BESAdmin Windows コマンド・ライン

インストールを実行すると、BigFix 管理ツールのプログラム BESAdmin.exe%PROGRAM FILES%\BigFix Enterprise\BES Server ディレクトリーに自動的にダウンロードされます。

スクリプト BESAdmin.exe により、追加の操作を実行することができます。このスクリプトをコマンド・プロンプトから実行するには、以下のコマンドを実行します。
.\BESAdmin.exe /service { arguments}
ここで、service は以下のいずれかのサービスです。
audittrailcleaner
checkcontrolflowguard
checkdbindexfrag
checkdbinfo
checksqlserverparallelism
converttoldapoperators
createexplorercredentials
createwebuicredentials
findinvalidactions
findinvalidsignatures
getcertificatebundle
minimumSupportedClient
minimumSupportedRelay
propagateAllOperatorSites
propertyidmapper
removecomputers
reportencryption
resetDatabaseEpoch
resignsecuritydata
revokeexplorercredentials
revokewebuicredentials
rotateexplorercredentials
rotateserversigningkey
securitysettings
setcontrolflowguard
setproxy
setsqlserverparallelism
syncmastheadandlicense
updatepassword
注: このトピックで表示されるコマンド構文で使用される <path+license.pvk> という表記は、path_to_license_file/license.pvk を表しています。
各サービスには、以下の arguments があります。
audittrailcleaner

このサービスを実行して、BFEnterprise データベースから監査証跡として保管されている履歴データを削除することができます。この監査証跡は、BigFix の適用環境の存続期間にわたり、少しずつサイズが大きくなっていきます。監査証跡には、削除されたバージョンと古いバージョンの Fixlet、タスク、ベースライン、プロパティー、メールボックス・ファイル、アクション、および分析が保管されます。監査証跡は BigFix ではまったく使用されないため、削除してデータベース・サイズを削減することができます。監査証跡を保持するには、現在のデータベースの履歴アーカイブを作成して安全な場所に保存してから、このツールを実行することをお勧めします。これにより、製品データベースから監査証跡が削除されますが、履歴が完全に削除されるわけではありません。

このサービスでは、以下の各データについて、カウント処理と削除処理を実行することができます。

  • 旧バージョンの作成済みカスタム・コンテンツ (/oldcontent): 既存の Fixlet、タスク、ベースライン、および分析を編集するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンのアクション (/oldactions): アクションを停止または開始するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • 旧バージョンの Relay.dat (/oldrelaydatfile): リレーのインストールやアンインストールを実行するたびに、新しいバージョンが作成されます。古いバージョンは削除してかまいません。
  • アップロードされた古いファイル (/deleteolduploadedfiles): Archive Manager によって BigFix サーバー上にアップロードされた古いファイルを削除します。このオプションを選択すると、アップロードされてからその有効期間 (デフォルトは 180 日) が経過したときに、古いファイルは削除されます。
  • 削除済みカスタム・コンテンツ (すべてのバージョン) (/deletedcontent): コンソールを使用して、Fixlet、タスク、ベースライン、および分析を削除すると、データベース内でそのデータに削除済みのマークが付けられますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたコンテンツとそれに対応するクライアント・レポートは、削除してかまいません。
  • 削除済みアクション (すべてのバージョン) (/deletedactions): コンソールを使用してアクションを削除すると、データベース内でそのデータが削除済みとしてマークされますが、データベース内にそのまま残ります。すべての古いバージョンを含め、削除されたアクションとそれに対応するクライアント・レポートは、削除してかまいません。
  • 使用できないアクション結果 (/uselessactionresults): 旧バージョンの BigFix を使用すると、まったく使用されない ActionResults がクライアントによってレポートされるにもかかわらず、データベース内の領域を占有する場合があります。こうした不要な ActionResults は削除してかまいません。
  • 孤立したサブアクション (/orphanedsubactions): 削除済みの複数のアクション・グループに属するもの。
  • 非表示のマニュアル・コンピューター・グループ・アクション (/hiddenactions): マニュアル・コンピューター・グループにより、グループに対してコンピューターの追加や削除を行う非表示のアクションが作成されます。こうしたアクションは、時間の経過とともに増えていく可能性があります。このオプションを選択すると、アクションが作成されてからその有効期間 (デフォルトは 180 日) が経過したときに、そのアクションが削除されます。
  • 旧バージョンのメールボックス・ファイル (/deletedmailbox): 削除されたメールボックス・ファイルは、データベースのテーブル内に保管されます。こうしたファイルは削除してかまいません。
  • BES コンソールの同期 (/syncconsoles): BigFix コンソールには、データベースのローカル・キャッシュが保存されます。このツールを使用してデータを削除すると、このローカル・キャッシュが非同期の状態になります。この状態を回避するため、ツールはデータベース内にフラグを設定します。これにより、コンソールを次に起動すると、すべての BigFix コンソールで強制的にキャッシュが再読み込みされます。
  • 指定の日付よりも古いデータ (/olderthan): 指定された日付よりも古いデータが削除されます。
  • 一括削除 (/batchsize): サイズの大きなデータ・セットを削除すると、SQL トランザクション・ログのサイズが急激に増大し、削除対象のデータのサイズよりも一時的に大きくなります。この状態は、データベースのサイズが縮小するまで続きます。一括削除を実行すると、結果がまとめて削除されます。
このサービスの構文は、指定するアクションに応じて異なります。
.\BESAdmin.exe /audittrailcleaner { /displaysettings | /run [delete_data_options] |  
          /schedule [delete_data_options] [scheduling options] | /preview [delete_data_options] 
           [preview options] }
.\BESAdmin.exe /audittrailcleaner /displaysettings 
.\BESAdmin.exe /audittrailcleaner /run [ /oldcontent ] [ /oldactions ]
          [ /oldrelaydatfile ] [ /deleteolduploadedfiles ] [ /deletedcontent ] [ /deletedactions ] [ /hideUI ]
          [ /uselessactionresults ] [ /orphanedsubactions ] [ /hiddenactions=<days> ] 
          [ /deletedmailbox ] [ /syncconsoles ] [ /olderthan=<days> ] [ /batchsize=<size> ]  
.\BESAdmin.exe /audittrailcleaner /sitePvkLocation=<path+license.pvk> [ /sitePvkPassword=<password> ]/schedule[ [ /oldcontent ] [ /oldactions ] [ /oldrelaydatfile ] [ /deleteolduploadedfiles ] [ /deletedcontent ] [ /deletedactions ] [ /uselessactionresults ] [ /orphanedsubactions ] [ /hiddenactions=<days> ] [ /deletedmailbox ] [ /syncconsoles ] [ /olderthan=<days> ] [ /batchsize=<size> ] [ /cleanstarttime=<yyyymmdd:hhmm> [ /cleanperiodicinterval=<hours> ] ] | /disable ]
.\BESAdmin.exe /audittrailcleaner/preview[ [ /oldcontent ] [ /oldactions ] [ /oldrelaydatfile ] [ /deleteolduploadedfiles ] [ /deletedcontent ] [ /deletedactions ] [ /uselessactionresults ] [ /orphanedsubactions ] [ /hiddenactions=<days> ] [ /deletedmailbox ] [ /olderthan=<days> ] | [ /scheduled ] ]
ここで、
  • displaysettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。/hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、disable オプションを使用します。
  • preview を指定すると、指定の設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、scheduled オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

