Pandora: Documentation fr: Installation et configuration

From Pandora FMS Wiki
Jump to: navigation, search

1 Installation et configuration

Cette section comprendra tous les aspects nécessaires pour installer et configurer une Métaconsole et ses instances (nœuds).

1.1 Installation

Les installations des Instances et de la Métaconsole doivent être hébergées sur des serveurs qui soient communiqués dans les deux directions.

Vous devrez donc vous assurer que :

  • La Métaconsole peut contacter les instances
  • Les instances peuvent contacter la Métaconsole

Info.png

Les instances n'ont pas besoin de se communiquer entre elles à tout moment.

 


Pour mieux comprendre cette exigence, vous pouvez consulter la Architecture de la Métaconsole.

Le réglage de l'heure doit être le même. Plus les horloges des Instances et Métaconsole sont synchronisées, plus les données affichées seront précises.

Par exemple, si une instance a 5 minutes de différence avec la Métaconsole, l'affichage du temps écoulé depuis la génération de ses événements, lorsque ces données sont affichées dans la Métaconsole, sera faux.

1.1.1 Instances

Une instance ou un nœud est une installation très courante de Pandora FMS Enterprise, composée d'un serveur et d'une console Web.

Pour savoir en détail comment installer une instance, visitez le lien suivant.

1.2 Métaconsole

Une Métaconsole est une installation de Pandora FMS Enterprise avec une licence Métaconsole.

Info.png

La console et la Métaconsole de Pandora FMS ne peuvent pas être utilisées en même temps.

 


Il est nécessaire d'avoir un serveur actif pour pouvoir effectuer différentes opérations liées à la Métaconsole, telles que « la migration », « l’auto-approvisionnement », l’exécution de services, etc.

1.2.1 Activation de la licence

Après avoir installé la version Enterprise de la console Pandora FMS, quelle que soit la méthode d'installation, accédez à la console Pandora FMS (http://IP/pandora_console/) et un écran de bienvenue apparaîtra pour accepter la licence.

Pour en savoir plus sur la façon dont la licence est activée, vous pouvez visiter la section d’activation de la licence Enterprise.

Info.png

Pour activer la Métaconsole, vous avez besoin d'une licence Métaconsole. Si vous activez la licence de nœud, la console normale apparaîtra.

 


1.3 Métalicence

Depuis la version 7.0NG de Pandora FMS, vous avez une licence unique pour un environnement avec Métaconsole. Vous pouvez créer autant d'instances que vous le souhaitez, tant que le nombre total d'agents dans la Métaconsole n'est pas dépassé.

Cette licence est appliquée dans la Métaconsole et peut être synchronisée dans autant d'instances que souhaité, permettant ainsi une gestion centralisée des différents agents qui seront déployés dans lesdites instances.

Avec cette licence, si vous démarrez une installation à partir de zéro, vous devez d'abord installer la Métaconsole en validant sa Métalicence. Une fois validée, enregistrez chacune des Instances souhaitées (expliqué dans les sections suivantes), en synchronisant ensuite la Métalicence afin que vous puissiez travailler sur chacune d'entre elles.

Outre les pannes de réseau occasionnelles, les nœuds Pandora FMS doivent être en mesure de contacter à tout moment la Métaconsole Pandora FMS. Si vous devez prendre en charge des nœuds qui peuvent rester déconnectés pendant des périodes arbitrairement longues, contactez Ártica à [email protected].

1.4 Configuration

Pour que les Instances communiquent avec la Métaconsole et vice versa, les deux côtés doivent être configurés correctement.

1.5 Métaconsole

1.5.1 Enregistrement et configuration d'instances

Dans la section « Metasetup » vous pouvez enregistrer et configurer les instances avec lesquelles la Métaconsole est liée.

Pour enregistrer une nouvelle instance, vous devez connaître une série de paramètres concernant l'instance que vous voulez gérer. S'il s'agit de l'enregistrement d'une Instance qui n'a pas encore été enregistrée avec une licence, les données par défaut sont :

  • Server name : localhost.localdomain
  • Auth token : vide
  • Console URL : http://IP/pandora_console
  • API password : vide
  • DB host : IP de la base de données
  • DB name : pandora
  • DB user : pandora
  • DB password : pandora
  • DB port : 3306
  • Control user : admin
  • Console password : pandora

Champs avancés

Pour garantir la connectivité entre le nœud et la Métaconsole, vous pouvez configurer manuellement les données de connexion.

  • Metaconsole DB host : IP de la base de données
  • Metaconsole DB name : pandora
  • Metaconsole DB user : pandora
  • Metaconsole DB password : pandora
  • Metaconsole DB port : 3306


Ces champs indiquent la configuration de connexion que le nœud établira par rapport à la Métaconsole.

