BigFix 管理ツールの実行

インストール・スクリプト install.sh は、BigFix 管理ツールの bash シェル・スクリプト BESAdmin.sh/opt/BESServer/bin ディレクトリーに自動的にダウンロードします。

このツールにより、マストヘッド・ファイルの編集、データベース内のオブジェクトの署名の確認、拡張セキュリティーの有効と無効の切り替え、データベース内のすべてのユーザー・コンテンツの再署名、サーバー秘密鍵のローテーション、コンソールと Web レポートのログインの構成、およびマストヘッドと更新済みライセンスとの同期を行うことができます。

このスクリプトは、以下の構文を使用して、コマンド・プロンプトからスーパーユーザーとして実行してください。
./BESAdmin.sh -service {arguments}
ここで、service は以下のいずれかのサービスです。
audittrailcleaner
changeprivatekeypassword
createwebuicredentials
editmasthead
findinvalidactions
findinvalidsignatures
importlicense
minimumsupportedclient
minimumsupportedrelay
propagateoperatorsites
propertyidmapper
removecomputers
repair
reportencryption
resetdatabaseepoch
resignsecuritydata
revokewebuicredentials
rotateserversigningkey
securitysettings
setadvancedoptions
setproxy
syncmastheadandlicense
testproxyconnection
updatepassword
注: コマンド構文で使用される表記 <path+license.pvk> は、path_to_license_file/license.pvk を表します。
各サービスには、以下の arguments があります。
audittrailcleaner

このサービスを実行して、BFEnterprise データベースから監査証跡として保管されている履歴データを削除することができます。この監査証跡は、BigFix の適用環境の存続期間にわたり、少しずつサイズが大きくなっていきます。監査証跡には、削除されたバージョンと古いバージョンの Fixlet、タスク、ベースライン、プロパティー、メールボックス・ファイル、アクション、および分析が保管されます。監査証跡は BigFixではまったく使用されないため、削除してデータベース・サイズを削減できます。BigFix では、監査証跡を保持するには、現在のデータベースの履歴アーカイブを作成して安全な場所に保存してから、このツールを実行することをお勧めしています。これにより、製品データベースから監査証跡が削除されますが、履歴が完全に削除されるわけではありません。

