スキャン

  • [アーティクル]

この記事では、Movere でのスキャンについて説明します。 Movere では、オンプレミス環境と、AWS や GCP などの他のパブリック クラウド内のデバイスをスキャン、検出、キャプチャできます。

Movere は、プラットフォーム (Windows または Linux) またはホスティング プロバイダー (オンプレミス環境、プライベート クラウド、パブリック クラウド) に依存しないデバイスをスキャンします。 Movere では、VMware またはハイパーバイザー環境は必要ありません。 Movere は、オンラインの場合、任意のデバイスにアクセスできます。

何をスキャンできますか?

Movere でスキャンできる内容を次に示します。

Scan 詳細
Windows デバイス Windows Server オペレーティング システム、Active Directory ドメインの Windows クライアント オペレーティング システム、またはデバイス FQDN、DNS、または IP アドレスで Windows デバイスをスキャンします。

デバイスは、ドメインに参加するか、ワークグループ内のデバイスなどのドメインに接続することはできません。

Movere コンソールまたはコマンド ラインからスキャンを実行できます。

実際のリソース消費スキャンを実行して、Windows Server デバイスからデバイス消費データをキャプチャし、時間の経過に伴うシステム パフォーマンスを表示します。
Linux デバイス Active Directory から、特定のサブネットから、または DNS または IP アドレスを使用して、サポートされている Linux デバイスをスキャンします。

Movere コンソールまたはコマンド ラインからスキャンを実行できます。

Linux デバイスから実際のリソース消費量データを収集できます。
Active Directory Active Directory オブジェクト (コンピューター、ユーザー、信頼) をスキャンします。

1 つのドメインまたは複数のドメインをスキャンして、フォレスト全体の検出を行うことができます。
vCenter アプライアンス Movere コンソールから VMWare vCenter Server アプライアンスをリモートでスキャンします。

アプライアンスは、vCenter Server 用に最適化された事前構成済みの Linux VM です。

VMWare vCenter Server アプライアンスは、Linux デバイスとしてスキャンすることもできます。
Windows vCenter Server vCenter Server データベースを実行している SQL インスタンスをスキャンします。
SQL Server Windows および Linux デバイスからSQL Serverデータを収集します。

- Movere がデバイス上の SQL エンジンを検出したが、SQL に接続できない場合は、基本的な構成データを収集します。

- Movere に SQL データをスキャンするためのアクセス許可がある場合は、SQL 自体に関する追加情報と、SQL を基になるデータベース (Sharepoint、System Center、Exchange など) として利用する他の Microsoft 製品に関する追加情報を収集できます。

- SQL で実際のリソース消費スキャンが有効になっている場合は、パフォーマンスとデータベース接続情報が収集されます。

Movere によって収集された SQL データの詳細については、こちらを参照してください
Microsoft 365 サブスクリプション データをスキャンします。

Microsoft 365 ユーザーと、それらに割り当てられたサブスクリプションに関する情報を収集します。

パブリック クラウド内のデバイスのスキャン

AWS や GCP などのパブリック クラウドでデバイスをスキャンする場合は、他のデバイス スキャンと同じ要件、プロセス、手順を使用します。 特別な手順はありません。 Movere コンソールを実行しているデバイスは、スキャンを機能させるために関連するクラウド環境に接続する必要があります。 クラウド環境内からスキャンすることをお勧めしますが、スキャンする必要はありません。

スキャンされるデータは何ですか?

Windows および Linux デバイスのスキャンに加えて、物理デバイスと仮想デバイスの両方で、Movere は Active Directory、VMware vCenter、Exchange Server、SQL Server、SharePoint、Dynamics CRM、Microsoft 365、System Center Configuration Manager からデータを収集します。System Center Virtual Machine Manager、System Center Operations Manager、System Center Data Protection Manager、Lync Server、Hyper-V、Altiris、LANDesk、LanSweeper、BigFix。

インベントリ スキャン

Movere では、インベントリ スキャンと実際のリソース消費スキャンがサポートされています。

インベントリ スキャンは、デバイスとアプリからポイントインタイム構成データをキャプチャします。 インベントリ データが収集されるたびに、利用可能な最新の情報が報告され、以前に収集されたものが優先されます。 例:

  • インベントリ スキャンでは、デバイスが 4 GB の RAM でWindows Server 2016実行されている情報をキャプチャします。
  • スキャン後、RAM を 8 GB に増やし、インベントリ スキャンを実行します。
  • スキャンによって 8 GB の RAM が報告されるようになりましたが、前回のスキャン以降にシステムに追加の RAM が割り当てられたとは報告されません。
  • 手動分析を実行してこれを検出できますが、Movere ではレポートされません。

インベントリ スキャン ボット

インベントリ スキャンは、Windows および Linux 用のボットを使用して実行され、Windows でのみリモートで実行することもできます。 Movere インベントリ ボットは小さく (約 2 MB のサイズ)、通常は 10 KB 未満のデータ ファイルまたはペイロードを生成します。 ボットは永続的ではない。 小さいため、簡単にデプロイ、実行、削除できます。 スキャンするデバイスに永続的なエージェントは必要ありません。

