Gestion et administration de la console

Retour à l'index de documentation du Pandora FMS

Cette section s’agit de divers aspects de la gestion quotidienne de Pandora FMS tels que : création d'utilisateurs, gestion de groupes, sauvegardes, espace de travail, etc.

Pandora FMS est un outil de gestion Web. Grâce au système d'autorisation 100% multi-entité , plusieurs utilisateurs avec des autorisations différentes peuvent travailler en accédant aux informations de la même configuration Pandora FMS sans voir les informations des autres.

Pour ajouter des utilisateurs, il est important d'avoir des groupes et des profils bien définis, et savoir quels données vous voulez que chaque utilisateur visualise et / ou modifie.

Les utilisateurs sont gérés depuis Profiles → Manage users:

Vous pouvez voir la liste des utilisateurs définis de manière prédéterminée.

La définition d'un utilisateur se compose des champs suivants:

• User ID: identifiant que l'utilisateur utilisera pour s'authentifier dans l'application. Cet identifiant est une valeur qui ne doit pas contenir de caractères rares ou d'espaces.
• Full Display Name: champ où le nom complet est donné, il s'agit d'un champ descriptif et peut contenir des espaces et des caractères non standard.
• Password: Mot de passe de l'utilisateur pour y accéder. Entrez-le à nouveau dans la zone Password confirmation.
• Timezone: Champ où le créneau horaire de la console est placé pour afficher différents éléments (vue général d'agents, vue de modules…).
• Administrator user: Un utilisateur Administrateur (superadmin) ne sera pas régi par le système ACL interne et aura accès à tout. L'utilisateur standard sera régi par les autorisations Pandora FMS ACL qui leur sont attribuées.
• Extra info: Zones optionnelles pour ajouter des informations extra de l'utilisateur comme le courriel elctronique el le numéro de téléphone.
  • Login Error: Si cette zone est cochée, l'utilisateur pourra seulement accéder à l'API mais pas de manière interactive à travers la console.
  • Local user: Pour effectuer l'authentification de l'utilisateur contre sa propre base de données. PFMS prend également en charge d'autres méthodes d'authentification.
  • Session time:
    • Ce paramètre est utilisé lorsqu'un utilisateur est connecté à PFMS et ferme ensuite le navigateur Web. Si un utilisateur utilise la Console PFMS, cet utilisateur ne sera jamais déconnecté par PFMS.
    • La valeur par défaut est de 0 minute et lorsque cette valeur est établie pour un utilisateur, Pandora FMS utilisera la valeur enregistrée dans la section Configuration générale, authentification.
    • Si vous définissez la valeur -1, le navigateur Web contenant la session ouverte d'un utilisateur reprendra cette session, quel que soit le temps pendant lequel le navigateur Web a été fermé.
• Language: Par défaut celui du système. Vous pouvez aussi attribuer une langue paarticulière dans laquelle l'utilisateur verra la console Pandora FMS.
• Skin: Champ où vous pouvez choisir un skin personnalisé (ensemble de couleurs et styles pour la console Pandora FMS).
• Interactive charts: champ où vous pouvez choisir si l'utilisateur voit les graphiques dynamiques ou statiques. Ce paramètre permet de « remplacer » celui défini par le système.
• Block size for pagination: Taille de pagination par défaut pour cet utilisateur.
• Not login: si ce champ est marqué, l'utilisateur ne peut accéder qu'à l'API mais pas de manière interactive via la console.
• Home screen: Modifiez l'écran par défaut que l'utilisateur entre après se connecter à la console, par exemple, le visualiseur d'événements ou une console visuelle définie par l'administrateur.
• Default event filter: Il permet de définir le filtre par défaut que l'utilisateur aura lors de l'accès à la vue d'événement. Ensuite, vous pouvez le changer, mais ce sera celui qui s'applique par défaut.
• Comments: Information additionnelle aux zones définies préalablement.
• Profiles/Groups assigned to this user: Sélection de profils et/ou groupes auxquels l'utilisateur aura accés.

Tous les utilisateurs peuvent modifier certains paramètres de leur propre configuration dans Workspace > Edit my User.

Le formulaire de création d'utilisateur apparaît, dans lequel certaines sections peuvent être configurées, à l'exception des autorisations de groupe.

Afin de personnaliser les notifications d'un utilisateur connecté, l'administrateur doit vous avoir préalablement autorisé à modifier les notifications. En cas d'avoir une telle autorisation, ainsi que toutes les options activées, les notifications et leur envoi par e-mail peuvent être activées/désactivées.

Les notifications vous permettront de voir à l'écran les notifications relatives aux sections suivantes :

