コンソール管理

Pandora FMS ドキュメント一覧に戻る

この章では、グループ管理、ユーザ作成、バックアップ、ワークスペースなど、Pandora FMS の日々の管理に必要なさまざまな内容について説明します。

Pandora FMS は Web 管理ツール です。 100% マルチテナント化したシステムにより、複数のユーザは、互いの情報を見ることなく、Pandora FMS に異なる権限でアクセスできます。

ユーザを追加するには、グループとプロファイルを適切に定義し、どのデータを各ユーザに表示または変更させるか正確に把握することが重要です。

ユーザは、管理(Management) → プロファイル(Profiles) → ユーザ管理(Manage users) から管理します。デフォルトで定義済ユーザを参照できます。

作成や編集に関する主なフィールドは以下の通りです。

• 管理者ユーザ(Administrator user): 管理者ユーザ (スーパー管理者) は内部の ACL システムでは制御されず、全てにアクセスできます。標準ユーザは、割り当てられた Pandora FMS ACL の権限に従います。
• ログイン無し(Login Error): このフィールドをチェックすると、ユーザは API でのみアクセス可能でコンソールにはログインできません。
• ローカルユーザ(Local user): Pandora FMS 自身のデータベースでユーザ認証を行います。Pandora FMS は、他の認証手法 もサポートしています。
• セッション時間制御(Control of timeout session): デフォルトでは有効になっており、セッション時間 (分) で設定された期間内に操作がなかったかどうかを確認して、セッションを終了します。
• セッション時間 (分)(Session time (mins)):
  • デフォルト値は 0 分す。
  • ユーザに対してこの値を 0 に設定すると、Pandora FMS は一般設定の認証セクションに保存された値を使用します。
  • セッションを期限なしで維持したい場合は、-1 と入力してください。Web コンソールにログインし、アクティブな画面を持つユーザは自動更新され、アイドル状態とはみなされません。
• 言語(Language): デフォルトはシステムの言語です。ユーザに Pandora FMS コンソールの表示を特定の言語に設定することができます。
• ページごとの表示件数(Block size for pagination): ユーザのデフォルトのページごとの表示件数です。
• タイムゾーン(Timezone): さまざまな要素(エージェントの詳細、モニターの詳細など)におけるコンソールのタイムゾーンの設定です。
• ログイン許可 IP リスト(Login allowed IP list): このオプションを有効にすると、ログインがカンマ区切りの IP アドレス(または範囲)のリストに制限されます。任意の IP アドレスから接続するには、ワイルドカード * (アスタリスク)を使用します。
• ユーザに割り当てられたプロファイル/グループ(Profiles/Groups assigned to this user): ユーザがアクセスできるプロファイルおよびグループの選択です。

全ユーザは、自身の設定を ワークスペース(Workspace) → ユーザ情報編集(Edit my User) で修正できます。ユーザ作成フォームが表示され、グループ権限を除くいくつかのセクションを設定できます。

スーパー管理者 ユーザは、メニュー 操作(Operation) → ワークスペース(Workspace) → ビジュアルスタイル(Visual styles) から独自のビジュアル設定テンプレートを設定できます。

Pandora FMS にはユーザ向けの通知システムがあり、管理を容易にするためにグループ管理機能も備えています。通知の種類は以下のとおりです。

1. システムの状態(System status): PFMS サーバ自身によるシステムの状態です。
2. メッセージ(Message)*: メッセージです。
3. 保留中タスク(Pending task): PFMS 自動検出 などの機能に関する保留中のタスク。
4. 広告(Advertisement): 通知です。
5. 公式コミュニケーション(Official communication): 公式コミュニケーションです。
6. 提案(Suggestions): 提案です。

ENABLE USER CONFIGURATION: このトークンを使用すると、ユーザは、操作(Operation) → ワークスペース(Workspace) → ユーザ通知設定(Configure user notification) セクションで、コンソールや電子メールでの通知を有効または無効にすることができます。