インベントリ スキャン プロセス

インベントリ スキャンは次のように機能します。

  1. インベントリ ボットは、スキャンするデバイスにコピーされます。
  2. ボットは 1 回実行され、出力ファイルが生成されます。
  3. その後、ボットは停止し、それ自体を削除します。
  4. Movere ボットは、ペイロードを Movere コンソールに戻すか、クラウドに直接プッシュできます。
  5. Movere では、TLS 1.2 をサポートせずにターゲット デバイスからペイロードをフェッチするプル メカニズム (Windows のみ) もサポートされています。

通常、インベントリ データ スキャンを数日または数週間ごとに実行するようにスケジュールします。

実際のリソース消費量のスキャン

実際のリソース消費量スキャンでは、定義された期間にわたってシステム のパフォーマンス情報が収集されます。 インベントリ スキャンとは異なり、絶えず変化している消費データ (プロセッサ、メモリ、ディスク使用量) を収集します。

実際のリソース消費量データは、移行計画中に特に役立ちます。 移行後にデバイスのパフォーマンスを維持または向上させるために、クラウドのサイズを正確に計算するために使用できます。

リソース消費スキャン ボット

Windows オペレーティング システムでは、実際のリソース消費ボットは既定で、インストールされているサービスとして実行されます。 Linux オペレーティング システムでは、実際のリソース消費ボットはプロセスとして実行されます。 Linux マシンが再起動または再起動した場合、ユーザーは再びスキャンを再起動する必要があります。 インベントリ ボットとは異なり、時間の経過と同時に消費データをキャプチャするには、実際のリソース消費ボットを実行したままにする必要があります。

  • Arc2: .NET 3.5 フレームワークおよび x86 と互換性のある Movere の実際のリソース消費バイナリ。
  • Arc4: .NET 4.0 以降のフレームワークおよび x64 と互換性のある Movere の実際のリソース消費バイナリ。

スキャンの前に、ボットは、プロセス列挙速度やプロセス レベルのパフォーマンス カウンター アクセスなど、事前スキャン チェックを実行します。 次のチェックを行います。

  • CPU の急増やパフォーマンス カウンターのアクセス許可の問題から保護します。
  • 低速システムまたはアクセス許可拒否が発生すると、ボットはマクロ レベルのパフォーマンス メトリックをキャプチャし、プロセス レベルの CPU、RAM、パス、バージョンなどの詳細をスキップします。 これにより、Movere はシステムのパフォーマンスに悪影響を与えることなく、消費量を評価できます。

収集されるデータ

実際のリソース消費量スキャンでは、次のソースからデータが収集されます。

  • Windows システム:
    • Windows プロセス: Windows PerfMon、Windows Common Information Model (CIM)
    • ディスク パフォーマンス: Windows PerfMon
    • ネットワーク スループット: Windows PerfMon
    • Netstat: Windows IP ヘルパー ライブラリ
    • イベント: Windows イベントへの .NET コネクタ
    • SQL Server: Movere SQL クエリ
  • Linux システム:
    • Bash シェル コマンドの出力 (ps、df、netstat など)
    • システム仮想ファイルの直接クエリ (/proc/diskstats など)

使用状況の変化を追跡し、ピーク時のワークロードを正確に計算するために、通常、データは頻繁にキャプチャされます。 たとえば、5 分、10 分、または 15 分ごとに、複数の日または週に渡ります。

リソース消費スキャン プロセス

実際のリソース消費量スキャンは次のように機能します。

  1. データを収集する頻度 (頻度)、および期間 (期間) を指定します。

    • 実際のリソース消費スキャンの頻度は、各ターゲット デバイスで ARCBeat が生成される頻度を示します (5、10、15、30、または 60 分ごと)。
    • ARCBeat は、2 つのリソース消費データ収集ポイントの間で経過する時間です。 既定値は 5 分ですが、コンソールでこの値を変更できます。
    • たとえば、5 分を選択すると、1 日に最大 288 個の ARCBeats が使用できます。 (1 時間あたり 12 ARCbeats x 24 時間)。
    • 期間は、各ターゲット デバイスでスキャンが実行される時間 (1 日、3 日、7 日、30 日、または 90 日) を示します。 既定の期間は 7 日です。
    • 必要に応じて、スキャン中に SQL データを収集できます。 既定では収集されません。

  2. 実際のリソース消費ボット (Arc2、Arc4)、およびコレクション設定は、監視しているデバイスに送信されます。

  3. ボットは、指定された設定に従って使用状況データをキャプチャします。

  4. ターゲット デバイスから直接クラウドへの自動アップロードを有効にした場合、Movere はクラウドへのデータのアップロードを 3 回試みます。 アップロードに失敗すると、次の処理が行われます。

    1. ボットは、ペイロードを Movere Console デバイスに転送するために 3 回 (30 秒ごとに 1 回) 試行します。
    2. コンソールへの転送が失敗した場合、ボットはペイロードをローカルに保存します。 転送/アップロードが正常に実行された場合、ペイロードはターゲット デバイスから削除されます。
    3. 次の ARCbeat が発生し、新しいペイロードが生成されると、ボットはもう一度クラウドまたはコンソールとの接続を確立して残りのペイロードをアップロードしようとします。
    4. ボットは、スキャンの期間中、ターゲット デバイスで引き続き実行され、接続が確立されるとすぐに保存されたペイロードをアップロードまたは転送します。