• System status (État du système).
  1. NOTIF.LICENSE.LIMITED: Alerte de licence limité en ce qui concerne le nombre d'appareils.
  2. NOTIF.LICENSE.ATTACHMENT: Alerte de trop de fichiers en pièce jointe.
  3. NOTIF.FILES.DATAIN: Alerte de fichiers .data dans data_in accumulés (> 1000 fichiers et en croissance).
  4. NOTIF.FILES.DATAIN.BADXML: Alerte de fichiers .xml mal structurés dans data_in accumulés (> 150 fichiers).
  5. NOTIF.PHP.SAFE_MODE: Avertissement lorsque le mode sans échec de PHP est activé (certaines fonctionnalités peuvent ne pas fonctionner correctement).
  6. NOTIF.PHP.INPUT_TIME: Avertissement lorsque la valeur de la configuration PHP pour le temps de saisie n'est pas recommandée.
  7. NOTIF.PHP.EXECUTION_TIME: Avertissement lorsque la valeur du temps d'exécution dans la configuration de PHP n'est pas recommandée.
  8. NOTIF.PHP.UPLOAD_MAX_FILESIZE: Avertissement lorsque la valeur de la taille du fichier dans la configuration de PHP n'est pas recommandée.
  9. NOTIF.PHP.MEMORY_LIMIT: Avertissement lorsque la valeur de la limite de mémoire dans la configuration de PHP n'est pas recommandée
  10. NOTIF.PHP.DISABLE_FUNCTIONS: La variable disable_functions contient les fonctions system() ou exec() dans le fichier de configuration de PHP (php.ini).
  11. NOTIF.PHP.PHANTOMJS: (Pour le NG 767 et les versions antérieures) Avertissement si PhantomJS n'est pas installé.
  12. NOTIF.PHP.VERSION: Pour un fonctionnement correct de PandoraFMS, PHP doit être mis à jour à la version 7.0 ou supérieure.
  13. NOTIF.PANDORADB: Vérifie si pandora_db est en cours d'exécution dans la base de données principale.
  14. NOTIF.HISTORYDB: Vérifie si pandora_db est en cours d'exécution dans la base de données historique.
  15. NOTIF.PANDORADB.HISTORICAL: Vérifie si pandora_db s'exécute dans la base de données historique.
  16. NOTIF-HISTORYDB.MR: État de la mise à jour de la base de données historique (MR correcte).
  17. NOTIF.EXT.ELASTICSEARCH: Vérifie si ElasticSearch s'exécute.
  18. NOTIF.EXT.LOGSTASH: token déprécié.
  19. NOTIF.METACONSOLE.DB_CONNECTION: Erreurs de synchronisation avec la Metaconsole.
  20. NOTIF.DOWNTIME: Notifications d'état, composant en panne ou non démarré ⇒ N'importe lequel des serveurs Pandora FMS avec status =1 et keepalive - now() est supérieur à server_keepalive * 2.
  21. NOTIF.UPDATEMANAGER.REGISTRATION: Notification si l'administrateur de mises à jour n'est pas régistré.
  22. NOTIF.MISC.EVENTSTORMPROTECTION: Avis d'utilisation de cascade d'événements.
  23. NOTIF.MISC.DEVELOPBYPASS: Avis de mode de dévelopement (montrer tous les avis et erreurs dans la console et les enregistrer.
  24. NOTIF.MISC.FONTPATH: Vérifie si le fontpath (chemin au répertoire de sources) existe.
  25. NOTIF.SECURITY.DEFAULT_PASSWORD: Avis de modification de mot de passe par défaut.
  26. NOTIF.UPDATEMANAGER.OPENSETUP: Vérifie s'il y a des nouvelles mises à jour.
  27. NOTIF.UPDATEMANAGER.UPDATE: Avis de mise à jour majeure de Pandora FMS.
  28. NOTIF.UPDATEMANAGER.MINOR: Avis de mise à jour mineure de Pandora FMS.
  29. NOTIF.UPDATEMANAGER.MESSAGES: Messages de l'administrateur de mises à jour.
  30. NOTIF.CRON.CONFIGURED: Avis si le programmateur de tâches cron se trouve actif.
  31. NOTIF.ALLOWOVERRIDE.MESSAGE: AllowOverride est désactivé. Vous pouvez utiliser l'instruction AllowOverride dans le serveur web Apache pour passer outre les paramètres PHP, créer des réécritures d'URL, etc.
  32. NOTIF.HAMASTER.MESSAGE: Avis de ne pas avoir de serveur en mode principal (master) en mode de Haute Disponibilité (HA).
  33. NOTIF.SERVER.STATUS: Avis d'état su serveur Pandora FMS.
  34. NOTIF.SERVER.QUEUE: Mise en file d'attente de modules générales (croissant) par serveur.
  35. NOTIF.SERVER.MASTER: Avis de ne pas avoir de serveur en mode principale (master).
• Message.
  • Messages reçus par l'utilisateur en attente de lecture.
• Pending tasks (Tâches en attente).
  • Politiques en attente d'application.
  • File d'attente de politiques en cours d'exécution (running) / traitées (complete → ACK).
  • Collections en attente de récréation.
  • Plugins serveur définis mais dont l'exécutable n'existe pas.
  • Métaconsole :
    • Tâches de synchronisation en attente.
    • Tâches de synchronisation terminées.
    • Notifications en attente par nœud.
    • État des files d'attente de politiques.
  • Advertisement (Publicité).
    • Rappel que la version Enterprise n'est pas installée.
    • Connaissez-vous la version Enterprise ?
    • Connaissez-vous la bibliothèque de modules ?
    • Découvrez eHorus.
    • Découvrez Integria IMS.
• Official communications (Communications officielles).
  • Avis de mise à jour.
  • Messages générés depuis la centrale Ártica ST (mise à jour vers PHP 8, chromium, etc.)
• Sugerence (Suggérence).
  • Savez-vous que vous pouvez intégrer Pandora FMS avec Telegram ?
  • Savez-vous que les alertes son extensibles ?
  • Supervisez vos applications complètes à l'aide des services.

Les options trouvées dans la configuration des notifications sont les suivantes :

• Notified users : Utilisateurs qui recevront les notifications activées.
• Notified groups : Groupes qui recevront les notifications activées.

Le concept de groupe dans Pandora FMS est fondamental. Les groupes sont des ensembles d'éléments avec leurs propres règles dont la fonction est d'aider à contrôler l'accès des utilisateurs à certains aspects ou éléments dans Pandora FMS.

Lors de la configuration des groupes, il faudra tenir compte du fait que le groupe All est un groupe spécial qui ne peut pas être supprimé et que tous les groupes en sont ses sous-groupes. Tout élément associé au groupe All peut être affiché / géré par un utilisateur disposant d'autorisations dans n'importe quel groupe.

Pandora a un système de groupes, qui sont des entités dans lesquelles les agents sont classés et sont utilisés pour désintégrer les privilèges. De cette façon, les utilisateurs sont accordés certaines autorisations encadrées dans un ou plusieurs groupes et auront ainsi la possibilité de voir et d'interagir avec les agents et autres objets dans leur contexte.