checkcontrolflowguard
このサービスを使用して、/binaryName パラメーターで指定されたプログラムの Microsoft Control Flow Guard (CFG) イネーブルメントを取得できます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /checkcontrolflowguard /binaryName=<programName.exe> [/hideUI]

/hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。

Microsoft Control Flow Guard (CFG) の詳細については、BigFix サーバーでの Microsoft 制御フロー・ガードの有効化を参照してください。

checkdbindexfrag
このサービスを使用して、SQL Server 上にある BigFix データベースのインデックスのフラグメント化をリストしてフィルタリングできます。BigFix 管理ツール・パネルでは、フィルターに一致する上位 5 つのインデックスが表示され、完全なリストは BESAdminDebugOut.txt ログ・ファイルで見つけることができます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /checkdbindexfrag [/fragPercent=<integer>] [/pageCount=<integer>]
次のオプション・パラメーターを指定して、結果をフィルター処理できます。
  • /fragPercent=<integer> では、検索するフラグメント化の最小パーセンテージ値を指定します。デフォルトは 10 です。
  • /pageCount=<integer> では、検索する最小ページ数の値を指定します。デフォルトは 1000 です。
checkdbinfo
このサービスを使用して、DB バージョン、サーバー・メモリ、互換性レベルなど、SQL Server 上の BigFix データベースのメイン構成設定をリストすることができます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /checkdbinfo
checksqlserverparallelism
このサービスを使用すると、データベース・インスタンスで、複数の CPU コアの効果的な使用に関連した SQL Server の一般的な構成の問題を確認できます。これらの問題の一部は、構成パラメーターを変更するだけで解決できます。その他の問題は、完全な解決のために、より高度な構成の変更が必要になる場合があります。このサービスを追加オプションなしで実行した場合、指定の環境で MaxDoP および CTFP の設定が推奨値に設定されているかどうかのみチェックされます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /checksqlserverparallelism [/extraChecks] [/extraInfo] 
[/ctfpTolerance=<0.0 .. 1.0>]
次のオプション・パラメーターを指定できます。
  • /extraChecks により、追加のチェックが実行され、「ライセンス対象のコアの使用率が低下」や「使用されるコアの不均一な分配」などの追加の問題が検出されます。
  • /extraInfo は、NUMA ノードあたりの使用コアの数やハードウェア NUMA ノードの数など、詳細情報を表示するためのオプション・フラグです。
  • /ctfpTolerance=<0.0 .. 1.0> は、CTFP 設定の許容範囲を指定します。指定しない場合、デフォルトでは 0.1 に設定されます。つまり、一般的な推奨値である 10% 以内の CTFP が許容可能と見なされます。
このコマンドを実行するには、データベースで次の権限が必要です。
  • view server state 権限は必須です。
  • さらに、/extraInfo オプションを使用する場合は、「マスター」が管理可能なデータベース間でマッピングされ (ユーザー・マッピング)、execute permissionsys.xp_readerrorlog プロシージャを実行する必要もあります。
converttoldapoperators
ローカル・オペレーターは、LDAP オペレーターに変換することができます。そのため、このオペレーターは LDAP 資格情報を使用してログインすることができます。オプションで、mappingFile 引数を使用してマッピング・ファイルであるファイルを指定できます。この各行には、変換対象のユーザーの名前、その後に続いてタブ、次に LDAP/AD でのユーザーの名前が含まれます。名前は、ユーザーがコンソールにログインする際に使用する形式で指定してください (domain\useruser@domain、または user )。マッピング・ファイルを指定しなかった場合は、LDAP/AD でのユーザー名がローカルのユーザー名と同じであるという前提ですべてのユーザーが変換されます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /convertToLDAPOperators [/mappingFile:<file>]
createexplorercredentials
このサービスを使用して、WebUI 証明書のものと同様の方法で、入力ホスト名の BigFix Explorer 証明書を作成します。出力フォルダーに次のファイルが作成されます。
  • ExplorerCertificate「認証」の証明書ファイル: auth_cert.crt
  • ExplorerCertificate「認証」の鍵ファイル: auth_key.key
  • ExplorerCACertificate「認証」の証明書ファイル: ca.crt
  • WebUICACertificate「認証」の証明書ファイル: apica.crt。
コマンドを実行するには、次の構文を使用します。
.\BESAdmin.exe /createexplorercredentials
