投稿

2015の投稿を表示しています

PHPとかCacti使うから使ってるけど、知らないし・・・

Cactiを使うためには、PHPとかが必要です。
でね、使ってると日本語使いたくなるよね。
グラフのタイトルとか・・・

先輩方もおられるようなので、数年前にこの記事を参考に私もやりました。
http://alumini-alumi.seesaa.net/article/166329721.html

実際は、ちょっと間違いがあって、

mb_convert_encoding ( 対象の文字列,変更後のエンコード, 変更前のエンコード)

グラフにはSJISで渡さないといけないので、UTF-8とSJISの場所が逆なんですよね。

まぁ、これは参考にした際にハマりました。遠い過去の話です。

ところで、スクリプトを追加して新しい監視項目を増やそうとしたのですが、
うまく動かないので色々試してた時のことなんですけど、
php.exe scripts\ss_tping.php google.com
とコマンドで実行するとちゃんと結果が帰ってくるんだけど、
Cactiで実行すると値が帰ってこないんですよ

でね、PHPのバージョンを新しくしてみたら動くのでは?と
新しいPHPをとってきて、php.iniを設定するわけですよ。
まじめだから、Cactiのマニュアルを見て、編集個所を確認して・・・

で、入れ替える。

動きません!!

で色々調べてみてわかったこと。

extension=php_mbstring.dll

が標準ではコメントアウトされている。
私のCactiは日本語化して、mb_convert_encoding()関数を使っているので、
当然、この設定変更は必須なんですよね。

PHPを使っている人にとっては当たり前なんだろうけど、
私はPHPを入れただけの人なので、この辺はさっぱりなんだよね。

でも、今回のことで学びました。
次にバージョンアップする際はコメントアウトを外さないとダメ!!
私にとってPHPはCactiを動かすために必要な部品なので、この程度の理解でいいのさ~

mb_convert_encoding()関数を使わずにグラフを日本語対応するってのにチャレンジしてできなかったのはここだけの話だ。

Splunkで見つけちゃった・・・

先日Splunkでログを眺めてたんですけど、不具合見つけちゃった・・・
不具合といっても、何もせずにログファイルを読み込ませているので、設定忘れの可能性もあるんですけどね・・・

テキストファイルに保存するログをSplunkで取得しているのですが、時間の解釈がちょっとおかしいタイミングがあるんです。


2015/10/10 00:01:20.0204 ABCDEFG
2015/10/10 00:01:20.5733 ABCDEFG


みたいなログがあるとき、Splunkは優秀で日付の認識をやってくれます。
ファイルのタイムスタンプまたは1行ごとの日付と思われる場所をもとに日時が特定されるらしいのですが、 2015/10/10 00:13:00:00.00000 になるまでなんですけど、2015年10月10日1時20分と記録してるようなんです。

00:01:20 を 01:20と間違ってるんですね。

だから、毎日ログの順番がおかしいことになってるんです。
今のところ、その時間帯のログ確認が必要になることはなかったので問題ないのですが、ちゃんと定義してあげないと本当はダメなんですよねぇ~

今はちゃんと認識するように直す時間と気力がないのでほっときますけど、
こういう問題をちゃんと直す運用って大事ですよね。

ほんと大事です。

ドキュメントライブラリーは上書きを防げ

ドキュメントライブラリは何も考えずアップロードすると上書きされてしまいます。
これを防ぐ方法としては、上書きするチェックボタンのチェックを外すカスタマイズを行う必要がありますが、私はワークフローでファイル名を変更して、同じ名前になる確率を下げる方法を取っています。
ファイル共有フォルダーとして使っている場合は上書き問題はあまり発生しないのですが、○○報告書の保存のために用意すると、上書きする可能性が高くなります。
それにファイル名の統一性がないと見た目も汚いですよね。
だから、新規保存をトリガーにファイル名を変更するワークフローを使って一定のルールに従ったファイル名に変更してしまいます。
例えば、「○○報告書 + 報告日 + 報告者」とかにすることで、同じ日に違う人が報告を上げても大丈夫なようにします。
先日気が付いたのですが、この方法が使いにくいパターンがあることに気が付きました。
それは・・・
テンプレートファイルから保存した場合。
定型文に記入してもらって保存する
という、ユーザーに優しい方法を取った時にファイルを保存して、Officeアプリを終了しても、しばらくの間、ファイルがロックされていると認識され、ワークフローがロック解除を認識するまで中断してしまう問題を確認しました。
このロック解除するまでの時間は数秒から数分と結構ばらつきがあって、中断している間に上書きされてしまう可能性があるのです。
テンプレートから作成したドキュメントのファイル名は「テンプレートファイル名1」がデフォルトになっており、そのまま保存すると、上書きされてしまうのです。
この動作を見越して、ファイル名を変更するワークフローを動かしているのに、たった数分の中断によってグッドアイディアだったこの方法が微妙な感じに・・・
ファイルをアップロードしたときはほぼ即時に反映されるので、直後の一覧更新で変わっているんですけどね~
どうにかならないものでしょうかねぇ~

