Gestión de la Consola

En esta sección se tratan varios aspectos sobre la gestión de Pandora FMS: la creación de usuarios, la administración de grupos, los respaldos o backups, etcétera.

Pandora FMS es una herramienta de gestión web. Gracias al sistema de permisos 100% multitenant pueden trabajar múltiples usuarios con diferentes permisos accediendo a la información del mismo setup de Pandora FMS sin que unos vean la información de otros.

Para añadir usuarios, es importante tener bien definidos los grupos y perfiles teniendo claro qué datos necesita que visualice y/o modifique cada usuario.

Los usuarios se gestionan desde Management → Profiles → Manage users. De manera predeterminada podrá visualizar los usuarios definidos:

Campos notables al crear o editar:

• Administrator user: Un usuario Administrador (superadmin) no se regirá por el sistema de ACL interno y tendrá acceso a todo. El usuario estándar se regirá por los permisos ACL de Pandora FMS que tengan asignado.
• Login Error: Si se marca este campo, el usuario solamente podrá acceder a la API pero no de forma interactiva a través de la consola.
• Local user: Para realizar autenticación de usuario contra base de datos propia. PFMS admite, además, otros métodos de autenticación.
• Session timeout based on: Por defecto activado, verifica si no ha habido actividad en el período de tiempo establecido en Session timeout (mins) para cerrar sesión.
• Session timeout (mins):
  • El valor por defecto es 0 minutos.
  • Cuando se establece este valor a 0 para un usuario, Pandora FMS utilizará el valor guardado en la Configuración General, sección autenticación.
  • Si se desea mantener la sesión sin expiración se debe colocar -1. Un usuario con sesión iniciada en la Consola web y con una pantalla activa tiene auto refresco y no se considerará inactividad.
• Language: Por defecto es el del sistema. También se puede asignar un idioma en concreto en el que el usuario verá la Consola de Pandora FMS.
• Block size for pagination: Tamaño por defecto de paginación para ese usuario.
• Timezone: Campo donde se pone la franja horaria de la consola para visualización de distintos elementos (Vista general de agentes, Vista de módulos, …).
• Login allowed IP list: Si activa esta opción se limitará el inicio de sesión a un listado de direcciones IP (y/o rangos) separadas por comas. Para conectar desde cualquier dirección IP se utiliza el comodín *.
• Profiles/Groups assigned to this user: Selección de perfiles y/o grupos en los que se organizará o a los que tendrá acceso el usuario.

Todos los usuarios pueden modificar ciertos parámetros de su propia configuración en Workspace → Edit my User. Aparecerá el formulario de creación de usuarios donde se pueden configurar algunos apartados, exceptuando los permisos sobre grupos.

Los usuarios de tipo superadmin pueden establecer su propia plantilla de configuración visual por medio del menú Operation → Workspace → Visual styles.

Pandora FMS tiene un sistema de notificaciones para sus usuarios y, además, para facilitar su administración también tiene la gestión por grupos. Los diferentes tipos de notificación son los siguientes:

1. System status: Estado del sistema, estas notificaciones las origina el propio PFMS Server.
2. Message: Mensajes entre usuarios.
3. Pending task: Tareas pendientes de funcionalidades tales como Discovery PFMS.
4. Advertisement: Avisos con interesantes propuestas de Pandora FMS.
5. Official communication: Comunicados oficiales para asuntos extraordinarios.
6. Sugerence (Suggestions): Sugerencias y consejos.

ENABLE USER CONFIGURATION: Este token, para cada una de las seis anteriores categorías, habilita que los usuarios en el apartado de Operation → Workspace → Configure user notifications puedan habilitar o deshabilitar dichas notificaciones en consola y/o por correo electrónico.

• Si un usuario pertenece a un grupo y dicho grupo es agregado a una de las categorías de notificación, dicho usuario tendrá activo las notificaciones de Consola web para esa correspondiente categoría de notificación, sin embargo no podrá modificarla incluso si el ENABLE USER CONFIGURATION se encuentra activado (para dicha categoría).
• Todo superadmin que sea agregado luego estará en todas las categorías de notificaciones. Cuando un nodo resulta centralizado en un Command Center las notificaciones a los superadmin tienen algunas diferencias en su funcionamiento, véase «Instalación y configuración del Command Center».

