Monitorización con Agentes Software
Monitorización con Agentes Software
Los Agentes Software se encuentran en ejecución en los sistemas operativos de los cuales recogen información, realizando un chequeo para cada módulo.
Las directivas propias del Agente Software sirven para recoger ciertos datos directamente del sistema operativo (ej. uso de CPU, memoria, eventos, etcétera), ejecutando comandos propios del sistema operativo siguiendo instrucciones de scripts predefinidos.
El Dataserver Pandora FMS procesa y almacena en la base de datos toda la información generada y enviada en fichero XML por los agentes software.
Configuración de Agentes Software
Toda la configuración y los parámetros se encuentran almacenados en el fichero pandora_agent.conf, el cual está instalado también localmente junto a su Agente Software. La configuración básica está tratada en "Configuración de los Agentes Pandora FMS", a continuación se expone la configuración avanzada.
Configuración local
En el archivo de configuración del Agente Software los módulos están definidos con la siguiente estructura básica de texto:
module_begin module_name <your module name> module_type generic_data module_exec <your command> module_description <your description> module_end
- Para el Agente Software en MS Windows® y la instrucción
module_name
, si desea o necesita utilizar caracteres ASCII extendidos (áéíóú
, por ejemplo) debe utilizar un plugin o script externo. Consulte la sección de plugin para Agentes Software. - Para el Agente Software en MS Windows® se dispone, además, de
module_exec_powershell
para la ejecución nativa de chequeos con PowerShell®.
Configuración remota
Para habilitar la configuración remota se habilita el parámetro: remote_config 1
y se reinicia el agente software.
En la versión Enterprise es posible gestionar remotamente los ficheros de los Agentes Software desde la Consola Web de Pandora FMS. La configuración de cada agente se almacena en el servidor de Pandora FMS en dos ficheros: <md5>.conf y <md5>.md5, donde <md5> es el hash del nombre del Agente software. Estos ficheros son almacenados respectivamente en:
/var/spool/pandora/data_in/conf
y
/var/spool/pandora/data_in/md5
Una vez que la configuración remota del agente está activada, cualquier cambio que se haga localmente en el fichero de configuración será sobreescrita por la configuración almacenada en la consola. Para volver a la administración local del Agente Software, detenga su servicio, restablezca remote_config
a cero e inicie el servicio de nuevo.
Custom fields
Los campos personalizados permiten añadir información adicional al agente. Se pueden crear campos personalizados con la API 1.0 PFMS y el comando set create_custom_field o por medio de la Consola web en el menú Management → Resources → Custom fields → Create field.
- Las opciones Enabled combo, Password type y Link type son mutuamente excluyentes, es decir, solamente se podrá utilizar una de ellas (o ninguna, valor por defecto).
- Al activar el campo Display up front, la información del campo personalizado se mostrará, en caso de tener algún valor establecido, en la vista general del agente. Además, será necesario activar este token para enviar la información de los Custom Fields al Command Center (Metaconsola).
- Enabled combo: Este parámetro permite activar la configuración de parámetros seleccionables desde un desplegable. Una vez activado, en la ventana de configuración del custom field correspondiente aparecerá un nuevo campo para introducir los valores del combo separados por comas.
- Password type: El valor del campo (contraseña) será mostrado por medio de asteriscos en la Consola web.
- Link type: Permite agregar un campo personalizado que albergará un enlace web a rellenar por Consola web o en un XML recibido por un agente. Es posible incluir enlaces en los custom fields de un XML en formato JSON incrustados con instrucciones CDATA
<![CDATA[…]]>
. Por ejemplo, si el formato JSON del enlace es:
["Web name","https://example.com"]
El XML tendría esta sintaxis:
<custom_fields> <name>![CDATA[web]]</name> <value>![CDATA[["Web name","https://example.com"|]]]</value> </custom_fields>
Consulte “Validación de XML”, la Arquitectura de Seguridad para el protocolo Tentacle (mecanismo encargado de entregar datos en formato XML al Data server PFMS) y la Arquitectura de Seguridad para el Data server PFMS (limitar la autocreación de agentes y establecer una contraseña para el grupo de agentes al cual pertenezca cada agente).