  5. アップロードが成功すると、ボットは頻度と期間の設定に従って、次のデータ収集を待機します。 ボットは、指定された期間、そのまま残ります。

  6. スキャン期間が終了すると、ボットは終了し、それ自体を削除します。

スキャンと再スキャン

Movere には、スキャンを実行するための次のオプションが用意されています。

  • 最初のスキャン: スキャンをすぐに実行します。 スキャン ウィザードの最後に、Movere コンソールでスキャンを開始します。 これは、Active Directory、M365 ユーザー内のすべてのデバイスをスキャンするなどの一括操作を目的としています。
  • 再スキャン: 再スキャン オプションは、最初のスキャンでスキャンされていないデバイスをターゲットにするのに役立ちます。 これは、最初のスキャン後に目的の在庫範囲に達していない場合に推奨されるスキャン方法です。 例:
    • Active Directory のみを対象とする最初のスキャンを実行し、その結果を使用してアクティブな Windows デバイスまたはアクティブな Linux デバイスをターゲットにする場合。
    • ドメインに参加していないデバイスまたはワークグループデバイスをターゲットにするには
    • アクセス許可が不十分なためスキャンが拒否されたデバイスなど、以前のスキャン中にキャプチャできないデバイスをターゲットにするには、再スキャンを使用して、適切なアクセス許可セットを持つデバイスをターゲットにする必要があります。
    • 既にスキャンしたデバイスをターゲットにするには、インベントリ データを更新したり、デバイスの環境の変更をキャプチャしたりします。

型の再スキャン

デバイスを再スキャンするには、次のいずれかのスキャン ソースのデータを使用できます。

方法 詳細
デバイスのアクティブな一覧に基づいて再スキャンする 選択できるオプションは次のとおりです。

- インベントリされていないアクティブな Windows サーバー/ワークステーション、または過去 31 日間。 これは、Active Directory のスキャンが成功した後にのみ実行できます。

- インベントリされていないアクティブな Linux デバイス、または過去 31 日間。

このオプションは、デバイスの状態に関係なく、デバイスをスキャンします。 大規模なドメイン、または古いオブジェクトが多いドメインでは、このオプションを使用するとスキャン時間が長くなる可能性があります。
再スキャン ファイルに基づいて再スキャンする 再スキャン ファイル (.CSV) は、Movere ポータルからダウンロードすることも、カスタム (.CSV) ファイルを手動で作成することもできます。

Linux デバイスの場合、コンソールで再スキャン ファイルを使用することを選択することはできません。 コマンド プロンプトから Linux デバイスの再スキャン ファイルを使用できます。

コンソールの外部でのスキャン

ボットをターゲット デバイスに配信し、コンソールの外部でスキャンを実行できます。 Movere コンソールを使用してボットを配信することをお勧めしますが、Movere ではボットの配置を手動でサポートするか、サードパーティ製ソフトウェアを使用することがサポートされています。 詳細情報

スキャン方法

スキャンを設定するときに、次のスキャン方法の中から選択できます。

方法 Process
サービスとしてのスキャン (推奨) Movere は、対象のデバイスで実行されている .NET バージョンを評価し、次の 3 回スキャンを試みます。

- 最初の試み: Movere は、「 資格情報の管理」で指定されたユーザー アカウントを使用してボットをデバイスにコピーします。 ボットはローカル サービスとして実行されます。 スキャンは、デバイス上の NT Authority\System アカウントを使用して実行されます。

- 2 回目の試行: 最初の試行が機能しない場合、Movere は指定されたユーザー アカウントを使用してボットをコピーし、ボットをローカル プロセスとして実行します。

- 3 回目の試行: 2 回目の試行が機能しない場合、Movere は指定されたユーザー アカウントでスキャンを実行し、リモート WMI を使用して情報を収集します。
プロセスとしてスキャンする ボットをローカル サービスとして実行しない場合は、このオプションを選択して Movere をローカル プロセスとして実行します。

Movere は、次の 2 回スキャンを試みます。

- 最初の試み: Movere は、「資格情報の管理」で指定されたユーザー アカウントを使用してボット をコピーします。 ボットはローカル プロセスとして実行されます。

- 2 回目の試行: 最初の試行が機能しない場合、Movere はボットをコピーしません。 スキャンは指定されたユーザー アカウントで実行され、リモート WMI を使用して情報が収集されます。
WMI を使用してリモートでスキャンする これは、次の場合を除き、使用しないことをお勧めする古いテクノロジです。

- ボットをデプロイすることはできません。

- .NET はターゲット デバイス (Windows 2000、Windows 2003、Windows XP など) ではサポートされていません。

このメソッドでは、ボットはコピーされません。 スキャンは指定されたユーザー アカウントで実行され、リモート WMI を使用して情報が収集されます。

WMI はインベントリ データのみを収集し、実際のリソース消費量のスキャンは行いません。

Movere はネットワーク全体をスキャンします。 スキャン速度は、ネットワーク帯域幅と、スキャンされるデバイスの状態によって異なります。 通常、.NET スキャンが 30 秒以内に完了する場合、WMI スキャンは同じスキャンに 3 分から 5 分かかることがあります。