このサービスでは、以下の各データについて、カウント処理と削除処理を実行することができます。

  • 旧バージョンの作成済みカスタム・コンテンツ (-oldcontent): 既存の Fixlet、タスク、ベースライン、および分析を編集するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンのアクション (-oldactions): アクションを停止または開始するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンの Relay.dat (-oldrelaydatfile): リレーのインストールやアンインストールを実行するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 削除済みカスタム・コンテンツ (すべてのバージョン) (-deletedcontent): コンソールを使用して、Fixlet、タスク、ベースライン、および分析を削除すると、データベース内でそのデータに削除済みのマークが付けられますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたコンテンツとそれに対応するクライアント・レポートは、削除してかまいません。
  • 削除済みアクション (すべてのバージョン) (-deletedactions): コンソールを使用してアクションを削除すると、データベース内でそのデータが削除済みとしてマークされますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたアクションとそれに対応するクライアント・レポートは、削除してかまいません。
  • 使用できないアクション結果 (-uselessactionresults): 旧バージョンの BigFix を使用すると、まったく使用されない ActionResults がクライアントによってレポートされるにもかかわらず、データベース内の領域を占有する場合があります。こうした不要な ActionResults は削除してかまいません。
  • 孤立したサブアクション (-orphanedsubactions): 削除済みの複数のアクション・グループに属するもの。
  • 非表示のマニュアル・コンピューター・グループ・アクション (-hiddenactions): マニュアル・コンピューター・グループにより、グループに対してコンピューターの追加や削除を行う非表示のアクションが作成されます。こうしたアクションは、時間の経過とともに増えていく可能性があります。このオプションを選択すると、アクションが作成されてからその有効期間 (デフォルトは 180 日) が経過したときに、そのアクションが削除されます。
  • 旧バージョンのメールボックス・ファイル (-deletedmailbox): 削除されたメールボックス・ファイルは、データベースのテーブル内に保管されます。こうしたファイルは削除してかまいません。
  • BES コンソールの同期 (-syncconsoles):BigFix コンソールには、データベースのローカル・キャッシュが保存されます。このツールを使用してデータを削除すると、このローカル・キャッシュが非同期の状態になります。この状態を回避するため、監査証跡クリーナー・ツールは、データベース内にフラグを設定します。これにより、BigFix コンソールを次回に起動すると、すべての BigFix コンソールで強制的にキャッシュが再読み込みされます。
  • 指定の日付よりも古いデータ (-olderthan): 指定された日付よりも古いデータが削除されます。デフォルト値は 99 日です。
  • 一括削除 (-batchsize): サイズの大きなデータ・セットを削除すると、SQL トランザクション・ログのサイズが急激に増大し、削除対象のデータのサイズよりも一時的に大きくなります。この状態は、データベースのサイズが縮小するまで続きます。一括削除を実行すると、結果がまとめて削除されます。
このサービスの構文は、指定するアクションに応じて異なります。 
./BESAdmin.sh -audittrailcleaner { -displaysettings | -run [delete_data_options] |  
          -schedule [delete_data_options] [scheduling options] | -preview [delete_data_options] 
           [preview options] }
./BESAdmin.sh -audittrailcleaner -displaysettings 
./BESAdmin.sh -audittrailcleaner -run [ -oldcontent ] [ -oldactions ]
          [ -oldrelaydatfile ] [ -deletedcontent ] [ -deletedactions ] 
          [ -uselessactionresults ] [ -orphanedsubactions ] [ -hiddenactions=<days> ] 
          [ -deletedmailbox ] [ -syncconsoles ] [ -olderthan=<days> ] [ -batchsize=<size> ]  
./BESAdmin.sh -audittrailcleaner -sitePvkLocation=<path+license.pvk> 
      [ -sitePvkPassword=<password> ] -schedule [ [ -oldcontent ] [ -oldactions ] 
      [ -oldrelaydatfile ] [ -deletedcontent ] [ -deletedactions ] [ -uselessactionresults ]
      [ -orphanedsubactions ] [ -hiddenactions=<days> ] [ -deletedmailbox ] [ -syncconsoles ]
      [ -olderthan=<days> ] [ -batchsize=<size> ] [ -cleanstarttime=<yyyymmdd:hhmm> 
      [ -cleanperiodicinterval=<hours> ] ] | -disable ]  
./BESAdmin.sh -audittrailcleaner -preview [ [ -oldcontent ] [ -oldactions ] [
      -oldrelaydatfile ] [ -deletedcontent ] [ -deletedactions ] [ -uselessactionresults ] [
      -orphanedsubactions ] [ -hiddenactions=<days> ] [ -deletedmailbox ] [ -olderthan=<days> ] 
      | [ -scheduled ] ]
各部の意味は以下のとおりです。
  • displaysettings を指定すると、schedule アクションを使用して以前に定義した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。
  • preview を指定すると、指定された設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、-scheduled オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、クリーンアップ・タスク・アクティビティーのロギングを参照してください。

