ヘルプ

攻撃遮断くんエージェントが正常にインストールできている場合でも、管理画面のオンライン/オフラインの表示が切り替わるまでに時間がかかることがあります。

10～20分後もオフラインの場合は以下を確認してください。

・ファイアウォールの受信、送信ポート
・指定ポートの開放

※IN側、OUT側共に許可が必要です
※ポート番号はサーバタイプ設定のIPアドレスの「詳細を見る」から確認できます
※接続先ポート番号欄に以下の様に記載されています
　<port>（ポート番号）</port>

問題が解決しない場合は、以下ファイルをサポートまでご提供ください。

・Linux環境

# /var/ossec/logs/ossec.log
# /var/ossec/etc/ossec.conf
# /var/ossec/etc/client.keys

・Windows環境

C:\Program Files (x86)\ossec-agent\ossec.conf
C:\Program Files (x86)\ossec-agent\ossec.log
C:\Program Files (x86)\ossec-agent\client.keys

ホスト名は攻撃遮断くんの動作に影響はないため、任意の名前に変更が可能です。

＜サーバセキュリティタイプ＞

攻撃遮断くんの動作に影響はないためドメインの変更は可能です。

＜WEB/DDoSセキュリティタイプ＞

設定変更が必要です。サポート窓口までお問い合わせ下さい。
 

攻撃遮断くんエージェントプログラムのアップデートや設定変更は不要です。

攻撃遮断くんエージェントの停止および開始方法は以下のとおりです。

■Linux の場合

停止： 

/var/ossec/bin/ossec-control stop

開始：

/var/ossec/bin/ossec-control start

■WindowsOSのサーバの場合

停止： 

スタート > すべてのプログラム > OSSEC > Manage Agent を起動

メニューバー > Manage > Stop OSSEC

開始：

スタート > すべてのプログラム > OSSEC > Manage Agent を起動

メニューバー > Manage > Start OSSEC

攻撃遮断くんは、サーバ環境（phpやフレームワーク、jqueryなど）に依存していないため、バージョンアップによる動作への影響はありません。

■Linux の場合

/var/ossec/bin/ossec-control status

上記コマンド結果から各プロセスのステータス（running）を確認してください。

例） 

# /var/ossec/bin/ossec-control status

ossec-logcollector is running...

ossec-syscheckd is running...

ossec-agentd is running...

ossec-execd is running...

※検知モードの場合「ossec-execd」は起動しません

■WindowsOSのサーバの場合

攻撃遮断くんエージェントプログラムを起動してください。

C:\Program Files (x86)\ossec-agent\win32ui.exe

操作ウィンドウから「Status」の"Running"を確認してください。

レポート公開は毎月10日頃となります。

※休日の場合は翌営業日の公開となる場合があります
※レポート公開の際はお知らせでご案内します
※レポート公開が大幅に遅延する場合はお知らせでご案内します

【課金とレポート公開のタイミングについて】

攻撃遮断くんでは、課金対象月分の検知状況がレポートされます。
課金のタイミングはエージェントキー発行日の翌月1日からです。

キー発行日の翌月分の検知状況を翌々月に「管理画面 > 検知/レポート > レポート」で公開されます。
（例：エージェントキー発行日が1/15の場合、2/1から課金開始、2月分のレポートが3月に公開されます）

攻撃遮断くんエージェントは監視センターと疎通を確認しています。

オンライン状態から疎通確認に失敗した場合にオフライン通知が送信されます。
また、オフライン状態から疎通確認に成功した場合はオンライン通知が送信されます。
※通知は登録メールアドレス宛に送信されます
※通知や管理画面への表示にはタイムラグがあります
※通知は読込アカウントのメールアドレスには送信されません

監視センターとの疎通状況は以下のファイルで確認ができます。

・Linuxの場合
/var/ossec/logs/ossec.log

・Windowsの場合
C:\Program Files (x86)\ossec-agent￥ossec.log

※導入時のインストール先によりファイルパスが異なる場合があります

【オフライン時のログ出力例】
ossec-agentd(1218): ERROR: Unable to send message to server.