.NET スキャン

既定では、Movere は .NET フレームワークを使用して各 Windows デバイスをローカルでスキャンし、次の 2 つの主な利点を提供します。

  • ネットワーク トラフィックを最小限に抑えます。 Movere は、プライマリ Windows データと、SQL Serverや Exchange などのセカンダリ データをキャプチャする一時的なローカル サービスを作成します。 デバイスをローカルでスキャンすることにより、Movere コンソールと対象となる各デバイス間の通信は、Movere スキャン エンジン (< 5 MB) の配信と、暗号化された出力ファイル (通常 < はインベントリ スキャンの場合は 10 KB、実際のリソース消費スキャンの場合は 5 KB) の配信に制限されます。
  • メモリ使用量を最小限に抑えます。 Movere スキャン エンジンは、使用可能なリソースのみを使用し、既存の実行中のアプリケーションを使い果たしません。

.NET スキャンは次のように機能します。

  1. Movere は、Movere コンソールで指定した資格情報を使用して、デバイスに接続します。

    • デバイスにアクセスすると、サービスとして実行する場合はローカル システム アカウントを使用するか、プロセスとして実行するときにコンソールで提供されるアカウントを使用してスキャンが実行されます。
    • 対象のデバイスがインストールSQL Server場合、Movere は同じ資格情報を使用して SQL にアクセスします。 動作しない場合、Movere は、Movere コンソールに追加された他の資格情報を使用して、追加された順序でSQL Serverにアクセスしようとします。

  2. インベントリと実際のリソース消費ボット、および FrameworkVerifier とトークン ファイルは、Windows ターゲット デバイスに配信されます。

    • ボットとファイルは、ポート 139 と 445 を介して配信されます。
    • 正常に配信されると、Windows によって選択されたランダムなポート番号を使用して、コンソールでボットとサービスの成功メッセージを起動するメッセージが返されます。
    • FrameworkVerifier が起動すると、エンドポイントはポート 443 に切り替わります。 443 を超えるコンソールに到達できる場合は、 ローカル スキャン開始 メッセージがコンソールに表示されます。
    • これらのメッセージは、ボットが正常に配信され、スキャンが開始されたこと、および対象のデバイスが Movere コンソールと通信できることを確認します。

  3. スキャンが開始されると、対象となるデバイスのリソース使用量がチェックされます。

    • たとえば、スキャンが開始され、ターゲットデバイスが現在 80% CPU を使用している場合、Movere はシステム リソース全体の最大約 10% に制限されます。
    • Windows では、複雑なアルゴリズムを使用して、オペレーティング システム自体でリソースを使用できるようにします。
    • デバイスで使用可能なリソースが増える場合、Movere は追加のリソースを利用します。 .NET フレームワークは、Movere ではなく、この決定を行います。
    • リソースが不足している場合は、次のエラーが表示されます。
      • プログラムの実行を続行するためのメモリ不足: ターゲット デバイスに十分なリソースが不足している場合、Movere はデバイスをさらに負荷をかけるのではなく、それ自体を終了します。
      • 要求されたサービスを完了するためのシステム リソースが不足しています。対象のデバイスに要求されたタスクを実行するための処理能力が不十分な場合、Movere はそれ自体を終了します。

  4. デバイスあたりのスキャン時間の合計が考慮されます。 Movere は、ほとんどのデバイスを 30 秒以内にスキャンできます。 たとえば、Movere に CPU の 10% が割り当てられている場合、1 分以内にスキャンを完了できます。 CPU の 10% を超える場合、スキャン時間はさらに短縮されます。 スキャン時間の合計は、デバイスで実行されている製品に影響されます。 たとえば、SQL Serverがインストールされているデバイスは、SQL Serverのないデバイスよりもインベントリに時間がかかります。

  5. .NET がオペレーティング システムと共に Movere にリソースを割り当てると、Movere によってスレッドの優先度が使用可能な最も低いレベルに設定されます。

    • 他のアプリケーションでコンピューティング サイクルが必要な場合は、優先順位が与えられます。
    • 他のアプリが CPU を要求しない場合、Movere ボットは割り当てられた CPU リソースで実行されるため、可能な限り短時間でスキャンを完了できます。

  6. ボット/バイナリは、対象となるデバイスに送信されます。

    • インベントリ バイナリは約 4 MB (Bot2/Bot4/FrameworkVerifier) です
    • 実際のリソース消費量の場合、バイナリは約 3.8 MB (Arc2/Arc4) を追加します。

    バイナリは、ターゲット Windows デバイスの 管理$ 共有の Temp フォルダーにコピーすることで、ディスクに書き込まれます。 管理$ 共有にアクセスできない場合、Movere はそれらを Temp フォルダーの C$ 共有にコピーしようとします。

  7. Movere によって作成された出力は、メモリに生成され、暗号化され、同じ場所のディスクに保存されます。

  8. スキャンの最後に、出力ファイルが Movere に直接アップロードされた後、または Movere コンソールにアップロードされた後、Movere はボット ファイルを自己削除し、スキャンされたデバイスにトレースを残しません。 実際のリソース消費ボットには、スキャンを正常に終了するように設計された複数の安全性チェックが含まれています。

スキャンの種類を決定する

Movere がシステムをローカルまたはリモートでスキャンできるかどうかを判断するために、Movere は Windows Common Information Model (CIM) と Windows レジストリに対してクエリを実行します。