changeprivatekeypassword
license.pvk ファイルに関連付ける新規パスワードを求めるプロンプトを出すために、このサービスを使用できます。コマンドを実行するには、次の構文を使用します。 
./BESAdmin.sh -changeprivatekeypassword -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
createwebuicredentials
このサービスを使用して、WebUI 資格情報として使用される資格情報を生成します。コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -createwebuicredentials 
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password> -webUICertDir=<path> 
-webUIHostname=<WebUIHostnameOrIP>
このサービスによって、 webUICertDir オプションで指定したパスに、cert_WebUIHostnameOrIP というフォルダーが生成されます。
webUICertDir
パスを資格情報を含む新しいフォルダーの親フォルダーに指定します。このフォルダーは必須です。
webUIHostname
WebUI をホストするコンピューターのホスト名または IP アドレスを指定します。
注: WebUI 資格情報の証明書を生成する必要がありながら、デプロイメントに WebUI がない場合は、次の設定を行います。
webUICertDir
BigFix サーバー・フォルダーに対する場合 (/var/opt/BESServer)。
webUIHostname
BigFix サーバー の IP アドレスまたはホスト名に対する場合 。
editmasthead
以下のパラメーターを指定することにより、マストヘッド・ファイルを編集できます。
advGatherSchedule (optional, integer)
 values: 
    0=Fifteen Minutes, 
    1=Half Hour, 2=Hour, 
    3=Eight Hours, 
    4=Half day, 
    5=Day, 
    6=Two Days, 
    7=Week, 
    8=Two Weeks, 
    9=Month, 
    10=Two Months
advController (optional, integer)
 values: 
    0=console, 
    1=client, 
    2=nobody 
advInitialLockState (optional, integer)
 values: 
    0=Locked, 
    1=timed (specify duration), 
    2=Unlocked 
advInitialLockDuration (optional, integer)
 values: 
   ( duration in seconds ) 
advActionLockExemptionURL (optional, string)
advRequireFIPScompliantCrypto (optional, boolean)
advEnableFallbackRelay (optional,boolean)
advFallbackRelay (optional, string)
このサービスを実行するための構文は以下のとおりです。 
./BESAdmin.sh -editmasthead -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ][ -display ] 
[ -advGatherSchedule=<0-10> ] [ -advController=<0-2> ]
[ -advInitialLockState=<0|2> | -advInitialLockState=1 
-advInitialLockDuration=<num> ] [ -advActionLockExemptionURL=<url> ]
[ -advRequireFIPScompliantCrypto=<true|false> ] [ -advEnableFallbackRelay=0 |
-advEnableFallbackRelay=1 -advFallbackRelay=<host> ]
追加情報については、 「BigFix 構成ガイド」の 「Linux システムでのマストヘッドの編集」を参照してください。
findinvalidactions
以下のパラメーターを指定することにより、データベース内に無効なアクションがないか調べることができます。
  • (オプション) -deleteInvalidActions: 無効なアクションを削除します。
このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -findinvalidactions [ -deleteInvalidActions ] 
-sitePvkLocation=<path+license.pvk> [ -sitePvkPassword=<password> ]
findinvalidsignatures
以下のパラメーターを指定することにより、 データベース内のオブジェクトの署名を検査することができます。
-list (オプション)
BESAdmin が検出した無効な署名をすべてリストします。
-resignInvalidSignatures (オプション)
BESAdmin が検出したすべての無効な署名への再署名を試行します。
-deleteInvalidlySignedContent (オプション)
無効な署名を持つコンテンツを削除します。
無効な署名について詳しくは、https://hclpnpsupport.hcltech.com/csm?id=kb_article&sysparm_article=KB0023621を参照してください。このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -findinvalidsignatures 
[ -list | -resignInvalidSignatures | -deleteInvalidlySignedContent ]
importlicense
このサービスを使用して、更新済みのライセンスをインポートすることができます。このサービスにより、独立した BigFix の環境で、ライセンスを手動で更新することができます。 
./BESAdmin.sh -importlicense -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ] -licenselocation=<path+license.crt>
license.crt ファイルには、インポート対象の更新済みライセンスが格納されます。
minimumsupportedclient
このサービスは、BigFix 環境で使用される BigFix エージェントの最小バージョンを定義します。
注: この設定に基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能が存在していると想定しても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0 を指定した場合、V9.0 より前の BigFix エージェントによって発行されたアクティビティー (アーカイブ・ファイルやレポート・アップロードなど) は実行できなくなることも、制限されることもありません。この動作は、minimumsupportedclient サービスが設定されていない場合にも適用されます。
  • 9.0 を指定した場合は、次のことを意味します。
    • V9.0 より前の BigFix クライアントによって送信されたレポートなど、署名されていないレポートは、FillDB によって破棄されます。
    • V9.0 より前のバージョンの BigFix クライアントで (例えば archive now コマンドにより) 生成された未署名アーカイブ・ファイルのアップロードは、失敗します。

BES 許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合、minimumsupportedclient サービスは自動的に 9.0 に設定されるため、デフォルトで、V9.0 より前のすべての BigFix クライアントは環境に参加できません。

