Políticas de monitorización

El sistema de políticas está pensado para facilitar la gestión de grandes entornos de monitorización y permite propagar Módulos, alertas, alertas externas, plugins, inventarios remotos y colecciones a los Agentes de una manera centralizada y homogénea.

Más información en "Diferencias entre Plantillas, Políticas y Operaciones Masivas".

• Se puede acceder rápidamente a los componentes de una política cualquiera haciendo clic en los enlaces correspondientes.
• Permite agregar políticas preconfiguradas que se pueden descargar de la biblioteca de recursos de Pandora FMS.
• Al diálogo de filtrado de elementos se puede acceder con el atajo de teclado CTRL+f, incluso si está oculto por algún aviso.
• En la sección de configuración de cada agente (menú Management → Resources → Manage agents → Edit → Manage policy) se dispone de una pestaña de políticas específica para cada agente. La interfaz es similar a la de las políticas de monitorización y solamente afecta al agente elegido. Así se pueden realizar operaciones conjuntas seleccionando varias políticas a la vez, aplicar o eliminar simultáneamente. Los agentes agregados de esta manera también aparecerán en el apartado principal de las políticas de monitorización y se podrán manejar de manera masiva.

Se puede realizar desde la cabecera de búsqueda de Pandora FMS tanto en el Command Center (Metaconsola) como en cualquiera de sus nodos. Las búsquedas en el Command Center devuelven dos tipos de resultados:

• Búsqueda centralizada: Las políticas que se muestran son las que existen en el propio Command Center.
• Búsqueda no centralizada: Las políticas que se muestran se obtienen directamente de cada nodo, indicando su origen.

Menú Management → Configuration → Manage policies → Create.

Se introduce el nombre y grupo y se especifica si se aplicará a grupos secundarios y si será aplicación forzada para los agentes que carezcan de configuración remota habilitada (opción Force Apply). Clic de nuevo en Create para guardar.

Se hace clic en el icono correspondiente en la columna de opciones:

Véase la sección para importar y exportar en formato PRD.

Si una política tiene Agentes, el botón de eliminar estará deshabilitado y aparecerá un botón para eliminar todos sus Agentes.

Este botón introducirá en cola la eliminación de los Agentes. Una vez se procese, volverá a estar activo el botón para eliminar la política.

En la cola de operaciones de la política hay un resumen de los elementos que han sido cambiados desde la última vez que fue aplicada la política.

En esta lista tiene los elementos pendientes de actualizar y los pendientes de eliminar. Este resumen indicará si es necesario aplicar o no la política. En ocasiones, junto al icono de agentes pendientes de aplicar aparecerá un botón para aplicarlos.

• Si las modificaciones pendientes solamente afectan a la base de datos (por ejemplo, cambios en alertas) este botón solamente hará cambios a ese nivel, por lo que la aplicación será más rápida.
• En cambio, si se ha modificado la configuración que afecta a los ficheros de configuración (por ejemplo, si se han modificado colecciones o Módulos locales), la aplicación será completa.
• Debajo del resumen, en la parte derecha, hay un botón para aplicar todo, independientemente del tipo de modificaciones pendientes.

En la configuración de nodo se dispone de un token llamado Max. days before policy queue is purged, configurado por defecto a 7 días, para limpiar la base de datos de las colas de políticas de monitorización ya aplicadas.

Para configurar la política se debe pulsar en el nombre de la política. Una vez dentro, puede acceder a los diferentes apartados de configuración mediante el menú superior derecho.

Dentro de la configuración de una política, además del setup, dispone de las siguientes pestañas:

• Agentes.
• Módulos.
• Módulos de inventario.
• Alertas.
• Alertas externas.
• Colecciones.
• Linking.
• Cola.
• Plugins de Agente.
• Wizards de Agente.

Las operaciones posibles en una política son:

• Añadir/Eliminar uno o varios Agentes existentes a la política.
• Crear/Editar/Eliminar un Módulo.
• Definir/Editar/Eliminar un plugin de Agente.
• Crear/Editar/Eliminar una alerta.
• Crear/Editar/Eliminar una alerta externa.
• Añadir/Eliminar una colección existente.
• Añadir/Eliminar un Módulo de inventario existente.
• Enlazar a la política uno o varios Módulos adoptados.
• Aplicar los cambios hechos en la política.