Los custom fields también se pueden pasar desde el fichero de configuración del agente, utilizando los token custom_fieldx_name y custom_fieldx_value, por ejemplo:
custom_field1_name Serial Number custom_field1_value 56446456KS7000
El campo personalizado llamado Serial Number
viene creado por defecto al instalar PFMS y se pueden crear tantos campos personalizados como se necesiten y de cada tipo distinto (valor simple, enlace web, tipo contraseña y tipo lista de opciones). Es indiferente orden del identificador numérico de cada campo personalizado, solamente se debe asegurar que el nombre sea exactamente el mismo:
custom_field11_name Simple custom field name custom_field11_value Simple custom field value custom_field12_name Custom field Link type custom_field12_value ["Pandora FMS web site","https://pandorafms.com"] custom_field13_name Custom field Password type custom_field13_value My;Password; custom_field14_name Custom field Combo type custom_field14_value Two
En los campos personalizados Combo type
el valor enviado por al agente software debe corresponder exactamente con alguno de los item del mismo, de lo contrario el valor no será cambiado.
Parámetros de configuración comunes
Parámetros más importantes para la configuración básica de Agentes Software:
- server_ip: Dirección IP del servidor de Pandora FMS.
- server_path: Ruta de la carpeta de entrada incoming del servidor Pandora FMS, por defecto
/var/spool/pandora/data_in
. - temporal: Carpeta, por defecto
/tmp
. - logfile: Archivo de log del Agente Software, por defecto
/var/log/pandora/pandora_agent.log
. - interval: Intervalo de ejecución del agente, por defecto
300
segundos.
Grupos protegidos por contraseña
Por defecto, cuando un agente envía datos por primera vez al servidor de Pandora FMS se añade de forma automática al grupo que se haya definido en el fichero de configuración del agente.
Es posible configurar una contraseña para un grupo, de esta manera un agente no se añadirá a un grupo a menos que se haya especificado la contraseña correcta en el fichero de configuración del agente.
Para editar y agregar una contraseña de grupo vaya al menú Management → Profiles → Manage agent groups → clic en nombre de grupo.
Para añadir un agente nuevo a este grupo, edite su fichero de configuración y añada la siguiente opción de configuración group_password
y reinicie el agente software.
Módulos en Agentes y Agentes Software
Tipos de módulos
Según dato devuelto:
- generic_data: Numérico.
- generic_data_inc: Incremental.
- generic_data_inc_abs: Absoluto incremental.
- generic_proc: Booleano .
- generic_data_string: Alfanuméricos.
- async_data: Numérico asíncrono.
- async_string: Alfanumérico asíncrono.
- async_proc: Booleano asíncrono.
- Modulo de imagen: utilizan como base un módulo de tipo cadena de texto (
generic_data_string
oasync_string
). Si el dato que contiene el módulo es una imagen codificada en base64,(encabezadodata:image
) será identificado como una imagen y habilitará en las vistas un enlace a una ventana para recuperar la imagen. Además se mostrarán en su respectivo histórico un contenido de las distintas imágenes que conforman las cadenas almacenadas.
Intervalos en los módulos locales
Los módulos locales (o de agente software) tienen todos como “base” el intervalo de su agente. Sin embargo, pueden tomar valores múltiplos de esa base si modifica el parámetro module_interval
con un multiplicar entero mayor que cero.
Interfaz de creación de módulos
Funcionalidad solo para versión Enterprise; la configuración remota del Agente Software respectivo debe estar habilitada.
La creación de módulos locales en la consola se realiza mediante un formulario donde, además de la configuración común de todo módulo (umbrales, tipo, grupo, etcétera) dispone de una caja de texto donde especificar los datos de configuración a establecer en el fichero de configuración del Agente Software.
- Al hacer clic en el botón Load basic (template), se borrará el contenido de Data configuration con una plantilla básica que deberemos modificar de acuerdo a la necesidad de monitorización.
- Una vez modificado, al hacer clic en Check (syntax) verificará que la sintaxis de plantilla siga siendo correcta, sin embargo, el resto de los comando no serán comprobados.
Cuando un módulo es cargado desde un componente local, puede tener macros. Si tiene macros, la caja de configuración estará oculta y aparecerá un campo por cada macro, ver más información en Plantillas y componentes
Monitorización condicionada
Postcondiciones
El Agente Software soporta la ejecución de comandos y scripts en modo de postcondiciones. Esto quiere decir que se pueden realizar acciones dependiendo del valor obtenido en la ejecución del módulo. El parámetro module_condition se utiliza para ello, por ejemplo: module_condition < 20 add_processes.sh
.
Precondiciones
El parámetro module_precondition
permite evaluar una condición antes de la ejecución del módulo y con el resultado decidir si el módulo se debe ejecutar o no, por ejemplo: module_precondition> 10 number_active_processes.sh
.
Monitorización intensiva
Existen ciertos módulos que tienen una importancia especial, tales como procesos o servicios críticos en ejecución. Para poder tener una monitorización más controlada de estos casos existe la monitorización intensiva.
