Admiralコンソール🔗
Admiralコンソールは、展開済みのTaegis™ XDR Collectorにローカルでアクセスし、情報を取得することができます。Admiral内で提供されるツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングを支援します。
概要🔗
Admiralは、XDR Collectorのコンソールまたはシリアルポート経由で利用可能なテキストベースのコンソールアプリケーションです。管理者はAdmiralを使用してコレクターにコマンドを発行し、ホスト名、ネットワーク詳細、NTP構成などのデバイス情報を取得できます。また、診断コマンドを発行して、デバイスに影響を与える正常性や接続性の問題がないかを確認し、問題解決に役立つ詳細な結果を取得することも可能です。
Admiralへのアクセス🔗
XDR Collectorのコンソールまたはシリアルポート経由でAdmiralコンソールにアクセスします。各サポートプラットフォームでのAdmiralへのアクセス手順については、以下の該当セクションを参照してください。
VMware🔗
VMwareでは、コレクターのコンソールからAdmiralにアクセスします。VMware内で仮想マシンのコンソールにアクセスする方法はいくつかあり、お客様のセットアップによって異なります。コンソールへのアクセス手順については、公式のVMwareドキュメントを参照してください。
HyperV🔗
HyperVでは、仮想マシンのコンソールからAdmiralにアクセスします。以下の手順に従ってください。
- System Center Virtual Machine Manager(SCVMMまたはVMMとも呼ばれます)からコレクターの仮想マシンを見つけます。
- 仮想マシンを右クリックし、Connect or Viewを選択します。サブメニューが表示されます。
- Connect via Consoleを選択します。新しいウィンドウでコンソールが開きます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
AWS🔗
AWSでは、EC2シリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
注意
AWS管理者からEC2シリアルコンソールへのアクセス権限が付与されている必要があります。
- EC2でコレクターインスタンスを見つけ、インスタンスの概要を表示します。
- Actionsを選択し、Monitor and troubleshootを選択します。サブメニューが表示されます。
- サブメニューからEC2 serial consoleを選択します。EC2シリアルコンソール画面が表示されます。
- Connectを選択してインスタンスのシリアルコンソールに接続します。新しいウィンドウが開き、コンソールと対話できます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
Azure🔗
Azureでは、VMシリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
- Azureでコレクター仮想マシンを見つけ、概要を表示します。
- 仮想マシンのコンテキスト左メニューから、HelpヘッダーのSerial consoleを選択します。Azureがシリアルコンソールに接続し、画面右側に表示されます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
GCP🔗
GCPでは、シリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
注意
2023年4月以前にデプロイされたGCPコレクターでは、デフォルトでシリアルポートへのアクセスが無効になっている場合があります。シリアルコンソールへの接続ボタンがグレーアウトしていてアクセスできない場合は、公式のGCPドキュメントに従い、VMインスタンスのシリアルポートアクセスを有効にしてください。
- コレクター仮想マシンを見つけ、インスタンスの詳細を表示します。
- Detailsタブの上部で、Connect to serial consoleボタンを選択してシリアルポート1に接続します。新しいウィンドウが開き、シリアルコンソールが表示されます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
注意
シリアルコンソールへの接続ボタンがグレーアウトしている場合は、上記の注意事項を参照してアクセスを有効にしてください。
Admiralの使用方法🔗
基本的な使い方🔗
Admiralはテキストベースのコマンドラインアプリケーションです。Admiralを使用中は、入力内容に基づいてサジェストが表示され、Tabキーによる自動補完がサポートされています。
初めてAdmiralにアクセスすると、Admiralプロンプトが表示されます。これはコレクターのホスト名の後に>記号が続きます。コマンドを入力してAdmiralに実行させます。Admiralがサポートするコマンドを確認するには、helpコマンドを使用してください。現在サポートされているコマンドのリストと簡単な説明が出力されます。
サジェストと自動補完🔗
入力中、Admiralは入力内容に基づいてサジェストのリストを表示します。これらのサジェストには、helpコマンド使用時と同じく、各コマンドの簡単な説明が含まれます。サジェストを利用するには、Tabキーを押してAdmiralに自動補完させます。Tabキーを押した後は、上下の矢印キーでサジェストされたコマンドのリストをスクロールし、Enterキーで選択したコマンドを実行します。
すでに入力した内容を実行せずに新しい空行を取得したい場合は、Ctrl-Cを押してください。Admiralは新しいクリーンな行に移動し、すでに入力したコマンドを処理しません。
コマンド入力時、サジェストリストには上位のサジェストのみが表示され、Tabキーを押してからスクロールすることで完全なリストを確認できます。ただし、いつでも?キーを押すと、リストにタブで入らなくても、すべてのサジェストコマンドが表示されます。
