Si la hoja de cálculo fue la aplicación imprescindible para la contabilidad y la masificación de los ordenadores personales, el sistema operativo MS Windows® fue la interfaz gráfica que convirtió el trabajo en algo más agradable y cimentó el camino a los navegadores web para el internet tal como lo conocemos hoy en día. 

Hoy, en el blog de Pandora FMS, hablamos de:

Monitorización de eventos de Windows y Pandora FMS 

Han transcurrido décadas pero siempre hay un chiste, entre nosotros los informáticos, que prevalece en el tiempo: 

«Este es el año de Linux en el escritorio». 

En realidad, pienso que, de plano, es una afirmación que viene con defecto desde su origen:

El kernel (Linux en este caso) poco tiene que ver con la interfaz gráfica, lo correcto es que las aplicaciones que acompañan Linux, es decir GNU/Linux sean las combinaciones que deberían ganar un lugar en cientos de millones de ordenadores de nuestros hogares y trabajos.

El sistema operativo (SO) MS Windows®, a pesar que va perdiendo terreno con Android/Linux en nuestros teléfonos móviles, aún reina en los ordenadores de escritorio y en el terreno de los videojuegos mantiene su posición. 

Muchos apuestan a que la computadora personal de sobremesa desaparecerá, yo, personalmente, apuesto a que los teléfonos móviles los conectaremos al monitor, teclado y ratón en casa y oficina.

Pero a día de hoy el MS Windows está fuerte en su posición de mercado y para Pandora FMS ha entrañado una serie de consideraciones muy especiales para su monitorización.

El panorama

La monitorización con Pandora FMS la podemos hacer tanto de manera remota como de manera local y el SO MS Windows® no es la excepción. La monitorización de manera remota puede realizarse por medio de SNMP y por WMI.

*Si sois nuevos en esto de la monitorización, es necesario que os toméis algunos minutos en conocer los Conceptos básicos de Pandora FMS.

Para la monitorización local debemos instalar un pequeño programa, el cual es llamado Agente Software de Pandora FMS. 

Una vez instalado en MS Windows® ya estarán por defecto instalados los módulos para recolectar la información más relevante (uso de disco, consumo de RAM, etcétera).

Si lo que necesitamos monitorizar es lo básico de MS Windows® la versión Open de Pandora FMS es más que suficiente para la tarea.

Monitorización de eventos de Windows®

La cantidad de aplicaciones para MS Windows® es realmente inmensa pero en cierta manera es sencilla su monitorización de aplicaciones e incluso de procesos, ya que contamos con una instrucción especial para el Agente Software llamada module_proc . 

Esta instrucción es capaz de indicarnos, ya sea de manera inmediata o cada cierto período de tiempo, si un programa o proceso está en ejecución. 

*Si desean conocer más en detalle esta utilidad de Pandora FMS, visiten nuestro video tutorial Monitorizar procesos o aplicaciones en Windows.

Hasta ahora todo esto es lo básico para monitorizar MS Windows®. 

Y en el caso de la versión Enterprise de Pandora FMS podemos «trasladar» los eventos normales a eventos en Pandora FMS, los cuales pueden generar alertas y avisos para que hagamos las acciones necesarias, o dejar que Pandora FMS vuelva a iniciar el software vital para nuestro trabajo o empresa. 

*Esto último es conocido como Watchdog: si una aplicación por cualquier razón se detiene en MS Windows®, se vuelve a lanzar y ejecutar.

Analizando las causas

Simplificando al máximo:
Hasta ahora podemos decir que estamos trabajando sobre verdaderos y falsos, sobre unos y ceros. 

Pero muchas veces nos toca analizar bajo qué condiciones una aplicación colapsa o conocer por qué no inicia. 

Si toda esa información relacionada la tuviéramos que ver en nuestra pantalla simplemente no podríamos trabajar con tantas interrupciones. Por ello existen los registros de eventos y trabajar con ellos implica más especialización por parte de Pandora FMS.

MS Windows® presenta una ventaja como software privativo para su monitorización y es que sus eventos y correspondientes registros (simplemente llamados «logs» en inglés) son centralizados de cierta manera rutinaria o estándar.

