Pandora: Documentation es: Eventos

From Pandora FMS Wiki
Jump to: navigation, search

Volver a Indice de Documentacion Pandora FMS

1 Eventos

1.1 Introducción

El sistema de eventos de Pandora FMS permite ver un registro en tiempo real de todos los acontecimientos que ocurren en nuestros sistemas monitorizados. La información que muestran va desde cualquier cambio de estado de un módulo, alertas lanzadas o recuperadas, hasta reinicios del sistema o eventos personalizados. Por defecto, en la vista de eventos verá una foto de lo que está sucediendo en ese momento. Es una de las vistas más usadas por los equipos de operación en cualquier tipo de software de monitorización profesional.

Los eventos se clasifican según su severidad :

  • Mantenimiento (gris)
  • Informativo (azul)
  • Normal (verde)
  • Warning (amarillo)
  • Crítico (Rojo)

Se pueden realizar las siguientes acciones sobre eventos :

  • Cambiar su estado (validado o en progreso)
  • Cambiar el propietario
  • Eliminar
  • Mostrar información adicional
  • Añadir un comentario
  • Realizar respuestas personalizables

1.2 Información general

Los eventos se gestionan en Events > View Events, donde se ve el siguiente menú :

Menu eventos.png

Este es un ejemplo del visor de eventos por defecto. Los campos mostrados en esta vista se pueden personalizar (ver apartado Personalizar vista de eventos) :

Event list.png

En la version 726 de Pandora FMS se introdujo la posibilidad de ordenar los eventos por ID, status, nombre...

Event orden.png

En el visor de eventos, por defecto, se muestra el evento en sí, que es un texto descriptivo del problema, el origen (agente) que lo generó, y por supuesto la fecha de ese evento. En ocasiones hay otros datos asociados, como el módulo del agente que generó el evento, el grupo, tags asociados al módulo, etc.

Detalle evento 1.jpg


Si pinchamos en el icono de la lupa podremos ver todos los detalles del evento :

Detalle evento 2.jpg

Por defecto, los eventos se muestran mediante una búsqueda determinada, y esta se puede modificar, mostrando la información del modo que nos interese mediante sus diferentes opciones de filtrado:

Filtro evento.png

Como podemos ver aquí, por defecto (aunque se puede modificar en las opciones del setup), Pandora FMS muestra eventos que tengan como máximo ocho horas de antigüedad o menos, y muestra únicamente aquellos que no están validados. Un usuario que solo tenga acceso a un grupo, solo verá los eventos de ese grupo. Por defecto, agrupa los eventos; es decir, si tenemos varios eventos del mismo origen y del mismo tipo, solo mostrará uno, y en la vista detallada del evento nos dirá cuántos eventos tenemos iguales, agrupados en ese único item de la lista.

Existe la posibilidad de guardar las búsquedas como filtros o bien aplicar un filtro creado previamente (ver apartado Creación de filtros de evento).

Los eventos son el registro y una parte fundamental de un sistema de monitorización.

Los operadores, viendo esta pantalla, pueden conocer el estado actual (eventos activos) y el histórico (viendo todos los eventos validados), sin tener que mirar agente por agente, observar cifras globales, árboles de datos y nombres o pantallas visuales.

Los operadores deberían ver una consola de eventos "limpia", que muestre solo los problemas activos. De esta forma, ni siquiera hará falta crear alertas, sino que mirando una pantalla sabremos en todo momento que ocurre.

1.3 Operación con eventos

1.3.1 Validación y estados de un evento. Auto validación

Un evento puede estar en tres estados: nuevo, en proceso o validado. Un evento, por defecto, según llega al sistema, está en el estado Nuevo. Cuando se producen eventos por cambios de estado en módulos, generalmente habrá dos eventos: un primer evento de paso de estado normal a otro estado incorrecto, y un evento de vuelta a estado normal una vez que la situación problemática se resuelva.

En estos casos los eventos de paso a estado incorrecto (critical o warning) son validados automáticamente al recuperar la normalidad. Es lo que llamamos autovalidación de eventos y es una funcionalidad esencial, ya que permite ocultar la información que ya no es relevante en la consola de eventos. Cuando un evento es validado desaparece de la vista inicial por defecto de eventos, ya que en esta vista no se muestran por defecto los eventos validados al no considerarse problemas activos sino problemas pasados.

Cuando encontramos un evento podemos validarlo; esto hará que el sistema memorice la fecha y el usuario que validó el evento. También es posible dejar un comentario :

Event sample4.png

Al dar al botón de validar, la pantalla se refresca y el evento validado "desaparece". Esto es porque la vista de eventos por defecto solo muestra los eventos no validados o asignados, pero no los validados.

