SolarWinds Orion
統合バージョン: 4.0
ユースケース
アクティブなアクションを実行する - SQL クエリを実行して、エンドポイントに関する詳細情報を取得します。
Google Security Operations で SolarWinds Orion の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| IP アドレス | 文字列 | x.x.x.x:17778 | はい | SolarWinds Orion インスタンスの IP アドレス。 |
| ユーザー名 | 文字列 | なし | はい | SolarWinds Orion アカウントのユーザー名。 |
| パスワード | パスワード | なし | はい | SolarWinds Orion アカウントのパスワード。 |
| SSL を確認する | チェックボックス | オフ | いいえ | 有効になっている場合は、SolarWinds Orion サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
Google Security Operations Marketplace タブの統合構成ページで提供されるパラメータを使用して、SolarWinds Orion への接続をテストします。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_succeed:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータを使用して SolarWinds Orion サーバーに正常に接続されました。」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 「SolarWinds Orion サーバーへの接続に失敗しました」と出力します。エラーは {0}」.format(exception.stacktrace) |
全般 |
クエリを実行
説明
SolarWinds Orion でクエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | 実行する必要のあるクエリを指定します。注: SolarWind クエリでは「*」表記はサポートされていません。 |
| 返される結果の最大数 | 整数 | 100 | いいえ | 返す結果の数を指定します。 |
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON の結果
{
"results": [
{
"DisplayName": "orion"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 ステータス コード 400 以外の場合(is_success = true): 「Successfully executed query and retrieved results from SolarWinds Orion」と出力します。 ステータス コード 400(is_success = false)の場合: "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. 理由: {0}」.format(message) アクションが失敗し、ハンドブックの実行が停止します: 「エラー実行アクション「クエリを実行」を印刷します。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: 「Results」 レスポンスのすべての列がテーブル列として使用されます。 |
全般 |
エンティティ クエリを実行する
説明
IP エンティティと Hostname エンティティに基づいて、SolarWinds Orion でクエリを実行します。
アクション パラメータを操作する方法
このアクションを使用すると、IP エンティティとホスト名エンティティに基づいてエンドポイントに関する情報を簡単に取得できます。
エンドポイントの稼働時間を取得するとします。最初のエンドポイントの IP は「172.30.230.130」で、2 番目のエンドポイントのホスト名は「DC001」です。この場合、クエリは次のようになります。
SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes WHERE
IpAddress='172.30.203.130' OR DisplayName='DC001'
「Execute Entity Query」アクションを使用して同じクエリを作成するには、次のようにアクション パラメータを入力する必要があります。
| クエリ | SELECT IpAddress, DisplayName, SystemUpTime FROM Orion.Nodes |
|---|---|
| IP エンティティキー | IpAddress |
| Hostname エンティティ キー | DisplayName |
WHERE 句は自動的に準備されます。
テーブル スキーマのドキュメント
http://solarwinds.github.io/OrionSDK/2020.2/schema/Orion.Nodes.html
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | 実行する必要のあるクエリを指定します。注: SolarWind クエリは「*」表記をサポートしていません。また、クエリには WHERE 句を含めないでください。WHERE 句はアクションによって追加されます。詳しくは、アクションのドキュメントをご覧ください。 |
| IP エンティティキー | 文字列 | IpAddress | いいえ | クエリの WHERE 句で IP エンティティに使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。デフォルト: IpAddress |
| Hostname エンティティ キー | 文字列 | ホスト名 | いいえ | クエリの WHERE 句で Hostname エンティティとともに使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。デフォルト: ホスト名 |
| 返される結果の最大数 | 整数 | 100 | いいえ | 返す結果の数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"results": [
{
"DisplayName": "orion"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 ステータス コード 400 以外の場合(is_success = true): 「Successfully executed query and retrieved results from SolarWinds Orion」と出力します。 ステータス コード 400(is_success = false)の場合: "Action wasn't able to successfully execute query and retrieve results from SolarWinds Orion. 理由: {0}」.format(message) スコープ内にエンティティがない場合(is_success = false) 「スコープ内にエンティティが見つかりませんでした。」と出力します。 アクションが失敗し、ハンドブックの実行が停止します: 「アクション「エンティティ クエリを実行」の実行中にエラーが発生しました」と出力します。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: 「Results」 レスポンスのすべての列がテーブル列として使用されます。 |
全般 |
エンドポイントを拡充する
説明
ホスト名または IP アドレスでエンドポイントのシステム情報を取得します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
エンティティ拡充
エンティティの拡充では、レスポンスのすべてのフィールドが使用されます。接頭辞は SLRWORION になります。
たとえば、SLRW_ORION_CPULoad は CPULoad からマッピングされます。
JSON の結果
{
"results": [
{
"IpAddress": "172.30.203.130",
"DisplayName": "orion",
"NodeDescription": "Hardware: Intel64 Family 6 Model 63 Stepping 2 AT/AT COMPATIBLE - Software: Windows Version 10.0 (Build 17763 Multiprocessor Free)",
"ObjectSubType": "Agent",
"Description": "Windows 2019 Server",
"SysName": "ORION",
"Caption": "orion",
"DNS": "orion",
"Contact": "",
"Status": 1,
"StatusDescription": "Node status is Up.",
"IOSImage": "",
"IOSVersion": "10.0 (Build 17763 Multiprocessor Free)",
"GroupStatus": "Up.gif ",
"LastBoot": "2020-10-26T11:06:00.0000000",
"SystemUpTime": 76135.1171875,
"AvgResponseTime": 4,
"CPULoad": 0,
"PercentMemoryUsed": 76,
"MemoryAvailable": 3.08503347E+09,
"Severity": 0,
"Category": 2,
"EntityType": "Orion.Nodes",
"IsServer": true,
"IsOrionServer": false
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功し、指定されたエンティティの少なくとも 1 つが拡充された場合(is_success = true): 「Successfully enriched the following endpoints from SolarWinds Orion: \n {0}」と出力します。format(entity.identifier リスト) 特定のエンティティの拡充に失敗した場合(is_success = true): 「Action was not able to enrich the following endpoints from SolarWinds Orion \n: {0}」を出力します。format([entity.identifier]) すべてのエンティティの拡充に失敗した場合(is_success = false): 「拡充されたエンティティはありません」と出力します。 アクションが失敗し、ハンドブックの実行が停止します: 「エンドポイントの拡充」アクションの実行中にエラーが発生しました。Reason: {0}''.format(error.Stacktrace) を出力します。 |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。