Por medio del perfil de usuario del navegador web donde se haya iniciado sesión, Pandora FMS es capaz de enviar notificaciones emergentes al sistema operativo donde se ejecute dicho navegador.

Por defecto cada navegador viene configurado para preguntar al usuario si desea permitir notificaciones, aunque en algunos casos está expresamente bloqueado:

• Protocolo HTTP, el cual permite interceptar su contenido por terceras personas.
• El modo de navegación anónima (Incognito mode), así sea realizada con HTTPS.
• En Chromium® y Google Chrome® el modo de invitado (Guest mode), así sea en HTTPS.
• Si está bloqueado de manera explícita en el perfil de usuario de navegador. Cada usuario de un sistema operativo puede crear tantos perfiles como desee en cada navegador web, Pandora FMS solamente notificará en el perfil utilizado para acceder a la Consola web.

Al activar el token Enable Web Push Notifications le será preguntado a cada usuario, en cierto momento, si desea permitir notificaciones emergentes. Al oprimir el botón para aceptar el navegador informará si es posible o no la petición.

Con el botón Send test notification se podrá realizar una prueba rápida de funcionamiento teniendo siempre en cuenta que todos y cada una de las suscripciones listadas les llegará dicho mensaje. Úsese con moderación esta opción.

Si un usuario desea restringir o eliminar por completo las notificaciones emergentes tiene algunas opciones a su alcance:

• Limpiar los datos de navegación del perfil utilizado para alcanzar la Consola web PFMS.
• Bloquear en el perfil de navegador las notificaciones.
• Si solamente se utiliza para la Consola web: Borrar el perfil de navegador (los datos de otros sitios web utilizados allí también serán borrados).
• Crear un nuevo perfil de navegador y elegir No cuando le sea consultado.

El concepto grupo en Pandora es fundamental. Los grupos son conjuntos de elementos con sus propias reglas cuya función es ayudar a controlar el acceso de los usuarios a determinados aspectos o elementos dentro de Pandora FMS.

Pandora FMS tiene un sistema de grupos, que son unas entidades en las que se clasifican los agentes y se utilizan para disgregar privilegios. De esta manera, a los usuarios se les otorga ciertos permisos enmarcados en uno o varios grupos y tendrán así, la capacidad de ver e interactuar con los agentes y demás objetos de su contexto.

Para facilitar la asignación y filtrado de los grupos, se dispone de una herramienta denominada grupo All. El grupo All significa, en función del contexto, TODOS los grupos o CUALQUIERA de ellos.

Su identificador reservado es el ID 0 (Identificador cero), con la diferencia de que es totalmente controlado por código, sin existir un grupo con ese ID en la base de datos.

Para crear un grupo de agentes se utiliza el botón Create group, campos notables:

• Para poder emplear el nombre de grupo en la provisión automática de Agentes, se recomienda que carezca de espacios ni caracteres extendidos (aunque está soportado).
• Parent: Se puede definir otro grupo como padre del grupo que se está creando.
• Password: Contraseña opcional. Permite restringir la auto creación de Agentes (provisión automática de EndPoints o Satellite Server) de forma que solamente podrán crearse Agentes que tengan la misma contraseña que la definida en este campo. No utilice espacios o símbolos.
• Alerts: Si se marca, los Agentes pertenecientes al grupo podrán enviar alertas. Se puede utilizar esta propiedad para desactivar de forma rápida la generación de alertas de un grupo determinado de Agentes.
• Propagate ACL: Si está habilitado, los grupos hijos tendrán los mismos permisos ACL que este grupo.
• Custom ID: Los grupos tienen un ID en la Base de Datos, en este campo es posible poner otro ID personalizado que pueda ser usado desde un programa externo para realizar una integración (CMDB, etcétera).
• Contact y Other: Información de contacto y notas a través de las macro _groupcontact_ y _group_other_.
• Se puede limitar la cantidad de Agentes en cada grupo por medio del campo Max agents allowed. El valor por defecto es cero (sin límite). También por medio de la API de Pandora FMS, al crear un grupo o editar un grupo, puede establecer el número máximo de Agentes en un grupo, en caso de ser necesario.

