Windows の監視

MSI パッケージをインストールして、Windows エージェントをインストールします。

インストールする前に、パッケージを取得し、エージェントを実行するホストにパッケージを転送する必要があります (scp や WinSCP を使用)。

商業版には、カスタマイズしたエージェントを自動的にパッケージ化するソフトウェアモジュール「エージェントベーカリー」が付属しています。 このモジュールの詳細については、エージェントに関する一般的な記事をご覧ください。 ベイクされた MSI パッケージのインストールは、付属のパッケージの場合と同じ方法で行います。

Checkmk Cloud 以降では、エージェントベーカリーを使用して、自動登録用の設定がされたエージェントパッケージを提供することができます。 これにより、ホストの自動作成が容易になります。 この場合、エージェントパッケージがインストールされると、エージェントの登録は自動的に行われます。 次の章で説明する手動での登録は、もはや必要ありません。

エージェントベーカリーを使用する場合、エージェントの自動更新を設定することもできます。 これらの更新については、別の記事で説明しています。

インストール中、MSI パッケージはプログラム固有のファイルをC:\Program Files (x86)\checkmk\service\ に、ホスト固有のファイルをC:\ProgramData\checkmk\agent\ に保存します。 プログラム固有のファイルはカスタマイズする必要はありません。 ホスト固有のファイルは、プラグイン、ログファイル、設定ファイルの保存、およびエージェントの動作の設定に使用されます。

注: デフォルトでは、C:\ProgramData ディレクトリ全体は Windows で非表示になっています。

エージェントは、3 つの設定ファイルを順番に読み込みます。

オプションが複数のファイルで設定されている場合、最後に読み込まれたファイルの内容がこのオプションの内容になります。 したがって、エージェントを手動で操作する場合は、最後に読み込まれる最後の設定ファイルcheck_mk.user.yaml だけが関連します。 Agent Bakery を使用しない場合、エージェントの設定をカスタマイズできるファイルは、実際にはこのファイルのみです。

設定ファイルのファイル拡張子から既に気づかれたかもしれませんが、ファイル形式としてYAMLが使用されています。

エージェントコントローラーを含むエージェントをインストールした後、次のステップは登録です。この登録により、TLS 暗号化が設定され、暗号化されたエージェント出力が Checkmk サーバーによって復号化され、監視に表示されるようになります。

エージェントコントローラーとともにエージェントを初めてインストールした場合、特別な機能があります。 この場合、エージェントは暗号化されていないレガシープルモードに切り替わり 、Checkmk サーバーが監視データから切り離されることなく、引き続きデータを表示できるようになります。 これは、新規インストールだけでなく、2.0.0 以前のバージョンのエージェントのアップデートにも適用されます。

監視では、次のように表示されます。

Checkmk サイトは、エージェントの出力から、エージェントコントローラーが存在し、TLS 暗号化が可能であるものの、まだ有効になっていないことを認識します。Check_MK Agent サービスは、WARN 状態になり、登録するまでその状態を維持します。 登録後は、通信には暗号化されたプルモードのみが使用されます。 レガシープルモードはオフになり、その状態を維持します。 ただし、必要に応じてコマンドで再びオンにすることができます。

非常に古いWindows システムで レガシーエージェントを使用する場合は、状況が異なります。 エージェントコントローラーがないと、登録はできません。 したがって、レガシーエージェントの場合、「登録」章で関連するセクションは、セットアップにホストを追加し、次に監視にホストを追加するセクションのみです。 テストとトラブルシューティング」の章では、レガシーエージェントでは使用できないため、エージェントコントローラーの呼び出しテストは省略してください。 エージェントコントローラーがない場合、TLS 暗号化も使用できないため、必要に応じて他の暗号化方法を使用する必要があります。 この場合、Symmetric encryption (Linux, Windows) ルールを使用したビルトイン（対称）暗号化の使用をお勧めします。