Pour faciliter l'affectation et le filtrage des groupes, un outil appelé le groupe All est disponible. Le groupe All signifie en fonction du contexte TOUS les groupes ou TOUT d'entre eux. Depuis 3.1, son identifiant réservé est ID 0, à la différence qu'il est entièrement contrôlé par le code, sans groupe avec cet ID dans la base de données.

Les groupes sont définis dans la section Profiles → Manage agent groups.

Lorsque vous cliquez sur le menu précédent il vous montrera les groupes prédéfinis et/où créés par les utilisateurs :

Lors de la création (bouton Create group) ou de la modification (icône de clé de réglage dans la colonne Actions) d'un groupe, le formulaire suivant apparaît :

Les champs du formulaire sont détaillés ci-dessous :

• Name : Nom du groupe. Ce groupe peut être utilisé dans la fourniture automatique d'agents, il n'est donc pas recommandé qu'il contienne des espaces ou des caractères rares (bien qu'il soit pris en charge).
• Icon : Combo où vous pouvez choisir l'icône que le groupe aura.
• Parent : Vous pouvez définir un autre groupe comme parent du groupe en cours de création.
• Password : Optionnel. Il permet de restreindre l'auto-création d'agents (mise à disposition automatique d'agents logiciels ou satellites) afin que seulement les agents avec le même mot de passe que celui défini dans ce champ puissent être créés.
• Alerts : Si les agents appartenant au groupe sont marqués, ils peuvent envoyer des alertes, s'ils ne sont pas marqués, ils ne peuvent pas envoyer d'alertes. Vous pouvez utiliser cette fonctionnalité pour désactiver rapidement la génération d'alertes à partir d'un groupe spécifique d'agents.
• Propagate ACL : Si activé, les groupes enfants auront les mêmes autorisations ACL que ce groupe.
• Custom ID: Les groupes ont un ID dans la base de données, dans ce champ il est possible de mettre un autre ID personnalisé qui peut être utilisé depuis un programme externe pour effectuer une intégration (par exemple : CMDBs).
• Contact : Coordonnées accessibles via la macro _group_contact_ .
• Skin : Un skin peut être attribué par groupe.

Vous pouvez limiter la quantité d'agents dans chaque groupe à travers la zone Max agents allowed. Valeur par défaut zéro (sans limite).

Aussi à travers l'API de Panora FMS, lors de création d'un groupe ou de l'édition d'un goupe, vous pouvez établir le nombre maximale d'agents dans un groupe si nécessaire.

L'extension vous permet d'importer un fichier avec des journaux (dont les zones sont séparées par des virgules , ou par un autre caractère choisi dans la lsite Separator) et qui définissent des groupes, au serveur Pandora FMS.

L'extension est accessible depuis Admin tools > Extensions manager > CSV import group.

Choisissez le fichier à importer en cliquant sur Browse…, sélectionnez le caractère séparateur et cliquez Go.

Le fichier CSV doit contenir les champs suivants dans l'ordre suivant : Nom du groupe, icône, ID parent et propagation (1 ou 0).

Les profils sont gérés depuis Profiles → Profile management.

Les profils Pandora FMS vous permettent de définir les autorisations qu'un utilisateur peut avoir. La combinaison de profils plus un groupe, associée à un utilisateur, permet de définir les autorisations d'un utilisateur sur un groupe d'agents, afin qu'il puisse avoir différents profils dans différents groupes.

Cette liste définit ce qui chaque profil permet :

En outre, le serveur NCM (Network Config Management) de Pandora FMS dispose de ses propres bits d'accès.

Depuis l'édition utilisateur, un utilisateur peut être attribué accès à un groupe avec un profil spécifique :

Si aucun profil ou groupe n'est attribué à l'utilisateur, la connexion dans le serveur Pandora FMS échouera, comme indiqué ci-dessous :

De différents scénarios sont tenus sur compte :

• Un utilisateur manager avec autorisatsions UM qui appartienne au groupe ALL vous pourrez gérer n'importe quel utilisateur quel que soit le groupe auquel il appartienne.
• Vous pouvez ajouter des accés aux groupes avant de créer un nouveau utilisateur en tant que tel.
• Un utilisateur manager peut éditer dees profils et groupes seulement sur les utilisateurs qu'il peut voir parce qu'ils appartiennent aux groupes qu'il gère avec les autorisations UM.
• Un utilisateur administrateur peut créér d'autres utilisateurs administrateurs et peut gérer n'importe quel autre utilisateur, mais en aucun cas un utilisateur manager avec des autorisations UM peut rétirer les autorisations UM d'un autre utilisateur qui a les mêmes autorisations sur le même groupe. Cela peut être seulement modifié par un autre administrateur.
• Un utilisateur manager sans permissions UM sur un groupe ne peut pas voir quels utilisateurs appartiennent à ce groupe là.
• Un utilisateur manager peut supprimer la rélation des utilisateurs avec les groupes qu'il gère et même l'utilisateur complet si celui-ci a seulement relation avec les groupes qu'il gère.

• Un utilisateur manager qui aie des autorisations UM dans un groupe et pas dans d'autre, peut voir seulement les informations profil/groupe des groupes qu'il gère, bien que l'utilisateur qui observe ais d'autres autorisasions sur d'autres groupes. Le reste des informations de l'utilisateur seront étrangères pour l'utilisateur manager. De cette manière l'utilisateur manager pourra seulement obtenir des informations ou modifier les autorisations sur les groupes qu'il gère, mais en aucun cas pourra il supprimer plus d'autorisations ou supprimer l'utilisateur.

Dans la version Enterprise, l'accès individuel aux modules d'un agent peut être configuré avec un système d'étiquettes ou Tags. Certaines étiquettes sont configurées dans le système, elles sont affectées aux modules souhaités et, en outre, vous pouvez restreindre l'accès à un utilisateur uniquement aux modules pour lesquels ces étiquettes sont définies.