Cada grupo puede activar su propio tema (plantilla de estilo) en la sección Group settings → Style configuration y personalizar los parámetros del tema escogido, de ser necesario. La interfaz comparte aspecto con la utilizada en la configuración visual general. Si un usuario pertenece a un grupo que tiene activada esta característica usará el tema visual establecido en vez de lo especificado en la configuración general. Si un usuario pertenece a varios grupos, al iniciar sesión se buscará en el primer grupo distinto de All que tenga habilitada la configuración visual y esta será aplicada a la Consola web. Por último, un usuario también podrá habilitar su propia configuración visual la cual tendrá preferencia sobre las opciones visuales de grupo.

pandora_manage \ 
  /etc/pandora/pandora_server.conf \ 
  --update_agent \ 
  "pandora.internals" \ 
  "group_name" \ 
  "New_group" \ 
  "use_alias"

Esta extensión permite importar un fichero con registros (cuyos campos estén separados por comas , o por otro carácter que escoja de la lista Separator), al Pandora FMS Server.

El archivo CSV debe contener los siguientes campos ordenados:

Se elige el fichero a importar pulsando en el botón Select a file, escogiendo el carácter separador correspondiente y pulsando en el botón Go.

Existen perfiles precargados y también se pueden crear todos los perfiles que sean necesarios teniendo en cuenta los perfiles a continuación.

Esta lista define qué habilita cada perfil:

Desde la edición de usuario, se le puede asignar a un usuario el acceso a uno o varios grupos con un perfil determinado:

Se han tenido en cuenta varios posibles escenarios:

• Un usuario manager con permisos UM que pertenezca al grupo ALL podrá gestionar cualquier usuario sin importar el grupo al que pertenezca.
• Se pueden añadir accesos a grupos antes de crear un usuario como tal.
• Un usuario manager puede editar perfiles y grupos solo sobre los usuarios que puede ver porque pertenezcan a los grupos que gestiona con permisos UM.
• Un usuario administrador puede crear otros usuarios administradores y puede gestionar cualquier otro usuario, pero en ningún caso un usuario manager con permisos UM puede quitarle permisos UM a otro usuario que tenga los mismos permisos sobre el mismo grupo. Esto solo podrá modificarlo un administrador.
• Un usuario manager sin permisos UM sobre un grupo, no puede ver que usuarios pertenecen a ese grupo.
• Un usuario manager puede eliminar la relación de usuarios con los grupos que gestiona e incluso el usuario completo si este solo tiene relación con los grupos que gestiona.

• Un usuario manager que tenga permisos UM en un grupo y en otro no, puede ver solo la información perfil/grupo de los grupos que gestiona, aunque el usuario que observa tenga más permisos de otros grupos. El resto de la información del usuario será ajena al usuario manager. De esta forma el usuario manager solo podrá obtener información o modificar los permisos sobre los grupos que gestiona, pero en ningún momento podrá eliminar más permisos o eliminar al usuario.

El acceso individual a los módulos de un agente se puede configurar con un sistema de Etiquetas (Tags). Se configuran unas etiquetas en el sistema, se asignan a los módulos que se necesiten y, de manera adicional, se puede restringir el acceso a un usuario solo a los módulos que tengan esas etiquetas definidas.

Las Tags se definen en Management → Profiles → Module Tags.

En la configuración de un módulo se le puede asignar (de manera opcional) uno o varios tags:

Para asignar a un usuario un acceso específico a un tag, se debe hacer través del editor de usuarios, en la asignación de perfil y grupo, añadiendo un tag:

En apartados anteriores se explicó que los permisos de un grupo se pueden extender a los hijos mediante la opción de configuración Propagate ACL. Sin embargo, desde la configuración de usuarios, se puede limitar esta funcionalidad y evitar que el ACL se propague marcando No hierarchy.

Los grupos secundarios son opcionales.

El hecho de que un agente pertenezca a un grupo secundario significa que, en realidad, pertenece a varios grupos a la vez. Con esta funcionalidad, dos usuarios que tengan permisos diferentes podrán tener acceso al mismo agente con solo añadir los grupos secundarios adecuados.

El modelo de ACL Open Source está basado en estilo Unix: role/action/group/user .

El sistema ACL Advanced permite definir -según perfil- a cuáles páginas (definidas una a una o por “grupos”) tienen acceso los usuarios. Esto permitirá redefinir las secciones de la interfaz que puede ver un usuario con el sistema clásico ACL de Pandora FMS.