Event sample5.png

Si cargamos de nuevo la vista de eventos, filtrando y mostrando todos los eventos, veremos el evento validado con la información de quién lo validó, cuándo, y con el texto que introdujo en ese momento.

Por otro lado, en lugar de validar un evento podemos marcarlo como "en proceso" en la pestaña 'Responses', tal y como se puede ver aquí a continuación:

Event sample6.png

Podemos tener un evento "parado", o bloqueado, de forma que no se autovalide, y que se siga viendo en las vistas de eventos, como pendiente de trabajo. Irá agrupando al resto de eventos que lleguen iguales (ver agrupación de eventos), pero no se autovalidará. El aspecto del evento será similar al siguiente:

Event sample7.png

También en la pestaña Responses podemos encontrar algunas otras acciones posibles sobre el evento, como borrarlo o ejecutar respuestas personalizadas como ping sobre el host.

También se pueden validar, marcar como "en proceso" y eliminar eventos de manera individual, a través de las siguientes features:

Op indi.png


También se pueden validar, marcar como "en proceso" y eliminar eventos, así como ejecutar respuestas personalizadas de tipo comando de manera masiva, como se muestra a continuación:

Op masiva2.png

En el caso de respuestas personalizadas, el número máximo de eventos a los que aplicar la operación está limitado a diez.

1.3.2 Filtrado de eventos

Desde la página de vista de eventos es posible filtrar en la lista de eventos, con el fin de buscar eventos específicos.

Desde la vista de eventos accederemos a las opciones del filtrado en Event control filter, y a las opciones avanzadas con Advanced options :


Event6.JPG


Hay muchos campos, algunos de ellos que no requieren explicación, así que nos centraremos en aquellos más relevantes o complicados de entender:

  • Tipo de evento. En Pandora FMS hay un número limitado de eventos, que son los siguientes:
    • Agente creado
    • Alerta disparada
    • Alerta finalizada (por caducidad)
    • Alerta recuperada (diferente del cese de alerta)
    • Cambio de configuración (afecta a un módulo de inventario)
    • Desconocido (genérica)
    • Equipo de red detectado con recon
    • Error (genérica)
    • Monitor desconocido (unknown)
    • Monitor en estado crítico
    • Monitor en estado aviso (warning)
    • Monitor en estado normal
    • No normal (genérica)
    • Sistema (genérica)
    • Validación manual de alerta
  • Severidad: Detalla la gravedad del evento, que no tiene que ver con el estado del módulo relacionado con ese evento. En el caso de que el evento esté relacionado con una alerta, tendrá su mismo nivel de severidad. Estos son los niveles de severidad por los que podemos filtrar:
    • Mantenimiento
    • Informativo
    • Normal
    • Menor
    • Advertencia
    • Principal
    • Crítico
    • Advertencia/Critico
    • No normal
    • Crítico/Normal
  • Max. Horas antigüedad: Campo donde se muestran las horas máximas de antigüedad que puede tener el evento si queremos incorporarlo en la lista de los eventos visibles.
  • Repetido: Por defecto, Pandora FMS agrupa los eventos; es decir, si tenemos 10 eventos del mismo origen y el mismo tipo, solo mostrará uno, y en la vista detallada del evento nos dirá cuántos eventos tenemos iguales, agrupados en ese único item de la lista. Podemos cambiar este comportamiento para que nos muestre todos los eventos individuales.
  • Timestamp: Es la fecha en la cual se creó el evento. Es posible filtrar entre fechas de creación de eventos utilizando los campos de timestamp from y timestamp to.

Es posible guardar el filtro actual para utilizarlo posteriormente, así como cargar un filtro existente.

1.3.3 Borrado de eventos

Otra forma de administrar los eventos es tener la capacidad de borrar aquellos que no interesan más. Para esta tarea usaremos la opción de borrar eventos. Desde la lista de Events > View Events se pueden borrar de forma individual o marcando varios para su borrado.

Click en el icono de la papelera gris.

Gest62.png

Purgado automático de eventos

Desde la configuración se puede definir el máximo histórico de eventos que queremos conservar para su eliminación. Este purgado lo realiza el proceso automático de mantenimiento de la BBDD (Pandora_DB) que se debería ejecutar automáticamente cada hora.

Event purge.jpg

Histórico de eventos

También existe una funcionalidad Enterprise llamada "histórico de eventos", que permite almacenar en la base de datos de histórico aquellos eventos que superan la fecha de borrado. Estos eventos no son accesibles a través de la vista de eventos, y solo se utilizan para los informes especiales de histórico de eventos.

