BESAdmin Linux コマンド・ライン

BigFix サーバー・インストーラーは、BigFix 管理ツールを実行するスクリプト BESAdmin.sh/opt/BESServer/bin ディレクトリーに配置します。

このツールにより、マストヘッド・ファイルの編集、データベース内のオブジェクトの署名の確認、拡張セキュリティーの有効と無効の切り替え、データベース内のすべてのユーザー・コンテンツの再署名、サーバー秘密鍵のローテーション、コンソールと Web レポートのログインの構成、およびマストヘッドと更新済みライセンスとの同期を行うことができます。

このスクリプトは、以下の構文を使用して、コマンド・プロンプトからスーパーユーザーとして実行してください。
./BESAdmin.sh -service {arguments}
ここで、service は以下のいずれかのサービスです。
audittrailcleaner
changeprivatekeypassword
createexplorercredentials
createwebuicredentials
editmasthead
findinvalidactions
findinvalidsignatures
getcertificatebundle
importlicense
minimumsupportedclient
minimumsupportedrelay
propagateoperatorsites
propertyidmapper
removecomputers
repair
reportencryption
resetdatabaseepoch
resignsecuritydata
revokeexplorercredentials
revokewebuicredentials
rotateexplorercredentials
rotateserversigningkey
securitysettings
setadvancedoptions
setproxy
syncmastheadandlicense
testproxyconnection
updatepassword
注: コマンド構文で使用される表記 <path+license.pvk> は、path_to_license_file/license.pvk を表します。
各サービスには、以下の arguments があります。
audittrailcleaner

このサービスを実行して、BFEnterprise データベースから監査証跡として保管されている履歴データを削除することができます。この監査証跡は、BigFix の適用環境の存続期間にわたり、少しずつサイズが大きくなっていきます。監査証跡には、削除されたバージョンと古いバージョンの Fixlet、タスク、ベースライン、プロパティー、メールボックス・ファイル、アクション、および分析が保管されます。監査証跡は BigFix ではまったく使用されないため、削除してデータベース・サイズを削減することができます。BigFix では、監査証跡を保持するため、現在のデータベースの履歴アーカイブを作成して安全な場所に保存してから、このツールを実行することをお勧めしています。これにより、製品データベースから監査証跡が削除されますが、履歴が完全に削除されるわけではありません。

