Pandora: Documentation fr: Satellite Server

From Pandora FMS Wiki
Jump to: navigation, search

Retour à l'index de documentation du Pandora FMS

Contents

1 Satellite Server

1.1 Introduction

Le serveur satellite est utilisé pour découvrir et surveiller des réseaux et des équipements distants, soit des éléments de réseau (routeurs, commutateurs, etc.) via SNMP ou ICMP, soit des serveurs Windows (via WMI) ou Linux (via SNMP). Ce n'est pas un serveur "ordinaire", mais il peut être considéré comme un Agent en mode broker avec des fonctionnalités étendues. Il est particulièrement utile pour surveiller les réseaux distants qui sont inaccessibles depuis le serveur Pandora FMS, et où nous ne pouvons pas non plus installer d'agents.

Info.png

Le Serveur Satellite est un composant exclusif de la version Entreprise.

 


Esquema-satellite.png

Le Serveur Satellite fonctionne sous Windows et Linux (recommandé), et possède quelques caractéristiques qui le rendent spécial, plus que recommandé dans certains environnements.

  • Il peut effectuer des tests réseau (ICMP, Latence et SNMP v1 et v2) à un rythme extrêmement élevé (500 vérifications par seconde).
  • Il n'envoie des données au serveur que toutes les X secondes (par défaut 300), mais il peut exécuter les tests de latence, ICMP et SNMP avec un intervalle plus petit (par exemple 30 secondes), de sorte que, lorsqu'il détecte des changements d'état, il en informe immédiatement le serveur. Ces changements d'état doivent être définis au préalable si le type de module n'est pas un *_proc (par exemple, les interfaces réseau ou la connectivité réseau générale).
  • C'est un serveur autonome, il ne nécessite pas de connexion à la base de données. Il envoie toutes les données en XML pour qu'il fonctionne comme un serveur indépendant, comme le fait un agent en mode courtier ou vers un Export server.
  • Il dispose d'un mécanisme d'autodiscovery pour SNMP et WMI, il crée donc les agents détectés (par IP), détecte les éléments dynamiques (interfaces réseau, stockage) et les surveille automatiquement.
  • Dans les systèmes Windows, il détecte les disques, le CPU et la mémoire.
  • Dans les systèmes réseau avec SNMP, il détecte l'état des interfaces, le trafic d'entrée et de sortie pour chaque interface et le nom du système.
  • Les modules autogénérés peuvent être modifiés, comme un autre module, en gérant l'agent depuis la console, comme s'il s'agissait d'un agent ordinaire (dans la section des opérations massives -> Satellite).
  • Nous pouvons créer des agents manuellement, en créant un fichier de configuration d'agent dans le répertoire de configuration du serveur satellite (expliqué plus loin).


1.1.1 Capacité

Il est difficile de spécifier la capacité maximale du satellite, car elle dépend entièrement du serveur où il est exécuté, et du type de vérifications que vous voulez effectuer. Dans notre environnement de test, nous avons réussi à faire 500 vérifications ICMP et SNMP par seconde, mais cela dépend beaucoup des temps de réponse de l'appareil distant (ce n'est pas le même qui répond en 0,5ms que celui qui prend 2sec pour répondre). Dans des conditions théoriques idéales, on peut parler d'une surveillance d'environ 150.000 moniteurs avec un seul serveur satellite. En conditions réelles, nous avons testé dans des environnements plus ou moins contrôlés (réseaux locaux) environ 50.000 modules avec un serveur satellite dans un ordinateur matériel très discret (Intel i5, 2GHz, 4GB RAM).

Template warning.png

S'il y a beaucoup de modules critiques, les performances peuvent être très affectées. Le délai d'attente configuré doit également être pris en compte, car un seul contrôle critique est effectué par délai d'attente. Si nous avons 1.000 modules critiques et que le timeout est configuré à 4 secondes, il faudrait 4.000 secondes pour exécuter toutes ces vérifications avec un seul thread.

 


1.2 Installation

Le serveur satellite est distribué sous forme de tarball (Linux) ou de .exe (Windows), il n'est donc pas nécessaire d'installer Perl ou toute autre bibliothèque supplémentaire. Le fonctionnement dans les versions Windows ou Linux est identique. Dans le cas de Windows, il est installé comme un service, et dans le cas de Linux, il est installé comme un démon système. Le fichier de configuration et les spécifications des deux sont identiques.

La version Linux du serveur satellite dépend de paquetages externes qui sont spécifiés dans la section correspondante de cette documentation.

1.3 Installation du serveur satellite sous Linux

Une fois que le paquet contenant le serveur satellite a été téléchargé, il serait nécessaire d'aller dans le dossier de téléchargement avec les privilèges root et de décompresser le binaire :

tar -xvzf pandorafms_satellite_server_X.XNG.XXX_x86_64.tar.gz


Desarchivar nuevo.png


Un dossier appelé satellite_server sera alors généré. On doit entrer en tapant :

cd satellite_server/

Avant de procéder à l'installation, il est nécessaire de préciser les dépendances fondamentales du Satellite Server : fping, nmap, wmic y braa.