コンピュータウィルス感染ってなに?

私の使っている職場、個人のパソコンでコンピュータウィルスというものを検出した経験がほとんど無いのでどうやったら感染できるのか?よくわからないんですよね。
最近、コンピュータウィルスに感染したコンピュータが情報漏えいの原因とか、可能性があるってニュースが流れたりしてますけど、ちゃんとウイルスの名前を公表してほしいですね。
数百台のコンピュータを管理していれば、マルウェア検出通知なんて毎日届くわけで、某団体が被害にあったマルウェアの名前がわからないので、検出したものが悪いものなのか、放置してよいものか判らない。
検出した結果、隔離したと通知があった場合は感染といえるのか?
対応が必要なのか?
建前では「速やかにネットワークから切り離し、フルスキャン実施する」といいますけど、検出したマルウェアによっては対応が異なるはずなんですよね。攻撃者の目的も千差万別なんだから・・・
ちなみに、私の検出経験はメール添付だけですね。
メールサーバーのウィルス対策で漏れて届いた新種、亜種だろうなぁ~ってそのままゴミ箱に入れてたファイルを後日検出しただけですね。
この添付ファイルを実行するような律儀な方は感染したといえるでしょうね。
検出時の通知内容に、感染前か後がわかるようになっていればいいと思うけど、それがわかる対策ソフトって聞いたことがない。

セキュリティー対策の運用って本当にちゃんとできている人っているのだろうか?

続・ファイアウォールなんて信じるな

trust -> untrust 許可
untrust -> trust 不許可
これ以上でも、これ以下でもありません。
例外的に、DMZに設置したサーバへの許可ルールを追加します。
DMZはuntrustに属します。
untrust -> DMZ 不許可(一部許可)
DMZ -> trust 不許可
某マイナンバーのセキュリティーにおいて、ファイアウォールという装置を設置することが推奨されていますが、
いったいどのような設定を行うと、マイナンバーを運用するうえで安全なのでしょうか。
考えれば、考えるほど、無意味な装置ですね。
特にIPアドレスとTCP/UDPのPortベースのフィルタリングなんて無意味です。
もし、情報漏えいのプロトコルにHTTPが使われると仮定すると、TCP 80番Portを禁止するのが普通の対応だと思います。
trust -> untrust(tcp80) 不許可
でも、HTTPサーバーのPort番号を53番に設定して、クライアントも53番Portで通信する設定にしてあると通信できます。
53番はDNSというインターネット通信では重要なサービスで利用されており、LANにDNS Proxyを設置していたとしても、端末からの通信も許可しているでしょう。
HTTPサーバーの待ち受けPortを53番に設定することって出来るのでしょうか?非常に簡単です。80番以外を使うことはよくあります。
クライアントはもっと簡単で、サーバーアドレスの後ろに「:53」を付けるだけです。
53番はDNSで予約されているはずですが、本当に使えるの?
誰が53番をDNS以外で使ってはいけないと決めて、設定できないように制限を加えているのですか?
接続先のサーバー管理者に聞かなくてもいいように、53番はDNSに使いましょうという由緒正しき文書の存在はありますけど、
守らない人なんて・・・
そう考えると、port番号で制御するなんて無意味ですよね。
だから、通信の内容を確認して、HTTPであることを認識し、それを止める必要があります。
HTTPのみで情報漏えいが行われるのであれば、これでいいですけど、
未知のプロトコルで通信するとしたらどうなんでしょうね?