注： Checkmk Agent installation auditing ルールセットには、エージェントの状態をチェックし、監視で表示するためのさまざまな設定があります。 ここでは、TLS設定がまだ行われていない場合にCheck_MK Agent サービスが持つべき状態を指定することができます。

エージェントのインストール直後（バージョン2.0.0 以前のエージェントのアップデートの場合も同様です）、レガシープルモードでは暗号化されていない通信のみが可能です。 暗号化されたデータ送信のみを有効にするには、信頼関係が確立されている必要があります。

この例外は、自動登録用に事前設定され、エージェントベーカリーからダウンロードしたパッケージです。 これらのパッケージは、インストール後に自動的に登録を行います。

それ以外の場合は、エージェントのインストール後、すぐに手動で登録を行ってください。 この章では、登録の方法について説明します。

登録、つまり相互の信頼関係の確立は、REST API にアクセスできる Checkmk ユーザーで行います。 このためには、エージェントの登録のみ許可され、Checkmk のインストール時に自動的に作成されるオートメーションユーザー agent_registration が適しています。 対応するオートメーションパスワード（オートメーションの秘密）は、アイコンでランダム化することができます。 新しいパスワードを使用するには、ユーザーを保存する必要があります。

注：エージェントコントローラーがないため、レジストリおよび TLS 暗号化も存在しません。非常に古いWindows システムでは、必要に応じて別の暗号化方法を使用する必要があります。 この場合、Symmetric encryption (Linux, Windows) ルールを使用したビルトインの (対称) 暗号化を使用することをお勧めします。

まず、Setup > Hosts > Add host.から新しいホストを作成します。 ホストは、設定環境に存在している必要があります。

Checkmk Cloud 以降では、Checkmk agent connection mode オプションは、監視エージェントのセクションにあるホストのプロパティに表示されます。 ここでは、すべてのエディションで利用できるプルモードの代わりに、Checkmk エージェントのプッシュモードを有効にすることができます。

登録は、接続を設定するためのコマンドインターフェースを提供するエージェントコントローラーcmk-agent-ctl を使用して行います。 コマンドのヘルプは、cmk-agent-ctl help で表示できます。また、cmk-agent-ctl help register など、使用可能な特定のサブコマンドのヘルプも表示できます。

コマンドの例では、ホストがプルモードまたはプッシュモードのいずれで設定されているかは関係ありません。 エージェントレシーバーは、登録時にエージェントコントローラーに動作モードを伝えます。

次に、登録するホストに移動します。 ここでは、管理者権限でCheckmk サイトにリクエストを行う必要があります。

--hostname オプションの後のホスト名は、セットアップで作成したときとまったく同じである必要があります。--server および--site オプションは、Checkmk サーバーとサイトの名前を指定します。 サーバー名は IP アドレスでもかまいません。サイト名（ここではmysite ）は、web インターフェイスの URL パスに表示される名前に対応しています。 オプションは、オートメーションユーザーが使用する名前とパスワードで完了します。 --password オプションを省略すると、パスワードが対話形式で要求されます。

注意、不注意な方のための罠：主に Unix マシンを管理している方は、パスやパラメータにスペースや特殊文字が含まれる場合は、それらを単一引用符（アポストロフィ、0x27 ）で囲むことに慣れているでしょう。 Windows はこの文字を呼び出しの一部（この場合はパスワード）と解釈し、登録は失敗します。 代わりに二重引用符（0x22 ）を使用してください。

指定した値が正しい場合、接続先の Checkmk サイトの身元を確認するメッセージが表示されます。 ここではわかりやすくするために、確認するサーバー証明書を省略しています。