このサービスが設定されると、それに割り当てられた値は、以下の場合、そのまま残ります。
  • V9.5.6 以降にアップグレードした場合
  • 既存のマストヘッドを使用して BigFix V9.5.6 以降をインストールした場合
いずれの場合も、このサービスが以前に存在していなかった場合は、それ以降も存在しません。
環境で minimumsupportedclient サービスに割り当てられている現行値 <VALUE> は、マストヘッド・ファイルの x-bes-minimum-supported-client-level: <VALUE> 行に表示されます。BigFix サーバーで、BigFix WebUI で入手できる BigFix Query アプリケーションから次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with "x-bes-minimum-supported-client-level:" ) of masthead of site "actionsite"
このサービスを実行するための構文は以下のとおりです。
 ./BESAdmin.sh -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>]
    -minimumsupportedclient=<version>.<release>

[sitePvkPassword=<password>] の指定を省略した場合は、BESAdmin.sh の実行時に、パスワードを対話式に入力するよう求めるプロンプトが表示されます。

例えば、V9.0 より前のエージェントが BigFix 環境でサポートされないことを記述する場合は、次のコマンドを実行します。
 ./BESAdmin.sh -sitePvkLocation=/license/license.pvk -minimumsupportedclient=9.0
minimumsupportedrelay
BigFix V9.5.6 で追加されたこのサービスを使用すると、BigFix エージェントの登録要求に影響を及ぼす特定の基準を適用できます。このサービスを有効にすると、V9.5.6 エージェントの登録要求が署名済みで、かつリレー階層を介して HTTPS プロトコルで送信される場合、V9.5.6 エージェントは V9.5.6 BigFix 環境への登録を継続できます。
注: このサービスに基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能を有効にしても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0.0 を指定した場合、BigFix サーバーは以下を受け入れて管理します。
    • BigFix エージェントからの署名された登録要求と署名されていない登録要求。
    • BigFix エージェントから HTTP プロトコルまたは HTTPS プロトコルを使用して送信された登録要求。
    この動作は、旧バージョンから BigFix V9.5.6 以降にアップグレードする場合にデフォルトで適用されます。この場合、minimumsupportedrelay サービスは、アップグレード時に構成に自動的には追加されません。
  • 9.5.6 以降を指定した場合は、次のことを意味します。
    • BigFix サーバーでは、V9.5.6 以降の BigFix エージェントからの登録要求が適切に署名されている必要があります。
    • V9.5.6 以降の BigFix サーバーおよびリレーでは、BigFix エージェントの登録データを交換するときに HTTPS プロトコルが強制的に使用されます。
    この動作が実施されると、以下の副次作用があります。
    • V9.0 より前の BigFix エージェントは、HTTPS プロトコルを使用して通信することができないため、BigFix サーバーに登録要求を送信できません。
    • V9.5.6 より前のバージョンの BigFix リレーでは、正しく署名された登録要求を処理できないため、それらのリレーを使用する BigFix クライアントは登録を継続できないか、あるいは別の親リレーまたは直接サーバーにフォールバックする可能性があります。

ライセンス許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合は、上記の副次的影響がご使用の BigFix デプロイメントに適用されることに注意してください。この特定のインストール・シナリオでは、minimumsupportedrelay サービスが自動的にデフォルトで 9.5.6 に設定されるためです。

環境で minimumsupportedrelay サービスに割り当てられている現行値 <VALUE> は、マストヘッド・ファイルの x-bes-minimum-supported-relay-level: <VALUE> 行に表示されます。BigFix サーバーで、BigFix WebUI で入手できる BigFix Query アプリケーションから次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with 
"x-bes-minimum-supported-relay-level:" ) of masthead of site "actionsite"
この照会によって値が表示されるのは、<VALUE>9.5.6 に設定されている場合だけです。0.0.0 に設定されている場合、値は表示されません。
このサービスを実行するための構文は以下のとおりです。
 ./BESAdmin.sh -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>]
    -minimumsupportedrelay=<version>.<release>.<modification>

[sitePvkPassword=<password>] の指定を省略した場合は、BESAdmin.sh の実行時に、パスワードを対話式に入力するよう求めるプロンプトが表示されます。