/sitePvkLocation:<path+license.pvk>
/sitePvkPassword:<password> 
/explorerCertDir:<path>
/explorerHostname:<BigFixExplorerHostnameOrIP>
[ /f ]
このサービスによって、explorerCertDir オプションで指定したパスに、cert_explorerHostname というフォルダーが生成されます。
explorerCertDir
パスを資格情報を含む新しいフォルダーの親フォルダーに指定します。このフォルダーは必須です。
explorerHostname
BigFix Explorer をホストするコンピューターのホスト名または IP アドレスを指定します。
createwebuicredentials
このサービスを使用して、WebUI 資格情報として使用される資格情報を生成します。コマンドを実行するには、次の構文を使用します。
.\BESAdmin.exe /createwebuicredentials 
/sitePvkLocation:<path+license.pvk>
/sitePvkPassword:<pwd> /webUICertDir:<path>
/webUIHostname:<WebUIHostnameOrIP>
このサービスによって、 webUICertDir オプションで指定したパスに、cert_WebUIHostnameOrIP というフォルダーが生成されます。
webUICertDir
パスを資格情報を含む新しいフォルダーの親フォルダーに指定します。このフォルダーは必須です。
webUIHostname
WebUI をホストするコンピューターのホスト名または IP アドレスを指定します。
注: WebUI 資格情報の証明書を生成する必要がありながら、デプロイメントに WebUI がない場合は、次の設定を行います。
webUICertDir
BigFix サーバー・フォルダーに対する場合 。例えば、BigFix Enterprise\BES Server です。
webUIHostname
BigFix サーバー の IP アドレスまたはホスト名に対する場合 。
findinvalidactions
以下のパラメーターを指定することにより、データベース内に無効なアクションがないか調べることができます。
  • (オプション) -deleteInvalidActions: 無効なアクションを削除します。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /findinvalidactions [ /deleteInvalidActions ] 
/sitePvkLocation=<path+license.pvk> [ /sitePvkPassword=<pwd> ]
findinvalidsignatures
以下のパラメーターを指定することにより、 データベース内のオブジェクトの署名を検査することができます。
-resignInvalidSignatures (オプション)
BESAdmin が検出したすべての無効な署名への再署名を試行します。
-deleteInvalidlySignedContent (オプション)
無効な署名を持つコンテンツを削除します。
無効な署名の詳細については、「コンソールで無効に署名されたコンテンツの問題を解決する」を参照してください。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /findinvalidsignatures 
[ /resignInvalidSignatures | /deleteInvalidlySignedContent ]
getcertificatebundle
現在のバージョンの BES Admin で使用される証明書バンドル (PEM) をエクスポートできます。バンドルには、マストヘッド内で認証されたすべてのチェーンのすべての証明書が存在します。したがって、例えば、SHA384 を強制すると、バンドル内には SHA384 チェーンのみが存在します。生成されたファイル bundle.pem は、bundleCertDir=<path> オプションで指定したフォルダーにあります。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /getcertificatebundle /sitePvkLocation=<path+license.pvk> 
[ /sitePvkPassword=<pwd> ] /bundleCertDir=<path>
minimumSupportedClient
このサービスは、BigFix 環境で使用される BigFix エージェントの最小バージョンを定義します。
注: この設定に基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能が存在していると想定しても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0 は、V9.0 より前の BigFix エージェントによって発行されるアクティビティー (アーカイブ・ファイルやレポートのアップロードなど) が実行されないか、制限されることを意味します。この動作は、minimumSupportedClient サービスが設定されていない場合にも適用されます。
  • 9.0 は、次のことを示しています。
    • V9.0 より前の BigFix クライアントによって送信されたレポートなど、署名されていないレポートは、FillDB によって破棄されます。
    • V9.0 より前のバージョンの BigFix クライアントで (例えば archive now コマンドにより) 生成された未署名アーカイブ・ファイルのアップロードは、失敗します。

BES 許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合、minimumSupportedClient サービスは自動的に 9.0 に設定されるため、デフォルトで、V9.0 より前のすべての BigFix クライアントは環境に参加できません。