Consiste en avisar en un intervalo más corto de que ha aparecido un problema serio sin necesidad de reducir el intervalo general del agente.
Configuración en Agente Software:
- interval: Obligatorio, tiempo de muestreo del agente en segundos, es el intervalo general para todos los módulos locales.
- intensive_interval: Tiempo en que avisará si existe algún problema, y siempre se ejecutará en este período y si coincide con la condición se notificará en este período de tiempo (de lo contrario los datos se enviarán el el interval).
Configuración en módulo:
- module_intensive_condition = <valor>: si el módulo obtiene como resultado el <valor> indicado en este parámetro, notificará en el intervalo intensivo antes definido. Otros operadores que se pueden utilizar son:
<
,>
,!=
, un rango de valores(m,n)
y=~
.
Ejemplo
El servicio sshd es muy importante pues es utilizado para conectar por shell de manera remota, necesitamos monitorizar su funcionamiento:
intensive_interval 10 interval 300
module_begin module_name SSH Daemon module_type generic_data module exec ps aux | grep sshd | grep -v grep | wc -l module_intensive_condition = 0 module_end
Si el servicio está ausente, se notificará en los próximos 10 segundos, si está funcionando notificará cada 5 minutos (intervalo normal, 300 segundos).
Monitorización programada
El Agente Software soporta la definición de módulos programados que se ejecutan en los instantes definidos. La sintaxis usada es la misma que la del fichero crontab.
Chequeos remotos con el agente software
Un Agente Software es capaz de realizar chequeos remotos, sustituyendo el servidor principal PFMS e incluso distribuirlos en agentes broker
Chequeos ICMP
Los chequeos ICMP o pingson muy útiles para saber si una máquina está conectada o no a una red.
Unix
module_exec ping -c 1 dir_IP> /dev/null 2>&1; if [ $? -eq 0 ]; then echo 1; else echo 0; fi
MS Windows®.
module_ping dir_IP
Nota: module_advanced_options
permite opciones avanzadas para ping.exe
.
Chequeos TCP
Los chequeos TCP son útiles para verificar que los puertos de una máquina permanecen abiertos y permiten conocer si una aplicación conecta o no a la red.
Unix
Con el comando nmap y sus parámetros de configuración en la línea de comando, a una dirección IP chequeamos si el puerto 80 está abierto (tiempo de espera de respuesta de 5 segundos):
module_begin module_name PortOpen module_type generic_proc module_exec nmap 192.168.100.54 -p 80 | grep open > /dev/null 2>&1; echo $?; if [ $? == 0 ]; then echo 1; else echo 0; fi module_timeout 5 module_end
MS Windows®.
Los parámetros se deben especificar en:
- module_tcpcheck: dirección IP del dispositivo.
- module_port: número de puerto.
- module_timeout: tiempo de espera para la respuesta.
Ejemplo:
module_begin module_name TcpCheck module_type generic_proc module_tcpcheck 192.168.100.54 module_port 80 module_timeout 5 module_end
Chequeos SNMP
Los chequeos SNMP son comunes en la monitorización de dispositivos de red para comprobar el estado de interfaces, bytes de entrada/salida, etc.
Ejemplo en Unix
module_exec snmpget dir_IP -v 1 -c public .1.3.6.1.2.1.2.2.1.1.148 | awk '{print $4}'
Ejemplo en MS Windows®
module_snmpget module_snmpversion 1 module_snmp_community public module_snmp_agent 192.168.100.54 module_snmp_oid .1.3.6.1.2.1.2.2.1.1.148 module_end
Modo Proxy
Para usar el modo proxy del agente de Pandora FMS en Linux/Unix® no puede ser ejecutado por el usuario root, por ello es necesario una instalación especial del agente de Pandora FMS. Para ello consulte la Instalación personalizada del Agente.
Este modo permite redirigir los ficheros de datos generados por otros Agentes Software al servidor de Pandora FMS. El agente software que actúa en Modo Proxy también puede realizar tareas de monitorización.
Configuración de los parámetros:
- server_ip: Dirección IP Pandora FMS server.
- proxy_mode: activado (1) o desactivado (0).
- proxy_max_connection: número de conexiones simultáneas del proxy, por defecto 10.
- proxy_timeout: tiempo de espera de respuesta para el proxy, por defecto 1 segundo.
- proxy_address: dirección en la que escucha el proxy.
- proxy_port: puerto en el que escucha el proxy.
Modo Broker
EL Modo Broker de los Agentes Software permite a un solo agente realizar chequeos y gestionar la configuración como si se tratara de varios agentes distintos.