Para agregar Agentes a la política se dispone en la parte superior de las opciones de filtrado para seleccionar en grupo los Agentes que necesite seleccionándolos mediante las teclas Control Ctrl o Mayúscula Shift. En la parte inferior de la ventana se dispone de una lista con todos los Agentes asociados a la política, incluyendo los que están pendientes de eliminarse de la misma.

Así mismo la lista de Agentes dispone de un filtro por grupo, subcadena o su estado de aplicación.

• Cuando un Agente es eliminado aparecerá con el nombre resaltado en color rojo y en lugar de un botón de eliminado mostrará un botón para deshacer la eliminación y volver a asociar el Agente a la política.
• Recuérdese que el añadir o eliminar Agentes de la política solamente se hará efectivo cuando se aplique la política en el apartado “Queue”.

En Apply to se selecciona Groups y a continuación se busca y selecciona los grupos necesarios. Luego se añade a la lista con Groups in policy. En la parte inferior de la ventana se mostrará una lista con todos los grupos asociados a la política, incluyendo los que están pendientes de eliminarse de la misma.

Cuando un grupo es eliminado aparecerá con el nombre tachado y en lugar de botón de eliminado aparecerá un botón para deshacer la eliminación y volver a asociar el grupo a la política. También aparecerán tachados los Agentes que perteneciesen al grupo.

El añadir o eliminar grupos de la política no se hará efectivo hasta que sea aplicada “Queue”.

Borrar un módulo ya creado

Para eliminar un Módulo de la política y quitarlo de la configuración de los Agentes se debe pulsar en el icono de la papelera que se encuentra a la derecha del Módulo. Al hacerlo, el Módulo permanecerá en la lista pero con el nombre tachado y el botón de la papelera se convertirá en un botón para deshacer la eliminación.

Si se necesita eliminar varios módulos, se pueden seleccionar cada uno en el cuadro que se encuentra a la derecha de la papelera y luego pulsar el botón Delete.

Los Módulos de tipo Data Server se añaden a los EndPoints PFMS. Para trabajar con estos Módulos es necesario que los agentes tengan habilitada la configuración remota.

Elijase la opción Endpoint module, botón Create.

Bien se pueden rellenar los campos de la pestaña Basic o, de haber definido con anterioridad un componente local, seleccionarlo. Puede obtener más información acerca de la descripción de estos campos en el tema Plantillas y componentes.

El campo Data configuration es el que permite introducir el código del Módulo en sí mismo que se aplicará a los Agentes que se suscriban a dicha política. Esta modificación se verá reflejada en el fichero pandora_agent.conf del propio Endpoint.

Este tipo de módulos ICMP son ejecutados por el PFMS Server.

Para crear un Módulo de tipo ICMP se elige la opción Network ICMP module y se pulsa el botón Create. Se recomienda utilizar las dos opciones preconfiguradas en la lista Using network component → Network Management: Host alive para monitorizar la disponibilidad y conectividad de un dispositivo y Host latency para medir su tiempo de acceso. De existir en el agente unos módulos con el mismo nombre estos pasarán a ser módulos adoptados.

Para Target IP (address) existen tres opciones:

1. Auto: Se actualiza siempre con la primera dirección IP que tiene el agente al cual se le aplicará la política.
2. Force primary key: Opción por defecto, el módulo se crea con la dirección IP principal del agente en el momento de aplicar la política, si la dirección IP del agente se cambia la dirección IP antigua se mantiene.
3. Custom: Permite asignar una dirección IP específica en la política, para ello aparecerá un cuadro de texto al escoger esta opción.

Este tipo de módulos TCP son ejecutados por el PFMS Server.

Las mejores opciones a utilizar están en los componentes de red (del listado Using network component) y que vienen incluidos por defecto con Pandora FMS. La flexibilidad de PFMS permite crear a cada cliente sus propios componentes y utilizarlos en sus propias políticas de monitorización.