このサービスでは、以下の各データについて、カウント処理と削除処理を実行することができます。

  • 旧バージョンの作成済みカスタム・コンテンツ (-oldcontent): 既存の Fixlet、タスク、ベースライン、および分析を編集するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンのアクション (-oldactions): アクションを停止または開始するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンの Relay.dat (-oldrelaydatfile): リレーのインストールやアンインストールを実行するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • アップロードされた古いファイル (-deleteolduploadedfiles): Archive Manager によって BigFix サーバー上にアップロードされた古いファイルを削除します。このオプションを選択すると、アップロードされてからその有効期間 (デフォルトは 180 日) が経過したときに、古いファイルは削除されます。
  • 削除済みカスタム・コンテンツ (すべてのバージョン) (-deletedcontent): コンソールを使用して、Fixlet、タスク、ベースライン、および分析を削除すると、データベース内でそのデータに削除済みのマークが付けられますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたコンテンツとそれに対応するクライアント・レポートは、削除してかまいません。
  • 削除済みアクション (すべてのバージョン) (-deletedactions): コンソールを使用してアクションを削除すると、データベース内でそのデータが削除済みとしてマークされますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたアクションとそれに対応するクライアント・レポートは、削除してかまいません。
  • 使用できないアクション結果 (-uselessactionresults): 旧バージョンの BigFix を使用すると、まったく使用されない ActionResults がクライアントによってレポートされるにもかかわらず、データベース内の領域を占有する場合があります。こうした不要な ActionResults は削除してかまいません。
  • 孤立したサブアクション (-orphanedsubactions): 削除済みの複数のアクション・グループに属するもの。
  • 非表示のマニュアル・コンピューター・グループ・アクション (-hiddenactions): マニュアル・コンピューター・グループにより、グループに対してコンピューターの追加や削除を行う非表示のアクションが作成されます。こうしたアクションは、時間の経過とともに増えていく可能性があります。このオプションを選択すると、アクションが作成されてからその有効期間 (デフォルトは 180 日) が経過したときに、そのアクションが削除されます。
  • 旧バージョンのメールボックス・ファイル (-deletedmailbox): 削除されたメールボックス・ファイルは、データベースのテーブル内に保管されます。こうしたファイルは削除してかまいません。
  • BES コンソールの同期 (-syncconsoles): BigFix コンソールには、データベースのローカル・キャッシュが保存されます。このツールを使用してデータを削除すると、このローカル・キャッシュが非同期の状態になります。この状態を回避するため、監査証跡クリーナー・ツールは、データベース内にフラグを設定します。これにより、BigFix コンソールを次回に起動すると、すべての BigFix コンソールで強制的にキャッシュが再読み込みされます。
  • 指定の日付よりも古いデータ (-olderthan): 指定された日付よりも古いデータが削除されます。デフォルト値は 99 日です。
  • 一括削除 (-batchsize): サイズの大きなデータ・セットを削除すると、SQL トランザクション・ログのサイズが急激に増大し、削除対象のデータのサイズよりも一時的に大きくなります。この状態は、データベースのサイズが縮小するまで続きます。一括削除を実行すると、結果がまとめて削除されます。
このサービスの構文は、指定するアクションに応じて異なります。
./BESAdmin.sh -audittrailcleaner { -displaysettings | -run [delete_data_options] |  
          -schedule [delete_data_options] [scheduling options] | -preview [delete_data_options] 
           [preview options] }
./BESAdmin.sh -audittrailcleaner -displaysettings 
./BESAdmin.sh -audittrailcleaner -run [ -oldcontent ] [ -oldactions ]
          [ -oldrelaydatfile ] [ -deleteolduploadedfiles ] [ -deletedcontent ] [ -deletedactions ] 
          [ -uselessactionresults ] [ -orphanedsubactions ] [ -hiddenactions=<days> ] 
          [ -deletedmailbox ] [ -syncconsoles ] [ -olderthan=<days> ] [ -batchsize=<size> ]  
./BESAdmin.sh -audittrailcleaner -sitePvkLocation=<path+license.pvk> [ -sitePvkPassword=<password> ]-schedule[ [ -oldcontent ] [ -oldactions ] [ -oldrelaydatfile ] [ -deleteolduploadedfiles ] [ -deletedcontent ] [ -deletedactions ] [ -uselessactionresults ] [ -orphanedsubactions ] [ -hiddenactions=<days> ] [ -deletedmailbox ] [ -syncconsoles ] [ -olderthan=<days> ] [ -batchsize=<size> ] [ -cleanstarttime=<yyyymmdd:hhmm> [ -cleanperiodicinterval=<hours> ] ] | -disable ]
./BESAdmin.sh -audittrailcleaner-preview[ [ -oldcontent ] [ -oldactions ] [ -oldrelaydatfile ] [ -deleteolduploadedfiles ] [ -deletedcontent ] [ -deletedactions ] [ -uselessactionresults ] [ -orphanedsubactions ] [ -hiddenactions=<days> ] [ -deletedmailbox ] [ -olderthan=<days> ] | [ -scheduled ] ]
ここで、
  • displaysettings を指定すると、schedule アクションを使用して以前に定義した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。
  • preview を指定すると、指定された設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、-scheduled オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、クリーンアップ・タスク・アクティビティーのロギングを参照してください。