Il sera également nécessaire pour l'exécution du serveur d'avoir Perl installé sur le périphérique. Il peut être installé avec la commande suivante :

yum install perl

Les dépendances Braa et Wmic sont rattachées à l'installateur. Il est nécessaire d'installer Fping et Nmap indépendamment :

yum install fping nmap

Ensuite, pour installer le serveur satellite, il suffira d'exécuter la commande d'installation :

./satellite_server_installer --install


Instalacion linux nuevo.png

Une fois le processus terminé, il sera nécessaire d'éditer le fichier de configuration du satellite (situé dans /etc/pandora/satellite_server.conf), recherchez le jeton pandora_license, décommentez le et entrez la licence de notre serveur Pandora FMS. Après cela, nous pouvons enregistrer le fichier et lever le service, en exécutant ceci :

sudo /etc/init.d/satellite_serverd start

En cas d'erreur ou de dysfonctionnement, vous pouvez consulter le fichier satellite_server.log, situé dans le chemin /var/log/satellite_server.log.

1.4 Installation dans Windows

Le processus d'installation dans Windows peut être effectué en suivant les images ci-dessous :

Nous commençons par choisir la langue d'installation :

Instalacion windows1.png

On clique sur Suivant :

Instalacion windows2 nuevo.png

Ensuite, nous pouvons choisir l'endroit où nous voulons installer le programme :

Instalacion windows3 nuevo.png

Vous devrez également installer WinPCap, la fenêtre d'installation apparaîtra à cette étape de l'installation.

Instalación wincap1.png

Nous avons configuré la mise sous tension de WinPCap au démarrage de la machine :

Instalación wincap2.png

Une fois l'installation de WinCap terminée, vous verrez l'écran suivant :

Instalación wincap3.png

Il sera nécessaire d'introduire la clé de licence de Pandora FMS pour pouvoir continuer l'installation :

Instalacion windows4 nuevo.png

Dans la section suivante, nous devons configurer l'adresse du serveur FMS Pandora pour envoyer les données ; nous pourrions définir les règles d'exploration du réseau pour le Satellite Server.

Instalacion windows5 new.png

La machine devra être redémarrée pour que toutes les modifications soient prises en compte.

Instalacion windows6 nuevo.png

Une fois le processus terminé, vous pouvez démarrer et arrêter le service Satellite Server à partir du menu Start.

1.4.1 Fonctionnement du module WMI dans certaines versions de Windows

Pour des raisons de sécurité de Windows, certaines versions ont des utilisateurs limités avec qui effectuer des requêtes WMI à distance. Dans le cas où ces requêtes ne sont pas effectuées, la solution consiste à exécuter le service de serveur satellite en tant qu'utilisateur administrateur.

Le processus à suivre est le suivant :

On ouvre les services :

Instalacion windows7 nuevo.png

Faites un clic droit sur le service et allez dans Propriétés :

Instalacion windows8 nuevo.png

Dans la fenêtre de Login, nous sélectionnons un compte avec des permissions d'administrateur et appliquons les changements :

Instalacion windows9 nuevo.png

Le service doit être redémarré pour appliquer les changements.

1.5 Configuration

Tous les paramètres nécessitant un délai d'attente sont spécifiés en secondes (par exemple 300 = 5 minutes).

Il est important de souligner que les intervalles de latence et de SNMP sont spécifiques au changement d'état. Dans le cas des contrôles booléens (état d'un port, état de la machine), le seuil qui définit le changement d'état est automatique ; dans le cas des valeurs numériques (latence, trafic réseau sur une interface, espace disque, CPU, etc. Par défaut, aucun seuil n'est défini ; cela doit être fait dans la définition du module.

1.5.1 agent_interval xxx

Par défaut, 300 secondes (5 minutes) ; créer des agents avec un intervalle de 5 minutes. Ce sera le temps après lequel il enverra les données au serveur, indépendamment du fait que les contrôles effectués par le serveur satellite soient à un intervalle plus court.

1.5.2 agent_threads xxx

Nombre de threads utilisés pour envoyer des fichiers de données XML.

1.5.3 xxxxxx_interval xxx

Exécute toutes les vérifications (latence, SNMP, etc.) toutes les xxx secondes. Si les données collectées changent par rapport à la précédente, il les envoie à ce moment-là. Si c'est la même chose, il l'enverra quand l'intervalle de cet agent le commandera. Il est utile de faire des tests très intensifs, et de ne notifier qu'en cas de changement d'état.

1.5.4 xxxxx_retries xxx

Nombre de tentatives dans les contrôles (latence, SNMP, ping...)

1.5.5 xxxxx_timeout xxx

Délai d'attente en secondes pour les tests de type SNMP, de latence et de ping.

