Einstellungen für Tanium Core Platform-Server

Die Einstellungen für Server der Tanium Core Platform gelten nicht in Verteilungen von Tanium as a Service.

Sie konfigurieren die Hostsystem-Einstellungen der meisten Tanium Core Platform-Server während der Installation. Wenn Sie eine Problembehandlung vornehmen, wird der Tanium-Support Sie möglicherweise bitten, diese Einstellungen zu überprüfen oder zu bestätigen, aber er wird Sie nur selten bitten, sie zu ändern. Wenn der Support Sie bittet, Einstellungen zu ändern, können Sie viele davon über die Tanium Console in der Tanium Core Platform 7.4 oder höher ändern (siehe Benutzerhandbuch für die Tanium Console: Tanium Server-Einstellungen verwalten (lokal)). Die folgenden Abschnitte beschreiben, wie Sie Einstellungen durch auf anderem Wege als über die Konsole konfigurieren können.

Sie können sich unter [email protected] an den Tanium-Support wenden.

Tanium Appliance

In der folgenden Tabelle sind die Speicherorte der Konfigurationsdatenbank für Einstellungen aufgeführt, die Sie bei der Installation von Tanium Core Platform-Servern konfigurieren. Sie können TanOS-Menüs verwenden, um Einstellungen mit Anleitung von Tanium Support ([email protected]) hinzuzufügen, zu löschen oder zu ändern.

 Tabelle 1: Speicherorte der Konfigurationsdatenbank für Servereinstellungen der Tanium Core Platform
Komponente DB-Speicherort
Tanium Server /opt/Tanium/TaniumServer/server.db
Modulserver /opt/Tanium/TaniumModuleServer/server.db
Zonenserver
 /opt/Tanium/TaniumZonenserver/Zonenserver.db
Tanium Downloader /opt/Tanium/TaniumServer/tdownloader.db
/opt/Tanium/TaniumModuleServer/tdownloader.db

Servereinstellungen bearbeiten

  1. Melden Sie sich bei der TanOS-Konsole als Benutzer Tanadmin an.
  2. Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
  3. Geben Sie 2 ein, um zum Menü Tanium Configuration Settings (Konfigurationseinstellungen von Tanium) zu gelangen.
  4. Verwenden Sie das Menü, um die Einstellungen des Tanium-Komponentenservers anzuzeigen und zu bearbeiten.



Tanium Server

 Tabelle 2: Tanium Server-Einstellungen
Einstellungen Richtlinien
AddressMask Hexadezimaler Wert eines Subnetz-CIDR, der die zu einer Kette gehörenden Clients abgrenzt.

Ändern Sie diese Einstellung nur, wenn Sie dazu vom Tanium-Support aufgefordert werden.
AllowedHubs Der Zonenserver-Hub, der eine Verbindung zu diesem Tanium Server herstellen darf. Der Zonenserver-Hub befindet sich ebenfalls auf der Tanium Server-Appliance, und diese Einstellung hat den Wert 127.0.0.1.
AuthPluginTimeoutSeconds Der Standardwert ist 60.
AuthenticationPlugin Zeichenkette, die das steckbare Authentifizierungsmodul (PAM) angibt.
ConsoleSettingsJSON Pfad zur Einstellungsdatei der Tanium Console.
- LogPath: Der Speicherort für Tanium Server-Protokolle. Der Standardwert ist /opt/Tanium/TaniumServer/Logs.
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ModuleServer Modulserver IP-Adresse.
ModuleServerPort Modulserver-Port. Der Standardwert ist 17477.
PKIDatabasePassword Sie müssen diese Einstellung manuell hinzufügen, um unbefugte Zugriffe auf die Datei pki.db zu verhindern, die die Root-Keys, Schlüssel für die Nachrichtensignierung und TLS-Schlüssel des Tanium Servers enthält. Stellen Sie den Value Type (Werttyp) auf protected (geschützt), und geben Sie ein Passwort an, um die Datei pki.db zu verschlüsseln. Die Datei befindet sich im Tanium Server-Installationsordner und eine Kopie befindet sich im Unterordner /backups. Einzelheiten zu diesen Schlüsseln finden Sie unter Benutzerhandbuch für die Tanium Console: Verwalten von Tanium-Schlüsseln.
ReportingTLSCertPath Einstellung für eingehende Verbindungen. Pfad zum TLS-Zertifikat, das bei der Installation erstellt wurde. Dieses Zertifikat wird in TLS-Verbindungen verwendet, die vom Tanium Client, dem Tanium Zone Server-Hub oder dem Tanium Zone Server initiiert werden.
ReportingTLSKeyPath Einstellung für eingehende Verbindungen. Pfad zur privaten Schlüsseldatei, die bei TLS-Verbindungen verwendet wird. Diese Einstellung muss vorhanden sein, um TLS zu aktivieren.
ReportingTLSMode Konfiguriert TLS für ausgehende Verbindungen, die der Tanium Server initiiert. Die möglichen Werte sind:
  • 0 (TLS nicht verwendet)
  • 1 (TLS erforderlich)
  • 2 (TLS optional)