Para Target IP (address) existen tres opciones:

1. Auto: Se actualiza siempre con la primera dirección IP que tiene el agente al cual se le aplicará la política.
2. Force primary key: Opción por defecto, el módulo se crea con la dirección IP principal del agente en el momento de aplicar la política, si la dirección IP del agente se cambia la dirección IP antigua se mantiene.
3. Custom: Permite asignar una dirección IP específica en la política, para ello aparecerá un cuadro de texto al escoger esta opción.

Pandora FMS tiene preconfigurados algunos componentes SNMP en el listado Using network component más la Monitorización SNMP es vasta. Dicho esto es sumamente importante conocer el OID (Object IDentifier o Identificadores de Objetos) a emplear. Se cuenta con un explorador SNMP (botón SNMP Walk) donde se colocarán de manera manual las credenciales y parámetros del dispositivo a monitorizar a fin de obtener los valores OID y sus respuestas.

Para Target IP (address) existen tres opciones:

1. Auto: Se actualiza siempre con la primera dirección IP que tiene el agente al cual se le aplicará la política.
2. Force primary key: Opción por defecto, el módulo se crea con la dirección IP principal del agente en el momento de aplicar la política, si la dirección IP del agente se cambia la dirección IP antigua se mantiene.
3. Custom: Permite asignar una dirección IP específica en la política, para ello aparecerá un cuadro de texto al escoger esta opción.

El sistema operativo MS Windows® tiene un sinfín de consultas de tipo WMI, las más importantes está prerregistradas con PFMS y se pueden escoger en la lista Using network component.

Para Target IP (address) existen tres opciones:

1. Auto: Se actualiza siempre con la primera dirección IP que tiene el agente al cual se le aplicará la política.
2. Force primary key: Opción por defecto, el módulo se crea con la dirección IP principal del agente en el momento de aplicar la política, si la dirección IP del agente se cambia la dirección IP antigua se mantiene.
3. Custom: Permite asignar una dirección IP específica en la política, para ello aparecerá un cuadro de texto al escoger esta opción.

En la pestaña Basic → Command se debe insertar la instrucción a ejecutar de manera remota. Se deben utilizar comillas simples cuando sea necesario. Si se necesita usar comillas dobles, escapar con una barra invertida (\").

De acuerdo al comando introducido y su respuesta cuando sea ejecutado se debe seleccionar el tipo de módulo adecuado (numérico, booleano, alfanumérico, datos incrementales).

En la lista Using network component se incluyen gran cantidad de componentes clasificados según sistema operativo (verificar si coincide con el propósito general de la política en cuestión) o uso (General group).

Para Target IP (address) existen tres opciones:

1. Auto: Se actualiza siempre con la primera dirección IP que tiene el agente al cual se le aplicará la política.
2. Force primary key: Opción por defecto, el módulo se crea con la dirección IP principal del agente en el momento de aplicar la política, si la dirección IP del agente se cambia la dirección IP antigua se mantiene.
3. Custom: Permite asignar una dirección IP específica en la política, para ello aparecerá un cuadro de texto al escoger esta opción.

Elijase la opción Web module → Create. Se configuran los campos del Módulo y se accede al apartado de Web checks.

Dependiendo del tipo de módulo elegido, el cual depende del chequeo correspondiente (campo Web Checks), se deberán configurar los umbrales e incluso el tipo de autentificación, credenciales, etcétera. Para guardar se utiliza de nuevo el botón Create.

Para crear un módulo de tipo predictivo tómese la opción Prediction module → Create.

En la lista Source module se pueden escoger los módulos de la misma política (exceptuando si se elige Service) como fuente de datos para calcular la predicción. En la lista Module type se debe elegir el tipo de módulo de acorde con la selección hecha. Para mayores detalles consúltese el tema Inteligencia Artificial.

Se elige la opción Plugin module → Create. Se introduce el nombre y se disponen de dos maneras de elegir plugin:

• Mediante la lista Using network component la cual automáticamente configura nombre y tipo de módulo (y el plugin en sí mismo).
• Por medio de la lista Plugin y se deberá escoger en Module type un elemento que se corresponda con el plugin seleccionado.

En ambos casos se deben rellenar los campos particulares del plugin elegido (se recomienda leer la ayuda incorporada en los que trae PFMS al ser instalado) y los umbrales a monitorizar para el cambio de estado del futuro módulo creado por la política.

