Admiralコンソール🔗
Admiralコンソールは、展開済みのTaegis™ XDR Collectorにローカルでアクセスし、情報を取得するためのものです。Admiral内で提供されるツールは、デバイスのセットアップやネットワーク接続などの一般的な問題のトラブルシューティングを支援します。
概要🔗
Admiralは、XDR Collectorのコンソールまたはシリアルポート経由で利用可能なテキストベースのコンソールアプリケーションです。管理者はAdmiralを使用してコレクターにコマンドを発行し、ホスト名、ネットワーク詳細、NTP構成などのデバイス情報を取得できます。また、診断コマンドを発行して、デバイスに影響を与える正常性や接続性の問題がないかを確認し、問題解決に役立つ詳細な結果を取得することも可能です。
Admiralへのアクセス🔗
XDR Collectorのコンソールまたはシリアルポート経由でAdmiralコンソールにアクセスします。各サポートプラットフォームでのAdmiralへのアクセス手順については、以下の該当セクションを参照してください。
VMware🔗
VMwareでは、コレクターのコンソールからAdmiralにアクセスします。VMware内で仮想マシンコンソールにアクセスする方法は、セットアップによって複数あります。コンソールへのアクセス手順については、公式のVMwareドキュメントを参照してください。
HyperV🔗
HyperVでは、仮想マシンコンソールからAdmiralにアクセスします。以下の手順に従ってください。
- System Center Virtual Machine Manager(SCVMMまたはVMMとも呼ばれる)からコレクターの仮想マシンを探します。
- 仮想マシンを右クリックし、Connect or Viewを選択します。サブメニューが表示されます。
- Connect via Consoleを選択します。新しいウィンドウでコンソールが開きます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
AWS🔗
AWSでは、EC2シリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
注意
AWS管理者からEC2シリアルコンソールへのアクセス権限が付与されている必要があります。
- EC2でコレクターインスタンスを探し、インスタンスの概要を表示します。
- Actionsを選択し、Monitor and troubleshootを選択します。サブメニューが表示されます。
- サブメニューからEC2 serial consoleを選択します。EC2シリアルコンソール画面が表示されます。
- Connectを選択してインスタンスのシリアルコンソールに接続します。新しいウィンドウが開き、コンソールと対話できます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
Azure🔗
Azureでは、VMシリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
- Azureでコレクター仮想マシンを探し、概要を表示します。
- 仮想マシンのコンテキスト左メニューから、Helpヘッダー内のSerial consoleを選択します。Azureがシリアルコンソールに接続し、画面右側に表示されます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
GCP🔗
GCPでは、シリアルコンソールからAdmiralにアクセスします。以下の手順に従ってください。
注意
2023年4月以前にデプロイされたGCPコレクターでは、デフォルトでシリアルポートへのアクセスが無効になっている場合があります。シリアルコンソールへの接続ボタンがグレーアウトしていてシリアルポートにアクセスできない場合は、公式のGCPドキュメントに従い、VMインスタンスのシリアルポートアクセスを有効にしてください。
- コレクター仮想マシンを探し、インスタンスの詳細を表示します。
- Detailsタブの上部で、Connect to serial consoleボタンを選択してシリアルポート1に接続します。新しいウィンドウが開き、シリアルコンソールが表示されます。画面が最初に空白の場合は、Enterキーを押してコンソールを表示してください。
注意
シリアルコンソールへの接続ボタンがグレーアウトしている場合は、上記の注意事項を参照してアクセスを有効にしてください。
Admiralの使用方法🔗
基本的な使い方🔗
Admiralはテキストベースのコマンドラインアプリケーションです。Admiral使用中は、入力内容に基づいたサジェストが表示され、Tabキーによる自動補完もサポートされています。
初めてAdmiralにアクセスすると、Admiralプロンプトが表示されます。これはコレクターのホスト名の後に>記号が続く形です。コマンドを入力してAdmiralに実行させます。コマンド一覧を確認するには、helpコマンドを使用してください。現在サポートされているコマンドのリストと簡単な説明が表示されます。
サジェストと自動補完🔗
入力中、Admiralは入力内容に基づいたサジェストリストを表示します。これらのサジェストには、helpコマンド使用時と同じ簡単なコマンド説明が含まれています。サジェストを利用するには、Tabキーを押してAdmiralに自動補完させます。Tabを押した後は、上下矢印キーでサジェストされたコマンド一覧をスクロールし、Enterで選択したコマンドを実行します。
既に入力した内容を実行せずに新しい空行を取得したい場合は、Ctrl-Cを押してください。Admiralは新しいクリーンな行に移動し、既に入力したコマンドの処理を試みません。
コマンド入力時、サジェストリストには上位のサジェストのみが表示され、Tabを押してからスクロールすることで完全なリストを確認できます。ただし、いつでも?キーを押すと、リストにタブで入ってスクロールすることなく、すべてのサジェストコマンドが表示されます。