注意
一部のコマンドには、run dns check with verbose outputのようにサジェストにのみ表示される追加の構文があります。
コマンドの種類🔗
Admiralのコマンドは2種類に分かれます。コレクターの状態情報を提供するshowコマンドと、アクションを実行するrunコマンドです。原則として、showコマンドはコレクターの状態を変更したりネットワークトラフィックを生成したりしませんが、runコマンドはコレクターの状態を更新したりネットワーク接続を作成したりするアクションを実行できます。
チェックコマンドと詳細出力🔗
runコマンドの中でも特別なものがcheckコマンドです。チェックは、コレクターがデータを収集するために必要な各種システムの状態をフィードバックするためのルーチンです。通常は、システムが正常に動作しているかどうかの非常にシンプルな出力を提供します。より詳細な情報が必要な場合は、チェックのverbose形式を使用して、トラブルシューティングに役立つ詳細な出力を取得できます。
例えば、run dns checkコマンドは、Taegis API FQDNのDNS解決が成功するかどうかのシンプルな出力を表示します。DNS解決プロセスの詳細な情報が必要な場合は、run dns check with verbose outputを使用してください。
コマンドとコマンドメニュー🔗
Admiralのコマンドはメニューに整理されています。directoryコマンドで利用可能なメニューのリストを表示できます。メニューに入るには、enterコマンドの後に入室したいメニュー名を入力します。メニューを終了するには、exitコマンドを使用します。
現在、メニューはdefaultとmaintenanceの2つがあります。defaultメニューには基本的なrunおよびshowコマンドが含まれています。maintenanceメニューには、Secureworksサポートと連携して特別なシナリオのトラブルシューティングに役立つコマンドが含まれています。別のメニューに入ると、プロンプトが変化し、どのメニューにいるかが分かりやすくなります。
デフォルトメニューで利用可能なコマンド🔗
以下の表は、defaultメニューでAdmiralで利用可能な各コマンドの詳細です。このメニューはAdmiral起動時に使用されます。このメニューを終了するとAdmiralも終了します。
| コマンド | 説明 |
|---|---|
| about | aboutダイアログを表示 |
| cancel shutdown | 保留中のシャットダウンまたは再起動をキャンセル |
| clear | 画面をクリア |
| directory | 利用可能なコマンドメニューのリストを表示 |
| enter | 別のコマンドメニューに入る |
| exit | リカバリーコンソールを終了 |
| help | 現在のコマンドメニューで利用可能なコマンドを表示 |
| run all checks | すべての利用可能なチェックを順に実行 |
| run dns check | DNSサーバーがSecureworks Taegis APIを解決できるかチェック |
| run e2e check | Secureworks Taegis APIへのアクセスを確認するエンドツーエンドチェック |
| run ntp check | NTPが同期できるかチェック |
| run ping check | このデバイスがデフォルトゲートウェイにpingできるかチェック |
| run reboot | 1分後にシステム再起動をスケジュール |
| run shutdown | 1分後にシステムの電源オフをスケジュール |
| run tunnel check | Secureworks Taegisへのトンネルが稼働しているか確認 |
| show arp | ARPテーブルを表示 |
| show cluster status | クラスタのステータスを表示 |
| show date | 現在の日付と時刻を表示 |
| show disk | 基本的なディスク情報を表示 |
| show management interface | 管理インターフェースを表示 |
| show memory | 現在のメモリ使用量(キロバイト単位)を表示 |
| show network | 稼働中のネットワーク構成を表示 |
| show ntp status | NTPに関連する情報を表示 |
| show routes | 管理インターフェースのルーティング情報を表示 |
| show system info | このコレクターの各種診断情報を表示 |
| show uptime | システムの稼働時間を表示 |
| show virtual memory | 数秒間の仮想メモリ使用量を表示 |
メンテナンスメニューで利用可能なコマンド🔗
以下の表は、maintenanceメニューでAdmiralで利用可能な各コマンドの詳細です。このメニューはmaintenanceメニューに入ったときに使用されます。このメニューを終了するとdefaultメニューに戻ります。
| コマンド | 説明 |
|---|---|
| clear | 画面をクリア |
| directory | 利用可能なコマンドメニューのリストを表示 |
| enter | 別のコマンドメニューに入る |
| exit | デフォルトコマンドメニューに戻る |
| help | 現在のコマンドメニューで利用可能なコマンドを表示 |
| restart cluster service | このノードのクラスタサービスを再起動 |
| restart management service | サポート接続用のトンネルおよび管理エージェントを再起動 |
| restart ntp service | NTPサーバーへの強制同期とNTPの再起動 |
| restart tunnel service | ノードとTaegis間のトンネルサービスを再起動 |