Event history.jpg

1.3.4 Otras formas de ver eventos

Además de la vista clásica de eventos que hay en Events > View events, los eventos se pueden ver publicados en un canal de noticias o como marquesina deslizante (lista que va moviéndose en la parte superior del navegador con el resto de la pantalla en negro) si hacemos click en el desplegable de Events y seguidamente click en las opciones de RSS o Marquee respectivamente.

View events1.jpg

1.3.4.1 Eventos en RSS

Pandora FMS tiene un proveedor de eventos RSS para que pueda suscribirse a él desde su lector de noticias favorito. Para ver los eventos en un canal de noticias o RSS pulse en Events > RSS y suscríbase a él desde el lector de noticias.

Template warning.png

Es necesario contar con un RSS reader o lector RSS y darse de alta para que nos lleguen las notificaciones de nuestro Pandora FMS; de lo contrario, nos aparecerá una ventana con el reporte en código XML.

 


Gest64.png



Template warning.png

Además, para poder acceder al feed RSS de los eventos es necesario configurar las IPs que tienen permitido el acceso en el campo IP list with API access dentro de Setup.

 


1.3.4.2 Eventos en marquesina horizontal

Si accedemos a Events -> Marquee podemos visualizar los últimos eventos en formato de línea de texto deslizante. Esta opción se puede emplear para visualizar en un monitor los últimos eventos a modo de pantalla de texto. Puede personalizar fácilmente el nº de eventos visualizados o el tamaño, color y filtrado de los mensajes, modificando el código en operation/events/events_marquee.php.




Gest65.png



1.3.4.3 Consola sonora de eventos

Permite administrar un sistema sin tener que estar observando constantemente la consola de Pandora FMS; simplemente teniendo unos altavoces conectados con suficiente volumen, podrá oír las distintas melodías sonoras cuando se produzca un evento, incluso estando lejos del ordenador. La melodía se oirá continuamente hasta que pause el evento sonoro o pulse el botón de OK.

La lista de eventos sonoros que generan sonido son:

  • El disparo de cualquier alerta.
  • El paso de un módulo a estado warning.
  • El paso de un módulo a estado critical.
  • El paso de un módulo a estado unknown.

Además se pueden filtrar los eventos por grupo/agente.

Sound console.jpg

1.3.4.3.1 Configuración avanzada

Se puede ampliar la lista de melodías a reproducir por los eventos sonoros; para ello, hay que acceder al servidor de Pandora Console y en el directorio de Pandora Console (normalmente en /var/www/pandora_console/) y dentro al directorio include/sounds/, donde podrá depositar los ficheros con las nuevas melodías. Pero hay que tener en cuenta varios puntos para el correcto funcionamiento:

  • El fichero tiene que estar en formato WAV.
  • Intentar que el fichero sea lo más pequeño posible porque, para que suene en la ventana de su navegador este fichero, tiene que ser trasmitido al navegador. Hay varios trucos para conseguir esto:
    • Seleccionar solo un fragmento de unos segundos (o menos) como melodía principal, ya que, como hemos dicho, la melodía se va a reproducir en bucle.
    • Convertir la melodía a mono.
    • Cambiar la codificación a 16 bits signed o incluso menos; se va perder calidad pero se va ganar espacio.
  • Para editar o crear las melodías aconsejamos usar herramientas como Audacity que es software libre, multiplataforma y muy sencillo de usar.
1.3.4.3.2 Uso

Los eventos sonoros se scanean cada 10 segundos de forma asíncrona, y cuando llega un evento la ventana, además de sonar la melodía configurada (previamente o por defecto) para ese evento, comenzará a parpadear en rojo y a temblar, y además, dependiendo de la configuración de su navegador o sistema operativo, la ventana mantendrá el foco y se posicionará por delante del resto de ventanas abiertas.

Para acceder a la ventana de eventos sonoros, solo tiene que ir al menú izquierdo de Pandora Console y elegir la opción View events en Operation. Allí en la ventana de eventos, en la cabecera si pulsa el icono Sound Events.

Event sound.png

Y esta ventana pequeña será la que gestione todos los eventos sonoros; por eso es necesario mantenerla abierta para que suene cuando salte algún evento. Dentro de la ventana tenemos varios controles que nos permiten filtrar para que la consola solo salte atendiendo a diversos filtros: grupo, tipo de evento o agente(s) específicos. Además, en caso de que salte, en una pequeña ventana indicará qué evento ha saltado.

Pulse el boton "Play" para iniciar la consola sonora. Cuando salte un evento pulse en "OK" para reiniciar la consola y parar el sonido (hasta que otro evento nuevo la haga sonar otra vez).

1.3.5 Exportar Eventos a un CSV

Es posible exportar la lista de eventos que hay a un fichero CSV, para que puedan ser procesados o integrados en otras aplicaciones.