Y で確認して、プロセスを完了してください。

エラーメッセージが表示されなければ、暗号化された接続が確立されました。 これで、すべてのデータは、この接続を介して圧縮されたフォームで送信されます。

登録を完全に自動化する場合など、証明書の対話型チェックを無効にしたい場合は、追加パラメータ--trust-cert を使用することができます。 この場合、転送された証明書は自動的に信頼されます。 証明書の整合性を確認するための他の手段を講じる必要があることにご注意ください。 これは、ファイル C:\ProgramData\checkmk\agent\registered_connections.json を検査することで（手動またはスクリプトを使用して）実行できます。

Checkmk Cloud 以降、Checkmk では、登録時にホストを自動的に作成する機能を提供しています。 このような自動登録を行うには、ホストを登録する許可を持つユーザーに加えて、自動的に作成するホストを保存するためのフォルダを 1 つ以上設定する必要があります。

これらの条件が満たされている場合は、コマンドラインから、ホストの自動作成を含む登録を実行することもできます。

通常は、エージェントベーカリーの設定手順を使用します。 この手順では、エージェントパッケージにC:\ProgramData\checkmk\agent\pre_configured_connections.json 設定ファイルが含まれ、インストール時に登録が自動的に実行されます。 したがって、ここで紹介するコマンドライン呼び出しは、主にテストやデバッグ、たとえば--agent-labels <KEY=VALUE> オプションを使用して独自のエージェントラベルを試す場合などに使用します。

ここでの最大の違いは、Checkmk サイトでの新しいホストの登録と作成を要求するために使用される、変更されたregister-new サブコマンドです。 ホストの名前は、%COMPUTERNAME% 環境変数に保存されている名前です。 その後の証明書の確認は、前のセクションで示したとおりです。

ホストが プルモード プッシュモードで作成されるか、まったく作成されないかは、Agent registration ルールセットの設定によって決まります。 登録が正常に完了した後、ホストが監視に表示されるまで数分かかる場合があります。

cmk-agent-ctl status コマンドは、Checkmk サーバーとの信頼関係を 1 つだけ正確に表示します。

マシン読み取り可能な形式で情報が必要な場合は、追加パラメーター--json を付加して、JSON オブジェクト形式でフォーマットされた出力を取得します。

注：ホストとサイトの間には、信頼関係は 1 つしか設定できません。 たとえば、すでに登録されているホストmynewhost を、別の名前 (mynewhost2) で同じ IP アドレスで登録すると、新しい接続が既存の接続に置き換わります。mynewhost からサイトへの接続は切断され、監視用のエージェントデータはホストに送信されなくなります。

複数のホストを簡単に登録するために、エージェントがインストールされているホストは、他のホストに代わって登録を行うことができます。 登録プロセスでは、JSON ファイルがエクスポートされ、そのファイルをターゲットホストに転送してインポートすることができます。 ここでも、前述と同様に、ジョブに登録されているホストは、サイト上にすでに設定されている必要があります。

まず、セットアップ内の任意のホストで、プロキシによる登録を行います。 ここでは、通常、最初にセットアップされるホストである Checkmk サーバーが役立ちます。 上記の例と同様に、オプションでパスワードを渡すか、--password オプションを省略して対話形式でパスワードの入力を求められます。 この例では、JSON 出力をファイルにリダイレクトしています。

次に、/tmp/mynewhost3.json ファイルを登録したホストに転送し、そのファイルをインポートします。

登録が完了したら、Checkmk サーバーのセットアップで接続テストとサービスディスカバリーを実行します。 最後に、変更をアクティブにして、検出されたサービスを監視対象に含めます。

接続テストが失敗した場合は、次の章でテストおよびトラブルシューティングに関する情報を参照してください。

ホストの登録を解除することもできます。

Checkmk サーバーに接続されているホストでは、信頼を取り消すことができます。 ここでは、次のコマンドで、指定するユニバーサル一意識別子 (UUID) は、cmk-agent-ctl status コマンドによって出力されるものです。