Tanium Server Appliances verwenden einen IPSec-Tunnel anstelle von TLS, um die Tanium-Datenbank und den LDAP-Synchronisierungsverkehr der Appliance zu sichern. Die Server verwenden TLS, um alle anderen Kommunikationen zwischen ihnen zu sichern.
RequireIncomingEncryption Einstellung für eingehende Verbindungen. Implizit standardmäßig auf 0 gesetzt. Um einen anderen Wert einzustellen, müssen Sie die Einstellung hinzufügen.
  • 0 (TLS nicht erforderlich)
  • 1 (TLS erforderlich)

Wichtig: Wenn RequireIncomingEncryption auf 1 eingestellt ist, werden nur TLS-Verbindungsanfragen verarbeitet, sodass nur Tanium Clients, die TLS aktiviert haben, registriert und verwaltet werden können. Setzen Sie diesen Wert erst dann auf 1, wenn Sie sicher sind, dass alle bereitgestellten Tanium Clients für die Verwendung von TLS (ReportingTLSMode=1 oder ReportingTLSMode=2) konfiguriert sind und Sie bereit sind, Tanium Client an neuen Endpunkten mit TLS bereitzustellen, die vor der ersten Registrierung konfiguriert wurden.
ServerPort Tanium Server-Port. Der Server lauscht auf diesem Port auf Tanium Clients. Der Standardwert ist 17472. Ändern Sie die ServerPort-Einstellung nicht in der Konfigurationsdatei TaniumServer.ini; verwenden Sie stattdessen das Menü Tanium Operations (Tanium Operations) >Change Tanium Port (Tanium-Port ändern).
ServerSOAPPort Tanium Console und SOAP-API-Port. Der Standardwert ist 8443. Port 443 leitet an diesen 8443 weiter.
SQLConnectionString Informationen zur Verbindung mit dem Datenbankserver. Beispiele:
  • MSSQL: SQL1\SQLEXPRESS@tanium
  • PostgreSQL: postgres:localhost@dbname=postgres port=5432
  • TanOS: postgres:<TanOS_IP_Address>@user=postgres dbname=tanium

Für PostgreSQL siehe die PostgreSQL-Dokumentation für die unterstützten Schlüsselwörter, z. B. dbname, port und user.

Wenn Sie diese Einstellung ändern, müssen Sie den Tanium Server neu starten.
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK
SSLHonorCipherOrder Der Standardwert ist 1.
TrustedCertPath Pfad zur Zertifikatsdatei, die für sichere Verbindungen zum Tanium Console-Port verwendet wird.
Version Tanium Server-Versionsnummer.

Tanium Server Tanium Downloader

 Tabelle 3: Tanium Server Tanium Downloader (TDL)-Einstellungen
Einstellungen Richtlinien
BypassCRLCheckHostList Verwenden Sie diese Einstellung, um Server aufzulisten, denen der Tanium Server vertrauen kann, ohne eine Zertifikatssperrliste (CRL) zu prüfen. The Tanium Server performs a CRL check on all servers that are not in this list, and does not download files from a server that fails the check. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList Muss mit einer durch Kommas getrennten Liste von FQDN- oder IP-Adressen eingestellt werden, die alle Tanium Server und den Modulserver, 127.0.0.1 und localhost angeben. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]). Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

Hinweis: Es wurden Verbesserungen in den neuesten Versionen vorgenommen, um den Proxy-Server automatisch für diese Hostadressen zu umgehen:

7.0.314.6573+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.1.314.3204+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.2.314.3181+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.

7.3.314.2866+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ProxyServer IP-Adresse des Proxy-Servers.

Hinweis: Standardmäßig löst Tanium Downloader die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine Ipv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und die Tanium Downloader-Einstellung ForceIPV6 auf 1 konfigurieren.
ProxyPort Proxy-Server-Überwachungsport.
ProxyType Die Optionen sind Basic (Einfach), NTLM (NTLM) oder None (Keine).
ProxyUserid Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie die Benutzer-ID ein, um die Verbindung mit dem Proxy-Server herzustellen.
ProxyPassword Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie das Passwort des ProxyUserid-Benutzers ein, um die Verbindung mit dem Proxy-Server herzustellen.
TrustedCertPath Pfad zum Transport Layer Security (TLS) Certificate Authority (CA)-Bundle vertrauenswürdiger Zertifikate.
TrustedHostList Standardmäßig validiert der Tanium Server das SSL-/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu diesen hergestellt werden (wie zum Beispiel für das Herunterladen von Dateien). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und höher unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

In einer aktiv-aktiven Verteilung müssen Sie die Tanium-Server nicht zur Liste hinzufügen. Die Server vertrauen automatisch einander, sowie dem Datenverkehr von 127.0.0.1 oder localhost.

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.
ForceIPV6 Fügen Sie diese Einstellung manuell hinzu, wenn Sie sie benötigen, aber nur bei Anleitung durch den Tanium Support ([email protected]). Bei Verteilungen, bei denen der Datenverkehr zwischen Tanium Core Platform-Servern und dem Internet über einen Proxy-Server läuft, löst Tanium Downloader die Proxy-Adresse standardmäßig als IPv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, fügen Sie die ForceIPV6-Einstellung hinzu und setzen Sie den Wert auf 1.