changeprivatekeypassword
license.pvk ファイルに関連付ける新規パスワードを求めるプロンプトを出すために、このサービスを使用できます。コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -changeprivatekeypassword -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
createexplorercredentials
このサービスを使用して、WebUI 証明書のものと同様の方法で、入力ホスト名の BigFix Explorer 証明書を作成します。出力フォルダーに次のファイルが作成されます。
  • ExplorerCertificate「認証」の証明書ファイル: auth_cert.crt
  • ExplorerCertificate「認証」の鍵ファイル: auth_key.key
  • ExplorerCACertificate「認証」の証明書ファイル: ca.crt
  • WebUICACertificate「認証」の証明書ファイル: apica.crt。
コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -createexplorercredentials
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password> 
-explorerCertDir=<path> 
-explorerHostname=<BigFixExplorerHostnameOrIP>
[ -f ]
このサービスによって、explorerCertDir オプションで指定したパスに、cert_explorerHostname というフォルダーが生成されます。
explorerCertDir
パスを資格情報を含む新しいフォルダーの親フォルダーに指定します。このフォルダーは必須です。
explorerHostname
BigFix Explorer をホストするコンピューターのホスト名または IP アドレスを指定します。
createwebuicredentials
このサービスを使用して、WebUI 資格情報として使用される資格情報を生成します。コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -createwebuicredentials 
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password> -webUICertDir=<path> 
-webUIHostname=<WebUIHostnameOrIP>
このサービスによって、 webUICertDir オプションで指定したパスに、cert_WebUIHostnameOrIP というフォルダーが生成されます。
webUICertDir
パスを資格情報を含む新しいフォルダーの親フォルダーに指定します。このフォルダーは必須です。
webUIHostname
WebUI をホストするコンピューターのホスト名または IP アドレスを指定します。
注: WebUI 資格情報の証明書を生成する必要がありながら、デプロイメントに WebUI がない場合は、次の設定を行います。
webUICertDir
BigFix サーバー・フォルダーに対する場合 (/var/opt/BESServer)。
webUIHostname
BigFix サーバー の IP アドレスまたはホスト名に対する場合 。
editmasthead
以下のパラメーターを指定することにより、マストヘッド・ファイルを編集できます。
advGatherSchedule (optional, integer)
 values: 
    0=Fifteen Minutes, 
    1=Half Hour, 2=Hour, 
    3=Eight Hours, 
    4=Half day, 
    5=Day, 
    6=Two Days, 
    7=Week, 
    8=Two Weeks, 
    9=Month, 
    10=Two Months
advController (optional, integer)
 values: 
    0=console, 
    1=client, 
    2=nobody 
advInitialLockState (optional, integer)
 values: 
    0=Locked, 
    1=timed (specify duration), 
    2=Unlocked 
advInitialLockDuration (optional, integer)
 values: 
   ( duration in seconds ) 
advActionLockExemptionURL (optional, string)
advRequireFIPScompliantCrypto (optional, boolean)
advEnableFallbackRelay (optional,boolean)
advFallbackRelay (optional, string)
このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -editmasthead -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ][ -display ] 
[ -advGatherSchedule=<0-10> ] [ -advController=<0-2> ]
[ -advInitialLockState=<0|2> | -advInitialLockState=1 
-advInitialLockDuration=<num> ] [ -advActionLockExemptionURL=<url> ]
[ -advRequireFIPScompliantCrypto=<true|false> ] [ -advEnableFallbackRelay=0 |
-advEnableFallbackRelay=1 -advFallbackRelay=<host> ]
追加情報については、「BigFix 構成ガイド」の../Config/c_editing_the_masthead_linux.htmlを参照してください。
findinvalidactions
以下のパラメーターを指定することにより、データベース内に無効なアクションがないか調べることができます。
  • (オプション) -deleteInvalidActions: 無効なアクションを削除します。
このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -findinvalidactions [ -deleteInvalidActions ] 
-sitePvkLocation=<path+license.pvk> [ -sitePvkPassword=<password> ]
findinvalidsignatures
以下のパラメーターを指定することにより、 データベース内のオブジェクトの署名を検査することができます。
-list (オプション)
BESAdmin が検出した無効な署名をすべてリストします。
-resignInvalidSignatures (オプション)
BESAdmin が検出したすべての無効な署名への再署名を試行します。
-deleteInvalidlySignedContent (オプション)
無効な署名を持つコンテンツを削除します。
無効な署名の詳細については、「コンソールで無効に署名されたコンテンツの問題を解決する」を参照してください。このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -findinvalidsignatures 
[ -list | -resignInvalidSignatures | -deleteInvalidlySignedContent ]
getcertificatebundle
現在のバージョンの BES Admin で使用される証明書バンドル (PEM) をエクスポートできます。バンドルには、マストヘッド内で認証されたすべてのチェーンのすべての証明書が存在します。したがって、例えば、SHA384 を強制すると、バンドル内には SHA384 チェーンのみが存在します。生成されたファイル bundle.pem は、bundleCertDir=<path> オプションで指定したフォルダーにあります。
このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -getcertificatebundle -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ] -bundleCertDir=<path>
importlicense
このサービスを使用して、更新済みのライセンスをインポートすることができます。このサービスにより、独立した BigFix の環境で、ライセンスを手動で更新することができます。
./BESAdmin.sh -importlicense -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ] -licenselocation=<path+license.crt>
license.crt ファイルには、インポート対象の更新済みライセンスが格納されます。
minimumsupportedclient
このサービスは、BigFix 環境で使用される BigFix エージェントの最小バージョンを定義します。
注: この設定に基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能が存在していると想定しても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0 を指定した場合、V9.0 より前の BigFix エージェントによって発行されたアクティビティー (アーカイブ・ファイルやレポート・アップロードなど) は実行できなくなることも、制限されることもありません。この動作は、minimumsupportedclient サービスが設定されていない場合にも適用されます。
  • 9.0 を指定した場合は、次のことを意味します。
    • V9.0 より前の BigFix クライアントによって送信されたレポートなど、署名されていないレポートは、FillDB によって破棄されます。
    • V9.0 より前のバージョンの BigFix クライアントで (例えば archive now コマンドにより) 生成された未署名アーカイブ・ファイルのアップロードは、失敗します。

BES 許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合、minimumsupportedclient サービスは自動的に 9.0 に設定されるため、デフォルトで、V9.0 より前のすべての BigFix クライアントは環境に参加できません。

このサービスが設定されると、それに割り当てられた値は、以下の場合、そのまま残ります。
  • V9.5.6 以降にアップグレードした場合
  • 既存のマストヘッドを使用して BigFix V9.5.6 以降をインストールした場合
いずれの場合も、このサービスが以前に存在していなかった場合は、それ以降も存在しません。
環境で <VALUE> サービスに割り当てられている現行値 minimumsupportedclient は、マストヘッド・ファイルの x-bes-minimum-supported-client-level: <VALUE> 行に表示されます。BigFix サーバーで、BigFix WebUI で入手できる BigFix Query アプリケーションから次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with "x-bes-minimum-supported-client-level:" ) of masthead of site "actionsite"
このサービスを実行するための構文は以下のとおりです。
 ./BESAdmin.sh -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>]
    -minimumsupportedclient=<version>.<release>