ホストからのすべての接続を削除し、さらにレガシープルモードを復元するには、次のコマンドを入力します。

その後、エージェントは、最初のインストール後、最初の登録前の動作と同じように、データを暗号化せずに送信します。

Checkmk サーバーで登録の解除を完了します。 セットアップの「Properties of host 」ページで、「Host > Remove TLS registration 」メニュー項目を選択し、プロンプトを確認します。

コマンドラインを使用する場合は、次のように入力します。 Checkmk サーバーでは、監視対象のホストの各接続に対して、エージェントの出力があるフォルダを指す UUID を含むソフトリンクがあります。

Checkmk Cloud以降では、ホストをプッシュモードからプルモードに、またはその逆に切り替えることができます。 これは、ネットワークトポロジの変更が保留中である場合、またはプルモードのみ可能なCheckmk Enterpriseへのダウングレードを行う場合に、個別に必要な場合があります。

まず、セットアップのホストのプロパティで、Checkmk agent connection mode オプションを使用してアクセスモードを指定します。 1 分以内に、監視データが受信されないため、すべてのサービスがUNKNOWNステータスになります。 次に、再登録を実行します。 この再登録中に、Checkmk サーバーのエージェントレシーバーは、エージェントコントローラーに、プルモードでデータを期待するかどうかを通知します。 その後、cmk-agent-ctl status を使用してチェックを行うと、新しい UUID と、セットアップでの変更と一致したモードが表示されます。

設定が予想どおりに読み込まれていることを確認するには、showconfig オプションを指定してエージェントプログラムを呼び出します。 このオプションを指定すると、エージェントが現在使用している設定だけでなく、環境変数および使用中の設定ファイルも常に表示されます。

設定の一部のみに関心がある場合は、その部分のみ出力するように制限することができます。 ここでは、たとえば、ps セクションのオプションが正しく設定されているかどうかをチェックしています。

このようにして、3つの異なる設定ファイルがどのようにマージされ、エージェントプログラムによって使用されているかをすばやく確認できます。 エラーはすぐに表示されます。

証明書が提示される前にホストの登録に失敗した場合、通信の方法に関する知識があれば、問題の特定、そしてもちろんその解決にも役立ちます。

cmk-agent-ctl register コマンドを入力すると、エージェントコントローラーはまず、REST API を使用して Checkmk サーバーにエージェントレシーバーポートを問い合わせます。 次に、エージェントレシーバーへの接続を確立し、証明書を要求します。 ホストでの最初の要求は、次のようなプログラムでシミュレートできます。 curl:

パラメータ--insecure は、curl に証明書チェックをスキップするよう指示します。 この動作は、このステップにおけるエージェントコントローラーの動作を反映しています。 応答は、エージェントレシーバーのポート番号を含む数バイトのみです。 最初のサイトの場合は通常8000 、2 番目のサイトの場合は8001 というように続きます。

このリクエストに関する一般的な問題は次のとおりです：

上記のリクエストが失敗した場合、ルーティング設定またはファイアウォール設定を変更してアクセスを許可してください。

登録しようとしているホストが HTTP プロキシを使用している場合、curl はそのプロキシを使用しますが、cmk-agent-ctl はデフォルト設定では使用しません。 追加の--detect-proxy オプションを使用して、cmk-agent-ctl にシステム設定で設定されたプロキシを使用するように指示してください。

ただし、多くの場合、エージェントレシーバーのポートを特定してメモしておく方が簡単です。 そのためには、Checkmk サーバーで、サイトユーザーとしてログインし、以下を実行してください。

これで、登録コマンドを入力する際にポートを指定することができます。 これにより、REST API への最初のリクエストがスキップされます。 その後、通信は迂回することなく、エージェントレシーバーと直接行われます。

ポート 8000 もホストからアクセスできる必要があります。 アクセスできない場合は、次のエラーメッセージが表示されます。

ポート 443 （それぞれ 80） に相当します。ここで、登録するホストがエージェントレシーバーのポート（8000 または 8001…​）で Checkmk サーバーにアクセスできるように、ルーティングまたはファイアウォールの設定を調整できます。