Tanium-Modulserver

 Tabelle 4: Einstellungen für Modulserver
Einstellungen Richtlinien
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ServerPort Modulserver-Port. Der Standardwert ist 17477.
Version Versionsnummer des Tanium-Modulservers.

Modulserver Tanium Downloader

 Tabelle 5: Modulserver Tanium Downloader Einstellungen
Einstellungen Richtlinien
BypassCRLCheckHostList Verwenden Sie diese Einstellung, um Server aufzulisten, denen der Tanium Server vertrauen kann, ohne eine Zertifikatssperrliste (CRL) zu prüfen. The Tanium Server performs a CRL check on all servers that are not in this list, and does not download files from a server that fails the check. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList Muss mit einer durch Kommas getrennten Liste von FQDN- oder IP-Adressen eingestellt werden, die alle Tanium Server und den Modulserver, 127.0.0.1 und localhost angeben. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]). Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.

Hinweis: Es wurden Verbesserungen in den neuesten Versionen vorgenommen, um den Proxy-Server automatisch für diese Hostadressen zu umgehen:

7.0.314.6573+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.1.314.3204+ – Automatisches Umgehen von 127.0.0.1 und localhost.

7.2.314.3181+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.

7.3.314.2866+ – Automatisches Umgehen von Tanium Server, 127.0.0.1 und localhost.
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ProxyServer IP-Adresse des Proxy-Servers.

Hinweis: Standardmäßig löst Tanium Downloader die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine Ipv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und die Tanium Downloader-Einstellung ForceIPV6 auf 1 konfigurieren.
ProxyPort Proxy-Server-Überwachungsport.
ProxyType Die Optionen sind Basic (Einfach), NTLM (NTLM) oder None (Keine).
ProxyUserid Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie die Benutzer-ID ein, um die Verbindung mit dem Proxy-Server herzustellen.
ProxyPassword Für einen Proxy-Server, der Authentifizierung erfordert, geben Sie das Passwort des ProxyUserid-Benutzers ein, um die Verbindung mit dem Proxy-Server herzustellen.
TrustedCertPath Pfad zum Transport Layer Security (TLS) Certificate Authority (CA)-Bundle vertrauenswürdiger Zertifikate.
TrustedHostList Standardmäßig validiert der Modulserver das SSL/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu ihnen hergestellt werden (z. B. zum Herunterladen von Softwareaktualisierungen für das Modul). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und höher unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.
ForceIPV6 Fügen Sie diese Einstellung manuell hinzu, wenn Sie sie benötigen, aber nur mit Anleitung Ihres Tanium Support ([email protected]). Bei Verteilungen, bei denen der Datenverkehr zwischen Tanium Core Platform-Servern und dem Internet über einen Proxy-Server läuft, löst Tanium Downloader die Proxy-Adresse standardmäßig als IPv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, fügen Sie die ForceIPV6-Einstellung hinzu und setzen Sie den Wert auf 1.

Tanium Zone Server

 Tabelle 6: Zonenservereinstellungen
Einstellungen Richtlinien
AllowedHubs Geben Sie eine durch Komma getrennte Liste der IP-Adressen von Zonenserver-Hubs ein, die autorisiert sind, mit diesem Zonenserver zu kommunizieren.
EnforceAllowedHubs Stellen Sie den Wert auf 1 ein.
HubPriorityList Diese Einstellung gilt nur für die Tanium Core Platform 7.4 oder neuer. Die Einstellung gibt den FQDN oder die IP-Adresse des bevorzugten Zonenserver-Hubs zum Senden von Tanium Client-Inhalten (wie Sensordefinitionen, Konfigurationsinformationen und Aktions-Paketdateien) an den Zonenserver an. Solange dieser Hub verfügbar ist, erhält der Zonenserver keine Inhalte von einem anderen Hub. Wenn der bevorzugte Hub ausfällt, wendet der Zonenserver sich für den Empfang von Inhalten an jeden anderen verfügbaren Hub.
LogVerbosityLevel Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Normale Protokollierungsstufe.
  • 41: Empfohlen während der Fehlersuche.
  • >= 91: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.
ReportingTLSCertPath Einstellung für eingehende Verbindungen. Pfad zum TLS-Zertifikat. Dieses Zertifikat wird für TLS-Verbindungen verwendet, die der Tanium Client initiiert hat.
ReportingTLSKeyPath Einstellung für eingehende Verbindungen. Pfad zur privaten Schlüsseldatei, die bei TLS-Verbindungen verwendet wird. Diese Einstellung muss vorhanden sein, um TLS zu aktivieren.
ReportingTLSMode Konfiguriert TLS für ausgehende Verbindungen, die der Server initiiert. Konfigurieren Sie diese Option auf einem Zonenserver-Hub, um TLS für das Zonenserver-Hub-zu-Zonenserver-Segment zu aktivieren. Wird automatisch auf 2 eingestellt, wenn Sie die Einrichtung des Zonenserver-TLS abschließen.
  • 0 (TLS nicht verwendet)
  • 1 (TLS erforderlich)
  • 2 (TLS optional)
RequireIncomingEncryption Einstellung für eingehende Verbindungen. Wird automatisch auf 0 eingestellt, wenn Sie die Einrichtung des Zonenserver-TLS abschließen.
  • 0 (TLS nicht erforderlich)
  • 1 (TLS erforderlich)