[sitePvkPassword=<password>] の指定を省略した場合は、BESAdmin.sh の実行時に、パスワードを対話式に入力するよう求めるプロンプトが表示されます。

例えば、V9.0 より前のエージェントが BigFix 環境でサポートされないことを記述する場合は、次のコマンドを実行します。
 ./BESAdmin.sh -sitePvkLocation=/license/license.pvk -minimumsupportedclient=9.0
minimumsupportedrelay
BigFix V9.5.6 で追加されたこのサービスを使用すると、BigFix エージェントの登録要求に影響を及ぼす特定の基準を適用できます。このサービスを有効にすると、V9.5.6 エージェントの登録要求が署名済みで、かつリレー階層を介して HTTPS プロトコルで送信される場合、V9.5.6 エージェントは V9.5.6 BigFix 環境への登録を継続できます。
注: このサービスに基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能を有効にしても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0.0 を指定した場合、BigFix サーバーは以下を受け入れて管理します。
    • BigFix エージェントからの署名された登録要求と署名されていない登録要求。
    • BigFix エージェントから HTTP プロトコルまたは HTTPS プロトコルを使用して送信された登録要求。
    この動作は、旧バージョンから BigFix V9.5.6 以降にアップグレードする場合にデフォルトで適用されます。この場合、minimumsupportedrelay サービスは、アップグレード時に構成に自動的には追加されません。
  • 9.5.6 以降を指定した場合は、次のことを意味します。
    • BigFix サーバーでは、V9.5.6 以降の BigFix エージェントからの登録要求が適切に署名されている必要があります。
    • V9.5.6 以降の BigFix サーバーおよびリレーでは、BigFix エージェントの登録データを交換するときに HTTPS プロトコルが強制的に使用されます。
    この動作が実施されると、以下の副次作用があります。
    • V9.0 より前の BigFix エージェントは、HTTPS プロトコルを使用して通信することができないため、BigFix サーバーに登録要求を送信できません。
    • V9.5.6 より前のバージョンの BigFix リレーでは、正しく署名された登録要求を処理できないため、それらのリレーを使用する BigFix クライアントは登録を継続できないか、あるいは別の親リレーまたは直接サーバーにフォールバックする可能性があります。

ライセンス許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合は、上記の副次的影響がご使用の BigFix デプロイメントに適用されることに注意してください。この特定のインストール・シナリオでは、minimumsupportedrelay サービスが自動的にデフォルトで 9.5.6 に設定されるためです。

環境で <VALUE> サービスに割り当てられている現行値 minimumsupportedrelay は、マストヘッド・ファイルの x-bes-minimum-supported-relay-level: <VALUE> 行に表示されます。BigFix サーバーで、BigFix WebUI で入手できる BigFix Query アプリケーションから次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with 
"x-bes-minimum-supported-relay-level:" ) of masthead of site "actionsite"
この照会によって値が表示されるのは、<VALUE>9.5.6 に設定されている場合だけです。0.0.0 に設定されている場合、値は表示されません。
このサービスを実行するための構文は以下のとおりです。
 ./BESAdmin.sh -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>]
    -minimumsupportedrelay=<version>.<release>.<modification>

[sitePvkPassword=<password>] の指定を省略した場合は、BESAdmin.sh の実行時に、パスワードを対話式に入力するよう求めるプロンプトが表示されます。

例えば、署名されて HTTPS 経由で送信された登録要求のみが BigFix サーバーによって管理されるようにする場合は、次のコマンドを実行できます。
 ./BESAdmin.sh -sitePvkLocation=/license/license.pvk -minimumsupportedrelay=9.5.6
propagateoperatorsites
このサービスは、サーバーがオペレーター・サイトの新規バージョンを伝搬するよう強制します。このコマンドは、サーバー・マイグレーションの後に役立ちます。なぜなら、クライアントがデータを収集できることが確実となり、失敗を防止できるからです。コマンド構文は以下のとおりです。
./BESAdmin.sh -propagateoperatorsites { -propagateAllOperatorSites | 
-propagateOperatorSite=<MastheadUsername> }
propertyidmapper
このサービスは、BFEnterprise データベース内のテーブル (PropertyIDMap) の作成、更新、および削除を行います。このテーブルにより、取得されたプロパティー名が、QUESTIONRESULTS テーブルと LONGQUESTIONRESULTS テーブル内のプロパティーの参照に使用される SiteID、AnalysisID、PropertyID にマップされます。PropertyIDMap テーブルが存在しない場合は、このサービスによって作成されます (その場合は、テーブルの作成権限が必要になります)。プロパティーを作成または削除した後、このサービスを実行して PropertyIDMap テーブルを更新する必要があります。

