CA APM for Web Servers の使用
内容
apmdevops102jp
内容
このセクションでは、CA APM for Web Servers を効果的に使用する方法について説明します。
HTTPS サポート
CA APM for Web Servers は、HTTPS プロトコルで Web サーバを検出し監視する機能を提供します。
注:
この拡張機能では、サーバからクライアントへの証明書認証がサポートされます。ただし、クライアント側の証明書認証はサポートされません。SSL v3.0 および TLS v1.0 で有効:
CA APM for Web Servers は、HTTPS を使用して通信を行う Web サーバを検出および監視できます。SSL v3.0 および TLS v1.0 がサポートされています。SSL v2.0 および PCT v1.0 はサポートされていません。Permissive または Non-permissive の 2 つのモードで動作するよう、CA APM for Web Servers を設定することができます。
Permissive モードでは、CA APM for Web Servers は、すべての種類の Web サーバの証明書を受け入れる許可クライアントとして動作します。これらの証明書には、無署名証明書、自己署名証明書、信頼できる証明書、期限切れの証明書が含まれます。
non-permissive モードでは、CA APM for Web Servers は期限が切れていない信頼できる証明書のみを受け入れます。このモードを設定するには、CA APM for Web Servers がインストールされているマシン上のトラストストア ファイルに Web サーバ証明書をインポートすることにより、それを利用できる状態にする必要があります。このモードの HTTPS 経由で複数の Web サーバを検出または監視するように CA APM for Web Servers を設定する場合、これらすべての Web サーバからの Web サーバ証明書をトラストストア ファイルにインポートする必要があります。
CA APM for Web Servers は、両方のモードで SSL v3.0 または TLS v1.0 を介して Web サーバと通信するように設定できます。プロトコルは Web サーバの設定に応じて選択する必要があります。
以下の属性を使用して、CA APM for Web Servers を HTTPS で動作するように 設定します。
- プロトコル - CA APM for Web Servers が Web サーバとの通信を試みるプロトコルを定義します。デフォルトは SSLv3.0 です。
- モード - CA APM for Web Servers が Web サーバと通信するモードを定義します。サポートされているモードは Permissive モードおよび Non-Permissive モードです。デフォルトは Non-Permissive モードです。デフォルトのモードを使用する場合、AgentConfigTool.batファイルを使用して、トラストストアの設定をAgentConfig.propertiesファイルで提供する必要があります。
注:
Non-Permissive モードでは、証明書がトラストストア ファイルに含まれていても、期限切れの証明書を持つ Web サーバは監視されません。重要: Sun JRE 1.4.x で有効
-- Sun JRE 1.4.x 以降でサポートされている暗号スイートのみが CA APM for Web Servers によってサポートされます。詳細については「CA APM for Web Servers CipherSuites」を参照してください。この CA APM for Web Servers は X.509 Public Key Infrastructure Certificate 形式のみをサポートします。CA APM for Web Servers を設定して HTTPS で通信する Web サーバを検出および監視する方法
- HTTPS を実装する Web サーバを自動検出して自動監視する場合は、「Web サーバの自動検出の設定」を参照し、DiscoveryConfig.xmlファイルを設定します。
- Web サーバを自動検出せずに監視のみを開始する場合は、「CA APM for Web Servers によるWeb サーバの監視に必要な手動設定」を参照し、WebServerConfig.xmlファイルを設定します。
- Non-Permissive モードを使用する場合は、以下を設定する必要があります。
- Web サーバ ホストから、CA APM for Web Servers エージェントがインストールされているホストに証明書をコピーします。
- トラストストアに証明書をインポートします。コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。keytool - import - alias <alias name to the certificate> - file <path of the certificate> - keystore <name of truststore file> - storepass <password>このコマンドは、-keystoreオプションで定義されているトラストストアに、-fileオプションで定義されている証明書をインポートします。複数の Web サーバが HTTPS での検出または監視に対して設定されている場合、各 Web サーバからのWeb サーバ証明書はトラストストア ファイルにインポートされる必要があります。CA APM for Web Servers 用のトラストストア設定を行う際に指定するトラストストア パスワードは、keytool コマンドの-storepassオプションで指定したパスワードに一致する必要があります。注:keytool は Sun JRE に付属する鍵と証明書の管理ユーティリティです。
- トラストストア プロパティを指定します。指定しない場合、監視と自動検出は失敗します。Windows の場合については、「手順 4: Windows での AgentConfig.properties ファイルの設定」を参照してください。UNIX の場合については、「手順 3: UNIX での AgentConfig.properties ファイルの設定」を参照してください。
Web サーバのサポートの改善
CA APM for Web Servers には、Oracle HTTP Server、およびすべての新しい基本バージョンの Apache、Microsoft IIS とそのバリエーションのサポートが含まれます。
さらに、この機能は、標準ではサポートされていないプラグアンドプレイ Web サーバをサポートします。この機能は検出と監視に利用可能です。また、以下の Web サーバの検出および監視を設定できます。
- Apache Web サーバをベースにした新しい Web サーバ
- 検出用の新しい Web サーバを設定するために、FingerPrintMatcherエレメントが変更されました。FingerPrintMatcherエレメントでは、検出する Web サーバの情報をbase:variantの形式で保持している必要があります。ここで base は、バリエーションが構築されるベース Web サーバを定義します。DiscoveryConfig.xmlファイル内に以下の形式でFingerPrintMatcherエレメントを指定します。<Port Number="443" Type="TCP" Protocol="SSL"Mode="Non-Permissive"><FingerPrintMatcher>Apache</FingerPrintMatcher><FingerPrintMatcher>Apache:IBM_HTTP_SERVER</FingerPrintMatcher><FingerPrintMatcher>Apache:Oracle-HTTP-Server</FingerPrintMatcher></Port>