Configure Instances editor3.png

Dans le cas d'une installation Pandora FMS où vous avez déjà inclus une licence valide dans l'instance, vous devrez obtenir ces données à partir de la configuration de l'Instance et de sa base de données.

Dans la vue des Instances configurées, vous verrez que les Instances peuvent être modifiées, désactivées et supprimées. Il existe des indicateurs qui vérifient certaines informations sur la configuration de chaque Instance. Ces vérifications sont effectuées lors du chargement de cette vue, mais elles peuvent également être effectuées individuellement en cliquant dessus.

Configure Instances list new4.png

Les indicateurs sont les suivants :

  • Base de Données : Si vous avez mal configuré la base de données de l'Instance ou si vous n'avez pas les autorisations nécessaires, l'indicateur sera rouge et vous donnera des informations sur le problème.
  • API : Cet indicateur testera l'API de l'Instance. S'il échoue, il vous donnera des informations sur l'échec.
  • Compatibilité : Cet indicateur vérifie certaines exigences entre l'Instance et la Métaconsole. Le nom du serveur de l'Instance, par exemple, doit correspondre au nom donné dans sa configuration dans la Métaconsole.
  • Réplication des événements : Cet indicateur indique si la réplication d'événement est activée sur l'instance et si des événements de l'Instance ont déjà été reçus, quand est-ce que la dernière réplication s'est produite.
  • Cache de l'agent : Cet indicateur montre que les derniers états des agents et modules du nœud ont été correctement enregistrés dans la base de données de la Métaconsole. Lorsqu'une modification est générée, seule cette modification sera modifiée dans la base de données.
  • Synchronisation : Cet indicateur fait référence à la possibilité de pouvoir synchroniser les différents éléments de la Métaconsole aux instances.

Les trois premiers indicateurs doivent être verts pour que l'Instance soit correctement liée et vous commencez à voir ses données. En revanche, l'indicateur de réplication des événements ne vous donne que des informations sur cette caractéristique.

Info.png

Une instance peut être bien configurée, mais sans répliquer ses événements.

 


Info.png

Une fois que vous avez choisi de répliquer les événements, toute leur gestion sera effectuée à partir de la Métaconsole, laissant les événements de l'Instance à titre purement informatif.

 


Template warning.png

Si le chiffrement de la base de données est activé, tous les nœuds et la Métaconsole doivent utiliser la même configuration de encryption_passphrase .

 


1.5.2 Extensibilité des indexes

La plupart de la synchronisation entre la Métaconsole et les Instances est effectuée par nom, quel que soit l'ID interne des éléments, à l'exception des groupes, étiquettes, alertes, systèmes d'exploitation et groupes de modules, dont les ID, il est important qu'ils soient synchronisés.

Pour assurer que les ID des groupes, étiquettes, alertes, systèmes d'exploitation et groupes de modules qui sont synchronisés à partir de la Métaconsole n'existent pas dans les instances, augmentez la valeur AUTO_INCREMENT des tables tgrupo, ttag, talert_templates, talert_actions, talert_commands, tconfig_os et tmodule_group sensiblement. De cette façon, vous donnerez une large marge au cas où des éléments seraient créés dans les Instances pour des raisons au-delà de la Métaconsole.

Pour ce faire, exécutez la requête suivante dans la base de données de la Metaconsole :

ALTER TABLE tgrupo AUTO_INCREMENT = 3000;
ALTER TABLE ttag AUTO_INCREMENT = 3000;
ALTER TABLE talert_templates AUTO_INCREMENT = 3000;
ALTER TABLE talert_actions AUTO_INCREMENT = 3000;
ALTER TABLE talert_commands AUTO_INCREMENT = 3000;
ALTER TABLE tconfig_os AUTO_INCREMENT = 3000;
ALTER TABLE tmodule_group AUTO_INCREMENT = 3000;

Info.png

Si vous soupçonnez que le nombre d'éléments d'une Instance créée hors de la Métaconsole peut dépasser 3 000, une valeur plus élevée peut être configurée.

 


Template warning.png

Pour améliorer les performances des événements dans la Métaconsole dans les grands environnements, nous vous recommandons d'ajouter les index suivants à la base de données :

ALTER TABLE tmetaconsole_agent_secondary_group ADD INDEX id_tagente (id_tagente);
ALTER TABLE tmetaconsole_event ADD INDEX server_id (server_id);

 


1.5.3 Planification des rapports

Les packages de serveur (Open et Enterprise) doivent être installés sur le système sur lequel la Métaconsole est installé afin de lancer le script de maintenance de base de données (pandora_db). Vous devez vous assurer qu'il est correctement planifié pour s'exécuter dans le cron toutes les heures.