以下の場合、このサービスに割り当てられた値は変更されません (設定されている場合)。
  • V9.5.6 以降にアップグレードした場合
  • 既存のマストヘッドを使用して BigFix V9.5.6 以降をインストールした場合
いずれの場合も、このサービスが以前に存在していなかった場合は、それ以降も存在しません。
環境で <VALUE> サービスに割り当てられている現行値 minimumSupportedClient は、マストヘッド・ファイルの x-bes-minimum-supported-client-level: <VALUE> 行に表示されます。BigFix WebUI で入手できる Fixlet デバッガー・アプリケーションまたは BigFix Query アプリケーションを使用して、BigFix サーバーで次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with "x-bes-minimum-supported-client-level:" ) of masthead of site "actionsite"
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe [/sitePvkFile=<path+license.pvk>] [/sitePassword=<password>] 
/minimumSupportedClient=<version>.<release>

[/sitePvkFile=<path+license.pvk>] [/sitePassword=<password>] を省略すると、ポップアップ・ウィンドウでサイト鍵およびパスワードを入力するよう求められます。

例えば、V9.0 より前のエージェントが BigFix 環境でサポートされないことを記述する場合は、次のコマンドを実行します。
.\BESAdmin.exe /minimumSupportedClient=9.0
minimumSupportedRelay
BigFix V9.5.6 で追加されたこのサービスを使用すると、BigFix エージェントの登録要求に影響を及ぼす特定の基準を適用できます。このサービスを有効にすると、V9.5.6 エージェントの登録要求が署名済みで、かつリレー階層を介して HTTPS プロトコルで送信される場合、V9.5.6 エージェントは V9.5.6 BigFix 環境への登録を継続できます。
注: このサービスに基づいて、BigFix コンポーネントは、デプロイメント内のすべてのコンポーネントにわたって新機能を有効にしても問題がない時期を判別できます。個々のエージェントの対話が、この設定によって課される制限に従っていない場合、その対話は拒否される可能性があります。
現時点で許可されている値は以下のとおりです。
  • 0.0.0 は、BigFix サーバーが以下を受け入れて管理することを意味します。
    • BigFix エージェントからの署名された登録要求と署名されていない登録要求。
    • BigFix エージェントから HTTP プロトコルまたは HTTPS プロトコルを使用して送信された登録要求。
    この動作は、旧バージョンから BigFix V9.5.6 以降にアップグレードする場合にデフォルトで適用されます。この場合、minimumSupportedRelay サービスは、アップグレード時に構成に自動的には追加されません。ご使用の環境で minimumSupportedRelay サービスに割り当てられている現行値を確認するために照会を実行する場合、この値は表示されないことに注意してください。
  • 9.5.6 以降を指定した場合は、次のことを意味します。
    • BigFix サーバーでは、V9.5.6 以降の BigFix エージェントからの登録要求が適切に署名されている必要があります。
    • BigFix サーバーおよび V9.5.6 以降のリレーは、BigFix エージェントの登録データの交換時に HTTPS プロトコルの使用を強制します。
    この動作には、以下の副次的影響があります。
    • V9.0 より前の BigFix エージェントは、HTTPS プロトコルを使用して通信することができないため、BigFix サーバーに登録要求を送信できません。
    • V9.5.6 より前のバージョンの BigFix リレーでは、正しく署名された登録要求を処理できないため、それらのリレーを使用する BigFix クライアントは登録を継続できないか、あるいは別の親リレーまたは直接サーバーにフォールバックする可能性があります。

ライセンス許可ファイルを使用して BigFix V9.5.6 以降のフレッシュ・インストールを実行した場合は、上記の副次的影響がご使用の BigFix デプロイメントに適用されることに注意してください。この特定のインストール・シナリオでは、minimumSupportedRelay サービスが自動的にデフォルトで 9.5.6 に設定されるためです。

環境で <VALUE> サービスに割り当てられている現行値 minimumSupportedRelay は、マストヘッド・ファイルの x-bes-minimum-supported-relay-level: <VALUE> 行に表示されます。BigFix WebUI で入手できる Fixlet デバッガー・アプリケーションまたは BigFix Query アプリケーションを使用して、BigFix サーバーで次の照会を実行することにより、現行値を確認できます。
Q: following text of last ": " of line whose (it starts with 
"x-bes-minimum-supported-relay-level:" ) of masthead of site "actionsite"
この照会によって値が表示されるのは、<VALUE>9.5.6 に設定されている場合だけです。0.0.0 に設定されている場合、値は表示されません。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe [/sitePvkFile=<path+license.pvk>] [/sitePvkPassword=<password>] 
/minimumSupportedRelay=<version>.<release>.<modification>

[/sitePvkFile=<path+license.pvk>] [/sitePwkPassword=<password>] を省略する場合は、ポップアップ・ウィンドウでサイト鍵およびパスワードを入力する必要があります。

例えば、署名されて HTTPS 経由で送信された登録要求のみが BigFix サーバーによって管理されるようにする場合は、次のコマンドを実行できます。
.\BESAdmin.exe /minimumSupportedRelay=9.5.6
propagateAllOperatorSites
このサービスは、サーバーがすべてのオペレーター・サイトの新規バージョンを伝搬するよう強制します。このコマンドは、サーバー・マイグレーションの後に役立ちます。なぜなら、クライアントがデータを収集できることが確実となり、失敗を防止できるからです。コマンド構文は以下のとおりです。
.\BESAdmin.exe /propagateAllOperatorSites
propertyidmapper
このサービスは、BFEnterprise データベース内のテーブル (PropertyIDMap) の作成、更新、および削除を行います。このテーブルにより、取得されたプロパティー名が、QUESTIONRESULTS テーブルと LONGQUESTIONRESULTS テーブル内のプロパティーの参照に使用される SiteID、AnalysisID、PropertyID にマップされます。PropertyIDMap テーブルが存在しない場合は、このサービスによって作成されます (その場合は、テーブルの作成権限が必要になります)。変更内容で PropertyIDMap テーブルを更新するには、プロパティーを作成または削除してからこのサービスを実行する必要があります。