このサービスの一般的な構文を以下に示します。

./BESAdmin.sh -propertyidmapper  { -displaysettings | -run [property_idmapper_options] 
       |  -schedule [property_idmapper_options] [scheduling options] }

このサービスの構文は、指定するアクションに応じて異なります。

./BESAdmin.sh -propertyidmapper -displaysettings 
./BESAdmin.sh -propertyidmapper -run [ -createtable ] [ -removetable ] 
      [ -lookupproperty=<propertyname> ] 
./BESAdmin.sh -propertyidmapper-schedule[ -createtable -starttime=<yyyymmdd:hhmm> [ -interval=<hours> ] | -disable ]
ここで、
  • displaysettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

removecomputers
このサービスは、以下の各データに対してデータベース操作を実行します。
  • 期限切れコンピューター (-deleteExpiredComputers) コンピューターからレポートが最近送信されていない場合、そのコンピューターが「削除済み」としてマークされます。
  • 削除済みコンピューター (-purgeDeletedComputers): すでに削除済みとしてマークされ、一定期間が経過してもレポートを送信しなかったコンピューターのデータが、データベースから物理的に削除されます。データベースで論理的に削除 (IsDeleted = 1) されているエージェント自体ではなく、エージェントに関連するデータ (操作の結果やプロパティーなど) が削除されます。そのため、結果的に、同じエージェントが再びアクティブ化した場合、それが認識され、以前のコンピューター ID を再使用します。
  • 重複したコンピューター (-deleteDuplicatedComputers): 同じ名前のコンピューターが複数存在する場合、古いコンピューターが削除済みとしてマークされます。
  • 削除済みコンピューターの削除 (-removeDeletedComputers): 指定された日数 (最低 7 日) または指定された時間 (最低 24 時間) 以上、削除済みとしてマークされている (IsDeleted = 1) コンピューターの情報が、データベースから物理的に削除されます。エージェント自体の情報 (コンピューター ID など) が削除されます。そのため、結果として、同じエージェントが再びアクティブ化した場合、まったく新しいコンピューター ID がエージェントに割り当てられます。
  • アップロード済みファイルの削除 (-removeDeletedUploads): 削除済みとしてマークされているアップロード済みファイルの定義が、データベースから物理的に削除されます。非ネイティブ・エージェントには適用されません。
  • 削除済みコンピューターのアップロード済みファイルの削除 (-eraseUploadFilesForRemovedComputers): データベースからその定義が削除された、クライアントによってアップロードされたすべてのファイルが、BigFix サーバー・ファイルシステムから物理的に削除されます。非ネイティブ・エージェントには適用されません。
  • 名前によるコンピューターの削除 (-removeComputersFile): 改行で区切られたコンピューター名のリストが記述されているテキスト・ファイルを受け取り、そのリストに指定されているコンピューターが適用環境から削除されます。
このサービスの一般的な構文を以下に示します。
./BESAdmin.sh -removecomputers  { -displaySettings [display_settings options]  | -run [remove_computers_options] 
       | -schedule [remove_computers_options] [scheduling options] 
       | -preview [remove_computers_options] [preview options] }
指定されるアクションに応じて、この構文は以下のようになります。
./BESAdmin.sh -removecomputers -displaySettings [ -name=<TaskName> ]
./BESAdmin.sh -removecomputers-run[ -agentType=<AgentType> ] [ -deleteExpiredComputers=<days> ] [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ] [ -eraseUploadFilesForRemovedComputers ] [ -purgeDeletedComputers=<days> ] [ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] [ -removeComputersFile=<path> ] [ -batchSize=<batch size> ]
./BESAdmin.sh -removecomputers-schedule[ [ -name=<TaskName> ] [ -agentType=<AgentType> ] [ -deleteExpiredComputers=<days> ] [ -purgeDeletedComputers=<days> ] [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ] [ -eraseUploadFilesForRemovedComputers ] [ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] [ -batchSize=<batch size> ] [ -removeStartTime=<YYYYMMDD:HHMM> [ -removePeriodicInterval=<Hours> ] ] | [ -disable -name=<TaskName> ] | [ -delete -name=<TaskName> ] | [ -list ] | [ -update [ -name=<TaskName> ] [ -deleteExpiredComputers=<days> ] [ -purgeDeletedComputers=<days> ] [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ] [ -eraseUploadFilesForRemovedComputers ] [ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] [ -batchSize=<batch size> ] [ -removeStartTime=<YYYYMMDD:HHMM> [ -removePeriodicInterval=<Hours> ] ] ] ]
./BESAdmin.sh -removecomputers-preview[ [ -agentType=<AgentType> ] [ -deleteExpiredComputers=<days> ] [ -removeDeletedComputers=<days> ] [ -removeDeletedUploads ] [ -eraseUploadFilesForRemovedComputers ] [ -purgeDeletedComputers=<days> ][ -deleteDuplicatedComputers [ -duplicatedPropertyName=<PropertyName> ] ] | [ -scheduled ] [ -name=<TaskName> ] ]
ここで、
  • displaySettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、-disable オプションを使用します。
  • preview を指定すると、指定された設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、-scheduled オプションを使用します。
注: オプション -removeDeletedComputers を使用する場合、日数は 7 以上、時間数は 24 以上にする必要があります。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