Si vous prévoyez d'utiliser des rapports à la demande (envoyés par e-mail), planifiez l'extension cron pour qu'elle s'exécute comme sur une console Enterprise standard. Généralement, cela se fait en entrant la ligne suivante dans le cron, en ajustant les chemins locaux correspondants :

 */5 * * * * <user> wget -q -O - http://x.x.x.x/pandora_console/enterprise/extensions/cron/cron.php >> /var/www/pandora_console/pandora_console.log

Enfin, pour configurer le SMTP pour l'envoi d'e-mails, modifiez les paramètres correspondants dans la section de configuration du courrier, qui par défaut ont les valeurs suivantes :

Mail metaconsola1.png

1.5.4 Instances

Dans les Instances, il existe une série de paramètres pour garantir l'accès à vos données avec la Métaconsole.

1.5.4.1 Donner accès à la Métaconsole

La Métaconsole accède à une Instance de deux manières :

  • Accès à distance à la Base de données pour visualiser et éditer les données stockées dans les Instances.
  • Accès à l’API pour certaines actions telles que l'édition des fichiers de configuration ou la supervision NetFlow.

L'instance doit être configurée pour garantir les deux accès à la Métaconsole.

1.5.4.1.1 Base de données

Comme nous l'avons dit précédemment, vous devez connaître les identifiants de la base de données pour configurer l'instance dans la Métaconsole (hôte, base de données, utilisateur et mot de passe).

En plus de cela, un autre point important est d'accorder des autorisations à l'utilisateur pour accéder à distance à la base de données. Cela se fait avec la commande MySQL GRANT :

GRANT ALL PRIVILEGES on <InstanceDatabaseName>.* to <UserName>@<HostAddress> IDENTIFIED BY <UserPass>;

Par exemple :

GRANT ALL PRIVILEGES on PandoraMetaBase.* to [email protected] IDENTIFIED BY pandora;
1.5.4.1.2 API

L'accès à l'API de l'instance sera garanti avec les paramètres suivants :

  • Nom d'utilisateur et mot de passe: Vous devez savoir un nom d'utilisateur et un mot de passe valides.
  • Mot de passe API: Vous devez connaître le mot de passe pour accéder à l'API configurée dans l'Instance.
  • Liste d'IPs avec accès à l'API : Dans la configuration d'instance, il existe une liste d'IPs pouvant accéder à l'API. Vous pouvez utiliser '*' en tant que caractère générique pour donner accès à toutes les IPs ou à un sous-réseau.

Imagen setup2.png

1.5.4.2 Auto-authentification

Dans certaines parties de la Métaconsole, il existe des accès à la console Web de l'Instance ; par exemple, dans le viseur d'événements, lorsque vous cliquez sur l'agent associé à un événement (le cas échéant), cela vous amènera à la vue de cet agent dans la console de l'instance à laquelle il appartient. L'authentification automatique est utilisée pour cet accès. Cette authentification se fait avec un hachage pour lequel une chaîne configurée dans l'Instance est nécessaire : le mot de passe d'auto-identification. Mettez ce mot de passe dans le champ « Auth token » de la configuration d'instance dans la Métaconsole.

Autologin hash2.png

Info.png

Cette configuration n'est pas nécessaire pour configurer l'instance dans la Métaconsole, mais sans elle, en cliquant sur l'un des liens qui vous mènent à l'Instance, vous devrez vous authentifier.

 


1.5.4.3 Réplication d'événements

Pour que la Metaconsole puisse afficher les événements des Instances, elles doivent avoir accès à la base de données de la Métaconsole.

Les Instances répliquent leurs événements de temps en temps, stockant la date et l'heure de la dernière réplication pour continuer à partir de là la prochaine fois.

En plus de reproduire les événements, ils effectueront l'auto-validation dans la Métaconsole. Autrement dit, pour les événements associés à un module, lorsqu'ils répliquent l'événement sur la Métaconsole, ils valident tous les événements précédents attribués au même module.

Pour configurer la réplication d'événements, dans la section Configuration Enterprise d'instance, activez la Réplication d'événement.

Les éléments suivants seront configurés :

  • Intervalle : Toutes les quelques secondes, le serveur répliquera les événements générés depuis la dernière réplication vers la base de données de la Métaconsole.

Info.png

Si vous avez configurée, par exemple, 60 secondes, la première réplication aura lieu 60 secondes après le démarrage du serveur.

 


  • Mode de réplication : Il indique si tous les événements seront répliqués ou uniquement ceux validés.
  • Afficher la liste des événements dans la console locale (lecture seule) : Lorsque la réplication d'événements est activée, la gestion des événements se fait dans la Métaconsole et n'est pas accessible depuis l'instance. Avec cette option, vous aurez accès à une vue des événements en mode lecture seule.
  • Identifiants de la base de données de la Métaconsole : Hôte, base de données, utilisateur, mot de passe et port (si le port n'est pas indiqué, le port par défaut sera utilisé).