このサービスの一般的な構文を以下に示します。

.\BESAdmin.exe /propertyidmapper  { /displaysettings | /run [property_idmapper_options] 
       |  /schedule [property_idmapper_options] [scheduling options] }

このサービスの構文は、指定するアクションに応じて異なります。

.\BESAdmin.exe /propertyidmapper /displaysettings 
.\BESAdmin.exe /propertyidmapper /run [ /createtable ] [ /removetable ] 
      [ /lookupproperty=<propertyname> ] [ /hideUI ]
.\BESAdmin.exe /propertyidmapper/schedule[ /createtable /starttime=<yyyymmdd:hhmm> [ /interval=<hours> ] | /disable ]
ここで、
  • displaysettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。/hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、disable オプションを使用します。

クリーンアップ・タスクのログ・ファイルについて詳しくは、「クリーンアップ・タスク・アクティビティーのロギング」を参照してください。

removecomputers
このサービスは、以下の各データに対してデータベース操作を実行します。
  • 期限切れコンピューター (/deleteExpiredComputers): コンピューターからレポートが最近送信されていない場合、そのコンピューターが削除済みとしてマークされます。
  • 削除済みコンピューター (/purgeDeletedComputers): すでに削除済みとしてマークされ、一定期間が経過してもレポートを送信しなかったコンピューターのデータが、データベースから物理的に削除されます。データベースで論理的に削除 (IsDeleted = 1) されているエージェント自体ではなく、エージェントに関連するデータ (操作の結果やプロパティーなど) が削除されます。そのため、結果的に、同じエージェントが再びアクティブ化した場合、それが認識され、以前のコンピューター ID を再使用します。
  • 重複したコンピューター (/deleteDuplicatedComputers): 同じ名前のコンピューターが複数存在する場合、古いコンピューターが削除済みとしてマークされます。
  • 削除済みコンピューターの削除 (/removeDeletedComputers): 指定された日数 (最低 7 日) または指定された時間 (最低 24 時間) 以上、削除済みとしてマークされている (IsDeleted = 1) コンピューターの情報が、データベースから物理的に削除されます。エージェント自体の情報 (コンピューター ID など) が削除されます。そのため、結果として、同じエージェントが再びアクティブ化した場合、まったく新しいコンピューター ID がエージェントに割り当てられます。
  • アップロード済みファイルの削除 (/removeDeletedUploads): 削除済みとしてマークされているアップロード済みファイルの定義が、データベースから物理的に削除されます。非ネイティブ・エージェントには適用されません。
  • 削除済みコンピューターのアップロード済みファイルの削除 (/eraseUploadFilesForRemovedComputers): データベースからその定義が削除された、クライアントによってアップロードされたすべてのファイルが、BigFix サーバー・ファイルシステムから物理的に削除されます。非ネイティブ・エージェントには適用されません。
  • 名前によるコンピューターの削除 (/removeComputersFile): 改行で区切られたコンピューター名のリストが記述されているテキスト・ファイルを受け取り、そのリストに指定されているコンピューターが適用環境から削除されます。
このサービスの一般的な構文を以下に示します。
.\BESAdmin.exe /removecomputers  { /displaySettings [display_settings_options] | /run [remove_computers_options] 
       | /schedule [remove_computers_options] [scheduling options] 
       | /preview [remove_computers_options] [preview options] }
指定するアクションに応じて、この構文は以下のように変わります。
.\BESAdmin.exe /removecomputers /displaySettings [ /name=<TaskName> ]
.\BESAdmin.exe /removecomputers/run[ /deleteExpiredComputers=<days> ] [ /removeDeletedComputers=<days> ] [ /removeDeletedUploads ] [ /eraseUploadFilesForRemovedComputers ] [ /purgeDeletedComputers=<days> ] [ /deleteDuplicatedComputers [ /duplicatedPropertyName=<PropertyName> ] ] [ /removeComputersFile=<path> ] [ /batchSize=<batch size> ] [ /hideUI ]
.\BESAdmin.exe /removecomputers/schedule[ [ /name=<TaskName> ] [ /agentType=<AgentType> ] [ /deleteExpiredComputers=<days> ] [ /purgeDeletedComputers=<days> ] [ /removeDeletedComputers=<days> ] [ /removeDeletedUploads ] [ /eraseUploadFilesForRemovedComputers ] [ /deleteDuplicatedComputers [ /duplicatedPropertyName=<PropertyName> ] ] [ /batchSize=<batch size> ] [ /removeStartTime=<YYYYMMDD:HHMM> [ /removePeriodicInterval=<Hours> ] ] | [ /disable -name=<TaskName> ] | [ /delete -name=<TaskName> ] | [ /list ] | [ /update [ /name=<TaskName> ] [ /deleteExpiredComputers=<days> ] [ /purgeDeletedComputers=<days> ] [ /removeDeletedComputers=<days> ] [ /removeDeletedUploads ] [ /eraseUploadFilesForRemovedComputers ] [ /deleteDuplicatedComputers [ /duplicatedPropertyName=<PropertyName> ] ] [ /batchSize=<batch size> ] [ /removeStartTime=<YYYYMMDD:HHMM> [ /removePeriodicInterval=<Hours> ] ] ] ]
.\BESAdmin.exe /removecomputers/preview[ [ /deleteExpiredComputers=<days> ] [ /removeDeletedComputers=<days> ] [ /removeDeletedUploads ] [ /eraseUploadFilesForRemovedComputers ] [ /purgeDeletedComputers=<days> ][ /deleteDuplicatedComputers [ /duplicatedPropertyName=<PropertyName> ] ] | [ /scheduled ] [ /name=<TaskName> ] ]
ここで、
  • displaySettings を指定すると、schedule アクションを使用して以前に指定した設定が表示されます。
  • run を指定すると、指定の設定でツールが実行されます。このオプションを使用する前に、preview アクションを使用して、データベースに影響する設定を確認してください。/hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。
  • schedule を指定すると、指定の時刻に一定間隔で実行するようにツールがスケジュールされます。このスケジュール・アクションを無効にするには、disable オプションを使用します。
  • preview を指定すると、指定された設定によって影響を受けるデータベース行の数が表示されます。プレビュー・オプションに設定が渡されなかった場合、プレビュー機能はすべてのオプションを true に設定して日付のデフォルト値を使用することにより、カウント処理を実行します。スケジュールされている設定をプレビューするには、scheduled オプションを使用します。
注: オプション /removeDeletedComputers を使用する場合、日数は 7 以上、時間数は 24 以上にする必要があります。