プッシュモードでの登録の場合は、以下が適用されます。 登録が正常に完了すると、エージェント出力の 1 分ごとの転送も正常に行われます。

セキュリティポリシーによりエージェントレシーバーへのアクセスが禁止されている場合でも、Checkmk サーバーでプロキシによる登録を使用することができます。

監視に正確に到着したデータを提供するには、エージェントプログラムは LocalSystem アカウントで呼び出す必要があるため、シェルで起動してはいけません。 エージェントの出力をローカルで確認したい場合は、ダンプモードのエージェントコントローラー（サブコマンドdump ）を使用してください。 これにより、正しい環境と正しいユーザー ID でエージェントプログラムが起動し、結果が出力されます。

出力はビット長くなる場合があるため、ここでは「more」ページャーが非常に便利です。 Q キーで終了できます。

これにより、エージェントプログラムからのデータがエージェントコントローラーに到達したことを確認できます。 この出力では、エージェントがネットワーク経由でもアクセス可能であることはまだ確認できません。

プルモードで、エージェントプログラムおよびインストールされているプラグインが正しく実行されていることを確認したら 、netcat (またはnc) を使用して、ホストの外部 IP アドレスからポート 6556 にアクセスできるかどうかを確認できます。

16 の出力は、接続が正常に確立され、TLS ハンドシェイクを実行できることを示します。 ここでは、その他はすべて TLS 暗号化されているため、より詳細なチェックは不可能です。

エージェントと Checkmk サーバー間の通信が依然として暗号化されていない場合（レガシープルモードの場合）、または暗号化されておらず、その状態が続いている場合（レガシーエージェントの場合）、16 の代わりに、このコマンドで暗号化されていないエージェントの出力がすべて表示されます。

Checkmk サーバーで実行するその他の診断については、監視エージェントに関する一般的な記事をご覧ください。 特に、Checkmk インターフェースを使用して接続テストを実行することもできます。 結果は、Agent: ボックスに表示されます。

上記の例のように、接続テスト中に情報がない、またはタイムアウトエラーメッセージのみが表示される場合は、ホストの Windows ファイアウォールのInbound Rules をチェックしてください。

エージェントは、インストール時に Windows ファイアウォールにルールを作成するため、エージェントコントローラーは ポート 6556 経由で外部からアクセスできます。 プッシュモードを使用する場合、通常、設定を変更する必要はありません。 非常に厳格なファイアウォール設定を使用している場合は、監視サーバーへの接続に関する送信ルールを、少なくともポート 8000（登録を容易にするために、さらに 80 または 443）が到達可能になるように設定する必要があります。

現在のバージョンの Windows では、Windows Defender Firewall with Advanced Security は Windows 設定 (Settings > Windows Security) から、またはコマンドラインからwf.msc を呼び出すことで起動できます。

Windows ファイアウォールの設定にそのようなエントリが見つからない場合は、この場所に追加することができます。 これを行うには、Action メニューの「New Rule 」をクリックします。

これにより、新しいファイアウォールルールを作成するためのウィザードが開きます。 5 つの選択肢を次のように設定します。

あるいは、この手順を自動化し、コマンドラインで直接ルールを設定することもできます。 必要に応じて、以下のコマンドをカスタマイズしたインストールパスに変更してください。

注：コマンドは読みやすく 4 行に分割されています。

Checkmk サイトの~/var/agent-receiver/received-outputs/ フォルダには、登録されている各ホストの UUID を名前としたソフトリンクがあります。 プッシュモードのホストの場合、このソフトリンクはエージェントの出力があるフォルダを指し、プルホストの場合は、監視で使用されているホスト名と同じ名前の存在しないファイルを指します。

キャッシュされたエージェント出力の保存期間に基づいて、定期的な送信が正常に実行されたか、または、例えば、断続的なネットワークの問題によって中断されているかを判断できます。