Los grupos y perfiles están pensados para que un usuario tenga diferentes roles en Pandora FMS. Los elementos básicos de monitorización como agentes y módulos se rigen por estas reglas básicas de grupo/perfil, teniendo en cuenta cómo se amplían con el uso de grupos secundarios y permisos de tags.

Otros elementos de Pandora FMS como informes, Consolas visuales, mapas de red y dashboards, actúan como contenedores. Si un usuario (con visibilidad de todos los datos gestionados) crea un informe y lo asigna a un grupo general, los usuarios con acceso a ese grupo podrán ver el informe y todo su contenido, incluso aunque no tengan acceso por permisos a los elementos individuales de su informe.

• Algunos widgets del dashboard como el treeview o en el control de eventos del dashboard, ya que permiten interactuar con los datos (para validar eventos) o en elementos independientes de la Consola visual donde se puede restringir la visualización de un elemento de la Consola a un grupo determinado.
• Se debe tener en cuenta que el propósito de tales elementos, cuando se da acceso en modo lectura, es para poder acceder a datos que de otra manera no se podrían visualizar por ese usuario. Puede ocurrir que el usuario tenga acceso de lectura y escritura. En tal caso, cuando edite uno de esos contenedores, solo podrá agregar elementos a los que tiene acceso y podrá borrar elementos a los que no tiene acceso, pero no podrá agregarlos de nuevo.

Cada servidor tiene sus propios iconos, generalmente Data Server es el primero en la lista y ostenta los siguientes botones de opciones:

• Reset module status and triggered alerts count: Para reiniciar conteos de alertas disparadas y módulos.
• Edit: Para cambiar la dirección IP y descripción del servidor.
• SSH tunnel config: Permite utilizar el Exec Server de forma automática para hacer uso de los wizard o Consola SNMP. Esta opción también está disponible para los Satellite Servers.
• Manage server conf: Abre el Advanced editor el cual permite editar de manera remota el fichero de configuración principal ubicado en
  /etc/pandora/pandora_server.conf.
• Remote configuration: Redirige al Standard editor el cual presenta una interfaz gráfica amigable e igualmente escribe y mantiene sincronizados los cambios en el fichero de configuración principal ubicado en
  /etc/pandora/pandora_server.conf.
• Delete: Para borrar el servidor. Al aceptar el mensaje de confirmación los módulos que ejecuta tal servidor dejarán de funcionar.

Se accede por medio del menú Management → Servers → Manage consoles.

Para balancear la carga en la ejecución de tareas de consola en Discovery server, podrá declarar y agregar consolas en la sección config.php.

Se accede por medio del menú Management → Servers → Manage database HA, si se dispone de centralización en Command Center (Metaconsola) se deberá utilizar el menú Setup → Manage database HA.

Permite visualizar y realizar acciones sobre los nodos que integran el sistema de Alta Disponibilidad:

Menú Management → Configuration → Credential Store.

Pandora FMS dispone de un almacén de credenciales. Este almacén gestiona las identidades que se utilizarán en secciones como Discovery Cloud o el despliegue automático de EndPoints.

Para agregar una nueva entrada se deberá presionar el botón Add key, y se dispone de siete tipos distintos de credenciales para registrar:

1. Credenciales de Amazon Web Services® (AWS®).
2. Credenciales de Microsoft Azure®.
3. Credenciales personalizadas.
4. Credenciales de Google®.
5. Credenciales de SAP®.
6. Credenciales tipo WMI.
7. Credenciales tipo SNMP para las versiones v1, v2, v2.c y v3 (MD5, SHA, SHA256, SHA512, AES192 y AES256).

El grupo asignado a la clave controla la visibilidad de la misma. Solamente se podrá asignar un grupo al cual pertenezca el usuario que está creando la credencial, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (ALL). Una vez agregada, se podrá consultar, filtrar, etcétera.

Pandora FMS tiene un sistema de gestión de paradas de servicio planificadas o agendadas en el menú Management → Alerts → Scheduled downtime.

Este sistema permite desactivar las alertas en los intervalos que existe una parada de servicio, desactivando los agentes.

Pandora FMS guarda un registro o log de todos los cambios y acciones de importancia producidos en la Consola de Pandora FMS. Puede obtener más información en la sección Log de auditoría.

Menú Management → Admin tools → Extension management → System logfiles. Desde esta extensión se podrán consultar los logs tanto de la consola como del servidor local.