repair
このコマンドを使用すると、データベースに保存された鍵とファイル・システムに保存された鍵の間の不整合を処理できます。
./BESAdmin.sh -repair -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
キーワード ServerSigningKey および ClientCAKey が存在しない場合、/var/opt/BESServer の下に作成されます。このコマンドは、サイトのライセンスの更新も行います。
reportencryption
レポート・メッセージの暗号化の生成、ローテーション、有効化、および無効化を行うには、以下のコマンドを実行します。
./BESAdmin.sh -reportencryption { -status |
  -generatekey [-privateKeySize=<min|max>] 
               [-deploynow=yes | -deploynow=no -outkeypath=<path>] 
               -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -rotatekey [-privateKeySize=<min|max> ] 
             [-deploynow=yes | -deploynow=no -outkeypath=<path> ] 
             -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -enablekey -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] |
  -disable -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] }
ここで、
ステータス
暗号化のステータス、およびそのステータスで使用できる引数を示します。
generatekey
新規の暗号化キーを生成することができます。
rotatekey
暗号化キーを変更することができます。
enablekey
暗号化キーを有効にすることができます。
disable
暗号化キーを「保留中」状態にすることができます。reportencryption 引数を指定して disable コマンドをもう一度実行すると、暗号化は「保留中」状態から「無効」状態に変更されます。
deploynow=yes
レポート暗号化キーを、暗号化解除のためにサーバーにデプロイします。
deploynow=no -outkeypath=<path>
暗号化キーはサーバーにデプロイされませんが、outkeypath パスに保存されます。
このコマンドおよび動作について詳しくは、 クライアントの暗号化の管理を参照してください。
resetdatabaseepoch
BigFix Enterprise Service V7.0 以降のバージョンで、すべてのコンソール・キャッシュ情報をクリアします。次のコマンドを実行すると、
./BESAdmin.sh -resetdatabaseepoch
以降のコンソール・ログインではそれらのキャッシュ・ファイルが再読み込みされます。
resignsecuritydata
コンソールにログインするときに、次のエラーを受け取る場合があります。
class SignedDataVerificationFailure 
HTTP Error 18: An unknown error occurred while transferring data from the server
BigFix コンソールにログインする場合、以下のコマンドを入力して、データベース内のすべてのユーザー・コンテンツを再署名する必要があります。
./BESAdmin.sh -resignSecurityData
このコマンドは、既存の鍵ファイルを使用するセキュリティー・データを再署名します。以下のパラメーターを指定することもできます。
-mastheadLocation=<path+actionsite.afxm>
このサービスを実行するための完全な構文は以下のとおりです。
./BESAdmin.sh -resignsecuritydata -sitePvkLocation=<path+license.pvk>
[ -sitePvkPassword=<password> ] -mastheadLocation=<path+actionsite.afxm>
revokeexplorercredentials
このサービスを使用して、特定のホスト名に関連付けられている BigFix Explorer 証明書を無効にします。コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -revokeexplorercredentials
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password>
-explorerHostname=<BigFixExplorerHostnameOrIP>
指定した hostname に対して認証証明書を発行すると、この証明書が取り消され、その explorerHostname 上で実行されている BigFix Explorer インスタンスはルート・サーバーに接続できなくなります。

BigFix Explorer ホストの資格情報を取り消すと、ルート・サーバーに接続できなくなります。BigFix Explorer インストールを削除するか、そのホストの新しい資格情報を作成して、そのホストの古い証明書ファイルを置き換えることができます。

revokewebuicredentials
指定したWebUI インスタンスの認証証明書を取り消すことができます。
このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -revokewebuicredentials
-hostname=<host> 
-sitePvkLocation=<path+license.pvk> 
-sitePvkPassword=<pvk_password>
指定した hostname に対して認証証明書を発行すると、この証明書が取り消され、その hostname 上で実行されている WebUI インスタンスはルート・サーバーに接続できなくなります。