Web サーバ タイプは
WebServerConfig.xml
ファイル内に以下の形式で指定する必要があります。<WebServer Type="base:variant">
variant
は Web サーバによって返されたサーバ応答ヘッダの一部です。base
は、バリエーションが構築されるベース Web サーバを定義します。たとえば、Oracle-HTTP-Server は Apache ベースの Web サーバのバリエーションであり、
WebServerConfig.xml
ファイルで以下のように定義される必要があります。<WebServer Type="Apache:Oracle-HTTP-Server">
Apache、Microsoft IIS をベースにした特定の Web サーバのバリエーション名が不明な場合は、Windows の場合は
ServerVersionFinder.bat
、UNIX または Linux の場合は ServerVersionFinder.sh
をそれぞれ使用して、特定の HTTP または HTTPS サーバのサーバ ヘッダを検索してください。特定の HTTP または HTTPS サーバのサーバ ヘッダを検索する方法
- Windows のコマンド プロンプト、または UNIX/Linux のコンソールを開き、ServerVersionFinderファイルが存在するディレクトリに移動します。
- バッチまたはシェル スクリプト ファイルの名前を入力し、Enter キーを押します。サーバ ヘッダを検索する Web サーバにアクセスするための、完全な URL を入力するように促されます。
- 完全な URL を入力し、Enter キーを押します。例:http://Wily-Apache-New:88コマンド ウィンドウまたはコンソールに、Web サーバのサーバ ヘッダが表示されます。注:入力した URL が有効でアクセス可能な場合にのみ、Web サーバのサーバ ヘッダが表示されます。
以下の図は
ServerVersionFinder.bat
または ServerVersionFinder.sh
ファイルがどのように実行されるかの例です。#*****************************************************************************#* ## Use this script to find the server header of any server by specifying ## the complete URL in the form <http/https>://<servername>:<port>* ##*****************************************************************************##Enter the complete server URL to find display its server header:http://gokch01-2k3testGiven URL is valid...Server Header is: Microsoft-IIS/6.0Do you want to try with another server <y/n>?
Investigator ツリーの[Discovered Servers]ノード下に、ベース サーバ タイプの展開可能なノードが表示されます。このノードの下では、ベース サーバのすべてのバリエーションが表示されます。
注:
Apache 1.3 Web Server などのサーバ バージョンは Investigator ツリーに表示されません。ただし、Web サーバの[Info]メトリックの下でバージョン情報は常に取得できます。CA APM for Web Servers はまた、Apache および Apache ベースの Web サーバ用にカスタマイズされたメトリックをサポートします。
秒あたりのメトリックから間隔ごとのメトリックへの変更
さまざまな Web サーバ用のメトリックは秒単位ではなく特定の間隔でレポートされます。
秒あたりのメトリック データが端数である場合、データはゼロ値として表示されるため、誤解を招きます。この状況を回避するために、秒あたりのメトリックをすべて間隔あたりのメトリックに設定できます。
以下の手順に従います。
- 手動で属性RefreshFrequencyInSecondsを<WebServer>タグに追加し、WebServerConfig.xml内の必要な値に設定します。たとえば、レポート間隔が 60 秒の Apache Web サーバに対して、WebServerConfig.xml ファイルのエントリは以下のようになります。<WebServer Type="Apache" ServerURL="http://W-Apache" DisplayName="W-Apache-60sec" RefreshFrequencyInSeconds="60"/>注:RefreshFrequencyInSeconds属性は各 Web サーバに固有です。この属性が指定されていない Web サーバの場合、デフォルトは 15 秒です。
- 監視対象のすべての Web サーバの[Info]ノードの下に表示された[Reporting Interval]メトリックを確認します。このメトリックの値は、各 Web サーバに対して指定されたRefreshFrequencyInSeconds属性の値に対応します。
統計ページの場所の設定
サポートされているすべての Web サーバで、Web サーバ統計を発行するために使用する HTML ファイルの場所を設定できます。
デフォルトでは、CA APM for Web Servers は次の場所で Web サーバ統計を探します。Apache の場合は
server-status
、Microsoft IIS の場合は iisperfstats
です。以下の手順に従います。
- Web サーバがデフォルトとは異なる場所でその統計を発行するように設定されている場合は、新しい場所を指定するためにWebServerConfig.xmlの属性MetricsURLを使用します。この属性は、各 Web サーバに対して個別に設定します。パスは、ルート パスからの相対パスです。注:検出プロセスは統計ページの場所を検出しません。ある Web サーバがデフォルトの場所とは別の場所でその統計を発行するように設定され、その Web サーバが CA APM for Web Servers によって検出された場合、Web サーバはMetricsURL属性なしでWebServerConfig.xmlファイルに追加されます。この Web サーバについては、正しいMetricsURLを指定してパフォーマンス メトリックを取得します。たとえば、apachestatsと命名されたページでそのメトリックを発行するように設定されている Apache サーバ W-Apache を実行しています。以下のように、このサーバ エントリに対応するMetricsURL属性をWebServerConfig.xmlに追加します。<WebServer Type="Apache" ServerURL="http://W-Apache" DisplayName="W-Apache" MetricsURL="apachestats"/>
- IIS の場合: IIS で作成する仮想ディレクトリ名はカスタマイズ可能であり、MetricsURL属性で指定する必要があります。たとえば、「ssliisstats」にカスタマイズされた仮想ディレクトリを使用してポート 445 上で動作する、HTTPS が有効な IIS サーバがあります。WebServerConfig.xml内の対応するエントリは以下のとおりである必要があります。<WebServer Type="Microsoft-IIS" ServerURL="https://X-IIS:445" Protocol="ssl" Mode="permissive" DisplayName="X-IIS" MetricsURL="ssliisstats"/>