さらに、ホストのログファイルC:\ProgramData\checkmk\agent\log\check_mk （パスは設定によって異なる場合があります）を確認することもできます。 次のような行は、接続の問題を示しています。

Agent controller auto-registration ルールセットでホストが自動登録するように設定されており、Keep existing connections オプションがno に設定されている場合、cmk-agent-ctl-daemon サービスが再起動されるたびに (ホストが再起動された場合など)、自動登録用に設定された接続を除く、他のすべての接続が削除されます。 これは、ベイクドエージェントパッケージのインストール前に複数のサイトへの接続が設定されていたホスト、またはエージェントパッケージのインストール後に手動で接続が追加されたホストなどに影響します。

この動作は、ホストのC:\ProgramData\checkmk\agent\pre_configured_connections.json ファイルで、keep_existing_connections 変数をtrue に設定することで一時的に無効にできます。 エージェントパッケージのアップデート後もこの設定を永続的に有効にするには、上記のルールセットでKeep existing connections をyes に設定してください。

ホストを自動登録すると、通常、ホストが監視に表示されるまでに約 2 分かかります。

セキュリティは、あらゆるソフトウェアにとって重要な基準であり、監視も例外ではありません。 監視エージェントは、監視対象のすべてのサーバーにインストールされるため、セキュリティ上の問題が発生した場合、特に深刻な結果につながります。

そのため、Checkmk の設計ではセキュリティが重視され、Checkmk の初期段階から絶対的な原則となっています。 エージェントはネットワークからデータを読み取りません。 つまり、攻撃者が監視ポート 6556 経由でコマンドやスクリプトコンポーネントを注入することは不可能です。

しかし、攻撃者にとっては、プロセスリストでさえ、価値のあるターゲットについて結論を出すための最初の手がかりになる可能性があります。 そのため、エージェントと Checkmk サーバー間のトランスポートは、トランスポート層セキュリティ (TLS) による暗号化が必須です。 ここでは、Checkmk サーバーが監視対象のホストに「ping」を送信し、監視対象のホストが Checkmk サーバーへの TLS 接続を確立して、エージェントの出力をその接続を介して送信します。 信頼関係のある Checkmk サーバーのみがこのデータ転送を開始できるため、データが不正な手に渡る危険はありません。

TLS 接続のセキュリティを確保するため、Checkmk は自己署名証明書を使用し、その有効期限が切れる直前に自動的に置き換えられます。 エージェントコントローラーは、有効期限が切れる前に、証明書の更新を適時に実行します。 エージェントコントローラーが実行されていない、つまり長期間非アクティブなエージェントのみ、有効期限が切れると登録が失われ、再度登録する必要があります。 証明書の有効期間は、Agent Certificates > Lifetime of certificates グローバル設定で指定できます。

注：エージェントコントローラーがないため、レジストリおよび TLS 暗号化も使用できません。 非常に古いWindows システムでは、必要に応じて他の暗号化方法を選択する必要があります。 この場合、Symmetric encryption (Linux, Windows) ルールを使用して、ビルトインの（対称）暗号化を使用することをお勧めします。

特定の IP アドレスへのアクセスを制限することも、ファイアウォールで設定できます。 ただし、エージェント自体でも、外部 IP アドレスからの要求を単に無視する機能があります。 グローバルオプションの設定ファイルに、以下の制限を追加してください。 この設定ファイルの前後に他のパラメータが設定されている場合があるため、これは単なるスニペットであることにご注意ください。

例のように、任意の数のサブネットを許可できます。 例えば、/32 と指定すると、サイズ 1 のサブネットを指定するため、このアドレスのみが許可されます。一方、192.168.42.0/24 と指定すると、192.168.42.0 から192.168.42.255 までのすべてのアドレスが許可されます。