Les étiquettes sont définies dans Profiles> Module Tags.

Dans la configuration d'un module, une ou plusieurs étiquettes peuvent être attribuées (en option) :

Pour attribuer un accès spécifique à une étiquette, cela se fait via l'éditeur utilisateur, dans l'affectation de profil et de groupe, en ajoutant une étiquette :

Dans cet exemple, l'utilisateur a accès avec le profil Chief Operator au groupe Applications et aussi le profil Operator (Read) au groupe Network mais seulement aux modules cochés avec l'étiquette “ network_usage ”.

Dans les sections précédentes, il a été expliqué que les autorisations d'un groupe peuvent être étendues aux enfants via l'option de configuration Propagate ACL. Cependant, à partir de la configuration utilisateur, vous pouvez limiter cette fonctionnalité et empêcher la propagation de l'ACL en marquant No hierarchy.

Comme référence pour les exemples, une configuration avec deux groupes parents Applications et Databases est possée.

Chacun, Development_Apps et Management_Apps pour le premier et Databases_America et Databases_Asia pour le seconde est proposée.

Les deux groupes parents sont marqués pour que l'ACL se propage.

Dans la vue d'édition utilisateur, si les profils suivants sont ajoutés :

L'utilisateur aura accès aux groupes Applications, Development_Apps, Management_Apps et Databases.

Cependant, si un enfant de Databases est ajouté :

L'utilisateur peut désormais accéder aux groupes Applications, Development_Apps, Management_Apps, Databases et Databases_Asia, mais pas à Databases_America.

Contrairement au groupe principal, ces groupes secondaires sont optionnels.

Le fait qu'un agent appartient à un groupe secondaire signifie qu'il appartient en fait à plusieurs groupes en même temps. Avec cette fonctionnalité, deux utilisateurs qui ont des autorisations très différentes peuvent accéder au même agent en ajoutant simplement les groupes secondaires appropriés.

Par exemple, si un agent appelé Portal a Infrastructure comme groupe principal et Hosting comme groupe secondaire, tout utilisateur ayant accès à Infrastructure et / ou Hosting peut y accéder.

Certaines vues, telles que Tree View, peuvent montrer des agents répétés. Lors de l'utilisation de groupes secondaires est un comportement normal.

Le modèle ACL Open Source est basé sur le role/action/group/user du style unix (4 éléments).

Le système ACL Enterprise vous permet de définir - selon le profil - à quelles pages (définies une par une ou par « groupes ») les utilisateurs ont accès. Cela vous permettra de redéfinir les sections de l'interface qu'un utilisateur peut voir. Telles que permettre à un utilisateur d'afficher uniquement la vue Group et la vue détaillée de l'agent, en sautant des pages telles que Alert view ou Monitor view, déjà regroupées dans le système ACL classique de Pandora FMS en tant que AR (Privilèges de lecture d'agent).

Cette fonctionnalité vous permet de restreindre l'administration par pages. Il est très utile d'autoriser certaines opérations spécifiques de bas niveau.

Afin d'utiliser le nouveau système ACL Enterprise, la première chose à faire sera de l'activer dans l'onglet configuration. Cette option n'est visible que si vous utilisez la version Enterprise.

Pour configurer le système Enterprise ACL Enterprise, accédez à l'option spécifique dans Profiles → Enterprise ACL Setup. Dans cet écran, vous pouvez ajouter de nouveaux éléments dans le nouveau système ACL et voir les éléments définis par profil. Vous pouvez également supprimer des éléments du système ACL Enterprise.

Si vous avez perdu l'accès à la console par erreur, vous pouvez désactiver le système ACL Enterprise à partir de la ligne de commande :

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl

Comment ça fontionne

Vous pouvez définir « page par page », « sections complètes », définir « toute » règle ou ajouter des « pages personnalisées » non accessibles depuis le menu.

Il existe deux façons d'ajouter des pages à un profil : Avec assistant (par défaut) ou avec édition personnalisée. Au-dessus du bouton pour ajouter une règle, il y a un bouton pour changer ce mode.

Assistant

Dans l'assistant, choisissez les sections et les pages de certains contrôles combinés.

Pour inclure une page Pandora FMS dans les « pages autorisées », sélectionnez le profil auquel la règle sera appliquée, puis sélectionnez la section contenant la page souhaitée dans le contrôle Section. À ce moment, vous pouvez sélectionner n'importe laquelle de vos pages dans le contrôle Section 2 de même que pour la Section 3.

Une autre option consiste à sélectionner une section et la valeur All dans le contrôle Section. Cela permettra au profil choisi de voir « tout » de la section choisie. De même, en sélectionnant All dans les deux contrôles, les utilisateurs de ce profil seront autorisés à voir « tout » de « tous » les sections, comme ce serait le cas sans le système ACL Enterprise pour ce profil.

Edition personnalisée

Pour ajouter des pages uniques qui ne sont pas accessibles à partir du menu, vous pouvez entrer votre sec2 manuellement. Pour ce faire, accédez à la page que vous voulez ajouter et copiez le paramètre Section 2.

Par exemple, si vous voulez ajouter la vue principale des agents, entrez dans la vue de n'importe quel agent et vous trouverez une URL similaire à celle-ci :

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

Entrez le contenu du paramètre sec2 (opération / agents / voir_agent) dans la zone de texte Section 2.

Toute page non « autorisée » ne sera pas affichée dans le menu et son utilisation ne sera pas autorisée, même lorsque l'utilisateur met l'URL en mode « manuel ».

Toute page non autorisée par le système ACL Pandora FMS « Classic » ne sera pas autorisée par le système ACL Enterprise (ceci est valable pour les systèmes ACL classiques).