Cuando se activa el Modo Broker en un Agente Software, se crea un nuevo fichero de configuración. A partir de ese momento, el Agente Software original y el nuevo broker se gestionarán de forma separada con sus ficheros de configuración independientes, como si fuesen dos Agentes Software totalmente separados en la misma máquina.
Para crear un Broker se añade una o más líneas con el parámetro broker_agent <nombre_broker> (una línea para cada Broker).
En la Consola web de Pandora FMS los Broker se ven y gestionan como agentes independientes.
- Los módulos que guardan datos en memoria entre ejecuciones (
module_logevent
ymodule_regexp
en MS Windows®) no funcionan cuando hay agentes broker configurados. - Las instancias del modo Broker no pueden utilizar colecciones.
Inventario con agente software
Para más información visite la sección Inventario local con agentes software.
Recolección de logs con agente software
Para más información visite el tema Recolección y monitorización de logs.
Acciones remotas por UDP
Un Agente Software es capaz de recibir peticiones remotas y ejecutar órdenes.
Tenga presente que UDP es por naturaleza inseguro (pero eficiente para enviar mensajes sin comprometer una respuesta cierta).
Para permitir que el servidor PFMS envie órdenes a los Agentes Software a su cargo, se debe configurar:
- udp_server: cero por defecto, valor en uno (1) para activar esta funcionalidad.
- udp_server_port: puerto de escucha en Agente Software.
- udp_server_auth_address: dirección IP del servidor Pandora FMS
Reinicie el Agente Software para que los cambios se apliquen.
Aunque puede establecerse a 0.0.0.0 para que acepte desde todos los orígenes, dicha práctica no es recomendada. Si tiene varios Servidores PFMS y/o utiliza IPv6 puede colocar diferentes direcciones IP separadas por comas. Por ejemplo si tiene en IPv6:2001:0db8:0000:130F:0000:0000:087C:140B
y su abreviatura es 2001:0db8:0:130F::87C:140B
utilice ambas separadas por comas.
Cómo solicitar reinicio de servicio de Agentes Software
Se debe utilizar el script ubicado en:
/usr/share/pandora_server/util/udp_client.pl
Se puede ejecutar desde línea de comando o bien utilizarlo en una alerta, mediante el comando que viene preconfigurado en la consola Remote agent control.
Acciones remotas personalizadas
Además de la acción de reiniciar servicio de Agente Software, se pueden especificar acciones personalizadas.
process_<order_name>_start comando
También se pueden crear órdenes que llamen a scripts para realizar múltiples acciones remotas con solamente pulsar un botón.
Plugins en agentes software
A diferencia de los plugins de servidor, ejecutados por Pandora FMS server, los plugins de Agente Software reportan uno o varios módulos a la vez.
Ejecución en sistemas Windows
En MS Windows®, todos los plugins por registrados por defecto están programados en VBScript, para ejecutarlos se utiliza el intérprete cscript.exe
.
Chequeos utilizando PowerShell
A partir de la versión 776 se cuenta con module_exec_powershell
el cual permite introducir comandos más complejos en PowerShell con caracteres especiales e instrucciones complejas (una instrucción entrega resultados a la siguiente) que no son posibles mediante el módulo module_exec
.
# Example of Powershell execution module module_begin module_name Powershell module_type generic_data_string module_exec_powershell < command_1 > | < command_2 > | … | < command_N > module_end
Los comandos se introducen tal cual, sin necesidad de comillas para que sean procesados por el Agente Software PFMS (los comandos de PowerShell, en cambio, sí pueden necesitar de comillas.) Si el comando no es válido se agrega un error al registro del agente (fichero pandora_agent.log
).
Ejecución en sistemas Unix
Los plugins de Unix estén ubicados por defecto en el directorio del agente:
/etc/pandora/plugins
Gestión de plugins de Agente Software desde la Consola
Gestión de plugins avanzados de Agente Software desde la Consola
Versión NG 750 o posterior.
Es posible agregar un token en la configuración de los plugins de agente que al ser habilitado permite la opción de 'encapsular' las definiciones de plugins dentro de las etiquetas module_begin
y module_end
.
Este token habilitado permite insertar bloques de configuración como module_interval
o module_crontab
, entre otros.
Cómo crear plugins personalizados para Agente Software
Los plugin pueden ser creados en cualquier lenguaje de programación. Solo se debe tener en cuenta las normas generales y las normas específicas para su desarrollo.