Monitorizando un evento en particular

Pandora FMS ofrece la instrucción module_logevent que utiliza la API de Windows® y ofrece mejor desempeño que la recogida de datos por medio de WMI. 

Los datos los obtendremos de los registros de eventos del propio Windows.

Junto con instrucciones adicionales ofrece la posibilidad de monitorizar eventos muy específicos identificados por los campos Log Name, Source, Event ID y Level. 

¿Recordáis que os dije que están estandarizados? 

Pues bien en Log name están bien definidos por: 

  • Aplicación.
  • Seguridad.
  • Instalación.
  • Sistema.
  • Eventos reenviados.

Y debemos usar uno de ellos (en inglés) para la instrucción module_source, la cual es obligatoria en el módulo a crear en el Agente Software de Pandora FMS.

Hasta este punto solo hemos hablado de simples módulos de agentes PFMS pero, dependiendo de nuestras necesidades todo lo anterior también lo podemos realizar como un complemento o plug-in de Pandora FMS

La diferencia estriba en colocar module_type async_string cuando es un módulo de datos y module_type log cuando es un plugin.

Los plugin ofrecen flexibilidad ya que pueden devolver varios datos al mismo tiempo, a diferencia de los módulos PFMS que solo devuelven un tipo de dato específico y normalizado en PFMS. 

Esto es importante para lo que veremos a continuación:
La instrucción module_regexp la cual tiene como parámetro un fichero de registro de eventos (.log) sobre el cual buscaremos palabras claves con la instrucción module_pattern. 

Esto es necesario porque existen aplicaciones antiguas que llevan su propio registro de eventos aparte, aunque en los demás aspectos no escapan del log de Windows. 

*Lo explicamos en detalle en nuestro vídeo tutorial «Módulos Windows logevent y regexp».

Monitorizando un canal de eventos

En MS Windows® algunos log que no están en el registro de eventos del propio Windows, pueden ser recogidos mediante los canales de registros de eventos (Windows Event Log channel  o simplemente log channels) con una instrucción especial llamada module_logchannel que no lleva parámetro alguno sino que a continuación utiliza module_source <nombre_de_canal>  junto con module_eventtype (tipo de evento), module_eventcode (código de evento) e incluso module_pattern para buscar por palabra clave. 

*Para más detalles nuestro vídeo tutorial «Módulos de Windows: Logchannel |Pandora FMS|» explica rápidamente esta característica.

Ahora bien, anuncié que estamos buscando o indagando la causa de algún problema o inconveniente en una aplicación que se ejecuta en MS Windows®, pero los ejemplos que he puesto son específicos y van directos a monitorizar un punto en particular. 

Bien, entonces… 

¿Cómo hacemos si no sabemos exactamente qué es lo que buscamos?

Elasticsearch y recolección masiva de logs

Lo que me faltaba por explicar es que si utilizamos un plugin para recolectar logs debemos instalar, junto a Pandora FMS, una poderosa herramienta llamada Elasticsearch. 

La cual utiliza una base de datos no relacional capaz de guardar y clasificar toda esta gran cantidad de información. 

*Está bien explicado, de nuevo, en otro vídeo tutorial llamado «Colector de Logs en Pandora FMS»)

Pero no creáis que PFMS se limita a delegar el trabajo, no: 

Desde Elasticsearch podemos retribuir a Pandora FMS para generar alertas e informes que planteemos y luego creamos en PFMS para llegar, por fin, a entender cuáles son las condiciones y valores precisos en el determinado momento que una aplicación falla (o tiene valores pico de carga de trabajo, o está «sin hacer nada», etcétera).

Conclusiones

He resumido al máximo y recomiendo veáis una y otra vez los vídeo tutoriales hasta que hayáis logrado una comprensión fluida y paséis a la práctica instalando tanto Pandora FMS como Elasticsearch. Si tenéis algún problema revisad la documentación oficial, la cual es extensa en el tema «Monitorización y recolección de logs«.

Recursos

Librería de plugins Pandora FMS

Foro oficial Pandora FMS

Quiero saber MaaS

Nuestro Trial

Shares