1.5.6 xxxxx_block xxx

Il force le serveur à exécuter les requêtes (latence, ping et snmp) en blocs de requêtes XXX. Plus le nombre est élevé (jusqu'à 500), plus vous aurez de puissance de traitement, mais au prix d'une latence accrue. Dans certains cas, il peut être pratique de diminuer ce nombre.

1.5.7 xxxxx_threads n

Nombre de filets affectés à chaque type de contrôle pour travailler simultanément. Elle dépend de la puissance (CPU et RAM) de la machine. Plus il y aura de threads, plus le système sera chargé, mais plus il aura de capacité de traitement. Lorsque le nombre de filets dépasse 20, selon le système, cela peut détériorer les performances.

1.5.8 log_file xxx

Indique le fichier dans lequel le journal du serveur satellite est écrit, par défaut dans /var/log/satellite_server.log .

1.5.9 recon_task xxxxx[,yyyy]

Les adresses IP/réseaux utilisés pour l'auto-découverte, séparés par des virgules. Par exemple

192.168.50.0/24,10.0.1.0/22,192.168.70.64/26

1.5.10 server_ip <ip>

Adresse IP ou nom DNS du serveur FMS de Pandora auquel nous voulons envoyer les informations. Les informations sont envoyées par Tentacle, la communication avec le serveur doit donc être possible par le port Tentacle (41121/tcp).

1.5.11 recon_mode [icmp,snmp,wmi]

Mode d'auto-découverte. Le système utilisera ces protocoles pour découvrir les systèmes :

  • ICMP : Il va simplement vérifier si l'hôte est vivant (ping) et mesurer le temps de latence.
  • SNMP : S'il est capable de communiquer par SNMP (v1 et v2 seulement), il cherchera toutes les interfaces réseau, et enlèvera le trafic de toutes, ainsi que leur état de fonctionnement, en plus du nom de l'appareil et de l'emplacement. Il va essayer de se connecter avec les différentes communautés fournies dans le fichier de configuration.
  • WMI : Similaire au cas précédent, dans ce cas montrant la charge CPU, la mémoire et les disques (tous disponibles).

1.5.12 recon_community aaa,bbb,ccc...

Spécifie une liste de communautés SNMP à utiliser dans la découverte SNMP, séparées par des virgules. Il utilisera cette liste dans la découverte SNMP : pour chaque IP trouvée, il essaiera de voir si elle répond à l'une de ces communautés.

1.5.13 wmi_auth Administrator%password[,user%pass]

Spécifiez une liste de paires User%Password ; par exemple : admin%1234,super%qwerty. Vous utiliserez cette liste dans la navigation WMI. Pour chaque IP trouvé, il essaiera de voir s'il répond à l'une de ces combinaisons.

1.5.14 agent_conf_dir <répertoire conf des agents>

Dans ce répertoire sont automatiquement créés les fichiers de configuration de chaque agent créé par le Serveur Satellite, par défaut /etc/pandora/conf. Vous pouvez les créer à la main, comme indiqué ci-dessous.

1.5.15 group <groupe>

Définit le groupe d'agents par défaut créé par le satellite. Par exemple, "Servers".

1.5.16 daemon [1|0]

Si sa valeur est 1, il monte jusqu'au démon d'arrière-plan (par défaut).

1.5.17 hostfile <file>

C'est une méthode alternative/complémentaire à l'analyse d'un réseau à la recherche d'hôtes. On vous passe un fichier où chaque ligne a une adresse. Alternativement, vous pouvez passer dans la même ligne le nom d'hôte suivi de l'IP, afin de créer l'agent avec ce nom et utiliser cette IP pour les modules (ex : 192.168.0.2 hostname). Vous devriez être en mesure d'obtenir ces adresses pour qu'elles soient valides.

1.5.18 pandora_license xxxxxxx

Vous devez y écrire la licence de votre serveur Pandora FMS, comme indiqué dans la section Setup -> License de votre console Pandora FMS. Vous pouvez utiliser la même licence dans autant de serveurs Satellite que vous le souhaitez, puisque le nombre total d'agents utilisant la licence est vérifié dans le serveur FMS Pandora, et non dans le Satellite.

1.5.19 remote_config [1|0]

Active par défaut la configuration à distance dans les agents détectés, nécessaire si vous voulez les gérer depuis la console après les avoir détectés. Il active également la configuration à distance du serveur satellite lui-même. Pour plus d'informations sur la configuration à distance, voir : Configuration à distance.

1.5.20 temporal_min_size xxx

Si l'espace libre (en mégaoctets) sur la partition où se trouve le répertoire temporaire est inférieur à cette valeur, aucun autre paquet de données n'est généré. Cela empêche le disque de se remplir si, pour une raison quelconque, la connexion au serveur est perdue pendant une période prolongée.

1.5.21 xml_buffer [0|1]

Par défaut 0. Étant à 1, l'agent conservera les données XML qu'il n'a pas pu envoyer pour réessayer plus tard.