エージェントベーカリーでは、次のルールセットを使用して、許可する IP アドレスを設定できます。Setup > Agents > Windows, Linux, Solaris, AIX > Agent rules > Allowed agent access via IP address (Linux, Windows)

特にエージェントを更新する場合、エージェントプログラム自体によって実行されるビルトイン（対称）暗号化が有効になっていることがあります。 TLS 暗号化とビルトイン暗号化が同時に有効になっている場合、送信データのエントロピーが非常に高くなり、2.1.0 以降で有効になっている圧縮機能では送信データを保存できなくなります。また、ホストと Checkmk サーバーの両方の CPU に、追加の暗号化および復号化プロセスによる負荷がかかります。

そのため、TLS に切り替えた後は、ビルトイン暗号化を速やかに無効にしてください。

まず、Setup > Agents > Access to agents > Checkmk agent > Symmetric encryption (Linux, Windows) の既存のルールで暗号化を無効にしてください。

次に、エージェントのホストのC:\ProgramData\checkmk\agent\check_mk.user.yml 設定ファイルで、encrypted パラメータの値をno に変更します。

3 番目の最後のステップでは、Enforce agent data encryption ルールを使用して、Checkmk サーバーが TLS 経由で暗号化されたデータのみを受け入れるように指定します。 これを行うには、ルールで「Accept TLS encrypted connections only 」の値を選択します。

エージェントベーカリーで暗号化を無効にする手順は、次のとおりです。 最初のステップ、Symmetric encryption (Linux, Windows) ルールを変更すれば、ほぼ完了です。 新しいエージェントをベイクして配布するだけです。 設定ファイルC:\ProgramData\checkmk\agent\check_mk.user.yml は自動的に変更され、エージェントパッケージに含まれます。 あとは、3 番目のステップ、Enforce agent data encryption ルールを変更するだけです。

次の自動エージェント更新後に、エージェントプログラムの暗号化は使用不能になりますが、エージェントコントローラーによって暗号化は保証されます。 自動エージェント更新後は、登録済みのホストのみ監視データを提供できることにご注意ください。

エージェントプログラムcheck_mk_agent.exe には、さまざまなチェックプラグインに監視データを提供する一連のセクションが含まれており、サービスディスカバリーによって自動的に検出されます。 これには、オペレーティングシステムの重要な監視がすべて含まれています。

さらに、エージェントプラグインを使用してエージェントを拡張することもできます。 エージェントプラグインは、エージェントによって呼び出される小さなスクリプトまたはプログラムで、追加の監視データを含むセクションをエージェントに追加します。 Checkmk プロジェクトでは、このようなプラグインを多数提供しています。これらのプラグインを正しくインストールおよび設定すると、サービスディスカバリーで新しいサービスが自動的に提供されます。

これらのプラグインは、エージェントにハードコードされていないのはなぜですか？ プラグインには、それぞれ以下の理由があります。

Windows 用の付属プラグインは、すべて、監視対象ホストのエージェントインストールディレクトリにあるC:\Program Files (x86)\checkmk\service\plugins にあります。 これらのプラグインは、直接利用できるようにこの場所に保存されています。 また、Windows 用のプラグインは、Checkmk サーバーの~/share/check_mk/agents/windows/plugins にもあります。

また、セットアップメニュー（インストール章で説明）のPlugins ボックスにあるエージェントのダウンロードページからも入手できます。

当社が提供するすべてのエージェントプラグインには、そのデータを評価してサービスを生成できる、一致するチェックプラグインがあります。 これらはすでにインストールされているため、新しく見つかったサービスはすぐに認識され、設定することができます。

注：ホストにプラグインをインストールする前に、対応するファイルを確認してください。 多くの場合、プラグインの正しい使用方法に関する重要な情報が記載されています。

実際のインストールは簡単です。 ファイルをC:\ProgramData\checkmk\agent\plugins にコピーします。

プラグインが正しいディレクトリにあると、エージェントによって自動的に呼び出され、エージェント出力に新しいセクションが作成されます。 通常、このセクションの名前はプラグインと同じです。 複雑なプラグイン (mk_oracle.ps1 など) は、一連の新しいセクション全体を作成します。