• ユーザがグループに属しており、そのグループが通知カテゴリの 1 つに追加されている場合、そのユーザには対応する通知カテゴリの有効なコンソール通知が表示されますが、(そのカテゴリに対して) ENABLE USER CONFIGURATION が有効であっても、変更することはできません。
• 後から追加された スーパー管理者 は、すべての通知カテゴリ に含まれます。ノードがコマンドセンター に集約されている場合、スーパー管理者への通知は操作が異なります。「コマンドセンターのインストールと設定」を参照してください。

ログインしているセッションがある Web ブラウザ の ユーザプロファイル を通じて、Pandora FMS はその ブラウザ が実行されているオペレーティングシステムにポップアップ通知を送信できます。

デフォルトでは、各ブラウザはユーザに通知を許可するかどうかを尋ねるように設定されていますが、場合によっては明示的にブロックされます。

• HTTP プロトコルでは、第三者がコンテンツを傍受できる可能性があります。
• シークレットモードは、HTTPS で実行されている場合でも有効です。
• Chromium® および Google Chrome® でのゲストモードは、HTTPS で実行されている場合でも有効です。
• ブラウザのユーザプロファイル で明示的にブロックされている場合。各オペレーティングシステムのユーザは、各 Web ブラウザで必要な数のプロファイルを作成できます。Pandora FMS は、Web コンソールへのアクセスに使用されたプロファイルでのみ通知を行います。

トークン Web プッシュ通知を有効にする(Enable Web Push Notifications) を有効化すると、各ユーザはポップアップ通知を許可するかどうかを尋ねられます。承認ボタンを押すと、ブラウザはリクエストが満たされるかどうかを通知します。

テスト通知を送信(Send test notification) ボタンを使用すると、機能の簡単なテストを実行できます。 リストされているすべてのサブスクリプションがメッセージを受信することを常に念頭に置いてください このオプションは注意して使用してください。

ユーザがポップアップ通知を制限または完全に削除したい場合は、いくつかのオプションがあります。

• PFMS Web コンソールへのアクセスに使用したプロファイルの閲覧データを消去します。
• ブラウザプロファイル内の通知をブロックします。
• Webコンソールのみで使用する場合：ブラウザプロファイルを削除します（そこで使用した他のWebサイトのデータも削除されます）。
• 新しいブラウザプロファイルを作成し、確認メッセージが表示されたらいいえを選択します。

Pandora におけるグループの概念は基本的なものです。 グループは、Pandora FMS 内の特定の側面へのユーザのアクセスを制御するのを支援することを目的とした独自の規則を持つ要素の集合です。

Pandora には、エージェントが分類されて権限を細分化するために使用されるエンティティであるグループのシステムがあります。 これにより、ユーザには 1つまたは複数のグループに関連づけられた範囲への特定のアクセス許可が与えられ、エージェントやその他のオブジェクトをその範囲で表示したり操作したりすることができます。

グループの割り当てとフィルタリングを簡単にするために、すべて(All) というグループがあります。すべて グループは、コンテキストに応じて、すべてのグループまたは、そのうちのいずれかを意味します。