Sous Unix, si vous êtes dans un environnement sûr, vous devriez envisager de changer le répertoire temporaire, car /tmp a des droits d'écriture pour tous les utilisateurs.


1.5.22 snmp_version xx

Version SNMP à utiliser par défaut (seuls 1 et 2c sont supportés). 1 par défaut.

Template warning.png

Certains modules pourraient cesser de fonctionner si cette valeur est modifiée.

 


1.5.23 braa <path a braa>

Chemin vers le binaire braa (/usr/bin/braa par défaut).

1.5.24 fping <path a fping>

Chemin d'accès au binaire fping (/usr/sbin/fping par défaut).

1.5.25 fsnmp <path a fsnmp>

Chemin vers le binaire SNMP(/usr/bin/pandorafsnmp par défaut).

1.5.26 latency_packets xxx

Nombre de paquets ICMP envoyés par demande de latence.

1.5.27 nmap <path a nmap>

Chemin vers le binaire nmap (/usr/bin/nmap par défaut).

1.5.28 nmap_timing_template xxx

Une valeur qui spécifie à quel point nmap doit être agressif, de 1 à 5. 1 signifie plus lent mais plus fiable, 5 signifie plus rapide mais moins fiable. La valeur par défaut est 2.

1.5.29 ping_packets xxx

Nombre de paquets ICMP envoyés par ping.

1.5.30 recon_enabled [0|1]

Active (1) ou désactive (0) l'auto-découverte de l'équipement.

1.5.31 recon_timing_template xxx

Comme nmap_timing_template, mais appliqué aux scans réseau.

1.5.32 server_port xxxxx

Port du serveur Tentacle.

1.5.33 server_name xxxxx

Nom que vous voulez donner au serveur Satellite (par défaut il prend le nom d'hôte de la machine)

1.5.34 server_path xxx

Chemin où les fichiers XML sont copiés si le mode de transfert est en local (par défaut /var/spool/pandora/data_in).

1.5.35 server_opts

Les paramètres du serveur qui sont transmis à Tentacle.

1.5.36 transfer_mode [tentacle|local]

Mode de transfert de fichiers. Peut être seulement Tentacle ou local (Tentacle par défaut).

1.5.37 Serveur secondaire

Un type particulier de paramètre de configuration générale est la définition d'un serveur secondaire. Cela vous permet de définir un serveur auquel les données sont envoyées, en plus du serveur défini en standard. Le mode serveur secondaire fonctionne de deux façons :

  • on_error : envoie des données au serveur secondaire seulement s'il ne peut pas les envoyer au primaire.
  • always : envoie toujours des données au serveur secondaire, qu'il puisse ou non contacter le serveur primaire.

Exemple de configuration :

secondary_server_ip     192.168.1.123
secondary_server_path   /var/spool/pandora/data_in
secondary_mode          on_error
secondary_transfer_mode tentacle
secondary_server_port   41121

1.5.38 snmp_verify [0|1]

Active (1) ou désactive (0) la vérification des modules SNMPv1 qui tombent en panne en temps réel. Ces modules seront rejetés et cesseront d'être exécutés.

1.5.39 snmp2_verify [0|1]

Active (1) ou désactive (0) la vérification des modules SNMPv2 qui font échouer le braa en temps réel. Ces modules seront rejetés et cesseront d'être exécutés.

Template warning.png

La vérification des modules SNMP version 2 peut être très lente !

 


1.5.40 snmp3_verify [0|1]

Active (1) ou désactive (0) la vérification des modules SNMPv3 qui font échouer le braa en temps réel. Ces modules seront rejetés et cesseront d'être exécutés.

1.5.41 startup_delay xxx

Attendez xxx secondes avant d'envoyer des fichiers de données pour la première fois.

1.5.42 temporal <répertoire>

Répertoire temporaire où sont créés les fichiers XML, par défaut /tmp.

1.5.43 tentacle_client <path a tentacle_client>

Chemin d'accès au binaire du client Tentacle (/usr/bin/tentacle_client par défaut).

1.5.44 wmi_client <path a wmic>

Chemin vers le binaire wmic (/usr/bin/wmic par défaut).

1.5.45 snmp_blacklist <path to the blacklist>

Chemin d'accès à la liste noire des modules SNMP (/etc/pandora/satellite_server.blacklist par défaut).

1.5.46 add_host <adresse IP> [nom de l'agent]

Ajoute l'hôte donné à la liste des agents surveillés. Vous pouvez spécifier le nom de l'agent après l'adresse IP. Plusieurs hôtes peuvent être ajoutés, un par ligne. Par exemple :

add host 192.168.0.1
add host 192.168.0.2 localhost.localdomain

1.5.47 ignore_host <nom de l'agent>

Supprime l'hôte donné de la liste des agents surveillés, même s'il est trouvé dans une analyse du réseau par une tâche de reconnaissance. L'hôte doit être identifié par le nom de l'agent. Plusieurs hôtes peuvent être ignorés, un par ligne. Par exemple :

ignore host 192.168.0.1
ignore host localhost.localdomain

1.5.48 keepalive xxx

Le serveur satellite rapporte son état et vérifie les changements dans la configuration à distance (des agents et de lui-même) toutes les secondes "keepalive". Par défaut à 30 secondes.