例えば、署名されて HTTPS 経由で送信された登録要求のみが BigFix サーバーによって管理されるようにする場合は、次のコマンドを実行できます。
 ./BESAdmin.sh -sitePvkLocation=/license/license.pvk -minimumsupportedrelay=9.5.6
propagateoperatorsites
このサービスは、サーバーがオペレーター・サイトの新規バージョンを伝搬するよう強制します。このコマンドは、サーバー・マイグレーションの後に役立ちます。なぜなら、クライアントがデータを収集できることが確実となり、失敗を防止できるからです。コマンド構文は以下のとおりです。
./BESAdmin.sh -propagateoperatorsites { -propagateAllOperatorSites | 
-propagateOperatorSite=<MastheadUsername> }
propertyidmapper
このサービスは、BFEnterprise データベース内のテーブル (PropertyIDMap) の作成、更新、および削除を行います。このテーブルにより、取得されたプロパティー名が、QUESTIONRESULTS テーブルと LONGQUESTIONRESULTS テーブル内のプロパティーの参照に使用される SiteID、AnalysisID、PropertyID にマップされます。PropertyIDMap テーブルが存在しない場合は、このサービスによって作成されます (その場合は、テーブルの作成権限が必要になります)。プロパティーを作成または削除した後、このサービスを実行して PropertyIDMap テーブルを更新する必要があります。

このサービスの一般的な構文を以下に示します。 

./BESAdmin.sh -propertyidmapper  { -displaysettings | -run [property_idmapper_options] 
       |  -schedule [property_idmapper_options] [scheduling options] }

このサービスの構文は、指定するアクションに応じて異なります。 

./BESAdmin.sh -propertyidmapper -displaysettings 
./BESAdmin.sh -propertyidmapper -run [ -createtable ] [ -removetable ] 
      [ -lookupproperty=<propertyname> ] 
./BESAdmin.sh -propertyidmapper -schedule [ -createtable -starttime=<yyyymmdd:hhmm> 
     [ -interval=<hours> ] | -disable ]
各部の意味は以下のとおりです。
  • displaysettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

removecomputers
このサービスは、以下の各データに対してデータベース操作を実行します。
  • 期限切れコンピューター (-deleteExpiredComputers) コンピューターからレポートが最近送信されていない場合、そのコンピューターが「削除済み」としてマークされます。
  • 削除済みコンピューター (-purgeDeletedComputers): すでに削除済みとしてマークされ、一定期間が経過してもレポートを送信しなかったコンピューターのデータが、データベースから物理的に削除されます。データベースで論理的に削除 (IsDeleted = 1) されているエージェント自体ではなく、エージェントに関連するデータ (操作の結果やプロパティーなど) が削除されます。そのため、結果的に、同じエージェントが再びアクティブ化した場合、それが認識され、以前のコンピューター ID を再使用します。
  • 重複したコンピューター (-deleteDuplicatedComputers): 同じ名前のコンピューターが複数存在する場合、古いコンピューターが削除済みとしてマークされます。
  • 削除済みコンピューターの削除 (-removeDeletedComputers): 指定された日数以上 (最低 30 日)、削除済みとしてマークされている (IsDeleted = 1) コンピューターの情報が、データベースから物理的に削除されます。エージェント自体の情報 (コンピューター ID など) が削除されます。そのため、結果として、同じエージェントが再びアクティブ化した場合、まったく新しいコンピューター ID がエージェントに割り当てられます。
  • アップロード済みファイルの削除 (-removeDeletedUploads): 削除済みとしてマークされているアップロード済みファイルの定義が、データベースから物理的に削除されます。
  • 削除済みコンピューターのアップロード済みファイルの削除 (-eraseUploadFilesForRemovedComputers): データベースからその定義が削除された、クライアントによってアップロードされたすべてのファイルが、BigFix サーバー・ファイルシステムから物理的に削除されます。
  • 名前によるコンピューターの削除 (-removeComputersFile): 改行で区切られたコンピューター名のリストが記述されているテキスト・ファイルを受け取り、そのリストに指定されているコンピューターが適用環境から削除されます。
このサービスの一般的な構文を以下に示します。 
./BESAdmin.sh -removecomputers  { -displaySettings | -run [remove_computers_options] 
       | -schedule [remove_computers_options] [scheduling options] 
       | -preview [remove_computers_options] [preview options] }
指定されるアクションに応じて、この構文は以下のようになります。
./BESAdmin.sh -removecomputers -displaySettings 
./BESAdmin.sh -removecomputers -run [ -deleteExpiredComputers=<days> ] 
    [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ]
    [ -eraseUploadFilesForRemovedComputers ] 
    [ -purgeDeletedComputers=<days> ] 
    [ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] 
    [ -removeComputersFile=<path> ] [ -batchSize=<batch size> ]
./BESAdmin.sh -removecomputers -schedule [ [ -deleteExpiredComputers=<days> ] 
    [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ]
    [ -eraseUploadFilesForRemovedComputers ] 
    [ -purgeDeletedComputers=<days> ]
    [ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] 
    [ -removeStartTime=<YYYYMMDD:HHMM> [ -removePeriodicInterval=<Hours> ] ]
    [ -batchSize=<batch size> ] | -disable ] 
./BESAdmin.sh -removecomputers -preview [ [ -deleteExpiredComputers=<days> ] 
    [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ]
    [ -eraseUploadFilesForRemovedComputers ] 
    [ -purgeDeletedComputers=<days> ][ -deleteDuplicatedComputers 
    [ -duplicatedPropertyName=<PropertyName> ] ] | [ -scheduled ] ]
各部の意味は以下のとおりです。
  • displaySettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。
  • preview を指定すると、指定された設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、-scheduled オプションを使用します。
注: -removeDeletedComputers オプションを使用する場合、日数は 30 日未満であってはなりません。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

