情報取得できない原因について
KsocketとKsbridgeを利用し、SonarとKsocketの接続を確認いたしました。
手順書通りに設定ファイル変更、スキャン対象側Windows機の設定を行いましたが、
スキャンを実施すると、ホスト名以外の情報が取得できませんでした。
情報が取得できない原因として考えられる点はございますか。
また、何度かスキャンを実施した中で、ホスト名の後ろに「(2)」が表示されたのですが、
なぜ表示されるのでしょうか。
-
ご質問ありがとうございます。
スキャンの際IPアドレスやホスト名しか取得できないとのことですが、この場合下記2つの原因が考えられます。
- WinRMの接続情報設定が間違っている(マニュアル「3.2.2 WinRM (Windows に対しての接続)」の部分)
主に下記をご確認ください
- includes 設定にスキャン対象が含まれているか
- authMethod 設定が ntlm になっているか(デフォルトは basic ですが、現在は ntlm が無難です)
- 認証情報が合っているか
- 対象の Windows ホストで WinRM を有効化していない
Windows ホストに対するスキャンでは WinRM を有効化しておく必要があります。
下記ページに詳細が記載されておりますので、ご参考になれば幸いです。
https://support.kompira.jp/column/winrmenableconnection/
(後半に記載されている自動設定スクリプトによる設定が推奨です)
また、IPアドレス(ホスト名)の後ろに (2) 等が表示される件については、同じホストで複数のIPアドレスが検出された場合に表示されます。
よろしくお願いいたします。
- WinRMの接続情報設定が間違っている(マニュアル「3.2.2 WinRM (Windows に対しての接続)」の部分)
-
ご回答ありがとうございます。
ご提示いただいた内容について、それぞれ下記のように設定しておりますが、
ホスト名のみの取得となります。・WinRMの接続情報設定が間違っている
- includes 設定にスキャン対象が含まれているか
→取得項目確認のため「XXX.XXX.XXX.XXX/32」のように、1つのみ記載しております。- authMethod 設定が ntlm になっているか(デフォルトは basic ですが、現在は ntlm が無難です)
→どちらの設定でも検証いたしました。- 認証情報が合っているか
→再度確認いたしました。・対象の Windows ホストで WinRM を有効化していない
→自動設定スクリプトでの設定ではなく、PowerShellの管理者権限で設定いたしました。また、WinRMの接続に問題ないことをコマンドで確認しております。
-
確認の方ありがとうございます。
WInRM設定をPowerShellの管理者権限で設定したとの事ですが、前回ご案内したURLにあるSDDL設定(winrm configSDDL default)、及びWMI権限設定(wmimgmt.msc)も完了しておりますでしょうか?
この部分の設定は多少分かりづらいものとなっておりますので、可能であれば自動設定スクリプトにて設定していただければ幸いです。また、WInRM有効化コマンド(winrm qc)で有効化した際、ネットワーク接続の種類にパブリックが含まれる場合はFirewall設定が自動的に行われません。
既にコマンドにてWinRM接続に問題ないことをご確認いただいておりますが、念のためWindows Firewallの設定でポート5985が開放されているかをご確認いただければと思います。よろしくお願いいたします。
-
ご返信の方遅くなり申し訳ございません。
詳細情報が取得できない事についてですが、ksocket から対象ホストまでうまく通信できていない可能性が高いと思われます。
これ以上の調査は ksocket の DEBUG ログを参照する必要があり、こちらをご送付いただくことは可能でしょうか?
もし可能でしたらこちらからログファイル、及び対象ホストの IP アドレスを記載したメモをご送付いただけると助かります。
(アップロードしたファイルは公開されず、弊社内での調査にのみ使用いたします)また、取得先サーバの変更でMACアドレスが取得できたとのことですが、下記のような場合にMACアドレスが取得できます。
- 対象ホストが ksocket ホストと同一セグメント内に存在する場合
この場合は直接ARPにてMACアドレスを取得します - 認証情報を使用してSSH/WinRM/SNMP経由で詳細情報が取得できる場合
- 対象ホストと同一セグメントに存在するネットワーク機器(ルーター、スイッチ等)のARPキャッシュから、対象ホストのIP・MACアドレス情報が取得できた場合(SNMP経由)
- 対象ホストと同一セグメントに存在するLinux/WindowsマシンのARPキャッシュから、対象ホストのIP・MACアドレス情報が取得できた場合(SSH/WinRM経由)
よろしくお願いいたします。
- 対象ホストが ksocket ホストと同一セグメント内に存在する場合
サインインしてコメントを残してください。
コメント
5件のコメント