【オンライン時のログ出力例】
ossec-agentd(4102): INFO: Connected to the server

※ログが出力されていない場合は状態に変更はありません

エージェントキーを複数サーバで流用することはできません。
サーバ入替の際は、下記マニュアルに沿ってサポートまでご連絡ください。

【利用開始後の各種マニュアル】
https://docs.shadan-kun.com/manual/server_type_usage.pdf

【例】
・エージェントAをインストールしているサーバAをサーバBへ移行を計画
・入替前後のサーバ情報をCSCサポートまで連絡
・CSCサポートからエージェントBを発行

管理画面からは以下の設定変更が可能です。

・転送先IPアドレス
・SSL証明書
・HTTP/HTTPS

【注意事項】
管理画面上はすぐに更新されますが、設定反映は翌営業日10時から順次実施となります。

接続確認後に攻撃遮断くんを使用する場合は、DNSをWAFセンター経由ではない状態へ戻してください。
また、接続確認後にDNSを再度WAFセンター経由へ変更してください。

タイムアウト値はFQDN単位で設定が可能です（デフォルトの値：60秒）。
変更手順は下記マニュアルを参照してください。

【マニュアル：各種パラメータの変更手順】
https://shadan-kun.com/ja/manual/web_type2_update_params

※1サイトプランの場合はカスタマイズに対応していません

攻撃遮断くんでは、ファイル転送量の制限があります（デフォルト：100M）。
設定値はFQDN単位で変更が可能です。変更手順は下記マニュアルを参照してください。

【マニュアル：各種パラメータの変更手順】
https://shadan-kun.com/ja/manual/web_type2_update_params

※設定変更により帯域を多く使用される恐れがあります
※1サイトプランの場合はカスタマイズに対応していません

管理画面上の設定は翌営業日10時のシステム処理により反映されます。
即時反映をする場合は、サービス詳細メニューに「設定を適用する」ボタンをクリックしてください。

※1サイトプランの場合は「設定を適用する」ボタンはご利用いただけません

管理画面上の設定は翌営業日10時のシステム処理により反映されます。
即時反映をする場合は、サービス詳細メニューに「設定を適用する」ボタンをクリックしてください。

※1サイトプランの場合は「設定を適用する」ボタンはご利用いただけません

管理画面上の設定は翌営業日10時のシステム処理により反映されます。
即時反映をする場合は、サービス詳細メニューに「設定を適用する」ボタンをクリックしてください。

※1サイトプランの場合は「設定を適用する」ボタンはご利用いただけません

管理画面上の設定は翌営業日10時のシステム処理により反映されます。

※即時反映をご要望の場合はサポート窓口までお問い合わせください
※1サイトプランの場合は管理画面から登録は行えないため、サポート窓口までお問い合わせください
 

お問い合せの際には以下の情報をサポート窓口までご連絡ください。

<サーバセキュリティタイプ>
・ご契約者名
・ご契約プラン名
・対象IPアドレス
・お使いのOSバージョン、WEBミドルウェア(apache,nginx等)
・検知履歴（検知遮断に関するお問い合わせの場合）
　※管理画面[検知/レポート] > [検知履歴] > [詳細を見る]ボタンをクリック

<WEB/DDoSセキュリティタイプ>
・ご契約者名
・ご契約プラン名
・対象FQDN
・検知履歴（検知遮断に関するお問い合わせの場合）
　※管理画面[検知/レポート] > [検知履歴] > [詳細を見る]ボタンをクリック

サーバ再起動や入れ替えをされた場合など、正しい設定でオフライン状態が続く場合、以下を実施ください。

【Linux作業手順】
─────────────────────────────────
1. エージェントの停止
下記コマンドを実行してください
 # /var/ossec/bin/ossec-control stop