Wichtig: Wenn RequireIncomingEncryption auf 1 eingestellt ist, werden nur TLS-Verbindungsanfragen verarbeitet, sodass nur Tanium Clients, die TLS aktiviert haben, registriert und verwaltet werden können. Setzen Sie diesen Wert erst dann auf 1, wenn Sie sicher sind, dass alle bereitgestellten Tanium Clients für die Verwendung von TLS (ReportingTLSMode=1 oder ReportingTLSMode=2) konfiguriert sind und Sie bereit sind, Tanium Client an neuen Endpunkten mit TLS bereitzustellen, die vor der ersten Registrierung konfiguriert wurden.
ServerName Vollständig qualifizierter Domain-Name (FQDN) von Tanium Server.
ServerPort Tanium Server-Port. Der Standardwert ist 17472.
Version Tanium Zone Server-Versionsnummer.
ZoneHubFlag 0, wenn nicht der Hub; 1 wenn der Hub.

Windows

In der folgenden Tabelle sind die Speicherorte von Windows-Registry für Einstellungen aufgeführt, die Sie bei der Installation von Tanium Core Platform-Servern konfigurieren. Um die Einstellungen anzuzeigen oder zu bearbeiten, verwenden Sie die CLI.

 Tabelle 7: Speicherorte der Windows-Registry
Komponente Speicherort der Windows-Registry
Tanium Server HKLM\Software\Wow6432Node\Tanium\Tanium Server
Modulserver HKLM\Software\Wow6432Node\Tanium\Tanium Module Server
Zonenserver
Zone Server Hub		 HKLM\Software\Wow6432Node\Tanium\Tanium Zonenserver
Tanium Downloader HKLM\Software\Wow6432Node\Tanium\Downloader

Tanium Server

 Tabelle 8: Tanium Server-Einstellungen
Name Windows-Registry-Typ Daten
AddressMask REG_DWORD Hexadezimaler Wert eines Subnetz-CIDR, der die zu einer linearen Kette gehörenden IPv4-Clients abgrenzt. Ändern Sie diesen Registry-Wert nur, wenn der Tanium-Support Sie dazu anweist, dies zu tun.
AddressPrefixIPv6 REG_DWORD Das Ipv6-Präfix wird als Dezimalzahl zwischen 0 und 128 inklusive dargestellt und beschreibt die zu einer linearen Kette gehörenden Clients. Die Standardeinstellung 0 gibt kein Peering an. Wenden Sie sich an den Tanium-Support unter [email protected], um den optimalen Wert für Peering in IPv6-Netzwerken zu ermitteln. Tanium Core Platform 7.3 und später.
AllowedHubs REG_SZ Geben Sie eine durch Komma getrennte Liste der Zonenserver-Hubs ein, die autorisiert sind, mit diesem Tanium Server zu kommunizieren. Geben Sie die Hubs nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]). Beachten Sie, dass Sie den Schlüssel „AllowLocalHubs“ als Ausnahme in der Liste „AllowedHubs“ konfigurieren können.
AllowLocalHubs REG_DWORD Standardmäßig ist dieser Schlüssel nicht im Registry vorhanden, hat aber einen Wert von 1, der es jedem lokalen Zonenserver-Hub ermöglicht, unabhängig von der Einstellung „AllowedHubs“ mit dem Tanium Server zu kommunizieren. Fügen Sie diesen Registry-Schlüssel manuell hinzu, wenn Sie ihn benötigen, aber nur mit Anleitung des Tanium-Support. Wenn Sie den Wert auf 0 einstellen, können lokale Zonenserver-Hubs nur mit dem Tanium Server kommunizieren, wenn sie in „AllowedHubs“ aufgelistet sind.
BypassCRLCheckHostList REG_SZ Server, denen der Tanium Server vertraut, ohne eine Zertifikatssperrliste (CRL) zu prüfen. Der Tanium Server führt einen CRL-Check für alle Server durch, die sich nicht auf der Liste bfinden, und lädt keine Dateien von einem Server herunter, die den Check nicht bestehen. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList REG_SZ Hosts, die den Proxy-Server umgehen. Verwenden Sie zum Beispiel keinen Proxy-Server für den Datenverkehr zwischen Tanium Servern in einem active-active Cluster.

Ein Proxy-Server kann Probleme mit anderem Datenverkehr an einen Ziel-Tanium Server verursachen. Beispielsweise kann eine Paketkonfiguration die Datei-URIs angeben, die lokal auf dem Tanium Server liegen, um Inhalte herunterzuladen. Es ist wichtig, den Proxy-Server für diese URIs zu umgehen, da sonst der Download fehlschlägt.

