NCMのPolicy-Report, Policy, Ruleの関連性とScriptでのConfig修正例

Version 10

    【概略】

    Policy reportを設定し、violence状態になったノードに対し

    改善策としてあらかじめ用意しておいたscriptを使って修正し、

    その結果を確認するという流れで、

    report, policy, ruleの関係性とscriptの使用方法例を説明します。

     

    MY DASHBOARDS>Config Summary

    test_reportをclickしノード毎に状態を確認

    今回はC3550-1の赤(Critical)を修正するまでの説明です。

     

    【詳細説明】

    1. Policy Report について

     

    Policy Violations のtest_reportは3個のruleをまとめたtest_policyを表示(report)するように作成しました。

     

    test_report  < test_policy < test_rule1:192.168.12.*  に該当する文字列を含む

                                               test_rule2:192.168.*.8     に該当する文字列を含む

                                               test_rule3: ip route 172.20.50.0 に該当する文字列を含む

     

    それぞれの作成は

    My DASHBOARDS>Compliance>Compliance Policy Reports>MANAGE POLICY REPORTS

     

     

    でMANAGE RULES ->MANAGE POLICIES ->MANAGE REPORTS の順番で実施したほうが分かり易い。

     

     

    Manage Policy Report Rules の画面でADD NEW RULES で以下のように

    test_rule1, 2, 3 の順で作成しました。

     

     

     Remediate Script type の部分はtest_rule1,2,3とも共通で、TESTで確認後、送信(Submit) で作成されます。

     

     

     

    test_policy の作成は

    ADD NEW POLICY で以下のように左側のtest_rule1,2,3を右側にADDで表示させて、送信で作成しました。

     

     

    Manage Policy Reportsの画面でADD NEW REPORT で作成します。

    test_report は左のtest_policyを右にADDで表示させ、送信で作成しました。

     

     

    以上で、test_report, test_policy, test_rule1,2,3 の作成しました。

     

    2. 最初のPolicy Violation の状態を改善(修正)するため、scriptを作成しておきます。

     

    My DASHBOARDS>Configuration Management>SCRIPT MANAGEMENT>ADD NEW SCRIPT

    で作成したScriptは以下の通りです。

     

    今回の説明で実際に使用するScript内容は以下の通りです。

     

    3.test_report の赤(Critical) を修正するまで

     

    この赤をclickすると、VIOLATIONの詳細画面が表示されます。

     

     

    ここで、

    Execute Remediation Script on this Node をClickすると、作成済みScriptが表示されるので、

    今回はno static route ........ を選びます。

     

     

    作成しておいたcommandが実行直前の状態に準備できます。

    EXECUTE SCRIPT をClickすると実行されconfigが書き換えられます。

    下記画面が表示されるので、実行内容を確認するため、Show upload results をClickします。

     

     

    以下は追加確認です。

    今回は、この時点では、C3550-1のrunning configはScriptで書き換えただけなので、

    C3550-1のrunning configをdownload すると、”View Change Report”で変更部分を確認可能となります。

     

     

    Compliance のtest_reportを☑で選んでUPDATE SELECTED

     

    UPDATE SELECTEDが終了したらtest_reportをclickして赤マークが消えている事を確認可能

     

     

    以上です。