すべてグループは識別子 ID 0 で予約されており、その ID のグループがデータベース上に存在するわけではなく、コードによって完全に制御されています。

エージェントのグループを作成するには、グループ作成(Create group) ボタンを利用します。主なフィールドは次の通りです。

• エージェントの自動プロビジョニングにグループ名を使用する場合は、(サポートされていますが) スペースや拡張文字を含まないことをお勧めします。
• 親(Parent): 作成したグループの親として他のグループを設定する場合に選択します。
• パスワード(Password): オプションのパスワード。エージェントの自動作成（エンドポイントまたはサテライトサーバーの自動プロビジョニング）を制限し、このフィールドで定義されたパスワードと同じパスワードを持つエージェントのみを作成できるようにします。スペースや記号は使用しないでください。
• アラート(Alerts): 有効になっていると、グループに所属するエージェントがアラートを送信することができます。無効の場合は送信できません。このプロパティは、グループに属するエージェントのアラート生成を素早く無効化するのに利用できます。
• ACL の伝播(Propagate ACL): 有効になっていると、このグループに属する子グループ対して、このグループと同じアクセス権が設定されます。
• カスタムID(Custom ID): グループがデータベース上に持つ ID です。このフィールドには、外部プログラムを統合する場合などに利用するカスタム ID を設定します。
• 連絡先(Contact): _groupcontact_ および _group_other_ マクロで参照される連絡先情報およびノートです。
• バージョン 754 以降、最大エージェント数(Max agents allowed) フィールドを使用して、各グループのエージェントの数を制限できます。デフォルト値はゼロ (制限なし) です。また、必要に応じて Pandora FMS API の グループ作成 または グループ編集 によって、グループ内のエージェントの最大数を設定できます。

各グループは、グループ設定(Group setting) → スタイル設定(Style configuration) セクションで独自のテーマ (スタイルテンプレート) を有効にし、必要に応じて選択したテーマのパラメータをカスタマイズできます。インターフェースは、画面設定 で使用されているものと同じ外観を共有します。ユーザがこの機能が有効になっているグループに属している場合は、一般設定で指定されたものの代わりに、設定されたビジュアルテーマが使用されます。ユーザが複数のグループに属している場合は、すべて(All) 以外の、ビジュアル設定が有効になっている最初のグループがログイン時に検索され、それらが Web コンソールに適用されます。最後に、ユーザは 独自のビジュアル設定 を有効にすることもできます。これは、グループのビジュアルオプションよりも優先されます。

この拡張機能を使用すると、(フィールドがカンマ ,、または セパレータ 一覧から選択したその他の文字で区切られた)グループを定義するファイルを Pandora FMS サーバにインポートできます。

CSV ファイルには、次のフィールドが順番に含まれている必要があります。

ファイルを選択(Select a file) ボタンをクリックし、適切な区切り文字を選択して、実行(Go) ボタンをクリックして、インポートするファイルを選択します。

プロファイルは、管理(Management) → プロファイル(Profiles) → プロファイル管理(Profile management) から管理します。

Pandora FMS のプロファイルは、どのような権限をユーザに持たせることができるかを定義できます。ユーザに関連付けられたプロファイルとグループの組み合わせにより、ユーザがエージェントのグループに対して持つ権限を定義し、異なるグループに異なるプロファイルを持たせることができます。

事前に設定済のプロファイルがありますが、既存のプロファイルを考慮して必要なプロファイルを作成することもできます。

以下は、どのようなプロファイルがあるかの一覧です。

ユーザの設定で、特定のプロファイルでグループへのユーザのアクセス権を割り当てることができます。

いくつかの考えられるシナリオを考慮しており、これについて次に説明します。

• すべてグループに属している UM 権限を持つユーザは、任意のグループに属する任意のユーザを管理できます。
• グループへのアクセスは、そのようなユーザを作成する前に追加できます。
• 特定のグループの UM 権限を持つユーザは、自分が表示できるユーザのプロファイルとグループを編集できます。
• 管理者ユーザは、他の管理者ユーザを作成し、他のユーザを管理できますが、UM 権限を持つ標準ユーザは、同じグループに対して同じ権限を持つ別のユーザの UM 権限を削除することはできません。これは管理者のみが変更できます。
• グループに対して UM 権限のないユーザは、どのユーザがそのグループに属しているかを確認できません。
• UM 権限を持つユーザは、管理するグループとのユーザの関係を排除できます。このユーザだけが管理するグループとの関係を持っている場合でさえも排除できます。