Geben Sie die Ausnahmen als FQDNs oder IP-Adressen ein. Sie müssen IPv6-Adressen in eckigen Klammern eingeben (z. B. [2001:db8::1]). In den meisten Fällen sind die Ausnahmen, die Sie angeben müssen, localhost, 127.0.0.1 (IPv4), [::1](IPv6) und alle Tanium Server-FQDNs und -IP-Adressen. Zum Beispiel:

ts1.example.com, ts2.example.com,localhost,127.0.0.1, [::1],10.10.10.11,10.10.10.15

Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.
ConsoleSettingsJSON REG_SZ Pfad zur Konsoleneinstellungsdatei.
DBUserDomain REG_SZ Die Domain für das Dienstkonto, die mit dem Datenbankserver verbunden ist. Wird festgelegt, wenn Sie den Installationsassistenten abgeschlossen haben.
DBUserName REG_SZ Benutzername für das Dienstkonto, das mit dem Datenbankserver verbunden ist. Wird festgelegt, wenn Sie den Installationsassistenten abgeschlossen haben.
EnforceAllowedHubs REG_DWORD Der Standardwert 1 legt fest, dass der Tanium Server die Einstellung „AllowedHubs“ durchsetzt: Nur Zonenserver-Hubs, die in „AllowedHubs“ aufgelistet sind, können mit dem Tanium Server kommunizieren. Der Wert 0 ermöglicht es jedem Zonenserver-Hub, mit dem Tanium Server unabhängig von der Einstellung „AllowedHubs“ zu kommunizieren.
- LogPath: REG_SZ Pfad zu Tanium Server-Protokollen.
LogVerbosityLevel REG_DWORD Geben Sie einen der folgenden Dezimalwerte für die Protokollierungsstufe an:
  • 0: Protokollierung deaktiviert.
  • 1: Protokollierungsstufe während des normalen Betriebs.
  • 41: Beste Protokollierungsstufe während der Fehlerbehebung.
  • 91 oder höher: Aktivieren Sie die detailliertesten Protokollierungsstufen nur für kurze Zeiträume.
ModuleServer REG_SZ FQDN des Modulservers.
ModuleServerPort REG_DWORD Modulserver-Port. Der Standardwert ist 17477.
Pfad REG_SZ Installationspfad.
PGDLLPath REG_SZ Pfad zu den PostgreSQL-Server-Bibliotheken.
PGRoot REG_SZ Pfad zum Installationsverzeichnis von Postgres.
PKIDatabasePassword REG_SZ Sie müssen diese Einstellung manuell hinzufügen, um unbefugte Zugriffe auf die Datei pki.db zu verhindern, die die Root-Keys, Schlüssel für die Nachrichtensignierung und TLS-Schlüssel des Tanium Servers enthält. Stellen Sie den Value Type (Werttyp) auf protected (geschützt), und geben Sie ein Passwort an, um die Datei pki.db zu verschlüsseln. Die Datei befindet sich im Tanium Server-Installationsordner und eine Kopie befindet sich im Unterordner /backups. Einzelheiten zu diesen Schlüsseln finden Sie unter Benutzerhandbuch für die Tanium Console: Verwalten von Tanium-Schlüsseln.
ProxyPassword REG_SZ Für einen einfachen Proxy-Server, der eine Authentifizierung erfordert, ist diese Einstellung das Konto-Passwort, das beim Herstellen einer Verbindung mit dem Proxy-Server verwendet wird. The password is stored in clear text within the registry.

Diese Einstellung gilt nicht für NTLM-Proxys, die Zugangsdaten des Benutzerkontexts verwenden, der den Tanium Server-Dienst ausführt.

ProxyPort REG_SZ Proxy-Server-Überwachungsport.
ProxyType REG_SZ Basic oder NTLM.
ProxyServer REG_SZ IP-Adresse des Proxy-Servers. Standardmäßig löst der Tanium Downloader (TDownloader)-Dienst, der Downloads für den Tanium Server und den Tanium-Modulserver verwaltet, die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine Ipv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und auf Windows-Systemen konfigurieren Sie dann das Tanium Downloader-Registry mit einem ForceIPV6-Schlüssel auf 1.
ProxyUserid REG_SZ Für einen einfachen Proxy-Server, der eine Authentifizierung erfordert, ist diese Einstellung der Konto-Benutzername, der beim Herstellen einer Verbindung mit dem Proxy-Server verwendet wird. The password is stored in clear text within the registry.

Diese Einstellung gilt nicht für NTLM-Proxys, die Zugangsdaten des Benutzerkontexts verwenden, der den Tanium Server-Dienst ausführt.

PythonPath REG_SZ Veraltete Einstellung, die nicht mehr verwendet wird.
ServerName REG_SZ Die Netzwerkadapterbindung, die der Tanium Server verwendet, um auf Ipv4-Client-Registrierungen zu lauschen. Der Standardwert 0.0.0.0 zeigt die Bindung zu allen Netzwerkadaptern an. Ändern Sie diesen Registry-Wert nur, wenn der Tanium-Support Sie dazu anweist, dies zu tun.
ServerNameIPv6 REG_SZ Fügen Sie diesen Registry-Schlüssel manuell hinzu, wenn Sie ihn benötigen, aber nur mit Anleitung des Tanium-Support. Standardmäßig ist der Schlüssel ausgeblendet und hat einen Wert von [::], wodurch angezeigt wird, dass sich der Tanium Server an alle Netzwerkadapter bindet, um auf Ipv6-Client-Registrierungen zu lauschen. Um sich an einen spezifischen Netzwerkadapter zu binden, fügen Sie den Schlüssel hinzu, und geben Sie die Ipv6-Adresse des Adapters in eckigen Klammern ein (z. B. [2001:db8::1]).
ServerPort REG_DWORD Tanium Server-Port. Der Server lauscht auf diesem Port auf Tanium Clients. Wird festgelegt, wenn Sie den Installationsassistenten abgeschlossen haben. Der Standardwert ist 17472.
ServerSOAPPort REG_DWORD Tanium Console und SOAP-API-Port. Wird festgelegt, wenn Sie den Installationsassistenten abgeschlossen haben. Der Standardwert ist 443.
SQLConnectionString REG_SZ Informationen zur Verbindung mit dem Datenbankserver. Beispiele:
  • MSSQL: SQL1\SQLEXPRESS@tanium
  • PostgreSQL: postgres:localhost@dbname=postgres port=5432
  • TanOS: postgres:<TanOS_IP_Address>@user=postgres dbname=tanium