Para exportar los eventos a CSV, se pulsa en Events > View events > Export to CSV File

Export to csv.jpg

1.3.6 Estadísticas de Eventos

Es posible acceder a las estadísticas de eventos desde Events > Statistics para que nos muestre un pequeño informe en forma de gráfico y a tiempo real de los eventos que tenemos actualmente. Hay cuatro tipos de gráficos que nos reportan dicha información y son los siguientes:

  • Event graph
  • Event graph by user
  • Event graph by agent
  • Number of validated events



Gest66.png



Además, si hacemos click en alguna de las secciones en las que se encuentra dividido el gráfico, nos muestra el reporte en formato de porcentaje, el valor del evento y su estado actual.

Estadisticas eventos.jpg



1.4 Alertas de eventos. Correlación de eventos

1.4.1 Introducción

En Pandora FMS es posible definir alertas sobre los eventos, lo que permite trabajar desde una perspectiva mucho más flexible, ya que no se generan alertas en función del estado de un módulo específico, sino sobre un evento que puede haber sido generado por varios módulos diferentes, de distintos agentes. Esta es una característica que solamente se podrá utilizar si dispone de la versión Enterprise de Pandora FMS.

Existe una sección específica para crear las alertas de evento en Alerts -> Event alerts.



Menu event alert.jpg


Las alertas de evento se basan en reglas de filtrado que emplean operadores lógicos (and, or, xor, nand, nor, nxor), para buscar eventos que coincidan con las reglas de filtrado configuradas, y si se encuentran coincidencias se disparará la alerta.

También emplean las plantillas para definir algunos parámetros, como los días en los que funcionará la alerta; no obstante, en este caso las plantillas no determinan cuándo se dispara la alerta de evento, sino que es mediante las reglas de filtrado como se buscarán y se dispararán las alertas de los eventos que coincidan.


Event alerts.png


1.4.2 Creación alerta de evento

Los parámetros de configuración de las plantillas para alertas de evento son similares a los de una alerta de módulo. Aquí se puede encontrar una explicación detallada de cada uno de ellos. Únicamente existen dos parámetros específicos de las alertas de eventos :

  • Modo de evaluación de reglas (Rule evaluation mode): Puede ser Pass o Drop. Pass significa que en caso de que un evento coincida con una alerta se sigan evaluando el resto de alertas. Drop significa que en caso de que un evento coincida con una alerta no se evaluen el resto de alertas.
  • Agrupación (Group by): Permite agrupar las reglas por agente, módulo, alerta o grupo. Por ejemplo, si se configura una regla para que salte cuando se reciban dos eventos críticos y se agrupa por agente, deberán llegar dos eventos críticos de un mismo agente. Se puede desactivar.

Cada regla se configura para saltar ante un determinado tipo de evento; cuando se cumple la ecuación lógica definida por las reglas y sus operadores, la alerta se dispara. Estas reglas podemos establecerlas en Alerts -> Event alerts -> View associated rules



Event alert.jpg




Los posibles parámetros de configuración de una regla son :

  • Nombre: Nombre de la regla, puramente descriptivo.
  • Comentario: Comentario libre para describir con detalle la alerta.
  • Evento: Expresión regular que debe casar con el texto del evento; si se deja en blanco es "para cualquier evento"
  • Ventana (de tiempo): Los eventos que se hayan generado fuera de la ventana de tiempo serán descartados. * Define un umbral de tiempo en el que se evalúa la regla (por si se tienen que dar varias condiciones).
  • Cuenta (Count): Número de eventos que tienen que casar con la regla para que esta se dispare.
  • Agente: Expresión regular que casa con el alias del agente que generó el evento.
  • Modulo: Expresión regular que casa con el nombre del módulo que generó el evento.
  • Alerta de módulo (Plantilla): Expresión regular que casa con el nombre de la alerta que generó el evento.
  • Grupo: Grupo al que pertenece el agente que hace saltar la regla. Si está marcada la casilla recursión, la regla también se aplicará a los grupos hijos del grupo seleccionado.
  • Severidad: Severidad del evento.
  • Tag: Tags asociados al evento.
  • Usuario: Usuario asociado al evento (que ha validado el evento).
  • Tipo de evento.