クリーンアップ・タスクのログ・ファイルについて詳しくは、クリーンアップ・タスク・アクティビティーのロギングを参照してください。

reportencryption
レポート・メッセージの暗号化の生成、ローテーション、有効化、および無効化を行うには、以下のコマンドを実行します。
.\BESAdmin.exe /reportencryption { /status |
  /generatekey [/privateKeySize=<min|max>] 
               [/deploynow=yes | /deploynow=no /outkeypath=<path>] 
               /sitePvkLocation=<path+license.pvk> [/sitePvkPassword=<password>] |
  /rotatekey [/privateKeySize=<min|max> ] 
             [/deploynow=yes | /deploynow=no /outkeypath=<path> ] 
             /sitePvkLocation=<path+license.pvk> [/sitePvkPassword=<password>] |
  /enablekey /sitePvkLocation=<path+license.pvk> [/sitePvkPassword=<password>] |
  /disable /sitePvkLocation=<path+license.pvk> [/sitePvkPassword=<password>] }
ここで、
ステータス
暗号化のステータス、およびそのステータスで使用できる引数を示します。
generatekey
新規の暗号化キーを生成することができます。
rotatekey
暗号化キーを変更することができます。
enablekey
暗号化キーを有効にすることができます。
disable
暗号化キーを「保留中」状態にすることができます。reportencryption 引数を指定して disable コマンドをもう一度実行すると、暗号化は「保留中」状態から「無効」状態に変更されます。
deploynow=yes
レポート暗号化キーを、暗号化解除のためにサーバーにデプロイします。
deploynow=no -outkeypath=<path>
暗号化キーはサーバーにデプロイされませんが、outkeypath パスに保存されます。
このコマンドおよび動作について詳しくは、 クライアントの暗号化の管理を参照してください。
resetDatabaseEpoch
BigFix Enterprise Service で、すべてのコンソール・キャッシュ情報をクリアします。このコマンドの実行後、以下を実行します。
.\BESAdmin.exe /resetDatabaseEpoch
以降のコンソール・ログインではそれらのキャッシュ・ファイルが再読み込みされます。
resignsecuritydata
以下のコマンドを入力して、データベース内のすべてのユーザー・コンテンツに再署名する必要があります。
.\BESAdmin.exe /resignSecurityData
それが該当するのは、以下のときに、次のいずれかのエラーを受け取った場合です。
class SignedDataVerificationFailure 
HTTP Error 18: An unknown error occurred while transferring data from the server
BigFix コンソールにログインしようとしたときです。このコマンドは、既存の鍵ファイルを使用してセキュリティー・データに再署名します。以下のパラメーターを指定することもできます。
/mastheadLocation=<path+/actionsite.afxm>
このサービスを実行するための完全な構文は以下のとおりです。
.\BESAdmin.exe /resignsecuritydata /sitePvkLocation=<path+license.pvk>
[ /sitePvkPassword=<password> ] /mastheadLocation=<path+/actionsite.afxm>
revokeexplorercredentials
このサービスを使用して、特定のホスト名に関連付けられている BigFix Explorer 証明書を無効にします。コマンドを実行するには、次の構文を使用します。
.\BESAdmin.exe /revokeexplorercredentials
/sitePvkLocation:<path+license.pvk>
/sitePvkPassword:<password> 
/explorerHostname:<BigFixExplorerHostnameOrIP>
指定した hostname に対して認証証明書を発行すると、この証明書が取り消され、その explorerHostname 上で実行されている BigFix Explorer インスタンスはルート・サーバーに接続できなくなります。

BigFix Explorer ホストの資格情報を取り消すと、ルート・サーバーに接続できなくなります。BigFix Explorer インストールを削除するか、そのホストの新しい資格情報を作成して、そのホストの古い証明書ファイルを置き換えることができます。

revokewebuicredentials
指定したWebUI インスタンスの認証証明書を取り消すことができます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /revokewebuicredentials 
/hostname=<host> 
/sitePvkLocation=<path+license.pvk> 
/sitePvkPassword=<pvk_password>
指定した hostname に対して認証証明書を発行すると、この証明書が取り消され、その hostname 上で実行されている WebUI インスタンスはルート・サーバーに接続できなくなります。