2. 一時ファイル削除
 /var/ossec/queue/rids/配下の全ファイルを削除してください
# rm  /var/ossec/queue/rids/*

3. サポート窓口へ連絡
以下の情報をご提供ください
・対象エージェントのIPアドレスもしくはホスト名
・対象エージェントURL（https://shadan-kun.com/ja/ips/XXXX）
※監視センターにて作業（整合性チェックファイル削除）を実施致します

4. エージェントの起動
サポートからの作業完了連絡後、下記コマンドを実行してください
 # /var/ossec/bin/ossec-control start
─────────────────────────────────

【Windows作業手順】
─────────────────────────────────
1.エージェントプログラム停止
スタート > すべてのプログラム > OSSEC > Manage Agent を停止
 
2.一時ファイル削除
C:\Program Files (x86)\ossec-agent\rids\配下を削除
 
3. サポート窓口へ連絡
以下の情報をご提供ください
・対象エージェントのIPアドレスもしくはホスト名
・対象エージェントURL（https://shadan-kun.com/ja/ips/XXXX）
※監視センターにて作業（整合性チェックファイル削除）を実施致します
 
4. エージェントプログラム起動
スタート > すべてのプログラム > OSSEC > Manage Agent を起動
─────────────────────────────────

※インストール直後にオフラインとなった場合は、以下マニュアルに従い正しくインストールされているかをご確認下さい。
https://shadan-kun.com/ja/installation_linux
https://shadan-kun.com/ja/installation_windows

※本手順は「ベーシックプラン」が対象です

■移行に必要な情報

新規エージェントキー発行および旧エージェント削除にあたり以下7点の情報をサポート窓口までご提供ください。

───────────────────────────────────
【移行前のエージェント情報】
(1) IPアドレス：
(2) ホスト名：
(3) OS：
※管理画面[サーバタイプ設定]で対象エージェントの[詳細を見る]をご確認ください

【移行後のエージェント情報】
(4) IPアドレス：
(5) ホスト名：
(6) OS：
※anyキー発行を希望の場合はIPアドレス欄に「any」と記載ください

【スケジュール情報】
(7)サーバ移行予定日：
───────────────────────────────────

<留意事項>
移行前のエージェントはサーバ移行日の翌月末を有効期限として管理画面から削除されます。
削除後は検知履歴やレポートの閲覧ができなくなるため、事前にダウンロードをお願いします。

■移行手順

1. 新規エージェントキー発行
   弊社にて新規エージェントキーを発行しご連絡いたします。

2. 新規サーバ準備（お客様作業）
   新規サーバにて攻撃遮断くんのインストール作業を実施ください。
   （インストールの際に新規エージェントキーを使用します）

3. 旧サーバの停止（お客様作業）
   新規サーバで正常動作を確認後、旧サーバを停止（もしくは攻撃遮断くんエージェントのアンインストール）を実施ください。

【参考】攻撃遮断くんアンインストール手順
<Linux> https://shadan-kun.com/ja/uninstall_linux
<Windows> https://shadan-kun.com/ja/uninstall_windows
※ rpmパッケージでインストールした場合は任意のタイミングで「rpm -evh ossec-agent」を実施ください
※「ossec.conf」や「firewall-drop.sh」等を環境固有の設定に編集している場合は事前にバックアップを取得してください