  • Movere が CIM に接続できない場合、それ以上のスキャンは試行されません。
  • Movere が CIM に接続でき、レジストリには接続できない場合、Windows デバイスから Movere が収集するデータは主に CIM から収集されるため、スキャンは続行されます。
  • Movere がターゲットをローカルまたはリモートでスキャンする場合は、次を使用します。
    • 指定したスコープ (root\CIMV2) で特定のクエリを呼び出すために使用される ManagementObjectSearcher クラスの新しいインスタンスを初期化する .NET System.Management.ManagementObjectSearcher。
    • Windows レジストリのキー レベル ノードを表す .NET System.Win32.RegistryKey。 このクラスはレジストリ カプセル化を提供し、Movere は書き込み不可モード (読み取り専用) でのみ開くので、Movere はレジストリを変更できません。
    • レジストリへの Movere のアクセスは Windows のアクセス許可によって管理され、古い Windows システムを考慮するために 32 ビットと 64 ビットの両方の接続方法が使用されます。
    • 対象のエンドポイントがリモートでスキャンされる場合、接続は Windows Management Instrumentation (WMI) 経由で行われます。
    • リモート スキャンの場合、Movere は偽装を使用して正しいアクセス レベルを取得します。タイムアウトは 30 秒と組み合わせて、WMI 経由で行われた低速な接続を考慮します。 Movere はアカウントの偽装を使用し、リモートスキャンとボットベースのスキャンの両方にログオンの種類LOGON32_LOGON_INTERACTIVEが必要です。

Windows デバイスのスキャン

Windows デバイスのスキャンを設定するときに、スキャンする Windows デバイスの種類を選択します。

  • Windows Server と Windows ワークステーションの両方でインベントリ スキャンを実行し、Windows サーバーで実際のリソース消費量スキャンを実行できます。
  • 特定の Active Directory ドメイン内のデバイスをスキャンするか、FQDN または IP アドレスで特定のデバイスをターゲットにするか、特定のサブネット内のデバイスをターゲットにすることができます。
  • ワークグループまたは境界ネットワーク内のデバイスをスキャンすることもできます。

Windows デバイスをスキャンするための特定の資格情報が必要です。

  • このアカウントには、スキャンするデバイスのローカル 管理 アクセス権が必要です。
  • Windows デバイスのスキャン中に、Movere はSQL Serverなどのセカンダリ ソースからデータを収集します。 Movere では、ドメイン 管理特権を持つアカウントを使用してこのセカンダリ データを収集できないことに注意してください。
  • セカンダリ データにはドメイン 管理 アカウントを使用できないため、代わりに Movere 専用アカウントを作成し、必要なローカル 管理アクセス許可を割り当てることができます。 詳細については、こちらを参照してください
  • スキャンを実行するには、少なくとも 1 つの資格情報セットを指定する必要があります。
  • Movere コンソールに入力した資格情報は、対称キー アルゴリズムを使用して暗号化されます。 キーの作成に使用される正確なアルゴリズムと変数は非常に機密性が高い。 このプロセスは第三者によって独立してレビューされており、スキャンが完了した後にボットが対象デバイスにディゾルブされるため、リスクとは見なされません。
  • Movere は資格情報をプレーン テキストで格納せず、資格情報はクラウドにアップロードされません。

Windows デバイスのスキャンに必要なアクセス許可を確認します。

Linux デバイスのスキャン

Movere の Linux バイナリには、Linux スキャンが可能な限り効率的に実行されるように、最適化された C++、Golang コードが含まれています。 Movere は、十分に検証された組み込みの Linux 機能を利用し、ほとんどのディストリビューションと共にパッケージ化され、タイムリーな応答と最小限の使用を保証します。

Linux デバイス スキャンは、インベントリする Linux デバイスへのセキュア シェル (SSH) アクセス権を持つユーザーが実行する必要があります。

  • Movere コンソールでは、ユーザー名とパスワードの組み合わせ、またはアクセスを許可する SSH 秘密キーを指定できます。
  • Movere では、OPEN SSH 秘密キーと RSA SSH 秘密キーがサポートされています。 ユーザーは、秘密キーの最初の行を検査し、 などの ---BEGIN RSA PRIVATE KEY--- RSA ヘッダー秘密キーか、 などの OpenSSH ヘッダー秘密キー ---BEGIN OPENSSH PRIVATE KEY---であることを確認する必要があります。
  • ルート アクセスは必要ありませんが、仮想化された Linux デバイスがある場合、(仮想デバイスを物理ホストにリンクするために使用される) ユニバーサル一意識別子 (UUID) などの特定のデータ ポイントは、ルート アクセスなしで収集されません。
  • Movere で提供されている Linux アカウントが SSH 経由で Linux デバイスに基本的にアクセスできる場合は、sudo コマンドを使用せずに実行することもできます
  • ユーザー名を指定する場合は、アカウントが Active Directory ドメインの一部である場合は、domain\username ではなく、 などの user@domainname.comUPN 形式を使用します。

スキャン コマンド

Movere は SSH を使用して bash コマンドをリモートで実行します。 Linux ユーザー アカウントは、Movere Console デバイスからこれらのコマンドを実行できる必要があります。 Movere で使用されるコマンドの概要を次の表に示します。

コマンド 詳細
uname デバイス名を確認し、デバイス アーキテクチャ (32 ビットまたは 64 ビット) を識別します。 これにより、デバイスのスキャンに使用される Movere Linux ボットが決まります。
pidof Movere Linux ボットがデバイスで既に実行されているかどうかを確認します。 存在する場合は、ボットのプロセス ID が返されます。
kill pidof コマンドで、デバイスで既に実行されている Movere ボットが検出された場合にのみ使用されます。 ボットが実行されている場合は、新しいスキャンを開始できるように終了します。

