2023年7-8月

勝手に再起動した件 / ReportingEvents.log

・稼働中のWindowsサーバーで、意図しないタイミングでの再起動とその直後Windows Update発生。
・当初、Windows Update実行→再起動の順で発生したと考えて調査していたが、ReportingEvents.logを確認したところ逆で、そもそも再起動待ちのパッチがあったため、それが再起動後に有効になり、Windows Updateが走ったよう。
・本環境は某クラウドの物理機器だったが、デプロイ直後、ドメインポリシーで制御する前の段階でパッチ類がインストールされ、一部がずっと再起動待ちになっていた。。。
*再起動の原因はWindows UpdateによりEventLogなどが消えていて追えず。Pendingを解消してから稼働させる、で。。。
*ReportingEvents.log 下記の場所にある更新プログラム関連のログ
 C:\Windows\SoftwareDistribution\ReportingEvents.log

AGENT_DETECTION_FINISHED　→　更新プログラムの検出成功
AGENT_DOWNLOAD_STARTED　→　更新プログラムのダウロード開始
AGENT_DOWNLOAD_SUCCEEDED　→　更新プログラムのダウンロード成功
AGENT_INSTALLING_STARTED　→　更新プログラムのインストール開始
AGENT_INSTALLING_PENDING　→　更新プログラムの再起動待ち
AGENT_INSTALLING_SUCCEEDED　→　更新プログラムのインストール成功
AGENT_DETECTION_FAILED　→　更新プログラムの検出失敗
AGENT_DOWNLOAD_FAILED　→　更新プログラムのダウンロード失敗
AGENT_INSTALLING_FAILED　→　更新プログラムのインストール失敗

*詳細なログはGet-WindowsUpdateLogコマンドでログファイルを生成して確認

-WSUS（Windows Server Update Services）
-グループポリシーはcmd管理者権限でgpresult /hをhtmlで任意の場所に作ってそれを見るやつ
-gpedit.mscで見れるのはローカルポリシー(gpだから直感的にグループポリシーって思っちゃう)

KB（knowledge Base）

Get-HotFixでKBの適用履歴が確認できる。
基本的にUpdateカタログから個別にインストールして適用したり、逆にアンインストールすることも可能。

*MS Updateカタログ

Microsoft Update Catalog

*一部のKBはアンインストールできない。

Windows 更新プログラムをアンインストールする方法 - Microsoft サポート

RDSの証明機関

・RDS止めて変更から認証機関をrds-cs-2019からrds-ca-rsa2048-g1にする
・認証機関、証明書の日付、有効期限が更新されることを確認
*有効期限は1年しか伸びてないように見えるが切れる前に自動ローテーションされる

クライアントVPNエンドポイント→CloudTrail→EventBridge→lambda→SNS通知のやつ

boto3のドキュメント

Boto3 1.28.47 documentation

-SNSの必須パラメータが見たくてlambdaの裏側(？)をSNSにしてたら何回やってもSNSになってしまってダメだった　そこ紐づいてると思ってなかった
-そもそもはCloudTrail→クライアントVPNエンドポイント→管理イベント→データイベントで管理イベントの絞り込みが、イベント履歴のフィルター以外で良き方法がなく、こんな面倒なことを。。。
↑これ良い方法ご存知の方は教えてください。

vSRX脆弱性対応

-https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US
・JuniperのSRXにはJunos OSが標準でインストールされており、Junos OSにはJ-Web(Juniper-Web)という管理用GUIが搭載されている
・このJ-Webの既知の脆弱性を複数組み合わせるとリモートコマンドが実行可能である
・J-Webはデフォルトで有効になっており、下記コマンドを実行することで無効化可能

delete system services web-management

-ど基礎
https://it-study.info/vsrx-command-list/
-下記がJ-Webのやつ

set system services web-management http interface fxp0.0
set system services web-management https port 8443
set system services web-management https system-generated-certificate
set system services web-management https interface fxp0.0
set system services web-management https interface reth0.0
set system services web-management https interface reth1.0
set system services web-management https interface reth3.0
set system services web-management session session-limit 100

備忘群

Amazon Linux2のEOS

2023年6月だったけど2年延びて2025年6月になったらしい。Amazon Linux2023が出てるので、これに移行する感じになりそう

[CertCentral] クライアント対応状況比較（G1/G2ルート証明書）

https://knowledge.digicert.com/ja/jp/solution/SOT0028.html

面白い

Microsoft SQL Server データベースの復旧モデルを確認する - Amazon Relational Database Service

マルチ AZ インスタンスの復旧モデルは、絶対に変更しないでください。
ALTER DATABASE などを使用して変更できそうに思える場合でも、変更してはなりません。
バックアップ保持期間 (FULL 復旧モデル) は、マルチ AZ に必須です。
この復旧モデルを変更すると、RDS によって即座に FULL に戻されます。

その他　あまり技術ではない気付き

・印刷スプーラー
印刷メニューを開くとpdfで開かれてプリンタとか印刷の設定とかが出てこない問題。印刷スプーラーが止まっていた。
https://r-os.com/blog-pc/stop-print-spoo
・2要素認証で電話番号入れるとき完全修飾電話番号じゃないと駄目だった(080→+08)