repair
このコマンドを使用すると、データベースに保存された鍵とファイル・システムに保存された鍵の間の不整合を処理できます。
./BESAdmin.sh -repair -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
キーワード ServerSigningKey および ClientCAKey が存在しない場合、/var/opt/BESServer の下に作成されます。このコマンドは、サイトのライセンスの更新も行います。
reportencryption
レポート・メッセージの暗号化の生成、ローテーション、有効化、および無効化を行うには、以下のコマンドを実行します。 
./BESAdmin.sh -reportencryption { -status |
  -generatekey [-privateKeySize=<min|max>] 
               [-deploynow=yes | -deploynow=no -outkeypath=<path>] 
               -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -rotatekey [-privateKeySize=<min|max> ] 
             [-deploynow=yes | -deploynow=no -outkeypath=<path> ] 
             -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -enablekey -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -disable -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] }
各部の意味は以下のとおりです。
状況
暗号化のステータス、およびそのステータスで使用できる引数を示します。
generatekey
新規の暗号化キーを生成することができます。
rotatekey
暗号化キーを変更することができます。
enablekey
暗号化キーを有効にすることができます。
無効化
暗号化キーを「保留中」状態にすることができます。disable 引数を指定して reportencryption コマンドをもう一度実行すると、暗号化は「保留中」状態から「無効」状態に変更されます。
deploynow=yes
レポート暗号化キーを、暗号化解除のためにサーバーにデプロイします。
deploynow=no -outkeypath=<path>
暗号化キーはサーバーにデプロイされませんが、outkeypath パスに保存されます。
このコマンドおよび動作について詳しくは、 クライアントの暗号化の管理を参照してください。
resetdatabaseepoch
BigFix Enterprise Service V7.0 以降のバージョンで、すべてのコンソール・キャッシュ情報をクリアします。次のコマンドを実行すると、
./BESAdmin.sh -resetdatabaseepoch
以降のコンソール・ログインではそれらのキャッシュ・ファイルが再読み込みされます。
resignsecuritydata
コンソールにログインするときに、次のエラーを受け取る場合があります。 
class SignedDataVerificationFailure 
HTTP Error 18: An unknown error occurred while transferring data from the server
BigFix コンソールにログインする場合、以下のコマンドを入力して、データベース内のすべてのユーザー・コンテンツを再署名する必要があります。 
./BESAdmin.sh -resignSecurityData
このコマンドは、既存の鍵ファイルを使用するセキュリティー・データを再署名します。以下のパラメーターを指定することもできます。
-mastheadLocation=<path+actionsite.afxm>
このサービスを実行するための完全な構文は以下のとおりです。
./BESAdmin.sh -resignsecuritydata -sitePvkLocation=<path+license.pvk>
[ -sitePvkPassword=<password> ] -mastheadLocation=<path+actionsite.afxm>
revokewebuicredentials
指定したWebUI インスタンスの認証証明書を取り消すことができます。
このサービスを実行するための構文は以下のとおりです。 
./BESAdmin.sh -revokewebuicredentials -hostname=<host> -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<pvk_password>
指定した hostname に対して認証証明書を発行すると、この証明書が取り消され、その hostname 上で実行されている WebUI インスタンスはルート・サーバーに接続できなくなります。

