサーバ情報とトークンを設定します。

スマートブリッジ側の設定

スマートブリッジにはWebコンソールがありません。OVAコンソールを使って設定を行います。

コンソール画面でキーボードの「4」を押し、「SmartBridge Direction」を選択します。
以下の情報をキーボードで入力し、「Enter」で確定します。

±-----------------------±----------------------------------±--------+ | 項目 | 説明 | 入力例 | +========================+===================================+=========+ | Bridge initiated or | 接続方向 | B | | server initiated | | | | | B：Bridge→Server（トークン使用） | S | | | | | | | S：Server→Bridge（トークン使用） | A | | | | | | | A | | | | ：Server→Bridge（トークン未使用） | | ±-----------------------±----------------------------------±--------+ | Hostname or IP address | コアサーバのIPアドレス | 192. | | | | 168.0.1 | ±-----------------------±----------------------------------±--------+ | Port | コアサーバのHTTPSポート | 443 | ±-----------------------±----------------------------------±--------+ | SmartBridge | スマートブリッ | （貼り | | authentication token | ジ登録時に生成された接続トークン | 付け） | ±-----------------------±----------------------------------±--------+

設定完了後、サービスは自動的に再起動し、初期画面に戻ります。

スマートブリッジ経由でのデバイス管理

スマートブリッジ経由でデバイスを管理するには、「ネットワーク」機能を使用します。対象のデバイスが含まれるネットワークにスマートブリッジを割り当てることで、そのスマートブリッジ経由での監視・管理が可能になります。

［設定］をクリックします。
左側メニューから［ネットワーク］を選択し、［＋］をクリックします。
ネットワーク名を入力し、［ブリッジホスト］に割り当てるスマートブリッジを選択します。
［OK］をクリックして設定を保存します。

保存後、グローバルメニューのネットワーク選択ドロップダウンに、新しく追加されたネットワークが表示されます。そのネットワークを選択すると、［デバイス］タブのインベントリがそのネットワークに対応する内容に切り替わります。このネットワークに登録されたデバイスは、選択したスマートブリッジを通じて監視・管理されます。

マルチテナント環境における管理ネットワーク制限

管理ネットワークは、IPアドレス範囲や拠点などの条件に基づいて、デバイスを論理的に分類するための機能です。この仕組みは、1つのプラットフォームで複数の顧客を管理するMSP（マネージドサービスプロバイダ）に特に有効です。

マルチテナント環境では、MSPがすべての顧客ネットワークを一元的に可視化・管理しつつ、個々の顧客には自社ネットワークのみにアクセスを許可したいというケースがよくあります。

このような要件に対応するため、管理ネットワークへのアクセスをユーザ単位で制限することができます。ユーザにネットワーク制限を適用することで、他の顧客のネットワークやデバイスの閲覧・操作をできないようにし、データの分離とセキュリティを維持しながら、集中管理を実現できます。

この構成は、1つのプラットフォーム上で複数の顧客を安全かつ効率的に管理する必要がある組織に最適です。