WebUI ホストの資格情報を取り消すと、ルート・サーバーに接続できなくなります。WebUI インストールを削除するか、そのホストの新しい資格情報を作成して、そのホストの古い証明書ファイルを置き換えることができます。

rotateexplorercredentials
このサービスを使用して、特定のホスト名に関連付けられた 1 つの BigFix Explorer 証明書、または BigFix Explorer CA 全体をローテーションします。コマンドを実行するには、次の構文を使用します。
./BESAdmin.sh -rotateexplorercredentials
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password> 
-explorerCertDir=<path> 
-explorerHostname=<BigFixExplorerHostnameOrIP>
| -rotateCA
特定のホスト名に関連付けられている証明書が侵害された場合は、ホスト名で 1 つの BigFix Explorer 証明書をローテーションできます。新しい証明書のファイルは、<explorerCertDir> パスにコピーされます。
または、BigFix Explorer 認証局とすべての BigFix Explorer 証明書をローテーションできます。新しい証明書のファイルは、コマンドの実行前に証明書がまだ失効していない BigFix Explorer インスタンスごとに、<explorerCertDir> パス内の新しい専用フォルダーにコピーされます。このコマンド
./BESAdmin.sh -rotateexplorercredentials
-sitePvkLocation=<path+license.pvk>
-sitePvkPassword=<password> 
-explorerCertDir=<path> 
-rotateCA
は:
  • ルート・サーバーを停止します。
  • その瞬間までに作成された各 BigFix Explorer 証明書を取り消します。
  • ルート・サーバーおよび管理フィールド・データベース・テーブルで ExplorerCACertificate ファイルおよび ExplorerCAKey ファイルを削除します。
  • ルート・サーバーを起動します。前のポイントのファイルとエントリが再作成されます。
  • 以前の BigFix Explorer インスタンスのすべての証明書を再作成します。
rotateserversigningkey

サーバー・秘密鍵をローテーションして、ファイル・システム内のキーをデータベース内のキーに一致させることができます。このコマンドは、新しいサーバー署名鍵を作成し、その新しい鍵を使用するすべての既存のコンテンツを再署名し、 古い鍵を取り消します。

このサービスを実行するための構文は以下のとおりです。

./BESAdmin.sh -rotateserversigningkey 
-sitePvkLocation=<path+license.pvk>
[ -sitePvkPassword=<password> ]
securitysettings
NIST セキュリティー標準に準拠するようにセキュリティー・オプションを構成するには、以下のコマンドを実行します。
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
[ -sitePvkPassword=<password> ]
{ -status | -requireSHA384Signatures [-requireSHA256Downloads]
| -allowSHA256Signatures | -requireSHA256Downloads | -allowSHA1Downloads} 
[ -testTLSCipherList | -setTLSCipherList | -listTLSCiphers | -removeTLSCipherList ]
[ -hideFromFieldFromMasthead | -showFromFieldFromMasthead ]
[ -enableLocalOperators | -disableLocalOperators]
[ -requireTLS13 | -allowTLS12 ]
ここで、
ステータス
BigFix 環境に設定されたセキュリティー設定のステータスを示します。
例:
./BESAdmin.sh -securitysettings -sitePvkLocation=/root/backup/license.pvk
-sitePvkPassword=mypassw0rd -status

Enhanced security is currently ENABLED
SHA-256 downloads are currently OPTIONAL
requireSHA384Signatures | allowSHA256Signatures
すべてのデジタル署名に SHA-384 暗号ダイジェスト・アルゴリズムを採用するセキュリティー・オプションを有効または無効にします。
警告: requireSHA384Signatures 設定を使用すると、BigFix バージョン 10.0 以前のバージョン・コンポーネントとの互換性が失われます。

BigFix SHA-384 の適用およびサポートされるセキュリティー構成について詳しくは、セキュリティー構成シナリオを参照してください。

requireSHA256Downloads
必ず SHA-256 アルゴリズムを使用してファイル・ダウンロードの整合性チェックが実行されるようにします。
allowSHA1Downloads
必ず SHA-1 アルゴリズムを使用してファイル・ダウンロードの整合性チェックが実行されるようにします。
testTLSCipherList | setTLSCipherList | listTLSCiphers | removeTLSCipherList

TLS 暗号リストが BigFix コンポーネントと互換性があるかどうかをテストするには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-testTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

適切な TLS 暗号リストを特定したら、次のコマンドを実行して設定できます。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-setTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

現在有効なすべての TLS 暗号のリストを取得するには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-listTLSCiphers