• グループで UM 権限を持っていても別のグループで UM 権限を持っていないユーザは、管理しているユーザが他のグループの権限をさらに持っている場合でも、管理しているグループのプロファイル/グループ情報のみを表示できます。 ユーザの残りの情報は、特定グループで UM 権限を持つユーザとは無関係です。このようにして、UM 権限を持つユーザは、自身が管理するグループの情報を取得したり、権限を変更したりすることはできますが、他のグループの権限を削除したり、ユーザを削除したりすることはできません。

エージェントのモジュールへの個別アクセスをタグシステムで設定することができます。タグはシステムで設定し、設定したいモジュールに割り当てます。定義されたタグを持つモジュールのみにユーザアクセスを制限することができます。

タグは、管理(Management) → プロファイル(Profiles) → モジュールタグ(Module Tags) で定義します。

モジュールの設定では、1 つ以上のタグを (オプションで) 割り当てることができます。

ユーザ固有のアクセス権をタグに割り当てるには、ユーザ編集のプロファイルとグループ割り当てでタグを追加する必要があります。

前のセクションでは、グループのパーミッション設定オプション ACLの伝播 を使うと子グループにも適用できることを説明しました。 ただし、ユーザ設定にて 階層なし をチェックすることでこの機能を制限し、ACL が伝播するのを防ぐことができます。

セカンダリグループはオプションです。

エージェントがセカンダリグループに所属するということは、同時に複数のグループに所属することを意味します。この機能で、適切なセカンダリグループを追加することにより、まったく異なる権限の 2人のユーザが同じエージェントにアクセスすることができます。

オープンソース ACL モデルは、Unix スタイル: ロール/アクション/グループ/ユーザ に基づいています。

高度な ACL システムを使用すると、プロファイルに従って、ユーザがアクセスできるページ (1 つずつまたは “グループ” で定義) を定義できます。 これにより、従来の Pandora FMS ACL システムでユーザに表示されるインターフェイスのセクションを再定義できるようになります。

グループとプロファイルは、ユーザが Pandora FMS で異なるロールを持つように設計されています。 エージェントやモジュールなどの基本的な監視要素は、セカンダリグループやタグによるアクセス許可の拡張も考慮して、グループ/プロファイルルールによって管理されます。

レポート、ビジュアルコンソール、ネットワークマップ、ダッシュボードなど、Pandora の他の要素は コンテナとして機能 します。ユーザ (すべての管理データへの可視性を持つ) がレポートを作成し、それを一般グループに割り当てると、そのグループへのアクセス権を持つユーザは、レポートの個々の要素へのアクセス許可を持っていない場合でも、レポートとそのすべてのコンテンツを表示できます。

• ツリー表示やダッシュボードイベントコントロールなどの一部のダッシュボードウィジェットでは、(イベントを検証するために) データを操作したり、コンソール要素の表示を特定のグループに制限できるビジュアルコンソールの独立した要素を操作したりできます。
• このような要素には注意する必要があります。読み取りモードでアクセスができる場合、そのユーザが他の方法では表示できないデータにアクセスできるようになることに注意してください。 ユーザが読み取りおよび書き込みアクセス権を持っている場合、これらのコンテナの 1 つを編集すると、アクセス権のあるアイテムのみを追加でき、アクセス権のないアイテムは削除できますが、再度追加することはできません。

各サーバには独自のアイコンがあり、通常はリストの最初にデータサーバ(Data Server)が表示され、次のオプションボタンが表示されます。

• モジュール状態と発報されたアラート数のリセット(Reset module status and triggerd alerts count): 発報されたアラート数とモジュール数をリセットします。
• 編集(Edit): IPアドレスとサーバーの説明を変更します。
• SSH トンネル設定(SSH tunnel config): Exec サーバを自動的に使用して、ウィザードまたは SNMP コンソールを利用できるようにします。このオプションは、サテライトサーバでも利用できます。
• サーバ設定管理(Manage server conf): 高度なエディタ(Advanced editor)を開きます。このエディターでは、リモート編集が可能です
  /etc/pandora/pandora_server.conf にあるメイン設定ファイルを編集できます。
• リモート設定(Remote configuration): ユーザフレンドリーなグラフィカルインターフェースを備えた標準エディタにリダイレクトし、同様に、
  /etc/pandora/pandora_server.confにあるメイン設定ファイルへの変更を書き込み、同期します。
• 削除(Deelte): サーバを削除します。確認メッセージに同意すると、そのサーバで実行されていたモジュールは動作を停止します。