WebUI ホストの資格情報を取り消すと、ルート・サーバーに接続できなくなります。WebUI インストールを削除するか、そのホストの新しい資格情報を作成して、そのホストの古い証明書ファイルを置き換えることができます。

rotateserversigningkey

サーバー・秘密鍵をローテーションして、ファイル・システム内のキーをデータベース内のキーに一致させることができます。このコマンドは、新しいサーバー署名鍵を作成し、その新しい鍵を使用するすべての既存のコンテンツを再署名し、 古い鍵を取り消します。

このサービスを実行するための構文は以下のとおりです。

./BESAdmin.sh -rotateserversigningkey -sitePvkLocation=<path+license.pvk>
[ -sitePvkPassword=<password> ]
securitysettings
NIST セキュリティー標準に準拠するように拡張セキュリティー・オプションを構成するには、以下のコマンドを実行します。
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
{ -status | -enableEnhancedSecurity [-requireSHA256Downloads] 
| -disableEnhancedSecurity | -requireSHA256Downloads | -allowSHA1Downloads} 
[ -testTLSCipherList | -setTLSCipherList | -listTLSCiphers | -removeTLSCipherList ]
[ -hideFromFieldFromMasthead | -showFromFieldFromMasthead ]
[ -enableLocalOperators | - disableLocalOperators]
各部の意味は以下のとおりです。
状況 (status)
BigFix 環境に設定されたセキュリティー設定のステータスを示します。
例:
./BESAdmin.sh -securitysettings -sitePvkLocation=/root/backup/license.pvk
-sitePvkPassword=mypassw0rd -status

Enhanced security is currently ENABLED
SHA-256 downloads are currently OPTIONAL
enableEnhancedSecurity | disableEnhancedSecurity
すべてのデジタル署名とコンテンツ検証に SHA-256 暗号ダイジェスト・アルゴリズムが採用され、BigFix コンポーネント間通信に TLS 1.2 プロトコルが採用される、拡張セキュリティーを有効または無効にします。
警告: BigFix バージョン 9.0 以前のコンポーネントは BigFix バージョン 9.5 のサーバーやリレーと通信できないため、enableEnhancedSecurity 設定を使用すると、前のバージョンとの互換性がなくなります。拡張セキュリティー・モードを無効にすると、BESRootServer サービスの自動再始動が失敗します。この問題を解決するには、このサービスを手動で再始動してください。

BigFix の拡張セキュリティー機能およびサポートされるセキュリティー構成について詳しくは、セキュリティー構成シナリオを参照してください。

requireSHA256Downloads
SHA-256 アルゴリズムを使用してダウンロードした後もデータが変更されていないようにします。
注: 「SHA-256 ダウンロードが必要」オプションは、「拡張セキュリティーを有効にする」を選択した場合にのみ使用できます。
allowSHA1Downloads
必ず SHA-1 アルゴリズムを使用してファイル・ダウンロードの整合性チェックが実行されるようにします。
testTLSCipherList | setTLSCipherList | listTLSCiphers | removeTLSCipherList

TLS 暗号リストが BigFix コンポーネントと互換性があるかどうかをテストするには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-testTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

適切な TLS 暗号リストを特定したら、次のコマンドを実行して設定できます。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-setTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

現在有効なすべての TLS 暗号のリストを取得するには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-listTLSCiphers