デプロイメント・マストヘッドから TLS 暗号リストを削除して、デフォルトの暗号リストに戻すには、次のコマンドを実行します。

/BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -sitePvkPassword=<password> 
-removeTLSCipherList
hideFromFieldFromMasthead | showFromFieldFromMasthead
マストヘッドの「送信元」フィールドに表示される値 (ライセンス担当者のメール・アドレスを含む) の表示/非表示を指定できます。フレッシュ・インストール時には、値は非表示で "hideFromFieldFromMasthead" オプションが 1 に設定されています。アップグレード時に、値は変更されません。
例えば、値を非表示にする場合は、次のコマンドを実行します。
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
-sitePvkPassword=<password> -hideFromFieldFromMasthead
enableLocalOperators | disableLocalOperators
ローカル・オペレーターの BigFix 環境 (BigFix コンソール、Web レポート、REST API、および Web UI) へのログインを有効または無効にするかどうかを指定できます。有効/無効の選択項目は、BFEnterprise データベースに保管されます。ローカル・オペレーターのログインを無効にすると、LDAP ユーザーにのみアクセス権限が付与されます。
例えば、ローカル・オペレーターのログインを無効にするには、次のコマンドを実行します。
./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> 
-sitePvkPassword=<password> -disableLocalOperators
注: ローカル・オペレーターは、デフォルトで有効になっています。
注: ローカル・オペレーターを無効にしようとすると、「BES サーバー・プラグイン・サービスの REST API 資格情報」を設定して、構成したユーザーがローカル・オペレーターである場合、エラー・メッセージが表示され、オプションは設定されません。
注: ローカル・オペレーターを無効にしようとすると、「BES サーバー・プラグイン・サービスの SOAP API 資格情報」を設定している場合、ノンブロッキング警告メッセージが表示され、オプションは設定されません。
requireTLS13
BigFix コンポーネント間の HTTPS 通信に TLS 1.3 の使用が必要です。
警告: requireTLS13 設定を使用すると、BigFix バージョン 10.0 以前のバージョン・コンポーネントとの互換性が失われます。
注: この設定を使用する場合、コンソール SAML 認証は、TLS 1.3 をサポートする Windows バージョンでのみ機能します。詳しくは、「前提事項と要件」を参照してください。
allowTLS12
BigFix コンポーネント間の HTTPS 通信に TLS 1.2 を使用できます。
setadvancedoptions
特定のインストール済み環境に適用されるグローバル設定をリストするか、構成することができます。このサービスを実行するための完全な構文は以下のとおりです。
./BESAdmin.sh -setadvancedoptions -sitePvkLocation=<path+license.pvk>
[-sitePvkPassword=<password>]  
{ -list | -display 
| [ -f ] -delete option_name 
| [ -f ] -update option_name=option_value }
例:
  • コンソールまたは Web レポート・ログイン・バナーをカスタマイズするには、以下のコマンドを入力します。
    ./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk 
-sitePvkPassword=pippo000 -update loginWarningBanner='new message'
  • BigFix サーバーが V9.5.7 以降の場合、エンドポイントは複製の可能性があるとサーバーが検出したときにコンピューター・エントリーが重複しないようにするため、以下のコマンドを実行します。
    ./BESAdmin.sh -setadvancedoptions -sitePvkLocation=/root/backup/license.pvk 
-sitePvkPassword=pippo000 -update clientIdentityMatch=100

設定できる使用可能なオプションのリストについては、詳細オプションのリストを参照してください。

setproxy
企業でプロキシーを使用してインターネットにアクセスする場合は、プロキシー接続を設定して、BigFix サーバーがサイトからコンテンツを収集できるようにする必要があります。また、コンポーネント間通信やファイルのダウンロードもできるようにする必要があります。

コマンドの実行方法と各引数で使用する値について詳しくは、プロキシー接続のサーバー上での設定を参照してください。

syncmastheadandlicense
製品をアップグレードする場合は、このオプションを使用して更新ライセンスをマストヘッドと同期させ、データベース内のすべてのコンテンツを SHA-256 で再署名する必要があります。このサービスを実行するための構文は以下のとおりです。
./BESAdmin.sh -syncmastheadandlicense -sitePvkLocation=<path+license.pvk> 
[-sitePvkPassword=<password>]
testproxyconnection
プロキシー接続をテストできます。このサービスを実行するための構文は以下のとおりです。
BESAdmin.sh -testproxyconnection -proxyHost=<host> [ -proxyPort=<port> ] 
[ -proxyUser=<user> -proxyPassword=<pass> ] [ -proxyExcList=<list> ] [ -proxyAuthMeth=<method> ] 
[ -proxySecTunnel=<true|false> ] [ -fips ]
updatepassword

特定の構成内の 製品コンポーネントによって認証に使用されるパスワードを変更することができます。

このサービスを実行するための構文は以下のとおりです。

./BESAdmin.sh -updatepassword -type=<server_db|dsa_db>
[-password=<password>] -sitePvkLocation=<path+license.pvk> 
[-sitePvkPassword=<pvk_password>]
ここで、
-type=server_db
データベースで認証するためにサーバーによって使用されるパスワードを更新するには、この値を指定します。

この値を変更すると、コマンドはすべての BigFix サーバー・サービスを再始動します。

-type=dsa_db
データベースで認証するためにサーバーによって DSA 構成内で使用されるパスワードを更新するには、この値を指定します。
-password 設定と -sitePvkPassword 設定はオプションです。それらがコマンド構文内で指定されていない場合、それらの値は実行時に対話式に要求されます。このコマンドによって設定されるパスワードは難読化されます。