1.5.49 credential_pass xxx

Mot de passe utilisé pour crypter les mots de passe des boîtes de justificatifs. Doit être le même que celui défini dans la console Pandora FMS. Par défaut, le nom d'hôte est utilisé.

1.5.50 timeout_bin <trajet d'un timeout>

S'il est défini, le programme de temporisation (généralement /usr/bin/timeout) sera utilisé lors de l'appel du client Tentacle.

1.5.51 timeout_seconds xxx

Délai d'attente en secondes pour le programme de temporisation. Le paramètre timeout_bin doit être réglé.

1.5.52 proxy_traps_to <address[:port]>

Redirige les traps SNMP reçus par le serveur satellite vers l'adresse (et le port) spécifié. Par défaut, le port 162 est utilisé.

1.5.53 proxy_tentacle_from <address[:port]>

Redirige les données reçues par le serveur Tentacle à partir de l'adresse (et du port) spécifié. La valeur par défaut est le port 41121.

1.5.54 proxy_tentacle_to <address[:port]>

Redirige les requêtes des clients Tentacle reçues par le serveur satellite vers l'adresse (et le port) spécifié. Le port 41121 est utilisé par défaut.

Template warning.png

Cette option peut entrer en conflit avec la configuration de l'agent distant.

Cela se produit si vous avez l'intention d'utiliser le Serveur Satellite comme proxy pour certains agents logiciels et de les surveiller à leur tour à distance à partir du Serveur Satellite lui-même (ICMP, SNMP, etc.) et la configuration à distance est activée dans les deux cas.

Dans cette situation, vous devez soit utiliser des agents différents pour les contrôles effectués (c'est-à-dire avec un "nom_agent" différent), soit laisser la configuration distante activée uniquement dans l'un des deux (Satellite Server ou agents logiciels).

 


1.5.55 dynamic_inc [0|1]

Mettre à 1 pour déplacer les modules dynamiques découverts de manière automatique (SNMP, WMI...) vers des fichiers séparés afin qu'ils n'interfèrent pas avec la configuration à distance des agents.

1.5.56 vlan_cache_enabled [0|1]

Active (1) ou désactive (0) le cache du VLAN des hôtes découverts.

1.5.57 verbosité <0-10> (Version > 7.0OUM204)

Niveau de verbosité du journal, où 10 est le niveau d'information le plus détaillé.

1.5.58 agents_blacklist_icmp 10.0.0.0/24[,8.8.8.8/30] (Version > 7.0OUM713)

Liste de contrôle de la CIPD. Ce champ peut être configuré avec une liste d'IPs utilisant la notation CIDR pour empêcher l'exécution de modules de type ICMP. Il est possible de spécifier plusieurs sous-réseaux en les séparant par des virgules.

1.5.59 agents_blacklist_snmp 10.0.0.0/24[,8.8.8.8/30] (Version > 7.0OUM713)

Liste noire des contrôles SNMP. Ce champ peut être configuré avec une liste d'IPs utilisant la notation CIDR pour éviter que des modules de type SNMP soient exécutés. Il est possible de spécifier plusieurs sous-réseaux en les séparant par des virgules.

1.5.60 agents_blacklist_wmi 10.0.0.0/24[,8.8.8.8/30] (Version > 7.0OUM713)

Liste de contrôle de la WMI. Ce champ peut être configuré avec une liste d'IPs utilisant la notation CIDR pour empêcher l'exécution de modules de type WMI. Il est possible de spécifier plusieurs sous-réseaux en les séparant par des virgules.

1.5.61 general_gis_exec xxx (Version > 7.0OUM734)

En activant cette option, un script sera utilisé pour fournir le positionnement SIG à tous les agents détectés par le serveur satellite. Le script doit avoir des permissions d'exécution et imprimer à l'écran les coordonnées avec le format<longitud>,<latitud>[,<altitud>]. Le troisième paramètre, la latitude, est optionnel.

1.6 Création d'agents dans le serveur satellite

Il y a trois façons de créer les agents dans le Satelllite Server : Recon Task, fichier satellite_hosts.txt ou de façon manuelle en créant le .conf des agents à surveiller.