WebUI ホストの資格情報を取り消すと、ルート・サーバーに接続できなくなります。WebUI インストールを削除するか、そのホストの新しい資格情報を作成して、そのホストの古い証明書ファイルを置き換えることができます。

rotateexplorercredentials
このサービスを使用して、特定のホスト名に関連付けられた 1 つの BigFix Explorer 証明書、または BigFix Explorer CA 全体をローテーションします。コマンドを実行するには、次の構文を使用します。
.\BESAdmin.exe /rotateexplorercredentials
/sitePvkLocation:<path+license.pvk>
/sitePvkPassword:<password>
/explorerCertDir:<path> 
/explorerHostname:<BigFixExplorerHostnameOrIP>
| /rotateCA
特定のホスト名に関連付けられている証明書が侵害された場合は、ホスト名で 1 つの BigFix Explorer 証明書をローテーションできます。新しい証明書のファイルは、<explorerCertDir> パスにコピーされます。
または、BigFix Explorer 認証局とすべての BigFix Explorer 証明書をローテーションできます。新しい証明書のファイルは、コマンドの実行前に証明書がまだ失効していない BigFix Explorer インスタンスごとに、<explorerCertDir> パス内の新しい専用フォルダーにコピーされます。このコマンド
.\BESAdmin.exe /rotateexplorercredentials
/sitePvkLocation:<path+license.pvk>
/sitePvkPassword:<password>
/explorerCertDir:<path> 
/rotateCA
は:
  • ルート・サーバーを停止します。
  • その瞬間までに作成された各 BigFix Explorer 証明書を取り消します。
  • ルート・サーバーおよび管理フィールド・データベース・テーブルで ExplorerCACertificate ファイルおよび ExplorerCAKey ファイルを削除します。
  • ルート・サーバーを起動します。前のポイントのファイルとエントリが再作成されます。
  • 以前の BigFix Explorer インスタンスのすべての証明書を再作成します。
rotateserversigningkey
サーバー・秘密鍵をローテーションして、ファイル・システム内のキーをデータベース内のキーに一致させることができます。このコマンドは、 新しいサーバー署名キーを作成し、その新しいキーを使用してすべての既存のコンテンツに再署名し、 古いキーを取り消します。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /rotateserversigningkey 
/sitePvkLocation=<path+license.pvk>
[ /sitePvkPassword=<password> ]
securitysettings { /status }

BigFix 環境に設定されたセキュリティー設定の状況を確認できます。

このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk>
/sitePvkPassword=<password>
{ /status }
securitysettings { /requireSHA384Signatures [ /requireSHA256Downloads ] }

すべてのデジタル署名に SHA-384 暗号ダイジェスト・アルゴリズムを採用するセキュリティー・オプションを有効にできます。SHA-256 アルゴリズムを使用してダウンロードした後、データが変更されていないようにします。

このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk>
/sitePvkPassword=<password>
{ /requireSHA384Signatures [/requireSHA256Downloads] }
securitysettings { /allowSHA256Signatures | /requireSHA256Downloads | /allowSHA1Downloads}

SHA-256 アルゴリズムを使用してファイル・ダウンロードの整合性チェックが実行されるようにします。SHA-256 アルゴリズムを使用してダウンロードした後、データが変更されていないようにします。SHA-1 アルゴリズムを使用してファイル・ダウンロードの整合性チェックが実行されるようにします。

このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk>
/sitePvkPassword=<password>
{ /allowSHA256Signatures | /requireSHA256Downloads | /allowSHA1Downloads}
securitysettings { /hideFromFieldFromMasthead | /showFromFieldFromMasthead }
マストヘッドの「送信元」フィールドに表示される値 (ライセンス担当者のメール・アドレスを含む) の表示/非表示を指定できます。フレッシュ・インストール時には、値は非表示で "hideFromFieldFromMasthead" オプションが 1 に設定されています。アップグレード時に、値は変更されません。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /securitysettings 
{ /hideFromFieldFromMasthead | /showFromFieldFromMasthead }
[/sitePvkLocation=<path+license.pvk>] [/sitePvkPassword=<pvk_password>]
注: "hideFromFieldFromMasthead" オプションは、BESAdmin コマンド行からのみ変更できます。BESAdmin インターフェースの詳細設定パネルから設定を変更してもマストヘッドが生成されないため、このインターフェースからの変更はサポートされません。
securitysettings { /testTLSCipherList | /setTLSCipherList | /listTLSCiphers | /removeTLSCipherList }

TLS 暗号リストが BigFix コンポーネントと互換性があるかどうかをテストするには、次のコマンドを実行します。

.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk> /sitePvkPassword=<password> 
/testTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

適切な TLS 暗号リストを特定したら、次のコマンドを実行して設定できます。

.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk> /sitePvkPassword=<password> 
/setTLSCipherList=<cipher_1>:<cipher_2>:..:<cipher_n>

現在有効なすべての TLS 暗号のリストを取得するには、次のコマンドを実行します。

.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk> /sitePvkPassword=<password> 
/listTLSCiphers