Für PostgreSQL siehe die PostgreSQL-Dokumentation für die unterstützten Schlüsselwörter, z. B. dbname, port und user.

Wenn Sie diese Einstellung ändern, müssen Sie den Tanium Server neu starten: siehe Benutzerhandbuch für die Tanium Console Den Tanium Server-Dienst verwalten
TrustedCertPath REG_SZ Pfad zur Zertifikatsdatei, die für sichere Verbindungen zum Tanium Console-Port verwendet wird. Das Zertifikat wird ausgewählt, wenn Sie den Installationsassistenten abgeschlossen haben.
TrustedHostList REG_SZ Standardmäßig validiert der Tanium Server das SSL-/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu diesen hergestellt werden (wie zum Beispiel für das Herunterladen von Dateien). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

In einer aktiv-aktiven Verteilung müssen Sie die Tanium-Server nicht zur Liste hinzufügen. Die Server vertrauen automatisch einander, sowie dem Datenverkehr von 127.0.0.1 oder localhost.

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.
Version REG_SZ Tanium Server-Versionsnummer.

Tanium-Modulserver

 Tabelle 9: Einstellungen für Modulserver
Name Typ Daten
LogVerbosityLevel REG_DWORD Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Protokollierungsstufe während des normalen Betriebs.
  • 41: Beste Protokollierungsstufe während der Fehlerbehebung.
  • 91 oder höher: Aktivieren Sie die detailliertesten Protokollierungsstufen nur für kurze Zeiträume.
Pfad REG_SZ Installationspfad.
PythonPath REG_SZ Veraltete Einstellung, die nicht mehr verwendet wird.
ServerName REG_SZ Die Netzwerkadapterbindung, die der Tanium-Modulserver verwendet, um auf Ipv4-Verbindungen zu lauschen. Der Standardwert 0.0.0.0 zeigt die Bindung zu allen Netzwerkadaptern an.
ServerNameIPv6 REG_SZ Tanium Core Platform 7.3 und später. Fügen Sie diesen Registry-Schlüssel manuell hinzu, wenn Sie ihn benötigen, aber nur mit Anleitung des Tanium-Support. Standardmäßig ist der Schlüssel ausgeblendet und hat einen Wert von [::], wodurch angezeigt wird, dass sich der Tanium-Modulserver an alle Netzwerkadapter bindet, um auf Ipv6-Verbindungen zu lauschen. Um sich an einen spezifischen Netzwerkadapter zu binden, fügen Sie den Schlüssel hinzu, und geben Sie die Ipv6-Adresse des Adapters in eckigen Klammern ein (z. B. [2001:db8::1]).
ServerPort REG_DWORD Tanium-Modulserver-Port. Der Standardwert ist 17477.
Version REG_SZ Versionsnummer des Tanium-Modulservers.

Der Modulserver-Hostcomputer verfügt über einen Registry-Eintrag für den Tanium Server: 

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Tanium\Tanium Server

Die Einstellungen in diesem Registry-Eintrag sind für die Proxy-Server-Konfiguration vorgesehen.

 Tabelle 10: Einstellungen für Proxy Server auf dem Modulserver
Name Typ Daten
BypassCRLCheckHostList REG_SZ Server, denen der Tanium Server vertraut, ohne eine Zertifikatssperrliste (CRL) zu prüfen. Der Tanium Server führt einen CRL-Check für alle Server durch, die sich nicht auf der Liste bfinden, und lädt keine Dateien von einem Server herunter, die den Check nicht bestehen. Geben Sie die Server nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
BypassProxyHostList REG_SZ Hosts, die den Proxy-Server umgehen. Verwenden Sie zum Beispiel keinen Proxy-Server für den Datenverkehr zwischen Tanium Servern in einem active-active Cluster.

Ein Proxy-Server kann Probleme mit anderem Datenverkehr an einen Ziel-Tanium Server verursachen. Beispielsweise kann eine Paketkonfiguration die Datei-URIs angeben, die lokal auf dem Tanium Server liegen, um Inhalte herunterzuladen. Es ist wichtig, den Proxy-Server für diese URIs zu umgehen, da sonst der Download fehlschlägt.