1.6.1 Création d'agents par le Recon Task

La création d'agents par Recon Task est la plus utilisée par les utilisateurs de Pandora FMS. Pour le réaliser, nous devons avoir accès au fichier de configuration du Serveur Satellite et configurer les paramètres suivants :

  • recon_community : Vous devez spécifier une liste de communautés SNMP à utiliser dans la découverte SNMP, séparées par des virgules (dans le cas d'une reconnaissance de type SNMP).
  • recon_enabled : Il doit être réglé sur 1 pour activer la tâche de reconnaissance du serveur satellite.
  • 'recon_interval : Intervalle de temps où le réseau que nous voulons est scanné, en secondes (par défaut 604800 secondes, 7 jours).
  • recon_mode : Mode pour effectuer la tâche de reconnaissance (SNMP,ICMP,WMI), séparés par des virgules.
  • recon_task : Liste des réseaux sur lesquels on veut faire la reconnaissance, séparés par des virgules.
  • recon_timing_template : Une valeur qui spécifie à quel point nmap doit être agressif, de 1 à 5. 1 signifie plus lent mais plus fiable ; 5 signifie plus rapide mais moins fiable (par défaut 3).

Un exemple de la réalisation de Recon Task est :

recon_community public
recon_enabled 1
recon_interval 604800
recon_mode icmp,snmp,wmi
recon_task 192.168.0.0/24,192.168.1.0/24
recon_timing_template 3

Une fois les données configurées, nous exécutons le serveur satellite à l'aide de la commande :

/etc/init.d/satellite_serverd start

1.6.2 Création d'agent par le fichier satellite_hosts.txt

Tout d'abord, pour créer un agent en utilisant le fichier satellite_hosts.txt, nous devons aller dans le fichier de configuration du Satellite Server et défaire la ligne :

host_file /etc/pandora/satellite_hosts.txt

Ensuite, nous allons créer le fichier satellite_hosts.txt avec l'IP des hôtes que nous voulons créer, en mettant l'IP et le nom de l'agent à créer :

192.168.10.5 Server5
192.168.10.6 Server6
192.168.10.7 Server7

Template warning.png

Pour que les agents avec ces IP soient créés, il faut qu'ils répondent à l'appel fping, sinon ils ne seront pas créés.

 


Une fois les données configurées, nous démarrons le serveur satellite au moyen de la commande :

/etc/init.d/satellite_serverd start

1.6.3 Création manuelle d'agents

Tout d'abord, nous sommes dans le fichier de configuration du Serveur Satellite dans le paramètre agent_conf_dir, qui est l'endroit où sont créés les fichiers de configuration des nouveaux agents (par défaut /etc/pandora/conf).

cd /etc/pandora/conf

Une fois situé dans ce répertoire, nous n'aurons plus qu'à créer un fichier .conf des agents que nous voulons créer, en prenant par exemple l'agent serveur comme exemple, et en remplissant manuellement les champs suivants :

  • agent_name : On va mettre le nom qu'on veut donner à l'agent.
  • agent_alias : On met le pseudo qu'on veut donner à l'agent.
  • address : Mettre l'IP de l'élément que l'on veut surveiller.
  • group : Groupe auquel nous voulons assigner l'agent.
  • gis_exec : script de positionnement (optionnel). Si vous l'utilisez, écrasez l'emplacement fourni par le paramètre general_gis_exec' du serveur satellite.
  • La suite serait de créer les modules que nous voulons surveiller dans l'agent.

Un exemple serait :

agent_name Exemple1

agent_alias Ceci est un exemple
adress 127.0.0.1
group Serveurs

module_begin
module_name Ping
module_ping
module_end

module_begin
module_name Latency
module_latency
module_end

Une fois les données configurées, nous démarrons le serveur satellite à l'aide de la commande

/etc/init.d/satellite_serverd start

1.7 Suppression de l'agent du serveur satellite

Il y a plusieurs cas de suppression d'agent de serveur satellite : suppression totale d'agent ou suppression partielle d'agent.

Pour l'"élimination totale'" des agents, nous devons tenir compte de la méthode utilisée pour la création des agents.

  • Manuel : Tout d'abord, il faut supprimer les fichiers .conf des agents créés dans le dossier /etc/pandora/conf et ensuite supprimer les agents dans la console.
  • Satellite_hosts.txt file : Vous devrez créer le fichier .txt, ainsi que les fichiers .conf qui ont été créés dans le dossier /etc/pandora/conf, puis supprimer les agents dans la console.
  • Recon_task : Vous devrez déconfigurer la recon_task dans le fichier conf du serveur satellite, puis supprimer les .conf qui ont été créés dans le dossier /etc/pandora/conf et ensuite supprimer les agents dans la console.

Pour l'"élimination partielle ", nous devons également tenir compte de la méthode utilisée pour la création des agents.

  • Manuel : Tout d'abord, nous devons supprimer les fichiers .conf des agents que nous voulons supprimer dans le dossier /etc/pandora/conf et ensuite nous devons supprimer les agents dans la console.
  • Satellite_hosts.txt file : Il faudra supprimer du fichier .txt les lignes des IP à supprimer, ainsi que les fichiers .conf qui ont été créés dans le dossier /etc/pandora/conf avec ces IP, puis supprimer les agents dans la console.
  • Recon_task : Vous devez configurer la blacklist de la recon_task dans le fichier conf du serveur satellite, puis supprimer les .conf qui ont été créés dans le dossier /etc/pandora/conf avec ces IPs et supprimer les agents dans la console.