たとえば、概念実証リソース消費量スキャンを 3 日間実行し、1 日後に 30 日間のスキャンを開始することにした場合に、このコマンドを使用できます。 最初のスキャンが完了するまで 2 日間待つのではなく、2 番目のスキャンを開始し、最初のスキャンを終了します。
どっち Movere が使用しようとするコマンドの場所を識別します。

次のコマンドを使用して、 which uname, pidof, sudo, kill, chmod, nohup各コマンドの場所を見つけることができます。 それぞれの場所が返された場合、ユーザー アカウントはスキャンを実行できます。
scp Movere ファイルをコンソール デバイスからターゲット Linux デバイスにコピーします。 ファイルは、コンソールで指定された Linux アカウントのホーム ディレクトリに配置されます。
Nohup Movere Linux ボットが既定でバックグラウンドで実行されるために使用されます。 セッションからサインアウトした場合、または接続が途中で終了した場合、プロセスは終了またはハングアップします。 このコマンドは、それが発生しないようにします。
chmod スキャン対象のシステムで Movere Linux ボットを実行可能にします。

ボット モードを実行可能な 'chmod 755' に変更できる場合は、ボットが実行されます。 そうでない場合、スキャンは開始されません。
sudo このコマンドは、ユーザーを管理者に昇格させます。これは必須ではありません。 sudo が使用できない場合、Movere がキャプチャしない可能性がある唯一のデータ ポイントは、ターゲット デバイスの UUID/シリアル番号です。

このフィールドは必要ありません。また、デバイスが複製され、複製に元の FQDN と MAC アドレスが指定されている場合にのみ VM をリンクするために使用されます。 これはまれに発生します。
ps 現在のプロセスのスナップショットを報告します。
mkdir 新しいディレクトリを作成します。
タッチ ファイルのタイムスタンプを変更します。

以下の点に注意してください。

  • Linux デバイスの場合、ボットはスキャンを実行しているユーザー アカウントのホーム ディレクトリにコピーされます。
  • ボットが実行されると、ターゲット デバイスでこれらのコマンドがローカルに使用され、インベントリとリソース消費データが収集されます。
    • Lsb。 cat, whoami, hostname, grep, lshal, awk, dmidecode, ifconfig (通常 /sbin/ifconfig), ip (通常 /sbin/ip), lsblk, df, ps, dpkg-query, rpm, test, find, netstat, gpg, gpg2.
    • これらのコマンドは、各スキャン中には実行されません。 一部は、前のコマンドの出力によって異なります。

Active Directory スキャン

Movere は、次のように Active Directory に接続します。

  • Movere は、ページングを可能にする低レベルの LDAP コネクタである .NET System.Net.LdapConnection を使用して接続します。 これにより、Movere は Active Directory ユーザーなどの大規模なデータセットを要求でき、オーバーヘッドはほとんどありません。
  • グローバル カタログ クエリ (フォレスト内の子ドメインの一覧の収集など) の場合、Movere は .NET System.DirectoryServices.Protocols.LdapDirectoryIdentifier を使用して、ポート 3268 経由でグローバル カタログに接続します。
  • Movere は、ドメインごとに 1 つのドメイン コントローラーに対してのみクエリを実行する必要があります。 Active Directory に依存して、最も近いドメイン コントローラーに転送します。 グローバル カタログに対してクエリを実行する場合も、同じロジックが適用されます。
  • Movere コンソールは、コンソールが実行されているデバイスのドメイン名を検出して設定します。 コンソールを実行しているデバイスがドメインに参加していない場合、ドメインは設定されません。
  • Active Directory スキャンを実行すると、Movere は Movere コンソールでそのドメインにマップされた資格情報を利用します。
  • コンソールでは、[ドメイン] タブのテキスト ボックスを使用して、任意のドメイン名またはワークグループ名を指定できます。
  • その後、ドメインが資格情報マッピング タブのドメイン 一覧に自動的に追加されます。
  • これにより、スキャンを開始する前に Movere コンソールから資格情報を一元的に入力できます。
  • 既定では、Movere は Active Directory からデバイス オブジェクトとユーザー オブジェクトの両方を収集します。 これは推奨される方法ですが、コマンド プロンプトからスキャン実行からユーザー オブジェクトを除外できます。
    • ユーザー データが収集されない場合でも、Movere はインベントリと実際のリソース消費量のスキャン中に各デバイスにログインするアカウントを一覧表示しますが、Active Directory に対して解決されることはありません。
    • ユーザー名、姓、電子メール アドレス、会社、従業員番号/ID、国/地域のフィールドなどは空白です。 Movere にはこのデータがないためです。
      • これは、ユーザーの観点からのみ、SharePoint、Skype for Business、Exchange、RDS、Dynamics CRM、Project Server などの製品に影響します。
      • Movere では引き続きこれらのアプリが表示されますが、アクセスするユーザーに関する情報は表示されません。
      • その他のデータは影響を受けません。
    • ユーザー データの収集を除外しても、Movere 登録プロセス中に収集されたユーザー データには影響しません。 このデータは、Movere Web サイトへのセキュリティで保護されたユーザー アクセスに必要です。