Una vez se hayan rellenado todos los campos, se pulsa en el botón Create para guardar el nuevo módulo de la política de monitorización.

En este caso se carece de un componente de red por lo que su configuración se debe realizar según se indica en el tema Monitorización API.

En una política también se pueden crear Módulos de inventario, escogiendo uno de la lista de los disponibles en el sistema, un intervalo y las credenciales.

Al igual que con el resto de elementos de las políticas de monitorización, si se elimina un módulo de inventario aparecerá tachado y en lugar del botón de eliminado aparecerá un botón para deshacer la acción.

Para más información acerca de añadir Módulos de inventario remoto se puede consultar “Módulos de inventario”.

Cuando se crea un Módulo a partir de una política aparece referenciado a través del icono de políticas.

Estos Módulos son creados en la política de monitorización y al aplicar la política se crean también en el Agente. Se pueden enlazar y desenlazar Módulos desde la página de configuración del propio Módulo pulsando este botón.

Los Módulos no enlazados son los que pertenecen a una política pero que no son sensibles a los cambios que se realicen en ella. Pueden ser útiles porque permiten establecer excepciones individuales a Módulos pertenecientes a una política. De esta manera se puede personalizar un Módulo de un Agente determinado dentro de una política sin sacarlo de ella.

Estos Módulos fueron creados en la política con el mismo nombre de un Módulo ya existente en el Agente. Al aplicar la política Pandora FMS se usarán los datos del Módulo existente en lugar de crear un nuevo Módulo y seguirá gestionándose desde el Agente.

Se puede enlazar un Módulo adoptado para hacer uso de la definición establecida en la política de monitorización en lugar de la local. De esta forma, al gestionar el Módulo desde la política, cuando realice un cambio este módulo cambia.

Para añadir una alerta se asocia una de las plantillas de alerta Alert template, definida previamente con un Módulo perteneciente a la política, y luego se hace clic en el botón Add para finalizar.

Se pueden añadir acciones, poner en espera (standby) o desactivar una alerta. Si se desea cambiar el Módulo o la plantilla se debe borrar y crear una nueva alerta.

Para eliminar la alerta de la política y quitarla de la configuración de los Agentes se debe pulsar el icono de la papelera que se encuentra a la derecha de la alerta. Al hacerlo, la alerta permanecerá en la lista pero con el nombre tachado y el botón de la papelera se convertirá en un botón para deshacer la eliminación.

Las Alertas Externas permiten enlazar alertas con Módulos de Agentes que no están en la lista de Módulos de la política de monitorización. Es muy útil para asignar alertas solamente a algunos Módulos de Agente y no a todos ellos.

Para crear una Alerta Externa se debe rellenar el siguiente formulario:

La única edición permitida es el agregado o borrado de acciones de la alerta externa. Para otros cambios se deberá borrar y crear de nuevo.

Para eliminar la Alerta Externa de la política y quitarla de la configuración de los Agentes se pulsa en el icono de la papelera que se encuentra a la derecha de la Alerta Externa.

El sistema de borrado es igual que el de las alertas normales; no se hará efectivo hasta que se aplique la política “Queue”.

Uno o varios módulos pueden tener diferentes acciones desde diferentes políticas de monitorización.

El modo de añadir plugins en políticas es exactamente igual a como se realiza en un Agente. Puede consultar el apartado “Plugins en EndPoints” para más información.

Complementando la Monitorización SIEM se dispone de la funcionalidad File Integrity Monitoring (FIM) aplicada a políticas, la cual permite llevar control de la integridad de cada fichero importante según cada sistema operativo.

File collections son recursos utilizados para desplegar de forma masiva los scripts o plugins para luego ser utilizados en EndPoints, Políticas de monitorización sobre agentes y en los Satellite servers.

Al editar una política de monitorización y hacer clic en la pestaña Collections se mostrará un listado con las colecciones disponibles. Se podrán agregar o remover para luego aplicar la Queue de cambios.

Es posible gestionar políticas desde el Command Center (Metaconsola). El proceso consiste en repartir la información a todos los nodos para que cada uno de los servidores se encargue de aplicarlas. Este reparto de información es complejo, ya que es importante que todos los nodos dispongan de los mismos datos que el Command Center.

Volver al índice de documentación de Pandora FMS