デプロイメント・マストヘッドから TLS 暗号リストを削除して、デフォルトの暗号リストに戻すには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-removeTLSCipherList
-hideFromFieldFromMasthead | -showFromFieldFromMasthead
マストヘッドの「送信元」フィールドに表示される値 (ライセンス担当者のメール・アドレスを含む) の表示/非表示を指定できます。フレッシュ・インストール時には、値は非表示で "hideFromFieldFromMasthead" オプションが 1 に設定されています。アップグレード時には、この値は変更されません。
例えば、値を非表示にする場合は、次のコマンドを実行します。 
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
-sitePvkPassword=<password> -hideFromFieldFromMasthead
-enableLocalOperators | -disableLocalOperators
ローカル・オペレーターの BigFix 環境 (BigFix コンソール、Web レポート、REST API、および Web UI) へのログインを有効または無効にするかどうかを指定できます。有効/無効の選択項目は、BFEnterprise データベースに保管されます。ローカル・オペレーターのログインを無効にすると、LDAP ユーザーにのみアクセス権限が付与されます。
例えば、ローカル・オペレーターのログインを無効にするには、次のコマンドを実行します。 
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
-sitePvkPassword=<password> -disableLocalOperators
注: ローカル・オペレーターは、デフォルトで有効になっています。
setadvancedoptions
特定のインストール済み環境に適用されるグローバル設定をリストするか、構成することができます。このサービスを実行するための完全な構文は以下のとおりです。
./BESAdmin.sh -setadvancedoptions -sitePvkLocation=<path+license.pvk>
[-sitePvkPassword=<password>]  
{ -list | -display 
| [ -f ] -delete option_name 
| [ -f ] -update option_name=option_value }
例:
  • コンソールまたは Web レポート・ログイン・バナーをカスタマイズするには、以下のコマンドを入力します。
    ./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk 
-sitePvkPassword=pippo000 -update loginWarningBanner='new message'
  • BigFix サーバーが V9.5.7 以降の場合、エンドポイントは複製の可能性があるとサーバーが検出したときにコンピューター・エントリーが重複しないようにするため、以下のコマンドを実行します。 
    ./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk 
-sitePvkPassword=pippo000 -update clientIdentityMatch=100

設定できる使用可能なオプションのリストについては、詳細オプションのリストを参照してください。

setproxy
企業でプロキシーを使用してインターネットにアクセスする場合は、プロキシー接続を設定して、BigFix サーバーがサイトからコンテンツを収集できるようにする必要があります。また、コンポーネント間通信やファイルのダウンロードもできるようにする必要があります。

コマンドの実行方法と各引数で使用する値について詳しくは、プロキシー接続のサーバー上での設定を参照してください。

syncmastheadandlicense
製品をアップグレードする場合は、このオプションを使用して更新ライセンスをマストヘッドと同期させ、データベース内のすべてのコンテンツを SHA-256 で再署名する必要があります。このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -syncmastheadandlicense -sitePvkLocation=<path+license.pvk> 
[-sitePvkPassword=<password>]
testproxyconnection
プロキシー接続をテストできます。このサービスを実行するための構文は以下のとおりです。
BESAdmin.sh -testproxyconnection -proxyHost=<host> [ -proxyPort=<port> ] 
[ -proxyUser=<user> -proxyPassword=<pass> ] [ -proxyExcList=<list> ] [ -proxyAuthMeth=<method> ] 
[ -proxySecTunnel=<true|false> ] [ -fips ]
updatepassword

特定の構成内の 製品コンポーネントによって認証に使用されるパスワードを変更することができます。

このサービスを実行するための構文は以下のとおりです。

./BESAdmin.sh -updatepassword -type=<server_db|dsa_db>
[-password=<password>] -sitePvkLocation=<path+license.pvk> 
[-sitePvkPassword=<pvk_password>]
各部の意味は以下のとおりです。
-type=server_db
データベースで認証するためにサーバーによって使用されるパスワードを更新するには、この値を指定します。

この値を変更すると、コマンドはすべての BigFix サーバー・サービスを再始動します。

-type=dsa_db
データベースで認証するためにサーバーによって DSA 構成内で使用されるパスワードを更新するには、この値を指定します。
-password 設定と -sitePvkPassword 設定はオプションです。それらがコマンド構文内で指定されていない場合、それらの値は実行時に対話式に要求されます。このコマンドによって設定されるパスワードは難読化されます。