Por ejemplo, podríamos configurar una regla que case con los eventos de tipo CRITICO generados por cualquier módulo que se llame cpu_load de cualquier agente del grupo Applications :



Event rule.jpg



Info.png

Dado el elevado número de eventos que puede llegar a albergar la base de datos de Pandora FMS, el servidor trabaja sobre una ventana de eventos máxima, que se define en el fichero de configuración pandora_server.conf mediante el parámetro event_window. Los eventos que se hayan generado fuera de esta ventana de tiempo no serán procesados por el servidor, de modo que no tiene sentido especificar en una regla una ventana de tiempo superior a la configurada en el servidor

 


Template warning.png

Para que funcionen las alertas de correlación de eventos hay que activar el servidor de correlación de eventos con el parámetro eventserver 1 en el fichero de configuración del servidor de Pandora FMS

 


1.4.3 Macros alerta de evento

Las macros que se pueden utilizar dentro de la configuración de una alerta de eventos son:


  • _address_: Dirección del agente que disparó la alerta.
  • _address_n_ : La dirección del agente que corresponde a la posicion indicada en "n". Ejemplo: address_1_ , address_2_
  • _agent_: Alias del agente que disparó la alerta. Si no tiene asignado alias, se usa el nombre del agente.
  • _agentalias_: Alias del agente que disparó la alerta.
  • _agentcustomfield_n_: Campo personalizado número n del agente (ej. _agentcustomfield_9_).
  • _agentcustomid_: ID personalizado del agente.
  • _agentdescription_: Descripción del agente que disparó la alerta.
  • _agentgroup_ : Nombre del grupo del agente.
  • _agentname_: Nombre del agente que disparó la alerta.
  • _agentos_: Sistema operativo del agente.
  • _agentstatus_ : Estado actual del agente.
  • _alert_critical_instructions_: Instrucciones contenidas en el módulo para un estado CRITICAL.
  • _alert_description_: Descripción de la alerta.
  • _alert_name_: Nombre de la alerta.
  • _alert_priority_: Prioridad numérica de la alerta.
  • _alert_text_severity_: Prioridad en texto de la alerta (Maintenance, Informational, Normal Minor, Warning, Major, Critical).
  • _alert_threshold_: Umbral de la alerta.
  • _alert_times_fired_: Número de veces que se ha disparado la alerta.
  • _alert_unknown_instructions_: Instrucciones contenidas en el módulo para un estado UNKNOWN.
  • _alert_warning_instructions_: Instrucciones contenidas en el módulo para un estado WARNING.
  • _all_address_ : Todas las direcciones del agente que disparo la alerta.
  • _data_: Dato que hizo que la alerta se disparase.
  • _email_tag_: Emails asociados a los tags de módulos.
  • _event_cfX_: (Solo alertas de evento). Clave del campo personalizado del evento que disparó la alerta. Por ejemplo, si hay un campo personalizado cuya clave es IPAM, se puede obtener su valor usando la macro _event_cfIPAM_
  • _event_description_ : (Solo alertas de evento). Descripción textual del evento de Pandora FMS.
  • _event_extra_id_ : (Solo alertas de evento). Id extra.
  • _event_id_: (Solo alertas de evento). Id del evento que disparó la alerta.
  • _event_text_severity_:(Solo alertas de evento). Prioridad en texto del evento que dispara la alerta (Maintenance, Informational, Normal Minor, Warning, Major, Critical).
  • _eventTimestamp_: Timestamp en el que se creó el evento.
  • _fieldX_: Campo C definido por el usuario.
  • _groupcontact_: Información de contacto del grupo. Se configura al crear el grupo.
  • _groupcustomid_: ID personalizado del grupo.
  • _groupother_: Otra información sobre el grupo. Se configura al crear el grupo.
  • _homeurl_: Es un enlace de la URL pública que debe configurarse en las opciones generales de la configuración.
  • _id_agent_: ID del agente, útil para construir URL de acceso a la consola de Pandora FMS.
  • _id_alert_: ID de la alerta, útil para correlar la alerta en herramientas de terceros.
  • _id_group_ : ID del grupo de agente.
  • _id_module_: ID del módulo.
  • _interval_: Intervalo de la ejecución del módulo.
  • _module_: Nombre del módulo.
  • _modulecustomid_: ID personalizado del módulo.
  • _moduledata_X_: Usando esta macro ("X" es el nombre del módulo en cuestión) recogemos el último dato de este módulo y si es numérico lo devuelve formateado con los decimales especificados en la configuración de la consola y con su unidad (si la tiene). Serviría para, por ejemplo, al enviar un correo al saltar una alerta de módulo, enviar también información adicional (y quizás muy relevante) de otros módulos del mismo agente.
  • _moduledescription_: Descripción del módulo.
  • _modulegraph_nh_: (Solo para alertas que usen el comando eMail). Devuelve una imagen codificada en base64 de una gráfica del módulo con un período de n horas (ej. _modulegraph_24h_). Requiere de una configuración correcta de la conexión del servidor a la consola vía api, la cual se realiza en el fichero de configuración del servidor.
  • _modulegraphth_nh_: (Solo para alertas que usen el comando eMail). Misma operación que la macro anterior pero solo con los umbrales crítico y de advertencia del módulo, en caso de que estén definidos.
  • _modulegroup_: Nombre del grupo del módulo.
  • _modulestatus_: Estado del módulo.
  • _moduletags_: URLs asociadas a los tags de módulos.
  • _name_tag_: Nombre de los tags asociados al módulo.
  • _phone_tag_: Teléfonos asociados a los tags de módulos.
  • _plugin_parameters_: Parámetros del plugin del módulo.
  • _policy_: Nombre de la política a la que pertenece el módulo (si aplica).
  • _prevdata_: Dato previo antes de disparase la alerta.
  • _rca_: Cadena de análisis de causa raíz (solo para servicios).
  • _server_ip_: Ip del servidor al que el agente está asignado.
  • _server_name_: Nombre del servidor al que el agente está asignado.
  • _target_ip_: Dirección IP del objetivo del módulo.
  • _target_port_: Puerto del objetivo del módulo.
  • _timestamp_: Hora y fecha en que se disparó la alerta.
  • _timezone_: Zona horaria que se representa en _timestamp_.