SQL Server スキャン

Movere は SQL を次のようにスキャンします。

  1. Movere は、SQL エンジンが存在し、それをスキャンするために実行されていることを確認します。

    • SQL エンジンを識別するために、Movere は CIM を介してターゲット エンドポイントに存在するサービスを列挙します。
    • SQL エンジンが存在するがパッシブ インスタンスである場合、Movere はそれに接続しようとしません。
    • Movere では、SQL Reporting、分析、または統合インスタンスへの接続も試行されません。

  2. スキャンを開始するために、Movere はドメインに割り当てられた資格情報を入力順に使用します。

    • Movere は常に Windows 資格情報で始まります。スキャンを開始するには、少なくとも 1 つの資格情報セットを入力する必要があります。
    • これらの資格情報が失敗した場合、Movere は、ドメイン管理者の資格情報を除き、ターゲット ドメインに割り当てられている他の資格情報を使用して接続を試みます。 ドメイン管理者の資格情報がボットに転送されることはありません。
    • すべての Windows ベースの資格情報が失敗した場合、Movere はコンソールに入力された SQL ベースの資格情報を使用します。 注: SQL ベースの資格情報は特定のドメインにリンクされていないため、すべての SQL 資格情報 (複数の資格情報が入力されている場合) が入力された順序で使用されます。
    • すべての資格情報が失敗した場合、Movere は、スキャンを開始したアカウント (Movere ユーザーの資格情報、またはローカル システム アカウント) を使用して最後に接続を試みます。

  3. SQL エンジンの実行中のインスタンスが確認され、資格情報が設定されると、Movere は TCP 経由で接続します。 接続するために、Movere はレジストリを照会して、実行中の各インスタンスがリッスンしているポート番号を識別します。 Movere は、識別されたポート番号を使用して、サーバー名を使用してSQL Serverへの接続を試みます。

    • Movere は TCP をバイパスしようとしません。 Movere では名前付きパイプは使用されません。 これは、Express Edition では TCP を含むネットワーク プロトコルが既定で無効になっているため、Movere が通常 SQL Express インスタンスに接続しない主な理由です。
    • Movere は、デバイスの IP アドレス、ランダムなポート番号、または SQL インスタンスが SQL ポート 1433 を使用していることを前提として接続しようとはしません。
    • 唯一の例外は、SQL Server クラスターです。 アクティブなノードから SQL Server クラスターが識別された場合、Movere はノード名ではなく、クラスター名を使用してSQL Serverへの接続を試みます。
    • SQL Serverへの接続は、デバイスがローカルまたはリモートでスキャンされているかどうかにかかわらず同じであり、常に .NET ネイティブ SQL クライアント ライブラリを使用して行われます。

  4. 各SQL Server上のデータベースを識別するために、Movere は master データベースに対してデータベースの一覧を照会します。 この一覧に対してスキーマ チェックが実行されます。

    • Movere に master データベースへのアクセス権が付与されていない場合は、CIM に移動してアクティブなデータベースの一覧を取得します。 これにより、Movere がスキャンするデータベースにのみアクセスできる場合の回避策が提供されます。
    • すべてのデータベースに対してクエリが実行されないようにするために、Movere は各データベースに対してスキーマ チェックを実行します。 一致が見つかった場合は、そのテクノロジ (およびバージョン) に固有のクエリのセットが、そのデータベースに対して実行されます。

  5. Movere インベントリと実際のリソース消費量スキャンを実行するには、SQL のスキャンに使用されるアカウントには、サーバー状態の表示ロール、定義ロールの表示、SQLServer マスター、msdb、および作成されたデータベースへのアクセスdb_datareaderが必要です。

    • Movere ユーザー アカウントがSQL Serverにアクセスできない場合でも、Movere は次のようなSQL Serverに関する基本情報を収集できます。
      • オフライン状態ではないサーバー上の各データベースの名前とサイズ。
      • データベースがオフライン状態でない場合は、オンライン、復元、回復、疑わしい、または緊急時など、いくつかの状態のいずれかになります。
      • Movere にSQL Serverへのアクセス権がなく、各データベースがオンライン状態であると想定するのではなく、Windows レイヤーからデータベースの一覧を取得する場合、Movere は状態を未確認として報告します。

  6. Movere はデータを収集します。 古いデータの取り込みを回避するために、Movere は、データがデータベースに書き込まれた最後の日付をキャプチャします。 90 日を超える場合、収集されたデータは古くなる可能性があります。

リソース消費量のスキャン

既定では、実際のリソース消費スキャンを有効にしても、Movere は SQL データを収集しません。 Movere コンソールでリソース消費スキャンを設定するときに、SQL データの収集を明示的に有効にする必要があります。 または、ARC2 および ARC4 構成ファイルで CollectSql の値を True に設定することもできます。

スキャンされた SQL データ

Movere は、テーブルに要約SQL Serverデータのカテゴリをスキャンします。

データ 詳細 必要なアカウント
データベースの一覧

状態、サイズ、作成日、クラスタリング、ミラーリングと可用性グループの情報をマスター データベースに含めます。		 Movere は既定でデータベース リストを収集し、特定のサービス アカウントを作成する必要はありません。 Movere では、まず、SQL Serverが存在するドメインにマップされた Windows 資格情報を使用し、その後に SQL 資格情報を使用し、最後に NT AUTHORITY\SYSTEM アカウントをサービスとして実行するときに使用します。

必要なアカウントは、ログイン、パブリック サーバー ロール、およびデータベース エンジンに接続するためのアクセス許可を使用して有効にする必要があります。 これらはすべて既定で有効になっています。

