Si le tableur a été l’application essentielle pour la comptabilité et la diffusion des ordinateurs personnels, le système d’exploitation MS Windows® a été l’interface graphique qui rendait le travail plus agréable et a ouvert la voie aux navigateurs Web pour l’Internet tel que nous le connaissons aujourd’hui. 

Aujourd’hui, sur le blog de Pandora FMS, on parle de :

Supervision des événements Windows et Pandora FMS

Les décennies ont passé mais il y a toujours une blague, entre nous informaticiens, qui prévaut au fil du temps : 

« C’est l’année de Linux sur le bureau ». 

En fait, je pense que, carrément, c’est une déclaration qui vient avec un défaut de son origine :

Le noyau (Linux dans ce cas) n’a pas grand-chose à voir avec l’interface graphique, la bonne chose est que les applications fournies avec Linux, c’est-à-dire GNU/Linux, sont les combinaisons qui devraient gagner une place dans des centaines de millions d’ ordinateurs à la maison et au travail.

Le système d’exploitation (OS) MS Windows®, même s’il perd du terrain avec Android/Linux sur nos téléphones portables, règne toujours en maître sur les ordinateurs de bureau et maintient sa place dans le domaine des jeux vidéo. 

Beaucoup parient que l’ordinateur personnel de bureau disparaîtra, je parie personnellement que les téléphones portables seront connectés au moniteur, au clavier et à la souris à la maison et au bureau.

Mais aujourd’hui, MS Windows est fort dans sa position sur le marché et pour Pandora FMS, cela a entraîné une série de considérations très particulières pour sa supervision.

Le panorama  

La supervision avec Pandora FMS peut être effectuée à distance et localement, et le système d’exploitation MS Windows® ne fait pas exception. La supervision à distance peut être effectuée via SNMP et via WMI.

Une fois installés dans MS Windows®, les modules seront installés par défaut pour collecter les informations les plus pertinentes (utilisation du disque, consommation de RAM, etc.).

Si ce que vous devez superviser, ce sont les bases de MS Windows®, la version Open de Pandora FMS est plus que suffisante pour la tâche.

Supervision des événements Windows®

Le nombre d’applications pour MS Windows® est vraiment immense, mais d’une certaine manière, il est facile de superviser les applications et même les processus, car nous avons une instruction spéciale pour l’agent logiciel appelée module_proc. 

Cette instruction est capable de nous dire, immédiatement ou à chaque période de temps, si un programme ou un processus est en cours d’exécution. 

Et dans le cas de la version Enterprise de Pandora FMS, nous pouvons « déplacer » les événements normaux vers des événements dans Pandora FMS, qui peuvent générer des alertes et des avis afin que vous preniez les mesures nécessaires, ou laisser Pandora FMS redémarrer le logiciel vital pour votre travail ou société. 

*Ce dernier est connu sous le nom de Watchdog : si une application s’arrête pour une raison quelconque dans MS Windows®, elle est lancée et exécutée à nouveau.

Analyse des causes

En simplifiant au maximum :
Jusqu’à présent, nous pouvons dire que nous travaillons sur le vrai et le faux, sur les uns et les zéros. 

Mais souvent, nous devons analyser dans quelles conditions une application se bloque ou découvrir pourquoi elle ne démarre pas. 

Si vous deviez voir toutes ces informations connexes sur votre écran, vous ne pourriez tout simplement pas travailler avec autant d’interruptions. Pour cette raison, les journaux d’événements existent et travailler avec eux implique une plus grande spécialisation de la part de Pandora FMS.

MS Windows® a un avantage en tant que logiciel propriétaire pour sa supervision et c’est que ses événements et les enregistrements correspondants (simplement appelés « logs » en anglais) sont centralisés d’une certaine manière routinière ou standard.

Supervision d’un événement particulier

Pandora FMS propose l’instruction module_logevent qui utilise l’API Windows® et offre de meilleures performances que la collecte de données via WMI. 

Nous obtiendrons les données des journaux d’événements de Windows lui-même.

Avec des instructions supplémentaires, il offre la possibilité de superviser des événements très spécifiques identifiés par les champs Log Name, Source, Event ID et Level. 

Vous souvenez-vous que je vous ai dit qu’ils sont normalisés ? 

Eh bien, dans Log name, ils sont bien définis par : 

  • Application.
  • Sécurité.
  • Installation.
  • Système.
  • Événements transférés.

Et nous devons utiliser l’un d’eux (en anglais) pour l’instruction module_source, qui est obligatoire dans le module à créer dans l’agent logiciel Pandora FMS.

Jusqu’à présent, nous n’avons parlé que de modules des agents Pandora FMS simples mais, selon nos besoins, tout ce qui précède peut également être réalisé en tant que plug-in Pandora FMS

La différence est de mettre module_type async_string lorsqu’il s’agit d’un module de données et module_type log lorsqu’il s’agit d’un plugin.

Les plugins offrent de la flexibilité car ils peuvent renvoyer plusieurs données en même temps, contrairement aux modules Pandora FMS qui ne renvoient qu’un type de données spécifique et normalisé dans Pandora FMS. 

Ceci est important pour ce que nous verrons ensuite :
L’instruction module_regexp qui a en paramètre un fichier journal des événements (.log) sur lequel on va chercher des mots clés avec l’instruction module_pattern. 

Cela est nécessaire car il existe d’anciennes applications qui conservent leur propre journal des événements séparés, bien que dans d’autres aspects, elles n’échappent pas au journal Windows. 

Dans MS Windows®, certains journaux qui ne figurent pas dans le journal des événements Windows lui-même peuvent être collectés via les canaux de journal des événements (canal du journal des événements Windows ou simplement canaux de journal) avec une instruction spéciale appelée module_logchannel qui ne prend pas tous les paramètres mais utilise ensuite module_source<nom_du_canal> avec module_eventtype (type d’événement), module_eventcode (code d’événement) et même module_pattern pour rechercher par mot clé. 

Eh bien… 

Comment faire si nous ne savons pas exactement ce que nous recherchons ?

Elasticsearch et collecte en masse de journaux

Ce que je devais expliquer, c’est que si vous utilisez un plugin pour collecter les journaux, vous devez installer, avec Pandora FMS, un outil puissant appelé Elasticsearch. 

Qui utilise une base de données non relationnelle capable de stocker et de classer toute cette grande quantité d’informations. 

Depuis Elasticsearch, vous pouvez rembourser Pandora FMS pour générer des alertes et des rapports que vous proposez, puis créer dans Pandora FMS pour enfin comprendre quelles sont les conditions et les valeurs précises au moment donné où une application échoue (ou a des valeurs de charge maximales de travail, ou « ne fait rien », etc.). 

Conclusions

J’ai résumé autant que possible et Si vous rencontrez des problèmes, consultez la documentation officielle, qui est détaillée dans la rubrique « Surveillance et collecte de journaux ».

Ressources

Bibliothèque de plugins Pandora FMS

Forum officiel Pandora FMS

Je veux en savoir plus !

Notre Essai

Shares

Téléchargez gratuitement le rapport le plus complet sur la surveillance sécurisée d'IDG research.