Geben Sie die Ausnahmen als FQDNs oder IP-Adressen ein. Sie müssen IPv6-Adressen in eckigen Klammern eingeben (z. B. [2001:db8::1]). In den meisten Fällen sind die Ausnahmen, die Sie angeben müssen, localhost, 127.0.0.1 (IPv4), [::1](IPv6) und alle Tanium Server-FQDNs und -IP-Adressen. Zum Beispiel:

ts1.example.com, ts2.example.com,localhost,127.0.0.1, [::1],10.10.10.11,10.10.10.15

Geben Sie Literalwerte an. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter.
ProxyPassword REG_SZ

Für einen einfachen Proxy-Server, der eine Authentifizierung erfordert, ist diese Einstellung das Konto-Passwort, das beim Herstellen einer Verbindung mit dem Proxy-Server verwendet wird. The password is stored in clear text within the registry.

Diese Einstellung gilt nicht für NTLM-Proxys, die Zugangsdaten des Benutzerkontexts verwenden, der den Tanium Server-Dienst ausführt.

ProxyPort REG_SZ Proxy-Server-Überwachungsport.
ProxyType REG_SZ Basic oder NTLM.
ProxyServer REG_SZ IP-Adresse des Proxy-Servers. Standardmäßig löst der Tanium Downloader (TDownloader)-Dienst, der Downloads für den Tanium Server und den Tanium-Modulserver verwaltet, die Proxy-Serveradresse als Ipv4-Adresse auf. Wenn der Proxy-Server eine Ipv6-Adresse hat, müssen Sie sie in Klammern eingeben (z. B. [2001:db8::1]) und auf Windows-Systemen konfigurieren Sie dann das Tanium Downloader-Registry mit einem ForceIPV6-Schlüssel auf 1.
ProxyUserid REG_SZ Für einen einfachen Proxy-Server, der eine Authentifizierung erfordert, ist diese Einstellung der Konto-Benutzername, der beim Herstellen einer Verbindung mit dem Proxy-Server verwendet wird. The password is stored in clear text within the registry.

Diese Einstellung gilt nicht für NTLM-Proxys, die Zugangsdaten des Benutzerkontexts verwenden, der den Tanium Server-Dienst ausführt.

TrustedHostList REG_SZ Standardmäßig validiert der Modulserver das SSL/TLS-Zertifikat von Remote-Servern, wenn Verbindungen zu ihnen hergestellt werden (z. B. zum Herunterladen von Softwareaktualisierungen für das Modul). Um die Zertifikatsvalidierung für bestimmte Server zu umgehen, geben Sie ihre FQDN oder IP-Adresse ein. Die Tanium Core Platform 7.0.314.6242 und später unterstützt Platzhalter. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).

Wenden Sie sich an den Tanium Support, bevor Sie diese Einstellung ändern.

Tanium Downloader

Der Eintrag des Tanium Downloader (TDownloader) wird für die Ausführlichkeitgrad des Protokolls und für die Ipv6-Unterstützung verwendet.

 Tabelle 11: Tanium Downloader-Einstellungen
Name Typ Daten
LogVerbosityLevel REG_DWORD Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Protokollierungsstufe während des normalen Betriebs.
  • 41: Beste Protokollierungsstufe während der Fehlerbehebung.
  • 91 oder höher: Aktivieren Sie die detailliertesten Protokollierungsstufen nur für kurze Zeiträume.
ForceIPV6 REG_DWORD Tanium Core Platform 7.3 und später. Fügen Sie diesen Registry-Schlüssel manuell hinzu, wenn Sie ihn benötigen, aber nur mit Anleitung des Tanium-Support. Bei Verteilungen, bei denen der Datenverkehr zwischen Tanium Core Platform-Servern und dem Internet über einen Proxy-Server läuft, löst Tanium Downloader die Proxy-Adresse standardmäßig als IPv4-Adresse auf. Wenn der Proxy-Server eine IPv6-Adresse hat, fügen Sie den Schlüssel hinzu und setzen Sie seinen Wert auf 1.

Zonenserver

 Tabelle 12: Zonenservereinstellungen
Name Typ Daten
AllowedHubs REG_SZ Geben Sie eine durch Komma getrennte Liste der Zonenserver-Hubs ein, die autorisiert sind, mit diesem Zonenserver zu kommunizieren. Geben Sie die Hubs nach FQDN oder IP-Adresse an. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
EnableFileCache REG_SZ Diese Einstellung gilt nur für die Tanium Core Platform 7.4 oder neuer. Wenn Sie den Zonenserver-Hub auf einem dedizierten Host statt auf dem Tanium Server installiert haben, setzen Sie den Wert auf 1, um es dem Hub zu ermöglichen, Paketdateien für Aktionen und Dateien zwischenzuspeichern, die über die Tanium Client-API angefordert werden. Der Hub stellt diese Ressourcen dem Zonenserver bereit, ohne dass sie erneut vom Tanium Server angefordert werden müssen. Um die Größe des Zwischenspeichers zu begrenzen, legen Sie die Einstellung hub_hot_cache_limit_in_MB fest.