デプロイメント・マストヘッドから TLS 暗号リストを削除して、デフォルトの暗号リストに戻すには、次のコマンドを実行します。

.\BESAdmin.exe /securitysettings /sitePvkLocation=<path+license.pvk> /sitePvkPassword=<password> 
/removeTLSCipherList
securitysettings { /enableLocalOperators / disableLocalOperators }
ローカル・オペレーターの BigFix 環境 (BigFix コンソール、Web レポート、REST API、および Web UI) へのログインを有効または無効にするかどうかを指定できます。有効/無効の選択項目は、BFEnterprise データベースに保管されます。ローカル・オペレーターのログインを無効にすると、LDAP ユーザーにのみアクセス権限が付与されます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /securitysettings 
{ /enableLocalOperators | /disableLocalOperators }
[/sitePvkLocation=<path+license.pvk>] [/sitePvkPassword=<pvk_password>]
注: ローカル・オペレーターは、デフォルトで有効になっています。
注: ローカル・オペレーターを無効にしようとすると、「BES サーバー・プラグイン・サービスの REST API 資格情報」を設定して、構成したユーザーがローカル・オペレーターである場合、エラー・メッセージが表示され、オプションは設定されません。
注: ローカル・オペレーターを無効にしようとすると、「BES サーバー・プラグイン・サービスの SOAP API 資格情報」を設定している場合、ノンブロッキング警告メッセージが表示され、オプションは設定されません。
setcontrolflowguard
このサービスを使用して、/binaryName パラメーターで指定されたプログラムの Microsoft Control Flow Guard (CFG) システム・イネーブルメントを上書きでき、<programName.exe> は次の BigFix サーバー実行可能ファイルのいずれかになります。
  • BESAdmin.exe
  • BESRootServer.exe
  • FillDB.exe
  • GatherDB.exe

これらは、必要な Microsoft Control Flow Guard (CFG) ビルド・オプションで生成された唯一の BigFix バイナリーであり、正しいフラグでビルドされていないバイナリーを有効にすることは、Windows OS によって無視されます。

このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /setcontrolflowguard { /enable | /disable | /remove } { /all | /binaryName=<programName.exe> } [/hideUI]
  • /enable または /disable パラメーターは OS Windows システム設定を上書きし、/remove パラメーターは以前設定した上書きを削除します。
  • /all パラメーターを渡すとき、このコマンドは上記のすべての BigFix サーバー実行可能ファイルの Microsoft Control Flow Guard (CFG) イネーブルメントを変更します。
  • /hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。

Microsoft Control Flow Guard (CFG) の詳細については、BigFix サーバーでの Microsoft 制御フロー・ガードの有効化を参照してください。

setproxy
企業でプロキシーを使用してインターネットにアクセスする場合は、プロキシー接続を設定して、BigFix サーバーがサイトからコンテンツを収集できるようにする必要があります。また、コンポーネント間通信やファイルのダウンロードもできるようにする必要があります。

コマンドの実行方法と各引数で使用する値については、プロキシー接続のサーバー上での設定を参照してください。

setsqlserverparallelism
このサービスを使用すると、複数の CPU コアをより効果的に使用するために、データベース・インスタンスでいくつかの SQL Server 構成パラメーターを変更できます。パラメーター値として "auto" を渡すと、BESAdmin でパラメーターの適切な値を計算して設定できます。
このサービスを実行するための構文は以下のとおりです。
.\BESAdmin.exe /setsqlserverparallelism { [ /maxdop={<integer>|"auto"} ] [ /ctfp={<integer>|"auto"} ] }
次のパラメーターを 1 つ以上指定する必要があります。
  • /maxdop={<integer>|"auto"} は、MaxDop 値を指定します。
  • /ctfp={<integer>|"auto"} は、CTFP 値を指定します。

MaxDoP および CTFP に設定する値は、自然数 (0 以上の整数) でなければなりません。

このコマンドを実行するには、データベースで次の権限が必要です。sysadmin または serveradmin サーバー・ロールの権限は必須です。

syncmastheadandlicense
この製品をアップグレードする場合は、このオプションを使用して更新済みライセンスをマストヘッドと同期させ、データベース内のすべてのコンテンツを SHA-384 で再署名する必要があります。/hideUI オプションを使用すると、ポップアップ・ウィンドウがアクションの結果を通知するのを防ぐことができます。

このサービスを実行するための構文は以下のとおりです。

.\BESAdmin.exe /syncmastheadandlicense /sitePvkLocation=<path+license.pvk> 
[/sitePvkPassword=<pvk_password>] [/hideUI]
updatepassword

特定の構成内の 製品コンポーネントによって認証に使用されるパスワードを変更することができます。

このサービスを実行するための構文は以下のとおりです。

.\BESAdmin.exe /updatepassword /type=<server_db|dsa_db>
[/password=<password>] /sitePvkLocation=<path+license.pvk> 
[/sitePvkPassword=<pvk_password>]
ここで、
type=server_db
データベースで認証するためにサーバーによって使用されるパスワードを更新するには、この値を指定します。

この値を変更すると、コマンドはすべての BigFix サーバー・サービスを再始動します。

type=dsa_db
データベースで認証するためにサーバーによって DSA 構成内で使用されるパスワードを更新するには、この値を指定します。
/password 設定および /sitePvkPassword 設定はオプションです。これらがコマンド構文内で指定されていない場合、その値は実行時に対話式に要求されます。このコマンドによって設定されるパスワードは難読化されます。