1.8 Configurations personnalisées (par agent)

En plus des modules "automatiques", il sera possible d'ajouter à la supervision tout contrôle TCP, SNMP, WMI ou SSH disponible, en utilisant une syntaxe similaire à celle utilisée pour les modules locaux dans les agents logiciels. Ensuite nous verrons quelques exemples de modules valides pour le Satellite Server, car ils sont autogénérés après avoir détecté le système.

Template warning.png

Assurez-vous que l'OID start with a point ou les modules SNMP ne fonctionneront pas !

 


Etat de l'interface via SNMP. Le serveur satellite détecte automatiquement chaque interface :

module_begin
module_name if eth1 OperStatus
module_description IP address N/A. Description: The current operational state of the interface. The testing(3) state indicates that no operational packets can be passed.
module_type generic_data_string
module_snmp 192.168.70.225
module_oid .1.3.6.1.2.1.2.2.1.8.3
module_community artica06
module_end

Pour obliger le module à utiliser SNMP version 2c, ajoutez la ligne :

module_version 2c

Pour obliger le module à utiliser SNMP version 1, ajoutez la ligne :

module_version 1

Par exemple :

module_begin
module_name if eth1 OperStatus
module_description IP address N/A. Description: The current operational state of the interface. The testing(3) state indicates that no operational packets can be passed.
module_type generic_data_string
module_snmp 192.168.70.225
module_version 2c
module_oid .1.3.6.1.2.1.2.2.1.8.3
module_community artica06
module_end

Connexion à une machine (via PING)

module_begin
module_name ping
module_type generic_data
module_ping 192.168.70.225
module_end

Vérification d'un port (via TCP)

module_begin
module_name Port 80
module_type generic_proc
module_tcp
module_port 80
module_end

Requête SNMP générique. Dans ce cas, le Serveur Satellite tire automatiquement le trafic de chaque interface, avec son "real" nom descriptif :

module_begin
module_name if eth0 OutOctets
module_description The total number of octets transmitted out of the interface, including framing characters.
module_type generic_data_inc
module_snmp 192.168.70.225
module_oid .1.3.6.1.2.1.2.2.1.16.2
module_community public
module_end

Requête WMI pour l'utilisation du CPU (pourcentage) :

module_begin
module_name CPU
module_type generic_data
module_wmicpu 192.168.30.3
module_wmiauth admin%none
module_end

Requête WMI pour la mémoire libre (pourcentage)

module_begin
module_name FreeMemory
module_type generic_data
module_wmimem 192.168.30.3
module_wmiauth admin%none
module_end

Consultation de l'IMW générique :

module_begin
module_name GenericWMI
module_type generic_data_string
module_wmi 192.168.30.3
module_wmiquery SELECT Name FROM Win32_ComputerSystem
module_wmiauth admin%none
module_end

Commande générique SSH :

module_begin
module_name GenericSSH
module_type generic_data
module_ssh 192.168.30.3
module_command ls /tmp | wc -l
module_end

Pour introduire un seuil, vous devez le faire à la fois dans la définition du texte du module (module_min_warning, module_min_critical) et dans la définition du seuil via l'interface Web. Par exemple :

module_begin
module_name Latency
module_type generic_data
module_latency 192.168.70.225
module_min_warning 80
module_min_critical 120
module_end

Nous pouvons créer manuellement des modules d'exécution. Les scripts ou les commandes exécutés par le Serveur Satellitaire doivent être préalablement affichés et accessibles par celui-ci. Dans ce sens, il fonctionne de la même manière qu'un module d'agent_exec. Tenez compte du fait que l'utilisation de module_exec pourrait faire que la performance du Satellite Server diminue.

module_begin
module_name Sample_Remote_Exec
module_type generic_data
module_exec /usr/share/test/test.sh 192.168.50.20
module_min_warning 90
module_min_critical 95
module_end

A partir de la version 7 de Pandora FMS, vous pouvez également ajouter des plugins. Comme ceux-ci, vous devez tenir compte du fait que les plugins seront exécutés dans la machine où le Satellite Server est en cours d'exécution. Par conséquent, vous devrez implémenter dans ces plugins une méthode pour vous connecter à la machine distante que vous voulez surveiller. L'avantage par rapport aux précédents est leur grande flexibilité. De cette façon, il est possible d'implémenter des conditions et d'autres mécanismes pour lesquels un module_exec ne suffit pas. La syntaxe est la même que celle des agents. Un exemple d'utilisation d'un plugin pourrait être le suivant :