1.5 Eventos desde línea de comandos

1.5.1 Generación de eventos desde la línea de comando

Usando su API WEB puede interactuar con Pandora FMS desde cualquier sistema remoto, incluso si no tiene conexion a la BBDD o un agente instalado. Puede hacerlo usando la herramienta que se encuentra en:

/usr/share/pandora_server/util/pandora_revent.pl

Esta herramienta utiliza una conexión remota HTTP/HTTPS para crear o validar eventos en Pandora FMS. Ejecútela sin parámetros para ver su sintaxis, que aquí presentamos traducida:

Pandora FMS Remote Event Tool Copyright (c) 2013 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

Opciones para crear evento:

	./pandora_revent.pl -p <path_to_consoleAPI> -u <credentials> -create_event <options> 

Donde las opciones :

	-u <credentials>			: Credenciales API separados por comas: <api_pass>,<usuario>,<password>
	-name <event_name>			: Texto libre
	-group <id_group>			: ID de Grupo (use 0 para 'todos')  
	-agent					: Especifica agente por ID
	
Optional parameters:
	
	[-status <status>]			: 0 Nuevo, 1 Validado, 2 En proceso
	[-user <id_user>]			: Usuario del comentario (combinar con -comment)
	[-type <event_type>]			: unknown, alert_fired, alert_recovered, alert_ceased
							  alert_manual_validation, system, error, new_agent
							  configuration_change, going_unknown, going_down_critical,
							  going_down_warning, going_up_normal
	[-severity <severity>] 		: 0 Mantenimiento,
						  1 Informativo,
						  2 Normal,
						  3 Advertencia,
						  4 Critico,
						  5 Menor,
						  6 Mayor
	[-am <id_agent_module>]		: ID del modulo de agente origen del evento
	[-alert <id_alert_am>]			: ID de la alerta/modulo origen del evento
	[-c_instructions <critical_instructions>]
	[-w_instructions <warning_instructions>]
	[-u_instructions <unknown_instructions>]
	[-user_comment <comment>]
	[-owner_user <owner event>]		: Propietario del evento, usar el login name
	[-source <source>]			: (Por defecto 'Pandora')
	[-tag <tags>]				: Tag (debe existir ya en el sistema)
	[-custom_data <custom_data>]		: Los datos personalizados debe ser un base 64 encoded JSON document (>=6.0)
	[-server_id <server_id>]		: ID del nodo del server (>=6.0)
        [-id_extra <id extra>]      : Id extra
	[-agent_name <Agent name>]  : Nombre del agente,  No confundir con el alias.
	[-force_create_agent<0 o 1>]:  Fuerza la creación del agente si no existe para ello el parametro a 1 y llevar la opción de agent_name

Ejemplo de generación de evento:

	./pandora_revent.pl -p http://localhost/pandora_console/include/api.php -u 1234,admin,pandora 
		-create_event -name "SampleEvent" -group 2 -agent 189 -status 0 -user "admin" -type "system" 
		-severity 3 -am 0 -alert 9 -c_instructions "Critical instructions" -w_instructions "Warning instructions" 


Opciones para validar evento: 

	./pandora_revent.pl -p <path_to_consoleAPI> -u <credentials> -validate_event <options> -id <id_event>

Ejemplo de validación de evento:

	./pandora_revent.pl -p http://localhost/pandora/include/api.php -u pot12,admin,pandora -validate_event -id 234

Primero necesita activar el acceso a la API y configurarlo. Como recordatorio, siga estos tres pasos :

  1. . Active el acceso a la IP desde la que va a ejecutar el comando o use "*" para cualquier IP.
  2. . Establezca una password general de la API.
  3. . Use un usuario/password para acceder, o defina un usuario específico que solo pueda conectarse vía API.