ご利用環境固有の移行作業等がある場合は、サポート窓口までご相談ください。

ご利用プランごとのFQDN削除方法を説明します。

【Webサイト入れ放題プラン】
Webサイト入れ放題プランのFQDNを削除する場合は、以下の手順で有効期限日を設定してください。

○ FQDNに有効期限日を設定する手順

※削除時はDNS設定変更を実施し、名前解決先を攻撃遮断くんWAFセンター以外に向けてください

■留意事項
削除反映後は対象の検知履歴およびレポート閲覧が行えなくなります。
必要に応じて保存をお願いします。

○ 検知履歴のダウンロード方法
○ レポートのダウンロード方法

※FQDN個別レポートオプションをご契約の場合は、別途オプション解約を営業窓口までご連絡ください

【1サイトプラン】
1サイトプランのFQDNを削除する場合は、解約扱いとなります。
弊社営業窓口、もしくは弊社代理店へ解約の旨をご連絡ください。

※解約時はDNS設定変更を実施し、名前解決先を攻撃遮断くんWAFセンター以外に向けてください

■削除スケジュール
1サイトプラン解約から約2ヶ月経過したFQDNについて削除を実施します。

ご利用プランごとのエージェント削除方法を説明します。

【使い放題プラン】
使い放題プランのエージェントを削除する場合は、以下の手順で有効期限日を設定してください。

○ エージェントに有効期限日を設定する手順

【従量課金プラン】
サポート窓口にて削除いたします。
エージェントを削除する場合は、以下の情報をご連絡ください。

──────────────────
サービス名：
IPアドレス：（anyの場合はhost名）
──────────────────
※ご依頼前にアンインストールやサーバ撤去により、対象エージェントをオフラインに変更してください

・削除スケジュール
ご依頼の翌月末に有効期限が設定されます（有効期限翌日に9:30～に削除）。
※ベーシックプラン解約から2ヶ月経過したエージェントの場合は5営業日目安で削除を実施します

【ベーシックプラン】
ベーシックプランのエージェントを削除する場合は、解約扱いとなります。
対象のエージェント情報を添えて、サポート窓口まで解約の旨をご連絡ください。
※ご依頼前にアンインストールやサーバ撤去により、対象エージェントをオフラインに変更してください

■留意事項
エージェントの削除反映後は対象の検知履歴およびレポート閲覧が行えなくなります。
必要に応じて保存をお願いします。

○ 検知履歴のダウンロード方法
○ レポートのダウンロード方法

アカウント（読込）を削除する場合は、サポート窓口まで以下の情報をご連絡ください。

──────────────────
担当者メールアドレス：
──────────────────

【削除スケジュール】
ご依頼から5営業日目安で削除を実施します。

【サーバセキュリティタイプ】

下記マニュアルを参照してください。

○ 検知 / 遮断 モード切り替え手順
https://shadan-kun.com/ja/mode_change_linux
 

【WEB/DDoSセキュリティタイプ】

<入れ放題プラン>

モード切替はご希望の場合はサポート窓口までご連絡ください。
現在の動作モードは、管理画面[WEB/DDoSタイプ設定]>[詳細を見る]からサービス詳細画面の「モード」で確認ができます。

※動作モード設定はサービス単位（全FQDN）で適用されるため、FQDN個別の切り替えはできません

<1サイトプラン>

1サイトプランの場合は、常に「遮断モード」で動作します。モード切替には対応していません。

※本手順は「使い放題プラン」「従量課金プラン」が対象です

攻撃遮断くんをインストールしているサーバを移行する場合は、以下の作業手順を実施してください。

■移行手順

1. 新規エージェント登録
   管理画面より新規エージェントを登録してください

2. 新規サーバ準備
   新規サーバにて攻撃遮断くんのインストール作業を実施ください。
   （インストールの際に新規エージェントキーを使用します）

3. 旧サーバの停止
   新規サーバで正常動作を確認後、旧サーバを停止（もしくは攻撃遮断くんエージェントのアンインストール）を実施ください。

【参考】攻撃遮断くんアンインストール手順
<Linux> https://shadan-kun.com/ja/uninstall_linux
<Windows> https://shadan-kun.com/ja/uninstall_windows
※ rpmパッケージでインストールした場合は任意のタイミングで「rpm -evh ossec-agent」を実施ください
※「ossec.conf」や「firewall-drop.sh」等を環境固有の設定に編集している場合は事前にバックアップを取得してください

■エージェント削除

移行前のエージェントを削除する場合は、こちらの手順を確認してください。