 module_plugin /usr/share/pandora/remote_advanced_checks.sh 192.168.0.1

1.8.1 SNMPv3

Pour configurer un module SNMPv3, définissez module_version à 3 et spécifiez le niveau de sécurité (noauth, authnopriv o authpriv), le nom de la sécurité, le protocole d'authentification (md5 ou sha), la clé d'authentification, le protocole de confidentialité (aes ou des) et la clé de confidentialité selon les besoins. Par exemple :

module_begin
module_name snmp_noauth
module_type generic_data_string
module_snmp 127.0.0.1
module_version 3
module_oid .1.3.6.1.2.1.1.1.0
module_seclevel noauth
module_secname snmpuser
module_end
module_begin
module_name snmp_authnopriv
module_type generic_data_string
module_snmp 127.0.0.1
module_version 3
module_oid .1.3.6.1.2.1.1.2.0
module_seclevel authnopriv
module_secname snmpuser
module_authproto md5
module_authpass 12345678
module_end
module_begin
module_name snmp_authpriv
module_type generic_data_string
module_snmp 127.0.0.1
module_version 3
module_oid .1.3.6.1.2.1.1.2.0
module_seclevel authpriv
module_secname snmpuser
module_authproto sha
module_authpass 12345678
module_privproto aes
module_privpass 12345678
module_end

La configuration spécifique de SNMPv3 peut être partagée entre les modules en la retirant de la déclaration de module, dans le cas où elle est la même pour tous (il est également possible de la partager entre les agents en la déplaçant vers le fichier de configuration du satellite) :

agent_name snmp
address 127.0.0.1

seclevel authpriv
secname snmpuser
authproto md5
authpass 12345678
privproto des
privpass 12345678

module_begin
module_name snmp_authpriv_1
module_type generic_data_string
module_snmp
module_version 3
module_oid .1.3.6.1.2.1.1.1.0
module_end

module_begin
module_name snmp_authpriv_2
module_type generic_data_string
module_snmp
module_version 3
module_oid .1.3.6.1.2.1.1.2.0
module_end

1.9 Boîtes de justificatifs d'identité

Sauf si l'authentification par clé est configurée, les modules SSH ont besoin d'un nom d'utilisateur et d'un mot de passe pour fonctionner. Ceux-ci sont configurés dans le fichier de configuration principal, satellite_server.conf, à l'aide de boîtes d'identification ayant le format suivant :

credential_box réseau/masque,utilisateur,mot_de_passe
credential_box réseau/mask,user,[[mot de passe crypté]]

Par exemple :

credential_box 192.168.1.1/32,user,pass1
credential_box 192.168.1.0/24,user,pass2

Les recherches dans les boîtes de justificatifs se font à partir de masques plus ou moins restrictifs.

Les mots de passe peuvent être cryptés en utilisant Blowfish en mode ECB. Assurez-vous que credential_pass est défini ; sinon, le nom d'hôte sera utilisé comme mot de passe de chiffrement par défaut. La représentation hexadécimale du texte chiffré doit être entourée de doubles crochets :

credential_box 192.168.1.0/24,user,[[80b51b60786b3de2]]

1.10 Visualisation dans la console de tous les agents

Si la configuration du Satellite Server était correcte, nous devrions obtenir une vue d'agent similaire à celle-ci :

Selección 146.png

Généralement, dans toutes les machines, des modules de type ICMP seront créés (Ping et Latence), mais dans certaines d'entre elles il est également possible de générer des modules de type SNMP et WMI.

Dans ceux qui ont WMI activé, les modules suivants seront générés, s'ils sont disponibles :

Modulos.png

Dans les machines avec SNMP activé, les modules suivants seront générés, s'ils sont disponibles :

Modulos1.png

Dans la section des opérations massives de la console Pandora FMS il y a une section spéciale dédiée au Serveur Satellite, où vous pouvez faire plusieurs actions d'édition et de suppression d'agents et de modules de manière massive :

Operación massivas.png

1.11 Liste noire SNMP

Lors de la surveillance de grands réseaux, les modules SNMP qui renvoient des données non valides peuvent affecter les performances du serveur satellite, et conduire d'autres modules à un état inconnu. Pour éviter cela, le Serveur Satellite peut lire une liste noire de modules SNMP qui seront jetés au démarrage avant l'exécution.

Pour créer une liste noire, éditez le fichier de configuration /etc/pandora/satellite_server.conf et assurez-vous que snmp_blacklist est décommenté et configuré avec le chemin du fichier où les modules en liste noire seront sauvegardés. Alors, exécutez :

satellite_server -v /etc/pandora/satellite_server.conf

Redémarrez le Satellite Server. La liste noire peut être régénérée autant de fois que nécessaire.

Le format de la liste noire est le suivant :

agent:OID
agent:OID
...

Par exemple :

192.168.0.1:1.3.6.1.4.1.9.9.27 
192.168.0.2:1.3.6.1.4.1.9.9.27 

Retour à l'index de documentation du Pandora FMS