Replication events setup2.png

La réplication des événements est effectuée par le serveur. Un jeton doit être activé dans le fichier de configuration : event_replication 1

Replication events conf token2.png

Template warning.png

Pour que toute modification de configuration soit effective dans la réplication d'événements, le serveur doit être redémarré.

 


Template warning.png

Si vous ajoutez un nœud qui contient déjà de nombreux événements à une Métaconsole, il faudra beaucoup de temps pour copier tous les événements qu'il contient dans la Métaconsole.

 


Si vous souhaitez modifier manuellement la date à partir de laquelle le nœud va synchroniser les événements avec la Métaconsole (par exemple, pour le forcer à répliquer les événements à partir de la date actuelle), lancez la requête suivante sur la base de données du nœud pour les versions Pandora FMS avant 5.1SP3 :

UPDATE tconfig SET `value` = UNIX_TIMESTAMP() WHERE `token` = "replication_copy_last_utimestamp"

Pour les versions ultérieures à 5.1SP3, exécutez la requête suivante :

UPDATE tconfig SET `value` = (SELECT MAX(id_evento) FROM tevento) WHERE `token` = "replication_copy_last_id";

Template warning.png

Si la sécurité SELinux est activée sur les nœuds enfants, la réplication peut ne pas fonctionner ; veuillez le désactiver.

 


1.5.4.4 Auto-approvisionnement depuis la Méta-console

Depuis Pandora FMS 7, vous pouvez trouver dans la configuration de la Métaconsole l'option d'enregistrer le nœud dans la Métaconsole.

De plus, vous pouvez vérifier si la Métaconsole est atteinte via API et si le nœud y est enregistré.

Il est nécessaire d'indiquer les identifiants appropriés pour la connexion avec le nœud, la base de données et l'API.


Info.png

La première fois que cette configuration est effectuée, vous pouvez entrer un mot de passe pour l'API. En cas de mise à jour, le mot de passe du nœud sera conservé.

 


La configuration trouvée dans les "options avancées" sera celle envoyée au nœud pour la connexion à la base de données.

MetaAutoprovisionamiento2.png

1.5.5 Configuration supplémentaire de la Métaconsole

Si la réplication d'événement de nœud a été activée, la Métaconsole héberge les données d'événement dans sa propre base de données. Pour leur maintenance, ces données peuvent être supprimées et / ou déplacées vers la base de données historique des événements de la Métaconsole. Cela se fait, comme dans une Instance Pandora FMS, par le biais de l'exécution du script de maintenance de base de données trouvé dans /usr/share/pandora_server/util/pandora_db.pl. Généralement, pour le lancer, on utilise le fichier serveur, mais étant une Métaconsole, il ne doit pas nécessairement y avoir de serveur. Pour ce faire, prenez une copie du fichier /etc/pandora/pandora_server.conf de l'un des nœuds, modifiez-le et modifiez les données concernant la base de données (nom d'hôte, nom de la base de données, utilisateur et mot de passe) et gardez le fichier, pour exemple comme :

/etc/pandora/pandora_meta.conf

Créez un script dans /etc/cron.daily/pandora_meta_db avec le contenu suivant :

/usr/share/pandora_server/util/pandora_db.pl /etc/pandora/pandora_meta.conf

Et modifiez ses autorisations à l'aide de chmod :

chmod 755 /etc/cron.daily/pandora_meta_db

Pour pouvoir l'exécuter, vous devez avoir installé les packages nécessaires pour exécuter (même si vous ne le faites pas) le serveur Pandora FMS et sa section Enterprise.

Exécutez-le manuellement pour vérifier qu'il fonctionne et ne retourne pas d'erreurs :

/etc/cron.daily/pandora_meta_db

1.6 Synchronisation de la Métalicence

Ensuite, nous allons voir un exemple de synchronisation de la Métalicence entre une Métaconsole et une Instance.

Tout d'abord, il y a une instance avec sa propre clé générée et correctement validée.

Metalicencia1.JPG

Une fois le nœud généré et correctement validé, configurez-le dans la Métaconsole pour pouvoir plus tard synchroniser la licence :

Configure Instances list new4.png

Lorsque vous avez complété ces étapes, allez à la licence Metaconsole et cliquez sur « Valider » pour synchroniser la Métalicence avec l'instance.

Metalicencia1.JPG

Le résultat sera que vous aurez la Métalicence dans l'instance.

Retour à l'index de documentation du Pandora FMS