ちなみに、私は家庭用ファイアウォールは不要と思ってます。
だって、ネットショッピング中に通信の許可確認の画面が出たら許可するよね?
その許可した通…

ファイアウォールなんて飾りですよ!!

はっきり言って、ファイアウォールなんて飾りだ。
どんなに細かなポリシーを設定したとしても、許可した通信は流れる。
許可した通信をさらにアプリケーションごとに認識してポリシーを設定できる次世代ファイアウォールを使ったとしても、許可したアプリケーションは流れる。
私が運用しているファイアウォールは次世代ファイアウォール「PaloAlto」
これは他のファイアウォールと違って、IPSをファイアウォールのように使いやすくした製品といえばいいのだろうか?
とりあえず、こういうポリシーが当たり前のように設定できる。
ADユーザーのAさんはLINEの利用を許可するが、Bさんは禁止する
パソコンCはWindowsUpdate以外のインターネットアクセスを禁止する
twitterは許可するけどつぶやくのはダメ。mixiは使用禁止。
ファイアウォールが認識するWebアプリケーションレベル、ユーザー、コンピュータと、きめ細かなポリシーが決められるけど、許可した通信は許可なんだ。
で、悪意を持ったユーザーが許可された通信の中で、悪さをした場合に止める手立てはない。
例えば、クレジット番号やマイナンバーのような数字何桁のデータ送信は止める
出来ますよ。
でもね、それを回避するなんて簡単な事。
例えば、データ送信時に無意味な数字の羅列を付与してしまえば簡単にすり抜けてしまう。
はっきり言って、ファイアウォールは想定できる範囲での制御は出来るけど、
人間が知恵を使ってすり抜けようとしたことに対しては無意味
だって、許可する通信を使って禁止されたデータを許可されたデータに変換して送るんだから

だからあえて言おう!!ファイアウォールは飾りであると!!

Microsoftさんよ~~~

近々リリース予定のワークフローで権限書き換えを行うSharePoint リストの準備で、マニュアルを作ってるんだけど、クリップアートの提供がなくなったじゃん?
アバターと建物のクリップアートが使いたいんだけど・・・ないじゃん?
Bing検索だとろくなのないじゃん?
クリップアートはよく使ってたけど、まぁ、Bing検索でクリップアート探せばいいじゃん?って簡単に思ってたんだけど、クリップアート集かフリー素材が必要な感じ・・・ライセンス的に気を付ける必要があるので、結構ダメージでかかった。
ってのは置いといて、先週末に打ち合わせでリストの名前が変わりました。
ということで、関連するリストとかワークフローの名称も変えてたんですよ。
そしたら通常のワークフローは動作するんだけど、権限を書き換える処理があるワークフローがエラーになるんだよね。
え?リリース間近なのに原因不明の不具合発見!!ってかリスト名しか変えてないのに動かなくなるって一番やばいじゃん!!
今までチェックしてた時はちゃんと動いてたのに・・・なんで??
ってワークフローの見直しとか、権限の確認とかいろいろやってたんだけど、条件的には問題ないんだよな~~
権限以外は問題なく動作してるし・・・あせるわ~~~
まぁ、こういう時は一からワークフローを書き直してみるのが一番で、全く同じのを作ってみたらわかりました。原因が・・・
このリストね、アイテムごとに条件によってSharePoint グループの権限レベルを変更する処理を行っていまして、そのグループ名も変更してたんです。
普通ね、こういう変更をしてもSIDとか内部IDで管理されるので、名称変更しても影響がないと思うよね。
少なくとも私はそう思ってたの。
SharePoint DesignerのGUIで設定してるし・・・
だけど、SharePoint Designerの権限設定には古いSharePoint グループ名が表示されていたの。
でもSharePoint ってActive Directoryユーザーやグループの名称変更しても、ユーザープロファイルの同期までは古い名前のままで動いていたりするので、特に気にしてなかったんだけど、SharePoint グループはちょっと違うみたい?いや、アイテムに設定された固有のアクセス権は名称が変わっているので、SharePoint Designerの問題だと思う…

サポート期間が長いのは?