De plus, un contrôle vérifie si une page appartient à une section, ce qui renforce la sécurité contre les modifications manuelles de l'URL. Cette vérification sautera les pages ajoutées avec l'éditeur personnalisé, ainsi que l'accès à chaque page d'une section complète à laquelle l'accès est autorisé, optimisant ainsi la charge.

Vous pouvez consulter à tout moment les pages autorisées pour chaque profil à travers Filter by profile et en cliquant après Filter :

Les grupes et profils sont conçus por qu'un utilisateur aie de différents rôles dans une installation de Pandora FMS. Les éléments basiques de supervision tels que des agents et modules sont gouvernés par cettes règles basiques de groupe/profil, en tenant sur compte comment ils sont étendues avec l'utilisation de groupes secondaires et autorisation d'étiquettes.

D'autres éléments de Pandora FMS comme des rapports, Consoles visuelles, cartes réseau et tableaux de bord fonctionnent en tant que conteneurs. Si un utilisateur (avec visibilité de tous les données gérés) crée le rapport et l'atribue à un groupe général, les utilisateurs avec accés à ce groupe pourront voir le rapport et tout son contenu. Même s'ils n'ont pas d'accés par autorisations aux éléments individuels de son rapport.

Le rapport, la console visuelle, la carte réseau et les tableaux de bord sont conteneurs d'information. Le contrôle d'accés est pour le conteneur pas pour son contenu.

Exemple

Nous avons quatre groupes : Client A, Client B, Global e Infrastructure interne.

L'administrateur crée une console visuelle qui contient des éléments d'infrastructure interne et des éléments spécifiques de Client A et Client B. Cette console visuele est attribué au groupe Global.

• Client A a accés d'écriture de rapports en Client A et lecture de rapports en Global. Client A pourra voir cette console visuelle et tout son contenu, malgré qu'il contient des éléments du Client B et du groupe Infraestructure interne que l'administrateur a placé lorsqu'il crée la console visuelle.
• Client B pourra voir exactement la même Console que Cliente A, puisqu'il a des autorisations pour lecture de rapports du groupe Global.

Exceptions à ce comportement

Il y a quelques exceptions ponctuelles à ce comportement général, en particulier quelques widgets du tableau de contrôle tels que le treeview ou dans le contrôle d'événements du tableau de bord, puisque ce widget en particulier permet d'interagir avec les données (pour valider des événements) ou dans éléments indépendantes de la console visuelle où vous pouvez restreindre l'affichage d'un élément de la console au groupe spécifique.

Vous devez avoir sur compte que l'objectif de ces éléments, lorsque vous avez accés en mode lecture, il est pour accéder aux données qu'il serait impossible de visualiser sinon par l'utilisateur. Il peut y arriver que que l'utilisateur aie accés de lecture et écriture. Dans ce cas, lorsque vous éditez l'un de ces conteneurs vous pourrez ajouter des éléments à ceux dont vous avez accés et vous pourrez supprimer des éléments auxquels vous n'avez pas d'accés, vous ne pouvez pas l'ajouter à nouveau.

La vue détaillée des serveurs permet de connaître, en plus de l'état général des serveurs Pandora FMS, leur niveau de charge et de retard des exécutions. Allez au menu Servers et cliquez l'option Manage servers :

• Name : Nom du serveur, généralement le nom d'hôte de la machine est utilisé.
• Status : État (vert = actif, gris = arrêté ou en panne).
• Type : Type de serveur (serveur de données, serveur réseau, etc.).
• Version : Il montre la version actuelle de chaque serveur Pandora FMS.
• Modules : Nombre de modules de ce type exécutés par le serveur par rapport au nombre total de modules de ce type.
• Lag : Temps le plus long pendant lequel le module le plus ancien a attendu pour recevoir des données / nombre de modules en dehors de leur durée de vie. Cet indicateur permet de savoir si vous avez beaucoup de modules et de savoir si le serveur est à la limite de sa capacité de charge. Delayed modules indique la quantité de modules que n'ont pas rapporté au serveur.
• T/Q (Current threads/queueds modules currently) : Nombre total de modules dans la file d'attente en attente d'être servis. Ces paramètres reflètent des états de charge excessive. Il ne devrait presque jamais y avoir de modules en file d'attente, cela reflète l'incapacité du serveur à traiter les données.
• Updated : Chaque serveur dispose d'un « Keepalive » qui met à jour son état, pour s'assurer qu'il est actif, et met également à jour ses statistiques.
• Op. : Opérations disponibles, colonne d'icônes.

Quelques icônes sont particulièrement importants :

• Poll request : Il demande au serveur de test distant d'exécuter toutes les vérifications dont il dispose, les forçant à s'exécuter à nouveau. Valable pour tous les serveurs du réseau, par exemple : Serveur réseau, serveur WMI, serveur Plugin, serveur WEB, etc.
• Edit : Pour changer l'addresse IP et la description du serveur.
• Delete : Pour supprimer le serveur.
• Manage Discovery tasks : Gérer les tâches de découverte. Valide pour serveurs Discovery.
• Edit remote configuration : Modifier la configuration distant du serveur. Valable pour serveurs Pandora FMS ou serveur Satellite.

Pour activer la configuration à distance, changez le jeton remote_config en 1, puis redémarrer le serveur PFMS. En cliquant sur l'icône Remote configuration, vous pouvez modifier un serveur PFMS ou un serveur PFMS Satellite. L'interface graphique de la configuration à distance comporte trois sections :

• Server features : Où vous pouvez activer ou désactiver chacun des serveurs dont vous disposez en fonction du type de licence que vous avez acheté.

• Optimization settings : Pour affiner chaque serveur en fonction de ses caractéristiques.

• Other server settings : Pour mettre en place des tâches automatisées.

Pour équilibrer la charge de l'exécution des tâches de la console sur le serveur Discovery, déclarez et ajoutez des consoles dans la section config.php.