メニュー、管理(Management) → サーバ(Servers) → コンソール管理(Manage consoles)

自動検出サーバにおけるコンソールタスクの実行負荷をバランシングするには、config.php で　コンソールの定義を追加します。

メニュー 管理(Management) → サーバ(Servers) → データベース HA 管理(Manage database HA) からアクセスできます。コマンドセンター (メタコンソール) で一元管理している場合は、メニュー セットアップ(Setup) → データベース HA 管理(Manage database HA) を使用する必要があります。

高可用性 システムを構成するノードを表示し、アクションを実行することができます。

メニュー 管理(Management) → 設定(Configuration) → 認証情報ストア(Credential Store)。

Pandora FMS は認証情報ストアを備えています。 このリポジトリは、クラウド検出やエンドポイントの自動展開などのセクションで使用される ID を管理します。

新しいエントリを追加するには、キーの追加(Add key) ボタンを押す必要があります。登録できる認証情報は 7 種類あります。

1. Amazon Web Services® (AWS®) ログイン情報
2. Microsoft Azure® ログイン情報
3. カスタムログイン情報
4. Google® ログイン情報
5. SAP® ログイン情報
6. WMI ログイン情報
7. バージョン v1、v2、v2.c、および v3 の SNMP 認証情報（MD5、SHA、SHA256、SHA512、AES192、および AES256）

キーに割り当てられたグループは、キーの可視性を制御します。 ユーザがグループ ALL (すべて) に明示的に属している場合を除き、認証情報を作成しているユーザが属するグループのみを割り当てることができます。追加すると、参照したり、フィルタリングしたりすることができます。

Pandora FMS には、管理(Management) → ツール(Tools) → 計画停止(Scheduled downtime) で計画的なサービス停止を管理するシステムがあります。

このシステムを使用すると、サービス停止がある期間にアラートを無効化したり、エージェントを無効化できます。

Pandora FMSは、Pandora FMS コンソールで行われたすべての重要な変更とアクションの記録またはログを保持します。詳細については、監査ログのセクションをご覧ください。

メニュー 管理(Management) → 管理ツール(Admin tools) → 拡張機能管理(Extension management) → システムログファイル(System logfiles) からアクセスします。 この拡張機能から、コンソールおよびローカルサーバのログを参照できます。

内容を表示できない場合は、ターミナルウィンドウから適切な権限で適切な権限で、ログファイルのパーミッションを設定します。

chown -R pandora:apache /var/log/pandora/

/etc/logrotate.d/pandora_server を修正することにより、ログローテートを調整することができます。

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
     weekly
     missingok
     size 300000
     rotate 3
     maxage 90
     compress
     notifempty
         copytruncate
     create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
     weekly
     missingok
     size 500000
     rotate 1
     maxage 30
     notifempty
     copytruncate
     create 660 pandora apache
}

一方、/etc/logrotate.d/pandora_console には、コンソールログローテーションの設定もあります。

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
         weekly
         missingok
         size 100000
         rotate 3
         maxage 15
         compress
         notifempty
         create 644 apache root
}

PFMS データベースのメンテナンスを定期的に実行するために、管理者はコマンド ラインから標準の MySQL コマンドを使用するか、さまざまな拡張機能を使用してコンソールからデータベースを管理 することができます。

以前のバージョンでは ネットワークツール として知られていましたが、現在は 管理(Management) → セットアップ(Setup) → セットアップ(Setup) → 外部ツール(External Tools) にあります。