Es conveniente indicar que para que los campos de unknown, critical o warning instructions aparezcan en los detalles del evento generado, dicho evento debe ser de tipo going_unknown, going_down_critical, o going_down_warning respectivamente.

Más ejemplos:

/pandora_revent.pl -p http://192.168.50.12/pandora_console/include/api.php -u pandora12,admin,pandora 
-create_event -name "Another nice event" -group 0 -type "system" -status 0 -severity 4
-user "davidv" -owner_user "admin" -source "Commandline" -comment "Prueba de comentario"

1.5.2 Sólo Generación de eventos desde la línea de comando: pandora_revent_create

Es la misma funcionalidad que el script pandora_revent pero sin poder validar eventos. Puede hacerlo usando la herramienta que se encuentra en:

/usr/share/pandora_server/util/pandora_revent_create.pl

Esta herramienta utiliza una conexión remota HTTP/HTTPS para crear o validar eventos en Pandora FMS. Ejecútela sin parámetros para ver su sintaxis, que aquí presentamos traducida:

Pandora FMS Remote Event Tool Copyright (c) 2013 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

Opciones para crear evento:

	./pandora_revent_create.pl -p <path_to_consoleAPI> -u <credentials> -create_event <options> 

Donde las opciones:

	-u <credentials>			: Credenciales API separados por comas: <api_pass>,<usuario>,<password>
	-name <event_name>			: Texto libre
	-group <id_group>			: ID de Grupo (use 0 para 'todos')  
	-agent					: Especifica agente por ID
	
Optional parameters:
	
	[-status <status>]			: 0 Nuevo, 1 Validado, 2 En proceso
	[-user <id_user>]			: Usuario del comentario (combinar con -comment)
	[-type <event_type>]			: unknown, alert_fired, alert_recovered, alert_ceased
							  alert_manual_validation, system, error, new_agent
							  configuration_change, going_unknown, going_down_critical,
							  going_down_warning, going_up_normal
	[-severity <severity>] 		: 0 Mantenimiento,
						  1 Informativo,
						  2 Normal,
						  3 Advertencia,
						  4 Critico,
						  5 Menor,
						  6 Mayor
	[-am <id_agent_module>]		: ID del modulo de agente origen del evento
	[-alert <id_alert_am>]			: ID de la alerta/modulo origen del evento
	[-c_instructions <critical_instructions>]
	[-w_instructions <warning_instructions>]
	[-u_instructions <unknown_instructions>]
	[-user_comment <comment>]
	[-owner_user <owner event>]		: Propietario del evento, usar el login name
	[-source <source>]			: (Por defecto 'Pandora')
	[-tag <tags>]				: Tag (debe existir ya en el sistema)
	[-custom_data <custom_data>]		: Los datos personalizados debe ser un base 64 encoded JSON document (>=6.0)
	[-server_id <server_id>]		: ID del nodo del server (>=6.0)

Ejemplo de generación de evento:

	./pandora_revent_create.pl -p http://localhost/pandora_console/include/api.php -u 1234,admin,pandora 
		-create_event -name "SampleEvent" -group 2 -agent 189 -status 0 -user "admin" -type "system" 
		-severity 3 -am 0 -alert 9 -c_instructions "Critical instructions" -w_instructions "Warning instructions" 

Primero necesita activar el acceso a la API y configurarlo. Como recordatorio, siga estos tres pasos:

  1. . Active el acceso a la IP desde la que va a ejecutar el comando o use "*" para cualquier IP.
  2. . Establezca una password general de la API.
  3. . Use un usuario/password para acceder, o defina un usuario específico que solo pueda conectarse vía API.

Es conveniente indicar que para que los campos de unknown, critical o warning instructions aparezcan en los detalles del evento generado, dicho evento debe ser de tipo going_unknown, going_down_critical, o going_down_warning respectivamente.

Más ejemplos:

/pandora_revent_create.pl -p http://localhost/pandora_console/include/api.php -u pandora12,admin,pandora 
-create_event -name "Another nice event" -group 0 -type "system" -status 0 -severity 4
-user "davidv" -owner_user "admin" -source "Commandline" -comment "Prueba de comentario"

1.5.3 Uso de campos personalizados en eventos

Se pueden generar eventos con campos personalizados a través del CLI de Pandora FMS. Por ejemplo, un evento generado con el siguiente comando:

perl pandora_manage.pl /etc/pandora/pandora_server.conf --create_event 'Custom event' system Firewalls 'localhost' 'module' 0 4  'admin'     '{"Location": "Office", "Priority": 42}'

Se vería de la siguiente manera:

Event custom data.png

1.6 Configuración de Eventos

En la sección de Eventos en la parte de administración de la consola de Pandora FMS (Events -> View events -> Manage events), se pueden configurar los siguientes aspectos referentes a eventos:

  • Filtrado de eventos.
  • Event responses.
  • Visualización de eventos.