Pandora FMS dispose d'un entrepôt d'identifiants. Cet entrepôt gère les identités qui seront utilisées dans des sections telles que Discovery Cloud ou le déploiement automatique d'agents. Allez vers le menu et cliquez sur Profiles → Manage agent groups.

Vous pouvez ensuite voir l'onglet Credential Store (entrpôt de données).

Pour ajouter une nouvelle entrée, cliquez sur le bouton Add key et remplissez les informations requises dans la fenêtre contextuelle :

Il y a sept types différents d'indentifiants à enregistrer :

1. Identifiants d'Amazon Web Services® (AWS®).
2. Identifiants de Microsoft Azure®.
3. Identifiants personnalisés.
4. Identifiants de Google®.
5. Identifiants SAP®.
6. Identifiants type WMI.
7. Identifiants type SNMP (v1, v2, v2.c et v3).

Le groupe affecté à la clé contrôle sa visibilité. Autrement dit, si vous affectez la clé « test » au groupe All, tous les utilisateurs de la console Pandora FMS peuvent utiliser cette clé. Vous pourrez seulement attribuer un groupe auquel appartient l'utilisateur qui crée l'identifiant, à moins que cet utilisateur appartienne spécifiquement au groupe TOUS (ALL).

De même, si « test » est associé au groupe Applications, seulement les utilisateurs disposant d'autorisations sur Applications auront accès à cette clé.

Une fois ajouté, vous pouvez consulter, filtrer, etc.

Dans l'édition de clé, la seule chose qui ne peut pas être modifiée est le type d'identifiant (Product) :

Pandora FMS dispose d'un petit système de gestion pour les arrêts de service planifiés (Scheduled downtime).

Ce système permet de désactiver les alertes dans les intervalles où il y a un arrêt de service, désactivant l'agent.

Pour créer un arrêt de service, allez dans le menu Tools > Scheduled downtime :

Et cliquez sur le bouton Create pour en créer un :

• Name : Nom de l'arrêt planifié.
• Groupe : Groupe auquel vous voulez qu'il appartienne. ous pouvez attribuer seulement un groupe auquel l'utilisateur qui crée l'arrête planifiée appartienne, à moins que ledit utilisateur appartienne spécifiquement au groupe TOUS (ALL). Les agents et modules a sélectionner pour la nouvelle arrête planifiée seront ajoutés après l'avoir crée.
• Type : Vous pouvez configurer les types d'arrêts suivants :
  • Quiet : Marquez les modules que nous indiquons comme « silencieux », afin qu'ils ne génèrent pas d'alertes ou d'événements.
  • Disable agents : Désactive les agents sélectionnés. Il est important de savoir que si un agent est désactivé manuellement avant le lancement de la tâche, il deviendra activé une fois cette tâche terminée.
  • Disable only alerts : Désactive les alertes des agents sélectionnés.
• Execution : Il vous permet de configurer si vous voulez qu'il soit exécuté une fois ou périodiquement : mensuellement (Monthly) ou hebdomadaire (Weekly).
• Set time : Réglez le jour et l'heure auxquels l'arrêt planifié commencera et se terminera une fois ou périodiquement, selon ce qui a été précédemment réglé sur « Exécution ».

Pour sauvegarder, cliquez sur Add et ajoutez à travers d'un filtre les Agents et Modules affectés par l'arrête planifié :

Par le biais de Group filter sélectionnez un groupe et dans Available agents les agents disponibles seront montrés. À partir de ceux-ci sélectionnez un ou plusieurs et les modules seront mises à jour dans Available modules. Vous pouvez aussi sélectionner tous avec l'option Any. Vous pouvez aussi afficher les modules communes entre les agents sélectionnés dans Show common modules ou au contraire, montrer tous les modules avec Show all modules et ainsi faire une nouvelle sélection de modules. Pour finir, cliquez sur Update pour mettre à jour les valeurs de l'arrête planifié que vous venez de créer.

Une fois ajoutés les modules d'arrête planifiée vous pouvez modifier, ajouter ou supprimer des modules (disponibles selon le filtre choisi) :

Lorsqu'un arrêt de service planifié est « actif » (Running), il ne peut pas être modifié ou supprimé, mais à partir de la version 5.0, il existe une option dans laquelle vous pouvez arrêter l'exécution de l'arrêt programmé (Stop downtime).

Il y a souvent certaines situations « cycliques » que vous devez prendre en compte et la méthode de gestion des arrêts de service est trop spécifique : par exemple, vous voulez pouvoir désactiver tous les agents rapidement et à temps ou planifier un arrêt général chaque semaine d'un certain heure à une autre. Pour ces types d'opérations, il existe des moyens de le faire à partir de la ligne de commande.

Il existe un moyen plus rapide de mettre tous les agents en mode service, grâce à l'utilisation du CLI, pandora_manage.pl de la gestion de Pandora FMS via la ligne de commande :

./pandora_manage.pl /etc/pandora/pandora_server.conf --enable_group 1

Pandora FMS Manage tool 3.1 PS100519 Copyright (c) 2010 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

[*] Pandora FMS Enterprise module loaded.

[INFO] Enabling group 1

Pour les désactiver, ce serait comme suit :

./pandora_manage.pl /etc/pandora/pandora_server.conf --disable_group 1

Pandora FMS conserve un journal de toutes les modifications et actions importantes qui se produisent dans la console Pandora FMS. Ce journal peut être consulté dans Admin tools > System Audit Log :

Sur cet écran, vous pouvez voir une série d'entrées liées à l'activité de la console, des informations sur l'utilisateur, le type d'action, la date et une brève description des événements enregistrés.

En haut à gauche, vous pouvez filtrer l'entrée qui s'affichera en fonction de différents critères, notamment : les actions, l'utilisateur et l'IP, vous pouvez même effectuer une recherche de texte et déterminer les heures maximales.