In der Tanium Core Platform 7.4 oder neuer ist der Hub-Zwischenspeicher standardmäßig deaktiviert (der Wert steht auf 0), da der Hub typischerweise auf dem Tanium Server installiert ist, welcher über seinen eigenen Cache verfügt.
EnforceAllowedHubs REG_DWORD Der Standardwert 1 legt fest, dass der Zonenserver die Einstellung „AllowedHubs“ durchsetzt: nur Zonenserver-Hubs, die in „AllowedHubs“ aufgelistet sind, können mit dem Zonenserver kommunizieren. Der Wert 0 ermöglicht es jedem Zonenserver-Hub, mit dem Zonenserver unabhängig von der Einstellung „AllowedHubs“ zu kommunizieren.
hub_hot_cache_limit_in_MB   Diese Einstellung gilt nur, wenn der Zonenserver-Hub auf einem dedizierten Host statt auf dem Tanium Server installiert ist. Der Hub verwendet seinen Zwischenspeicher, um den Inhalt des Tanium Clients an den Zonenserver weiterzuleiten, ohne den Inhalt erneut vom Tanium Server anfordern zu müssen. Der Inhalt enthält Paketdateien für Aktionen und Dateien, die über die Tanium Client-API angefordert werden. Verwenden Sie die Einstellung hub_hot_cache_limit_in_MB, um die Größe des Zwischenspeichers zu begrenzen. Als bewährtes Verfahren legen Sie die Grenze auf den geringeren Wert zwischen 200 GB und 60 % des verfügbaren Festplattenspeichers auf dem Laufwerk fest, auf dem der Hub installiert ist.

In der Tanium Core Platform 7.4 oder neuer ist der Hub-Zwischenspeicher standardmäßig deaktiviert und verwendet daher keinen Speicherplatz. Wenn Sie den Zwischenspeicher aktivieren, indem Sie den Wert EnableFileCache auf 1 festlegen, beträgt der Standardwert für hub_hot_cache_limit_in_MB 0 (20 % des Festplattenspeichers). Aktivieren Sie den Hub-Zwischenspeicher nicht, wenn der Hub auf dem Tanium Server installiert ist, der seinen eigenen Zwischenspeicher verwendet.
HubPriorityList REG_SZ Diese Einstellung gilt nur für die Tanium Core Platform 7.4 oder neuer. Die Einstellung gibt den FQDN oder die IP-Adresse des bevorzugten Zonenserver-Hubs zum Senden von Tanium Client-Inhalten (wie Sensordefinitionen, Konfigurationsinformationen und Aktions-Paketdateien) an den Zonenserver an. Solange dieser Hub verfügbar ist, erhält der Zonenserver keine Inhalte von einem anderen Hub. Wenn der bevorzugte Hub ausfällt, wendet der Zonenserver sich für den Empfang von Inhalten an jeden anderen verfügbaren Hub. In der Regel verwenden Sie diese Einstellung für aktiv-aktiv-Verteilungen, die über Paare von Zonenservern und Hubs verfügen, wobei jeder Hub eine Verbindung mit jedem Zonenserver herstellt. Bei aktiv-aktiv-Verteilungen ist das Hinzufügen der HubPriorityList eine Best Practice, um sicherzustellen, dass jeder Zonenserver Inhalte von dem ihm nächstgelegenen Hub erhält. Die Konfiguration dieser Einstellung optimiert auch die Hub-Nutzung, indem sichergestellt wird, dass jeder Hub einen Zonenserver bedient, statt dass ein Hub beide Server bedient.
- LogPath: REG_SZ Pfad zu Tanium Zone Server-Protokollen.
LogVerbosityLevel REG_DWORD Geben Sie einen der folgenden Dezimalwerte für den Ausführlichkeitsgrad des Protokolls an:
  • 0: Protokollierung deaktiviert.
  • 1: Protokollierungsstufe während des normalen Betriebs.
  • 41: Beste Protokollierungsstufe während der Fehlerbehebung.
  • 91 oder höher: Aktivieren Sie die detailliertesten Protokollierungsstufen nur für kurze Zeiträume.
Pfad REG_SZ Installationspfad.
ServerName REG_SZ Vollständig qualifizierter Domain-Name von Tanium Server.
ServerPort REG_DWORD Tanium Server-Port. Wird festgelegt, wenn Sie den Installationsassistenten abgeschlossen haben. Der Standardwert ist 17472.
ServiceUserDomain REG_SZ Der Zonenserver Windows-Dienst läuft im Kontext eines Dienstkontos. Dieser Eintrag enthält die während der Installation angegebene Domäne.
ServiceUserName REG_SZ Der Zonenserver Windows-Dienst läuft im Kontext eines Dienstkontos. Dieser Eintrag enthält den während der Installation angegebenen Benutzernamen.
Version REG_SZ Tanium Zone Server-Versionsnummer.
ZoneHubFlag REG_DWORD Der Wert zeigt an, ob diese Zonenserver-Instanz (1) ist oder kein (0) Zonenserver-Hub ist.
zs_hot_cache_limit_in_MB   Der Zonenserver speichert Inhalte in seinem Zwischenspeicher, die er für Tanium Clients bereitstellt, ohne sie erneut vom Tanium Server anfordern zu müssen. Der Inhalt enthält Paketdateien für Aktionen und Dateien, die über die Tanium Client-API angefordert werden. Verwenden Sie die Einstellung zs_hot_cache_limit_in_MB, um die Größe des Zwischenspeichers zu begrenzen. Als bewährtes Verfahren legen Sie die Grenze auf den geringeren Wert zwischen 200 GB und 60 % des verfügbaren Festplattenspeichers auf dem Laufwerk fest, auf dem der Hub installiert ist.