Asegúrese de terminar la salida del nuevo plugin (si es un script) con un errorlevel 0
o el agente interpretará que el plugin ha tenido un error y no ha podido ejecutar el trabajo.
Utilizando plugins de Nagios desde Agente Software
Nagios tiene un gran número de plugins que puede utilizar con Pandora FMS. Un modo de hacerlo es utilizar los plugins remotos con el Plugin Server, usando la compatibilidad de Nagios.
Monitorización con KeepAlive
El módulo KeepAlive solamente se puede crear desde Consola, aunque no se tenga configuración remota habilitada y no deja ninguna traza en el fichero pandora_agent.conf
.
Un módulo singular en Pandora FMS es el tipo llamado keep_alive
, utilizado para alertar si un Agente Software ha dejado de enviar información.
Se debe ir a la pestaña de modulos (Management → Manage agents → clic en nombre de agente → Modules).
Se debe pulsar Create module y seleccionar Create a new data server module → Create → introducir nombre del nuevo módulo → Create.
Monitorización de capturas de comandos (Command snapshots)
Comandos que presenten salidas extensas, como top
o netstat -n
pueden ser capturados completamente por un módulo y reproducidos tal cual. El módulo debe configurarse como tipo texto, ejemplo:
module_begin module_name process_table module_type generic_data_string module_exec ps aux module_description Command snapshot of running processes module_group System module_end
- Para que esto funcione así, hay que configurar adecuadamente tanto la consola de Pandora (setup) como el agente que recoge esa información, asegurándose de que es texto sin tratar.
- En la Consola, se debe activar la opción Command line snapshot.
Monitorización y visualización de imágenes
Este método permite definir módulos de tipo cadena (generic_data_string
o async_string
) que contengan imágenes en formato texto con una codificación base64, pudiendo mostrar dicha imagen en lugar de un resultado concreto.
Por ejemplo:
#!/bin/bash echo "<module>" echo "<name>Actual leader</name>" echo "<type>async_string</type>" echo "<data><![CDATA[data:image/jpeg;base64,/9j/4AAQSkZ....]]></data>" echo "</module>"
Se graba ese contenido a un archivo en el agente (o distribuya por colecciones) y ejecútelo así:
module_plugin <complete path to the file>
Monitorización específica para Windows
- Si el nombre del proceso contiene espacios en blanco no use
“ ”
. - El nombre del proceso debe ser el mismo que muestra el Administrador de Tareas (
taskmngr
) de Windows, incluyendo la extensión.exe
. - Es importante respetar mayúsculas y las minúsculas.
Monitorización de procesos y watchdog de procesos
Monitorización de procesos
El parámetro module_proc comprueba si un determinado nombre de proceso está operando en esta máquina. Ejemplo:
module_begin module_name CMDProcess module_type generic_proc module_proc cmd.exe module_description Process Command line module_end
Se debe añadir el parámetro module_async yes:
module_begin module_name CMDProcess module_type generic_proc module_proc cmd.exe module_async yes module_description Process Command line module_end
Watchdog sobre procesos
La funcionalidad de Watchdog para MS Windows® permite iniciar de nuevo un proceso interrumpido, ejemplo:
module_begin module_name Notepad module_type generic_data module_proc notepad.exe module_description Notepad module_async yes module_watchdog yes module_user_session yes module_start_command "%SystemRoot%\notepad.exe" module_startdelay 3000 module_retrydelay 2000 module_retries 5 module_end
Monitorización de servicios y watchdog de servicios
Monitorización de servicios
El parámetro module_service comprueba si un determinado servicio se está ejecutando en la máquina. La definición de un módulo usando este parámetro sería:
module_begin module_name Service_Dhcp module_type generic_proc module_service Dhcp module_description Service DHCP Client module_end
Para que avise inmediatamente cuando un proceso deja de funcionar se debe añadir el parámetro module_async yes (ver normas comunes al principio de sección Windows):
module_begin module_name Service_Dhcp module_type generic_proc module_service Dhcp module_description Service DHCP Client module_async yes module_end
Watchdog de servicios
Funciona de manera similar al Watchdog de procesos. Ejemplo:
module_begin module_name ServiceSched module_type generic_proc module_service Schedule module_description Service Task scheduler module_async yes module_watchdog yes module_end
La definición del watchdog para servicios no requiere ningún parámetro adicional como el de procesos, porque esa información ya está dentro de la definición del servicio.
Monitorización de recursos básicos
Al instalar el Agente Software PFMS para MS Windows® se incluyen los módulos básicos necesarios, algunos vienen activos y otros se deben activar por Remote Configuration (o editando de manera local el fichero .conf
del agente).