Les champs de filtrage disponibles sont :

• Action : Les différentes actions possibles pour filtrer :

• User : Recherche par utilisateur.
• Free text for search : Recherche dans les champs User, Action et Comments.
• Max. Hours old : Nombre d'heures passées pour afficher les événements.
• IP : Adresse IP source.

Il est également possible d'exporter les informations affichées à l'écran vers un fichier CSV, en cliquant sur le bouton en haut à droite de l'écran.

Avec cet outil, vous pouvez rechercher, par exemple, la tâche qu'un utilisateur effectue sur la gestion des agents au cours de la dernière heure.

Ou le moment où un utilisateur spécifique s'est connecté à la console. Vous pouvez récupérer toutes les informations sur les actions effectuées par l'ensemble de l'utilisateur (vous pouvez voir la date et heure exacte en vous posant sur l'cône “ i ”) :

Dans les versions modernes de la console Pandora FMS, vous pouvez vérifier l'état des journaux via le menu Admin tools > Extension management > System logfiles

À partir de cette extension, vous pouvez consulter les journaux de la console et du serveur local :

Si vous ne pouviez pas voir le contenu, veuillez vérifier les autorisations de vos fichiers journaux :

chown -R pandora:apache /var/log/pandora/

Vous pouvez ajuster les options du rotateur pour conserver ce paramètre en modifiant le fichier /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

Il y a aussi une configuration spécifique pour la rotation de journaux de la console dans /etc/logrotate.d/pandora_console :

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

Le cœur du système Pandora FMS est sa base de données. Il stocke toutes les données collectées par les systèmes surveillés, la configuration des agents, les alertes, les événements, les données d'audit, les différents utilisateurs et leurs données. C'est à dire toutes les données du système.

L'efficacité et la fiabilité sont vitales pour le bon fonctionnement de Pandora FMS, donc effectuer une maintenance de base de données est de la plus haute importance.

Pour maintenir la base de données sur une base régulière, les administrateurs peuvent utiliser les commandes MySQL standard à partir de la ligne de commande ou ils peuvent gérer la base de données à partir de la console même s'ils n'ont pas une connaissance approfondie de MySQL.

Il existe plusieurs extensions que vous pouvez utiliser à partir de la console pour observer les informations sur la base de données.

Dans cette section, vous pouvez visualiser des informations générales sur l'installation de Pandora FMS. Il convient de noter la grande quantité d'informations obtenues à partir de la base de données, où vous pouvez observer les paramètres recommandés, ainsi que des avis sur les valeurs existantes qui doivent être modifiées.

Il s'agit d'une extension qui vous permet d'exécuter des commandes dans la base de données et de voir le résultat. Il s'agit d'un outil avancé qui ne doit être utilisé que par des personnes connaissant suffisamment SQL et la base de données Pandora FMS.

L'extension est accessible depuis Admin tools > DB Interface.

Écrivez la commande dans le champ vide et cliquez sur Exécuter SQL.

Il s'agit d'une extension qui vous permet de vérifier les différences structurelles entre la base de données établie dans votre Pandora FMS et un schéma standard pour comparer les erreurs possibles.

Le fonctionnement est le suivant :

• Créez une base de données temporaire avec la structure que la base de données d'installation doit avoir (différente selon la version installée).
• Comparez la base de données créée à la base de données référencée dans l'installation.
• Supprimez la base de données temporaire.

Écrivez les données d'accès à votre base de données et cliquez sur Run test. Par exemple :

• Traceroute path : S'il est vide, le FMS Pandora recherchera le système de traceroute.
• Ping path : S'il est vide, le FMS Pandora recherchera le système ping.
• Nmap path : S'il est vide, le FMS Pandora recherchera le système nmap.
• Dig path : S'il est vide, le FMS Pandora recherchera le système de dig.
• Snmpget path : S'il est vide, le système Pandora FMS recherchera le système snmpget.

Pour l'option de sauvegarde (backup), consultez la section Discovery - Console tasks.

C'est une extension qui vous permet d'enregistrer facilement des plugins de serveur.

L'extension est accessible à partir de Servers > Register plugin.

Pour enregistrer un plugin, choisissez le fichier en cliquant sur Browser et Upload (télécharger).

Plus d'informations sur les plugins de serveur peuvent être trouvées dans le chapitre développement et extension.

Vous pouvez voir dans la section Développement des plugins du serveur le format des fichiers .pspz.

Extension qui vous permet d'importer des données dans un fichier séparé par des virgules (CSV) vers un module d'agent. Cette extension est accessible à partir de Resources > Insert Data.

Le format du fichier CSV doit être la date;value pour chaque ligne. La date doit être indiquée au format A/m/dj H:i:s. Par exemple :

 2011/08/06 12:20:00;77.0
 2011/08/06 12:20:50;68.8

Si vous ne pouvez pas charger le fichier, vérifiez les autorisations du répertoire :

chown -R pandora:apache /var/spool/pandora/data_in

Cette extension vous permet d'importer des fichiers .prt qui contiennent la définition de network component, smnp component, local component ou wmi component. Vous pouvez également les ajouter tous (sauf local component) à un modèle.

Accédez à cette option à travers le menu Resources > Resource registration :

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

Cette extension appartient au menu Setup > Translate string et vous permet de traduire des chaînes de texte à partir de l'interface Pandora FMS pour la personnaliser.

Voici les champs à remplir :

• 'Language ': Il vous permet de filtrer la chaîne par langue.
• Free text for search (*) : Contenu de la chaîne que vous souhaitez personnaliser.

Trois colonnes apparaîtront : la première affichera la chaîne d'origine, la deuxième la traduction actuelle et la troisième la traduction personnalisée que vous souhaitez ajouter.