SQL Server 2008 R2 以前のバージョンでは、NT AUTHORITY\SYSTEM にも既定で sysadmin 特権が割り当てられました。 これは、SQL Server 2012 で削除されました。 これは、2012 以降SQL Serverスキャンするときに、目的のユーザー アカウントにSQL Serverへのアクセス権を明示的に付与する必要があることを意味します。
パフォーマンスと接続の情報 これには、インスタンスごとの最小あたりの CPU 使用率、DB 別の CPU 使用率、データベース接続が含まれます。 Movere では、まず、SQL Serverが存在するドメインにマップされた Windows 資格情報を使用し、その後に SQL 資格情報を使用し、最後に NT AUTHORITY\SYSTEM アカウントをサービスとして実行するときに使用します。

必要なアカウントは、ログイン、パブリック サーバー ロール、およびデータベース エンジンに接続するためのアクセス許可を使用して有効にする必要があります。 これらはすべて既定で有効になっています。

実際のリソース消費量スキャン中SQL Serverパフォーマンス データを収集するには、Movere コンソールで オプションを設定します。
ログ配布の詳細 (msdb db) ログ配布の構成は、msdb データベースに格納されます。 ログ配布の場合は、msdb データベースへのアクセスdb_datareader目的のアカウントを指定する必要があります (SQL バージョンが古く、NT AUTHORITY\SYSTEM アカウントに sysadmin が設定されていない限り)。

ログ配布が使用され、Movere が msdb データベースにアクセスできない場合、ログ配布構成は Movere ポータルに表示されません。
セカンダリ データとドライブの統計情報をSQL Serverする System Center Configuration Manager、Sharepoint などのアプリケーションをサポートするSQL Serverでホストされているデータをスキャンします。 セカンダリ データベースへのアクセスdb_datareader目的のアカウントを指定する必要があります (SQL バージョンが古く、NT AUTHORITY\SYSTEM アカウントに sysadmin がある場合を除く)。 これには、データベース レベルで収集されるパフォーマンスデータとディスク統計データも含まれます。

この種類のスキャンには、sysadmin アクセス許可が必要です。

この詳細レベルが必要な場合は、NT AUTHORITY\SYSTEM アカウントまたは Movere で使用できるサービス アカウントへの sysadmin アクセス権を付与します。

ビューの違い

この表は、SQL の実際のリソース消費量スキャンを使用してさまざまなパフォーマンス データを収集するためにデータベースに必要な最小限のアクセスをまとめたものです。

パフォーマンス データ データベースへの最小限のアクセス
CPU インスタンス レベルのデータ Master
CPU データベース レベルのデータ Master
SQL ディスク使用率 個々のデータベース
SQL データベース接続 Master
SQL データベースの読み取り/書き込みデータ 個々のデータベース
SQL データベースで使用された v の合計サイズ 個々のデータベース

資格情報のマッピング

organization内では、1 つの資格情報セットがすべてのドメインとデバイスにアクセスできる可能性は低いです。 スキャンを構成すると、Movere には、使用する資格情報 (ドメイン) を指定するオプションが表示されます。

  • 対象となるすべてのドメインで 1 つのアカウントを使用することも、異なる資格情報を異なるドメインにマップすることもできます。
  • 資格情報とドメイン間のマッピングは Movere コンソールで提供され、暗号化された形式で .config ファイルに保存されます。
  • 指定された資格情報がコンソールを実行しているユーザーと異なる場合は、コンソールがインストールされているフォルダーを完全に制御する必要があります。
  • Movere では現在、複数の Linux 資格情報の使用はサポートされていません。 Linux スキャンに使用できる Linux 資格情報は 1 つだけです。
  • SQL Server資格情報をドメインにマップする必要はありません。 これらの資格情報は、存在するドメインに関係なく、SQL Serverインスタンスへの接続にのみ使用されます。
  • Windows デバイスを IP アドレスでスキャンする場合、スキャンの前に、Movere は IP アドレスを FQDN に解決しようとします。 成功はネットワーク設定によって異なります。
    • 成功した場合、Movere は Movere コンソールでそのドメインに割り当てられた資格情報を使用します。
    • IP アドレスが解決しない場合は、スキャンを実行しているユーザーの資格情報が使用されます。 Movere は、これらのアカウントがロックアウトされる可能性があるため、アクセスを得ることを期待して資格情報リストを循環しません。

ファイアウォール/プロキシ経由のスキャン

  • ターゲット デバイスにファイアウォールがある場合、Movere はファイルと印刷の共有、またはリモート管理を利用できます。 いずれかの例外がファイアウォールによって許可されている場合、Movere は安全に通過します。
  • ファイアウォール経由でアップロードする場合、Movere は Windows コントロール パネル >インターネット オプション>Connections>ローカル エリア ネットワーク設定に格納されている資格情報を活用します。 この設定は、 MovereService.exe.config ファイルにあります。
    • Movere は、設定が正しい限り、Movere コンソール デバイスとターゲット デバイスの両方でプロキシを使用します。
    • プロキシ サーバーがコンソール コンピューター上の Movere がインターネットに到達するのをブロックしている場合は、次のエラー メッセージが表示されます: サーバーへの接続中にエラーが発生しました。例外: リモート サーバーからエラーが返されました: (407) プロキシ認証が必要です

次の手順

スキャン Windows デバイス。