結局のところ、サポート期間が長いのはWindowsじゃないかと思う。
WindowsXPの延長サポートが終了するからと、大騒ぎしたのはちょうど去年の話。確かWindowsXPは2003年発売でしたよね。
小学生でも10年間サポートを続けていた事は計算できますね。
それに比べて・・・先日の発表はねぇ~~どうしたものか・・・
あまりにも反応がなさ過ぎて笑えますね。
Android 4.3って多くのユーザーが使用しているバージョンですよ。
ケイタイなんて2~3年で買い替えているから問題ない?
まぁ、そうかもしれないけど、すでに購入できない製品が10年のサポート期間を終了しただけであれだけ騒いでいたのにね!!
ところで、私が使っているスマートフォンL-05Dは2012年発売で1年後に4.0から4.1にバージョンアップ。それ以降はハードウェア制御の不具合修正2回があっただけですよ。
実質のサポートは1年ってことですね。
すでに、ウイルス対策アプリを常駐させても無駄なくらいセキュリティーホールは発見されているし、公表されていると思うよ。
Windowsみたいに企業の情報漏えいに直接つながることは少ないけど、個人情報でいえば宝庫だし、数も多い。しかもリテラシーは最低だからOSの脆弱性って大問題なんだけどね?え?アプリから堂々と情報取得できるから問題ない?
そうかもしれないね。
カメラアプリなのに、電話帳アクセスを要求したりするもんね。何も考えず許可しているし・・・

Windowsのサポート期間は基本10年なんだけど、Windows3.1時代のプログラムがWindows8.1で普通に動くって知ってた?64bit版のWindowsでは仕組み上16bitアプリは動作しないけど、32bit版のWindowsなら普通に動作するんだな。MS-DOS時代のプログラムだって動作するものはある。
そう考えると、Windowsってものすごくサポートが長いんだよね。
Windowsって不具合が多いとか文句を言われるけど、10年間はそれなりに無償対処してくれるし、下位互換性の点でいえはダントツのトップレベルだよね。
そのOS上で動くアプリケーションはバクや脆弱性あるけど保証期間なしなんてのは沢山あるんだけど・・・


Windows8.1 Updateになるまで・・・

デスクトップ型パソコンで使っているWindows8.1はWindows3.1からのUpgrade版である。
よって正規にやるならば、MS-DOS6.2をインストールし、Windows3.1をインストールして、Windows 95, 98, 2000, XP, Vista, 7, 8, 8.1を順にアップグレードするか、Windows3.1からNT4.0 ,2000以下同じのルートをたどる必要がある。
実際は、アップグレード版の対象バージョンであれば大丈夫なので、いくつかのバージョンはスキップできる。
まぁ、これは単なる自慢なわけで、DOS/V歴は長い。あまり自慢するとCP/Mとかの時代の先輩方がやってきたりするので注意が必要だが、真空管時代の爺が現れるのはある意味面白そうだ。もちろん真空管といってもオーディオではなくENIAC時代の仙人のことだ。
とはいえ、初めてのパソコンはPC9801FAなので、私もパソコン歴はそんなに長くない。
メインPCをSurface Pro3に変更したので、Windows8Pro with MediaCenter のライセンスもそっちに移行する関係で、デスクトップPCのOS再インストールが必要なのだ。Media Centerライセンスの切り離し方法もわからないしね。
ということで、段ボール箱の中から二十数枚の3.5インチFDを探す・・・ことはしない。
Windows7のDVD-ROMを取り出して、Starter Editionのインストールから8へのアップグレードを行う。
おそらく、Windows8でも同じ方法がとれると思うのだけど、私が持っているダウンロード版のメディアだとできないので、7 Starter EditionからWindows8にアップグレードするのが最短ルート。
この作業が終われば、デスクトップPCは子供のおもちゃ。ペイントの為だけに存在するパソコンになる。
壊れればおしまいだ・・・
ということは、アップグレード版ライセンスもWindows8をバージョンアップすることはないのかもしれない。
そう思うと少し寂しい。
Windows10はSurfaceでアップグレードになるので、あと7年以内くらいに自作PCを手に入れないと、アップグレードの襷が途絶えてしまうのだ。何か、箱根駅伝の襷に似た感じだ。つなげる思いは重いのだ。