• サウンドアラートの音をカスタマイズできます。
• 必要に応じて、snmp、ping などのユーティリティへのフルパスを指定できます。
• カスタムコマンドを追加できます。これにより、_address_ (エージェントの IP アドレス) などのマクロをパラメータとして使用して、それぞれのコマンドを実行できます。

バックアップオプションに関しては、自動検出 - コンソールタスク の章を確認してください。

サーバプラグインを登録できる拡張機能で、管理(Management) → サーバ(Servers) → プラグインの登録(Register plugin) からアクセスできます。

プラグインを登録するには、ブラウザ(Browser) をクリックしてファイルを選択し、アップロード(Upload) をクリックします。

サーバプラグインについての詳細 (.pspz ファイルフォーマット) は、サーバプラグイン開発 にあります。

この拡張機能には、管理(Management) → リソース(Resources) → データの挿入(Insert Data)からアクセスします。 エージェントモジュールにデータを追加し、日付と時刻を設定し、更新(Update) ボタンで保存できます。

また、カンマ区切り (CSV) ファイル内のデータをエージェントモジュールにインポートすることもできます。 CSV ファイルの形式は、日付と値を各行に 1 つずつセミコロンで区切って指定する必要があります。 日付は Y/m/d H:i:s 形式で指定する必要があります。

chown -R pandora:apache /var/spool/pandora/data_in

この拡張により、ネットワークコンポーネント、snmp コンポーネント、ローカルコンポーネントや、wmi コンポーネントの定義を .prt ファイルでインポートすることができます。また、これらのコンポーネント (ローカルコンポーネント以外) をテンプレートに追加することができます。

このオプションには、メニュー 管理(Management) → リソース(Resources) → リソース登録(Resource registration) からアクセスできます。

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

管理(Management) → リソース(Resources) → リソースのエクスポート/インポート(Resources export/import) メニュー。

この新機能により、データベース識別子とは別の PRD 形式でのエクスポートとインポートが可能になります。 これにより、PFMS サーバ間で要素をコピーおよび/または移動する際の柔軟性がさらに高まります。

要素タイプを選択し、自動命名のファイルにエクスポートする既存の要素の 1 つを選択します。 ファイルは対象の PFMS サーバにコピーしてインポートします。互換性のない要素があった場合は、それが報告されます。

エクスポートできる要素は次のとおりです。

• カスタムグラフ
• カスタムレポート
• ダッシュボード
• GIS マップ
• ネットワークマップ
• ポリシー
• サービス
• ビジュアルコンソール

管理(Management) → セットアップ(Setup) → 翻訳文字列(Translate string) にあるこの拡張では、Pandora FMS インタフェースの文字列を個別に翻訳できます。

• 言語(Language): 言語によって文字列をフィルタリングします。
• 文字列検索(Free text for search (*): 個別調整する文字列。

3 つの列が表示されます。最初の列には元の文字列が表示され、2 番目の列には現在の翻訳が表示され、3 番目の列には追加するカスタム翻訳が表示されます。 この最後の列に入力し、更新(Update) ボタンをクリックして保存します。

このセクションでは、Pandora FMS ユーザと対話したり、ユーザの詳細を編集したり、(チケットをたてるために)インシデントシステムへアクセスしたり、Pandora FMS に接続している他のユーザとのチャットなど、さまざまな操作ができます。

メニュー 管理(Management) → 設定(Configuration) → エンドポイントリポジトリ(Software agents repository)。

エンドポイントリポジトリは自動エンドポイントデプロイの一部であり、デプロイするエージェントインストーラのバージョン(プログラム)を制御します。

リポジトリに新しいインストーラを追加するには、新しいソフトウェアの追加(Add new software) ボタンを押します。オペレーティングシステムの種類、アーキテクチャの種類、バージョンに対応する情報を入力し、アップロードするファイルを選択します。OK ボタンをクリックすると、しばらくすると保存されます。

登録されたファイルの一覧には、各行に対応する編集、削除、同期ボタンを含むオプション列があります。

Pandora FMS ドキュメント一覧に戻る