一部のプラグインは、C:\ProgramData\checkmk\agent\config に設定ファイルが必要です。 その他のプラグインは、設定はオプションであり（mssql.vbs など）、特別な機能やカスタマイズが可能です。 また、そのままの状態で動作するプラグインもあります。 情報は、以下の複数のソースから入手できます。

特別な (スクリプト) 言語の場合は、まずエージェント設定でそれらを有効にする必要があるかもしれません。 たとえば、Python スクリプトは、明示的に有効にしない限り実行されません。 これは、次の抜粋に示すように、global セクションのcheck_mk.user.yml 設定ファイルでファイル拡張子を拡張することで実行できます。

重要：このようなプラグインを使用するには、特別なパスを使用せずに、通常のコマンドラインでもファイルを呼び出せる必要があります。 Python の場合、正しくインストールされており、環境変数にインタープリタへのパスが指定されている必要があります。 Python を正しく設定する方法については、Python Software Foundationのページで直接ご確認ください。

各プラグインは、さまざまなモードで実行できます。 設定ファイルには、以下のオプションを入力できます。

Veeam プラグインの設定は、たとえば次のようになります (抜粋は短縮されており、例に関連する部分のみ記載しています)。

上記の構成例によると、データディレクトリC:\ProgramData\checkmk\agent\plugins にあるプラグインは、5 分（300 秒）ごとに非同期で実行され、最大 2 分（120 秒）間実行されます。 プラグインがこのタイムアウトに達した場合、2 回目に結果を取得を試みます。

商業版では、付属のプラグインはエージェントベーカリーで設定できます。 これにより、プラグイン自体のインストールと、必要な場合は設定ファイルの正しい作成の両方が行われます。

各プラグインは、エージェントルールを使用して設定されます。 適切なルールセットは、Setup > Agents > Windows, Linux, Solaris, AIX > Agent rules > Agent Plugins にあります。

エージェントプラグインは実行可能なプログラムであるため、テストや診断の目的で手動で実行することができます。 ただし、プラグインの中には、設定ファイルを見つけるためにエージェントによって特定の環境変数が設定されているものもあります。 必要に応じて、スクリプトまたはプログラムで必要な環境変数を手動で設定してください。

Checkmk で Nagios プラグインを引き続き使用するには、2 つの理由があります。 Nagios ベースのソリューションから Checkmk に監視を移行した場合、Checkmk に同等の機能がない古いチェックプラグインを引き続き使用することができます。 多くの場合、これらは Perl またはシェルで自作したプラグインです。

2 つ目の理由は、真のエンドツーエンド監視です。 Checkmk サーバー、web サーバー、データベースサーバーが、大規模なデータセンターに分散して設置されている場合を考えてみましょう。 このような場合、Checkmk サーバーから測定されたデータベースサーバーの応答時間はあまり意味がありません。 web サーバーとデータベースサーバー間の接続の応答時間を把握することが、はるかに重要です。

Checkmk エージェントは、この 2 つの要件を満たすシンプルなメカニズムを提供しています。 MK のリモートプラグインエクゼキュータ、略称MRPEです。 この名前は、Nagios で同じタスクを実行するNRPEに意図的にちなんで付けられました。

MRPE はエージェントにビルトインされており、さまざまな設定ファイルによって制御されます。

ユーザー固有の設定ファイルでホストに直接設定する代わりに、Setup メニューで MRPE プラグインを直接定義することもできます。 これを行うには、Setup > Agents > Windows, Linux, Solaris, AIX > Agent > Agent rules > Execute MRPE checks ルールセットを使用します。 必要なエントリは、エージェントベーカリーの設定ファイルに自動的に作成されます。