株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第21回 ~KSC12で任意のイベント発生時にSNMPトラップを飛ばす~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

カスペルスキー製品の管理サーバーである Kaspersky Security Centerは、任意のイベントが発生した際にSNMPトラップを投げることができます

設定は簡単なのですが、KSC12でSNMPの設定をする場合においては留意事項があります

 

今回はKSC12においてSNMPトラップを有効にする方法と注意事項を記載します。

 

今回の記事の内容は以下の通りです。

  1. 【必読】KSC12でSNMPトラップ設定をする際の注意点
  2. 設定手順

 

今回の記事では以下のバージョンを利用、および、以下の構成です。

  • Kaspersky Security Center:12.2.0.4376, Windows Server 2016, DBと同居。
  • DB:SQL Server Express 2017

 

1. 【必読】KSC12でSNMPトラップ設定をする際の注意点

 KSCで任意のイベントが発生した際にSNMPトラップを飛ばしたい場合、必要なものは以下2つです。

  • Windows Serverの"SNMPサービス"。
  • KSCのSNMPモジュール。

2021/03/16現在、KSC12においてSNMPトラップを設定するうえで気を付けるべき点は、上記2点目 "KSCのSNMPモジュール" のインストール方法です。

これはKSC12の既知の問題に起因するもので、具体的には「KSC12のSNMPモジュールを、KSC12のインストール完了後に追加した場合」に既知の問題が発生します。

このケースで発生する事象は以下の2つです。

  • KSCのWebコンソールが意図せずにアンインストールされてしまう。
  • SNMPトラップが飛ばない。

なお、KSCのSNMPモジュールをKSCと同時にインストールした場合、上記2点は発生しません。

しかし、案件によってはSNMPモジュールを後から個別追加するしかない…なんてこともあるかと存じます。

そんな場合も考慮したSNMPトラップ設定フローを作ってみました。

f:id:networld-blog-post:20210315175104p:plain


KSCでSNMPトラップを使いたい場合、KSCのインストール状況にかかわらず、上のフローで必要な確認と手順を実施してください。各確認手順や作業手順は後述します。

 

2. 設定手順

 ここでは、前述した設定手順フロー図に沿って手順A~Iを記載します。

 

手順A:Windows Serverの機能

サーバーマネージャーから確認します。

機能の選択で[SNMPサービス]にチェックが入っていればOKです。

("(0/1個をインストール済み)" と表示されていても大丈夫です。)

確認後は[キャンセル]で抜けます。

f:id:networld-blog-post:20210315172511p:plain

 

手順B:KSCとSNMPモジュールを一緒にインストールする

以下のブログを参照してKSCをインストールしてください。

blogs.networld.co.jp

ただし、ウィザードの途中でSNMPエージェントを追加します!!

この手順は上記のブログの手順にないので、実施し忘れないように気を付けてください。

ウィザードの途中、以下の[インストール種別]で必ず[カスタム]を選んでください。

f:id:networld-blog-post:20210315172626p:plain

 

カスタムインストール画面でツリーを展開し、[管理サーバー]と[SNMPエージェント]にチェックを入れて進めてください。

f:id:networld-blog-post:20210315172638p:plain

 

手順C:Windows Serverの機能「SNMPサービス」を追加する

サーバーマネージャーからSNMPサービスを追加します。

f:id:networld-blog-post:20210315172700p:plain

f:id:networld-blog-post:20210315172705p:plain

 

SNMPサービスのチェックが入ったことを確認します。

f:id:networld-blog-post:20210315172711p:plain

この後はウィザードに従って追加を進めてください。

 

追加後、サービス一覧から[SNMP Service]のプロパティを開き、[トラップ]タブで送信先のSNMPマネージャーを指定します。

f:id:networld-blog-post:20210315172802p:plain

 

手順D:SNMPモジュールがインストール済か?

コントロールパネルからKSC12を選択し、[アンインストールと変更]をクリックします。

f:id:networld-blog-post:20210315172821p:plain

 

ウィザードが起動するので、指示の通り進めます。

f:id:networld-blog-post:20210315172833p:plain

 

[変更]をクリックします。

f:id:networld-blog-post:20210315172843p:plain

 

ツリーを展開し、[SNMPエージェント]にチェックが入っているかを確認します。

チェックが入っていればインストール済、チェックが入っていなければ未インストールです。

もし、[SNMPエージェント]が表示されていない場合は、Windows Server のSNMPサービスが未追加です。

確認後はキャンセルで抜けてください。

f:id:networld-blog-post:20210315172912p:plain

 