Cette section vous permet d'interagir avec les utilisateurs de Pandora FMS ou de modifier les propres détails de l'utilisateur, ainsi que certaines opérations différentes, telles que l'accès au système d'incidences (pour ouvrir des tickets), discuter avec d'autres utilisateurs connectés à Pandora FMS, etc.

Il vous permet d'interagir dans un chat avec d'autres utilisateurs connectés à cette console Pandora FMS. C'est utile par exemple, si vous voulez dire quelque chose à un autre opérateur.

Pandora FMS vous permet de gérer les incidences depuis la console grâce à son intégration avec Integria IMS.

Pour plus d'informations sur cet outil, consultez la section de Gestion des incidences avec Integria IMS.

Pandora FMS dispose d'un outil qui permet à différents utilisateurs de s'envoyer des messages.

Lorsqu'un utilisateur a un message, une icône d'enveloppe apparaît dans le coin supérieur droit de la console.

Les messages d'un utilisateur peuvent être vus dans Workspace > Messages > Messages list, et à partir de là, vous pouvez les lire, les supprimer ou composer un message pour un groupe ou un utilisateur spécifique.

Dans Pandora FMS il y a un système de supervision de l'état de la console et en général du système.

Vous pouvez activer las notifications en suivant les étapes suivantes :

• Dans l'onglet de configuration de notifications de Pandora FMS (Setup → Setup→ Notifications vous devez ajouter ou souscrite à chaque catégorie de notifications les utilisateurs ou groupes qui recevront la notification.

• Pour l'état du système (System status) vous pouvez en outre spécifier chaque particularité technique pour chacun des utilisateurs ou groupes enregistrés.

• Pour votre propre utilisateur, vous pouvez vous assurer que les différentes catégories de notifications sont actives dans Workspace → Configure → User notifications. À ce point, si vous le souhaitez, vous pourrez activer aussi la réception de notifications par courriel electronique. Un administrateur à son tour peut resteindre qu'un utilisateur modifique cettes valeurs.

L'envoi de courriels electroniques ont besoin que CRON soit activé et fonctionnant afin de superviser la file d'attente de messages d'email. Puisque le système CRON est celui qui envoi, les URL des notifications envoyées par courriel electronique sont configurées automatiquement en prenant en tant que référence l'URL que vous configurez dans le crontab.

Recommandation :

• Utilisez un FQDN (full qualified domain name) pour a Console.
• Établiez la valeur locale pour ce FQDN dans la machine qui heberge la console elle-même (ajoutez l'entrée 127.0.0.1 FQDN à votre fichier /etc/hosts dans la machine ou machines qui servent la Console).

* * * * *  wget -q -O - --no-check-certificate http://nova.artica.lan/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log

Contenu de /etc/hosts (exemple dans la machine nova.artica.lan) :

127.0.0.1 nova.artica.lan

Si vous n'avez pas un FQDN, utilisez l'addresse IP depuis laquelle vous accédez à la console en tant que cible dans la configuration de crontab :

 * * * * *  wget -q -O - --no-check-certificate http://192.168.1.100/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log

Cette extension affiche d'autres utilisateurs connectés à la console Pandora FMS que les leurs. Cette fonctionnalité est importante car la console Pandora FMS autorise les connexions de plusieurs utilisateurs.

L'extension est accessible depuis Workspace > Users connected. Vous devez être utilisateur administrateur pour avoir accés à ce menu.

Le référentiel d'agent logiciel fait partie du Centre de Déploiement, qui contrôle les versions disponibles des programmes d'installation d'agent (programmes) à déployer.

Vous pouvez y accéder via le menu Configuration → Software agents repository.

Pour ajouter un nouveau programme d'installation au référentiel, cliquez sur le bouton Add new software :

Sélectionner OS (Linux ou Windows) :

Remplissez les informations correspondant au type à l'architecture (Architecture), Version, Transfer timeout (délai en secondes avant l'annulation du déploiement), sélectionnez le fichier et cliquez sur OK. Attendez quelques instants.

Vérifiez que le téléchargement a réussi :

Le programme d'installation de l'agent téléversé apparaîtra dans la liste, avec sa version, par qui et quand il a été téléchargé, etc. :

Utilisez le bouton pour modifier chaque programme d'installation ou le bouton pour le supprimer.

Pandora FMS offre la possibilité de téléverser des fichiers CSS pour avoir des thèmes personnalisés dans la console visuelle.

Pour ce faire, il suffit d'inclure le commentaire suivant dans le fichier CSS :

 /*
 Nom : My custom Theme
 */

Le fichier CSS doit ensuite être importé dans le chemin suivant :

pandorafms/pandora_console/include/styles/CustomTheme.css

Une fois les thèmes que vous voulez chargés, il ne restera plus qu'à aller dans Setup → Setup → Visual styles (Style configuration) et sélectionner votre thème dans la liste déroulante Style template.

À partir de cette version il y a disponible un script appelé styles_backup.sh qui permet d'exporter les icônes et les CSS existantes. Il se trouve dans le répertoire :

/tmp/pandorafms/pandora_server/util -> styles_backup.sh

Lorsque vous l'exécutez, le dossier suivant est créé :

/var/www/html/pandora_console/styles_backup

Dans ce répertoire les fichiers comprimés seront sauvegardés :

 images-backup-<date>-<time>.tar.gz
 styles-backup-<date>-<time>.tar.gz

Où <date> y <time> seront la date et l'heure en faisant la sauvegarde.

Il a d'autres deux thèmes à choisir dans la configuration de la Console web de Pandora FMS :

Si vous souhaitez changer le thème, simplement allez sur la base de données, avec les identifiants correctes et exécuter :

UPDATE tconfig SET value = '<new_skin>' WHERE token LIKE 'style';

Où style est le mot clé afin de trouver l'enregistrement dans la table tconfig et <new_skin> est le nouveau thème souhaité à utiliser.

Retour à l'index de documentation du Pandora FMS