注意
一部のコマンドには、run dns check with verbose outputのようにサジェストでのみ表示される追加の構文があります。
コマンドの種類🔗
Admiralのコマンドは2種類に分かれます。コレクターの状態情報を提供するshowコマンドと、アクションを実行するrunコマンドです。原則として、showコマンドはコレクターの状態を変更したりネットワークトラフィックを生成したりしませんが、runコマンドはコレクターの状態を更新したりネットワーク接続を作成したりするアクションを実行できます。
チェックコマンドと冗長出力🔗
runコマンドの中でも特別なものがcheckコマンドです。チェックは、コレクターがデータを収集するために必要な各種システムの状態をフィードバックするためのルーチンです。通常は、システムが正常に動作しているかどうかのシンプルな出力を提供しますが、より詳細な情報が必要な場合は、verbose形式のチェックを使用して、トラブルシューティングに役立つ詳細な出力を取得できます。
例えば、run dns checkコマンドは、Taegis APIのFQDNのDNS解決が成功するかどうかのシンプルな出力を表示します。DNS解決プロセスの詳細情報が必要な場合は、run dns check with verbose outputを使用してください。
コマンドとコマンドメニュー🔗
Admiralのコマンドはメニューに整理されています。directoryコマンドで利用可能なメニュー一覧を表示できます。メニューに入るには、enterコマンドの後に入室したいメニュー名を入力します。メニューから退出するには、exitコマンドを使用します。
現在、メニューはdefaultとmaintenanceの2つがあります。defaultメニューには基本的なrunおよびshowコマンドが含まれています。maintenanceメニューには、Secureworksサポートと連携する際の特別なシナリオで役立つコマンドが含まれています。別のメニューに入ると、プロンプトが変化し、どのメニューにいるかを把握しやすくなります。
デフォルトメニューで利用可能なコマンド🔗
以下の表は、defaultメニューでAdmiralから利用可能な各コマンドの詳細です。このメニューはAdmiral起動時に使用されます。このメニューから退出するとAdmiralも終了します。
| コマンド | 説明 |
|---|---|
| about | aboutダイアログを表示 |
| cancel shutdown | 保留中のシャットダウンまたは再起動をキャンセル |
| clear | 画面をクリア |
| directory | 利用可能なコマンドメニューの一覧を表示 |
| enter | 別のコマンドメニューに入る |
| exit | リカバリーコンソールを終了 |
| help | 現在のコマンドメニューで利用可能なコマンドを表示 |
| run all checks | すべての利用可能なチェックを順に実行 |
| run dns check | DNSサーバーがSecureworks Taegis APIを解決できるかチェック |
| run e2e check | Secureworks Taegis APIへのアクセスを確認するエンドツーエンドチェック |
| run ntp check | NTPが同期できるかチェック |
| run ping check | このデバイスがデフォルトゲートウェイにpingできるかチェック |
| run reboot | 1分後にシステム再起動をスケジュール |
| run shutdown | 1分後にシステム電源オフをスケジュール |
| run tunnel check | Secureworks Taegisへのトンネルが稼働しているか確認 |
| show arp | ARPテーブルを表示 |
| show cluster status | クラスタのステータスを表示 |
| show date | 現在の日付と時刻を表示 |
| show disk | 基本的なディスク情報を表示 |
| show management interface | 管理インターフェースを表示 |
| show memory | 現在のメモリ使用量(KB単位)を表示 |
| show network | 稼働中のネットワーク構成を表示 |
| show ntp status | NTPに関連する情報を表示 |
| show routes | 管理インターフェースのルーティング情報を表示 |
| show system info | このコレクターの各種診断情報を表示 |
| show uptime | システムの稼働時間を表示 |
| show virtual memory | 数秒間の仮想メモリ使用量を表示 |
メンテナンスメニューで利用可能なコマンド🔗
以下の表は、maintenanceメニューでAdmiralから利用可能な各コマンドの詳細です。このメニューはmaintenanceメニューに入ったときに使用されます。このメニューから退出するとdefaultメニューに戻ります。
| コマンド | 説明 |
|---|---|
| clear | 画面をクリア |
| directory | 利用可能なコマンドメニューの一覧を表示 |
| enter | 別のコマンドメニューに入る |
| exit | デフォルトコマンドメニューに戻る |
| help | 現在のコマンドメニューで利用可能なコマンドを表示 |
| restart cluster service | このノードのクラスタサービスを再起動 |
| restart management service | サポート接続用のトンネルおよび管理エージェントを再起動 |
| restart ntp service | NTPサーバーへの強制同期とNTPの再起動 |
| restart tunnel service | ノードとTaegis間のトンネルサービスを再起動 |