手順E:KSCのSNMPモジュールを追加する

【注意!!】

KSCのWebコンソールがインストール済の状態でこの手順を実施すると、既知の問題により勝手にアンインストールされてしまいます。Webコンソールが必要な場合は、後に再インストールする必要があります。Webコンソールを再インストールする手順は「手順F」に記載しています。

 

コントロールパネルからKSC12を選択し、[アンインストールと変更]をクリックします。

f:id:networld-blog-post:20210315173023p:plain

 

ウィザードが起動するので、指示の通り進めます。

f:id:networld-blog-post:20210315173034p:plain

 

[変更]をクリックします。

f:id:networld-blog-post:20210315173043p:plain

 

ツリーを展開し、[SNMPエージェント]にチェックを入れ、[次へ]をクリックします。

もし、[SNMPエージェント]が表示されていない場合は、Windows Server のSNMPサービスが未追加です。

f:id:networld-blog-post:20210315173056p:plain

 

[変更]をクリックします。

f:id:networld-blog-post:20210315173107p:plain

 

で、下の画面になるわけですが、不穏な文字列が出ていることにお気づきでしょうか…。Webコンソールが勝手にアンインストールされています。

f:id:networld-blog-post:20210315173141p:plain

 Webコンソールが今後の運用で必要な場合は、後述する「手順F」を実施してください。

 

[終了]をクリックします。

f:id:networld-blog-post:20210315173154p:plain

 

手順F:【任意】前の手順で勝手にアンインストールされたWebコンソールをインストールし直す

「手順E」で、意図せずWebコンソールがアンインストールされるので、この手順でインストールし直します。

なお、もともとWebコンソールをインストールしていない場合、または、今後Webコンソールを利用する予定が無い場合は、本手順をスキップして問題ありません。

 

以下のサイトからWebコンソールのインストーラーをダウンロードします。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/security-center

f:id:networld-blog-post:20210315173235p:plain

 

ダウンロードした.exeファイルを管理者権限で実行します。

f:id:networld-blog-post:20210315173246p:plain

 

ウィザードに従って進めてください。

f:id:networld-blog-post:20210315173302p:plain

f:id:networld-blog-post:20210315173309p:plain

 

任意のインストール先フォルダーを決めてください。

f:id:networld-blog-post:20210315173318p:plain

 

この手順ではKSCとWebコンソールが同じサーバー上にある想定なので、このまま進めます。

f:id:networld-blog-post:20210315173331p:plain

f:id:networld-blog-post:20210315173338p:plain

 

証明書の選択は任意ですが、既にKSCインストール済なので、[既存の証明書を選択]で進めます。

f:id:networld-blog-post:20210315173347p:plain

f:id:networld-blog-post:20210315173355p:plain

f:id:networld-blog-post:20210315173402p:plain

f:id:networld-blog-post:20210315173408p:plain

 

Webブラウザから以下のアドレスへアクセスし、KSC Webコンソールのログイン画面が出ることを確認します。

https://localhost:8080

f:id:networld-blog-post:20210315173426p:plain

 

手順G:不足しているレジストリを追加する

以下2つのレジストリを追加します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents]
"KLAdminKitSNMP"="SOFTWARE\\KasperskyLab\\Components\\34\\1093\\1.0.0.0\\SNMP"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\Components\34\1093\1.0.0.0\SNMP]
"Pathname"="C:\\Program Files (x86)\\Kaspersky Lab\\Kaspersky Security Center\\klsnmpag.dll"

f:id:networld-blog-post:20210315173859p:plain

f:id:networld-blog-post:20210315173905p:plain

 

手順H:KSCの任意のイベントにSNMPトラップを飛ばす設定を入れる

SNMPトラップ送信先は、Windows Server の SNMP Service で設定しているため、KSC側でSNMPマネージャーのIPアドレスやFQDNを設定する箇所はありません。

SNMPトラップを飛ばしたいイベントのプロパティ画面で、[SNMP経由で通知]にチェックを入れることで、以降このイベントが発生した際にSNMPトラップが飛びます。

f:id:networld-blog-post:20210315173930p:plain

 

手順I:MIBファイルをSNMPマネージャーに読み込ませる

MIBファイルは C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\snmp にあります。

f:id:networld-blog-post:20210315173950p:plain

以上で手順は完了です。

 

今回はKSC12でSNMPトラップを有効にする手順をご紹介いたしました。

前述の通り、KSC12においてKSCインストール後にSNMPモジュールを後から追加インストールする場合、既知の問題が発生します

私はこれをお客様先での導入作業中にやらかしてとても焦りました。

メーカーのお話では、KSC13では修正されるとのことなので、KSC13がリリースされ次第、確認と検証の記事を書こうと存じます。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。

記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それでは次回の記事でお会いしましょう!