Configuracion eventos.jpg

1.6.1 Personalización de la vista de eventos

Es posible personalizar los campos que muestra por defecto el visor de eventos; para ello, desde la sección Events -> View events -> Manage events -> Custom fields se pueden elegir los campos que se quieren mostrar.

Por defecto, los campos que se muestran son:

  • Event name
  • Agent ID
  • Status
  • Timestamp


Sin embargo, hay un gran número de campos además de los que se muestran por defecto que se pueden añadir a la lista de "Fields selected":


  • Event name: Nombre del evento.
  • Event ID: ID del evento.
  • Event type: Tipo de evento.
  • Agent name: Nombre del agente.
  • Agent ID: ID del agente.
  • Status: Estado del evento.
  • Timestamp: Fecha en la que se creó el evento.
  • ACK Timestamp: Fecha en que se validó el evento.
  • User: Usuario creador del evento.
  • Group: Grupo al que pertenece el módulo.
  • Module name: Nombre del módulo.
  • Module status: Estado en que se encuentra el módulo.
  • Alert: Alerta asociada al evento.
  • Severity: Severidad del evento.
  • Comment: Comentario/s del evento.
  • Tags: Etiquetas del módulo.
  • Source: Fuente de procedencia del evento.
  • Extra ID: ID extra.
  • Owner: Propietario.
  • Instructions: Instrucciones de crítico o advertencia.
  • Server name: Nombre del servidor del que procede el evento.
  • Data: Dato numérico que reporta el evento.
  • Severity mini: Severidad del evento en formato reducido.



Se seleccionan los campos que se quieren visualizar de la lista "Fields available" y se mueven a "Fields selected" mediante las flechas. Una vez elegidos, se pulsa el botón "Update" para guardar los cambios.


Custom events.png


1.6.2 Creación de filtros de evento

En esta sección se pueden crear, borrar y editar los filtros que se aplican en la vista de eventos.


Filtros evento.png


Al pulsar en Create filter se muestra la siguiente vista en la que se pueden rellenar los campos por los que deseamos filtrar.


Crear filtro evento.png


Una vez guardados los filtros, desde el propio visor de eventos podremos cargarlos para visualizar la información deseada rápidamente sin necesidad de reconfigurar el filtro cada vez:


Event1.JPG


1.6.3 Event Responses

1.6.3.1 Introducción

En esta sección podemos crear, editar y borrar respuestas de eventos. Una respuesta de evento es una acción personalizada que se puede ejecutar sobre un evento, como por ejemplo la creación de un ticket en Integria con la información relevante del evento.

Event responses config list.png

Se debe introducir un nombre representativo, la descripción, los parámetros a utilizar separados por comas, el comando a usar (estos últimos permiten el uso de macros), el tipo y el servidor que ejecutará el comando.


Event responses config create.png


1.6.3.2 Event Responses macros

Las macros aceptadas son las siguientes:

  • Dirección del agente: _agent_address_
  • Id del agente: _agent_id_
  • Id de la alerta asociada al evento: _alert_id_
  • Fecha en la que se produjo el evento: _event_date_
  • Id extra: _event_extra_id_
  • Id del evento: _event_id_
  • Instrucciones del evento: _event_instruction_
  • Id de la criticidad del evento: _event_severity_id_
  • Gravedad del evento (traducido por la consola de Pandora FMS) : _event_severity_text_
  • Procedencia del evento: _event_source_
  • Estado del evento (Nuevo, validado o evento en proceso) : _event_status_
  • Etiquetas del evento separadas por comas: _event_tags_
  • Texto completo del evento: _event_text_
  • Tipo del evento (Sistema, Cambiando a estado desconocido...): _event_type_
  • Fecha en la que se produjo el evento en formato utimestamp: _event_utimestamp_
  • Id del grupo: _group_id_
  • Nombre del grupo en base de datos: _group_name_
  • Dirección del módulo asociado al evento: _module_address_
  • Id del módulo asociado al evento: _module_id_
  • Nombre del módulo asociado al evento: _module_name_
  • Usuario propietario del evento: _owner_user_
  • Id del usuario: _user_id_
  • Id del usuario que ejecuta la respuesta: _current_user_


Volver a Indice de Documentacion Pandora FMS