Si no se pudiera ver el contenido, configure los permisos de sus archivos de log, ejecute en una ventana terminal con los permisos adecuados:

chown -R pandora:apache /var/log/pandora/

Puede ajustar las opciones del rotador para que mantenga esta configuración, modificando el archivo /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

Por otra parte también existe una configuración específica para la rotación de logs de la consola en /etc/logrotate.d/pandora_console:

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

Para realizar el mantenimiento de la base de datos PFMS de forma regular, los administradores pueden usar comandos MySQL estándar desde línea de comandos o pueden gestionar la Base de Datos desde la Consola con varias extensiones para ello.

Conocido en versiones anteriores como Network Tools, ahora está ubicado en Management → Setup → Setup → External Tools.

• Permite personalizar los sonidos de las alertas sonoras.
• De ser necesario se puede indicar la ruta completa a las utilidades snmp, ping, etcétera.
• Se pueden agregar comandos personalizados, los cuales pueden hacer uso de macros como _address_ (dirección IP de un agente) como parámetro para ejecutar el comando respectivo.

Para la opción de respaldo (backup) consulte la sección Discovery - Console Tasks.

Es una extensión que permite registrar plugins del servidor y se accede por Management → Servers → Register plugin.

Para registrar un plugin se elige el archivo pulsando en Browser y luego en Upload.

Puede encontrar más información sobre los plugins del servidor (formato de los ficheros .pspz) en la sección "Desarrollo de plugins de servidor".

Se accede a esta extensión desde Management → Resources → Insert Data. Permite agregar datos a un módulo de agente, indicando fecha y hora del mismo y guardando con el botón Update.

También permite importar datos en un archivo separado por comas (CSV) a un módulo de agente. El formato del fichero CSV debe ser fecha y valor, separados por punto y coma, uno por cada línea. La fecha se debe dar en formato Y/m/d H:i:s.

chown -R pandora:apache /var/spool/pandora/data_in

Menú Management → Resources → Resource registration.

Esta extensión permite importar ficheros en formato .prt que contienen la definición de network component, smnp component, local component o wmi component. Además se pueden añadir todos ellos (menos el local component) a un template.

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

Menú Management → Resources → Resources export/import.

La nueva funcionalidad permite exportar e importar en formato PRD el cual es independiente de los identificadores de base de datos, todo esto para permitir la mayor flexibilidad al momento de copiar y/o mover elementos entre servidores PFMS.

Se elige un tipo de elemento y luego se marca uno de los elementos existentes a exportar a un fichero con nombrado automático. Se copia el fichero o ficheros al PFMS server destino y se importa(n), dado el caso se informará de los elementos incompatibles.

Los elementos disponibles a ser exportados son:

• Custom graph.
• Custom report.
• Dashboard.
• GIS map.
• Network map.
• Policy.
• Service.
• Visual Console.

Esta extensión pertenece al menú Management → Setup → Translate string y permite traducir cadenas de texto de la interfaz de Pandora FMS de manera personalizada.

• Language: Permite filtrar la cadena por idioma.
• Free text for search (*): Contenido de la cadena que se quiere personalizar.

Aparecerán tres columnas: en la primera mostrará la cadena original, en la segunda la traducción actual y en la tercera la traducción personalizada que se quiere añadir. Complete esta última columna y haga clic en el botón Update para guardar.

Esta sección permite interactuar con los usuarios de Pandora FMS, o bien editar los detalles del propio usuario, así como algunas operaciones diversas, como acceso al sistema de incidencias (para abrir tickets), chat con otros usuarios conectados de Pandora FMS, etcétera.

Menú Management → Configuration → EndPoints repository.

El repositorio de EndPoints forma parte del Despliegue automático de EndPoints, el cual controla las versiones disponibles de los instaladores de EndPoints (programas) para ser desplegados.

Para agregar un nuevo instalador al repositorio se presiona el botón Add new software. Se rellena la información correspondiente al tipo de sistema operativo, tipo de arquitectura, versión y se selecciona el fichero a subir. Se hace clic en el botón Ok y en unos instantes estará almacenado.

En el listado de ficheros registrados existe la columna de opciones la cual contiene botones de edición, borrado y sincronización correspondiente a cada renglón.

Volver al índice de documentación de Pandora FMS