タイマーと間隔

対象: IT管理者。エンドポイント特権マネージャーで使われるタイマーと間隔 (ジョブのスケジュール、ポリシー更新、KeeperAgent、KeeperClient、ログ、プラグインのヘルス、セッション監視、ウォッチドッグ、プラグイン内部ループなど) について、各項目の値、変更方法 (構成可能な場合)、目的をまとめています。

エンドポイント特権マネージャーには、ポリシーの同期、ジョブの実行、ヘルスチェック、セッション監視、ユーザーインターフェイスの更新、期限付き許可の管理などを制御するタイマーと間隔があります。本ページでは、各タイマーの役割、既定値、変更可否 (および変更方法) を一覧で掲載しています。

クイックリファレンス

• ジョブのスケジュール

• ポリシーの更新と同期

• Keeper Agent

• Keeper Client

• ログ

• プラグインヘルス監視

• セッション監視

• ウォッチドッグ

• ファイルアクセスと実行許可

• ポリシー評価タイムアウト

ジョブのスケジュール

ジョブサービスは、スケジュール済みジョブを1分ごとに評価します。現在時刻がジョブの構成済みスケジュールに一致すると、ジョブが実行キューに入ります。

代表的なジョブごとのスケジュール例

構成方法: Jobs/ ディレクトリ内のジョブJSONファイルで、スケジュール種別に応じて schedule.intervalMinutes (または schedule.cronExpression、schedule.runAt、schedule.calendar) を設定します。[Update Jobs] ポリシーを使えば、すべてのエンドポイントにジョブを一括更新できます。スケジュール構文の詳細はジョブの定義と形式をご参照ください。

ポリシーの更新と同期

エージェントは、Keeperバックエンドから更新されたポリシー、ジョブ、承認データを定期的に取得します。これはKeeperApiプラグインが担います。

承認データの更新: 承認データには専用タイマーはありません。新しいポリシーを取得する同期 (下行) サイクルの一部として更新されます。ユーザーが承認ビューを開いたとき、または承認者が要求を承認/拒否したあとにも、承認リストは更新されます。

構成方法: KeeperApiプラグインの SyncFrequency 設定 (または sync.interval_minutes) を変更します。ダッシュボード、Plugins/KeeperApi.json の直接編集、または PUT /api/PluginSettings/KeeperApi/... で設定できます。値の単位は分です。

エンドポイントでポリシー同期を即時実行するには、Keeper Agentのシステムトレイメニューから [Refresh Policies] を選択します。

Keeper Agent

Keeper Agentは、ユーザーが承認要求を管理・起動するためのデスクトップアプリケーションです。

構成方法: 承認リストの更新間隔は、ポリシー同期と同じ SyncFrequency 設定で制御されます (上記「ポリシーの更新と同期」をご参照ください)。MQTTループ遅延は変更できません。

Keeper Client

Keeper Clientは、エンドポイント上で通知、メニュー項目、ユーザー向け操作を扱うシステムトレイアプリケーションです。

KPMヘルスチェックは、メインサービスが停止したあと、システムトレイアイコンがその状態を反映するまでの速さを制御します。メニュー更新は、新しいジョブ、ランチャー、メニュー項目がデプロイされたあと、トレイに表示されるまでの速さを制御します。

メニュー更新間隔の構成: KeeperClientプラグインで metadata.menu.refreshIntervalMinutes を設定します。Plugins/KeeperClient.json またはPluginSettings APIで編集できます。更新タイマーを動かすには metadata.menu.autoRefresh を true にする必要があります。

ログ

KeeperLoggerプラグインがログ出力を管理します。内部間隔の多くは、信頼性と一貫性のためコードで固定されています。ログローテーションと保持のしきい値は構成可能です。

ログローテーションと保持は周期タイマーではなくしきい値です。ファイルが構成されたサイズ上限に達するとローテーションし、保持期間を超えた古いファイルは削除されます。

ログローテーションと保持の構成: KeeperLoggerプラグイン設定で maxFileSizeMB と logRetentionDays を設定します。詳細はログファイルの読み取りをご参照ください。

プラグインヘルス監視

メインサービスは、各プラグインプロセスを監視し、クラッシュや予期しない終了を検出します。

初期待機により、プラグインが起動を完了してから最初のプローブが走り、サービス起動時の誤検知を防ぎます。

ヘルスチェック間隔の構成: appsettings.json で PluginMonitoring:CheckIntervalMinutes を設定します。実効最小値は0.1分 (6秒) です。

セッション監視

サービスはユーザーセッションを監視し、ログオン、ログオフ、リモートデスクトップ (RDP) の接続/切断を検出します。セッション変化はジョブをトリガーできます (例: ユーザーログオン時にKeeper Clientを起動)。

間隔を短くすると、ユーザーのログオンまたはRDP再接続後にセッションベースのジョブがより早く起動します。

構成方法: appsettings.json で SessionMonitoring:PollingIntervalSeconds を設定します。最小値は1秒です。

ウォッチドッグ

ウォッチドッグは、メインのエンドポイント特権マネージャーサービスとは独立して動作する軽量な監視サービスです。メインサービスのヘルスエンドポイントを定期的にプローブし、応答がなくなった場合にサービスを自動再起動できます。

起動遅延により、ウォッチドッグがヘルスチェックを始める前にメインサービスの起動が完了し、通常起動時の誤検知を防ぎます。ウォッチドッグは、サービスを自動再起動する (AutoRemediate: true) か、監視とログのみにする (AutoRemediate: false) かを構成できます。

構成方法: ウォッチドッグの appsettings.json で Watchdog:CheckIntervalSec と Watchdog:StartupDelaySec を設定します。どちらも [ConfigurationUpdate] ポリシーでエンドポイントに一括配信できます。詳細はプラグインとタスクの設定をご参照ください。

ファイルアクセスと実行許可

ユーザーがコントロール (MFA、正当な理由の入力、承認) を満たしたあと、ファイルへの一時アクセスまたは昇格実行が許可された場合、そのアクセスには期限があり、許可の失効時に自動的に元に戻ります。

これらの期間はコード内の既定値です。ダッシュボード全体でスライダーを動かす設定はありません。既定値を変えるには、[Update Jobs] ポリシーで変更済みジョブ定義をエンドポイントに配信します。

構成方法: 承認ゲート付きアクセスでは GrantFileAccess ジョブ、MFAまたは正当な理由の入力ゲート付きアクセスでは LaunchFileAccess ジョブの DurationMinutes パラメータを設定します。手順は承認期間の構成をご参照ください。

ポリシー評価タイムアウト

ポリシーがカスタムフィルタジョブを使う場合、ポリシーエンジンは評価中にそのジョブを呼び出し、応答を待ちます。タイムアウト時間内に応答がない場合、カスタムフィルタは失敗として扱われます。

これは繰り返し間隔ではなく、リクエストごとのタイムアウトです。カスタムフィルタジョブが外部API呼び出しや低速スクリプトを含む場合、評価タイムアウトを防ぐために値を大きくする必要があることがあります。

構成方法: KeeperPolicyプラグイン設定で customfilter.timeout_seconds を設定します。詳細はプラグインとタスクの設定をご参照ください。