Gestión y administración de la consola

Volver al Índice de Documentación Pandora FMS

En esta sección se tratan varios aspectos sobre la gestión de Pandora FMS: la creación de usuarios, la administración de grupos, los respaldos o backups, espacios de trabajo o workspace, etcétera.

Pandora FMS es una herramienta de gestión web. Gracias al sistema de permisos 100% multitenant pueden trabajar múltiples usuarios con diferentes permisos accediendo a la información del mismo setup de Pandora FMS sin que unos vean la información de otros.

Para añadir usuarios, es importante tener bien definidos los grupos y perfiles teniendo claro qué datos necesita que visualice y/o modifique cada usuario.

Los usuarios se gestionan desde Profiles → Manage users:

De manera predeterminada podrá visualizar los usuarios definidos:

La definición de un usuario consiste en los siguientes campos:

• User ID: Identificador que usará el usuario para autenticarse en la aplicación. Este identificador es un valor que debe carecer de caracteres especiales y ni tampoco espacios.
• Full (display) Name: Campo donde se pone el nombre completo. Por se un campo descriptivo puede contener espacios y caracteres no estándar.
• Password: Contraseña que tendrá el usuario para acceder. Deberá introducirla de nuevo en el campo Password confirmation.
• Administrator user: Un usuario Administrador (superadmin) no se regirá por el sistema de ACL interno y tendrá acceso a todo. El usuario estándar se regirá por los permisos ACL de Pandora FMS que tengan asignado.
• Extra info: Campos opcionales para añadir información extra del usuario tales como correo electrónico y número de teléfono.
  • Login Error: Si se marca este campo, el usuario sólo podrá acceder a la API pero no de forma interactiva a través de la consola.
  • Local user: Para realizar autenticación de usuario contra base de datos propia. PFMS admite, además, otros métodos de autenticación.
  • Session time:
    • Esta configuración se utiliza cuando un usuario ha iniciado sesión en PFMS y luego cierra el navegador web. Si un usuario está utilizando la consola PFMS, PFMS nunca cerrará la sesión de ese usuario.
    • El valor por defecto es 0 minutos y cuando se establece este valor para un usuario, Pandora FMS utilizará el valor guardado en la Configuración General, sección autenticación.
    • Si establece el valor en -1, el navegador web que contenga la sesión abierta de un usuario reanudará dicha sesión independientemente del tiempo que haya estado cerrado el navegador web.
• Language: Por defecto es el del sistema. También se puede asignar un idioma en concreto en el que el usuario verá la Consola de Pandora FMS.
• Block size for pagination: Tamaño por defecto de paginación para ese usuario.
• Skin: Campo donde se puede elegir un tema personalizado (conjunto de colores y estilos para la Consola PFMS).
• Home screen: Cambiar la pantalla por defecto a la que ingresa el usuario después de iniciar sesión en la consola, por ejemplo, el visor de eventos, o una consola visual definida por el administrador.
• Default event filter: Permite definir el filtro predeterminado que el usuario tendrá al entrar en la vista de eventos. Luego podrá cambiarlo, pero este será el que se le aplica por defecto.
• Timezone: Campo donde se pone la franja horaria de la consola para visualización de distintos elementos (Vista general de agentes, Vista de módulos, …).
• Comments: Información adicional a los campos definidos anteriormente.
• Login allowed IP list: Si activa esta opción se limitará el inicio de sesión a un listado de direcciones IP (y/o rangos) separadas por comas. Para conectar desde cualquier dirección IP utilice el comodín * (asterisco).
• eHorus user access enabled: Esta opción solamente aparece si está habilitada en su respectiva secciónde configuración, consulte “Gestión remota de equipos”.
• Profiles/Groups assigned to this user: Selección de perfiles y/o grupos en los que se organizará o a los que tendrá acceso el usuario.

Todos los usuarios pueden modificar ciertos parámetros de su propia configuración en Workspace → Edit my User (Área de trabajo → Editar mi usuario).

Aparece el formulario de creación de usuarios donde se pueden configurar algunos apartados, exceptuando los permisos sobre grupos.

Para poder personalizar las notificaciones de un usuario conectado, el administrador tendrá que haberle otorgado previamente permisos de edición en las notificaciones. En caso de tener dicho permiso, así como todas las opciones activadas, se podrán habilitar/deshabilitar las notificaciones y el envío por correo electrónico de las mismas.

Las notificaciones nos permitirán ver en pantalla avisos relacionados con las siguientes secciones:

• System status (Estado del sistema).
  1. NOTIF.LICENSE.LIMITED: Alerta de licencia limitada en el número de dispositivos.
  2. NOTIF.FILES.ATTACHMENT: Alerta de demasiados ficheros en adjuntos.
  3. NOTIF.FILES.DATAIN: Alerta de ficheros .data en el directorio data_in acumulados (más de 1000 archivos).
  4. NOTIF.FILES.DATAIN.BADXML: Alerta de ficheros .xml mal estructurados en el directorio data_in acumulados (más de 150 archivos).
  5. NOTIF.PHP.SAFE_MODE: Advertencia cuando se activa el modo seguro de PHP (algunas características pueden no funcionar correctamente).
  6. NOTIF.PHP.INPUT_TIME: Advertencia cuando el valor en la configuración de PHP para el tiempo de espera en entrada no es recomendable.
  7. NOTIF.PHP.EXECUTION_TIME: Advertencia cuando el valor en la configuración de PHP para el tiempo de ejecución no es recomendable.
  8. NOTIF.PHP.UPLOAD_MAX_FILESIZE: Advertencia cuando el valor en la configuración de PHP para el tamaño del archivo no es recomendado.
  9. NOTIF.PHP.MEMORY_LIMIT: Advertencia cuando el valor en la configuración de PHP para el límite de memoria no es recomendable.
  10. NOTIF.PHP.DISABLE_FUNCTIONS: La variable disable_functions contiene funciones system() o exec() en el archivo de configuración de PHP (php.ini).
  11. NOTIF.PHP.PHANTOMJS: (Para NG 767 y versiones anteriores) Advertencia si PhantomJS no está instalado.
  12. NOTIF.PHP.VERSION: Para un correcto funcionamiento de PandoraFMS, PHP debe estar actualizado a la versión 7.0 o superior.
  13. NOTIF.HISTORYDB: Notificar si se está trabajando con la base de datos histórica.
  14. NOTIF.PANDORADB: Revisar si se está ejecutando pandora_db en la base de datos principal.
  15. NOTIF.PANDORADB.HISTORICAL: Revisar si se está ejecutando pandora_db en la base de datos histórica.
  16. NOTIF.HISTORYDB.MR: Estado de la actualización de la base de datos histórica (MR correcto).
  17. NOTIF.EXT.ELASTICSEARCH: Revisar si se está ejecutando ElasticSearch.
  18. NOTIF.EXT.LOGSTASH: Este token está obsoleto.
  19. NOTIF.METACONSOLE.DB_CONNECTION: Errores de sincronización con Metaconsola.
  20. NOTIF.DOWNTIME: Avisos de estado, componente caído o no iniciado ⇒ Cualquiera de los servidores de Pandora FMS con estado =1 y keepalive - now() sea mayor que server_keepalive * 2.
  21. NOTIF.UPDATEMANAGER.REGISTRATION: Aviso si no está registrado el administrador de actualziaciones.
  22. NOTIF.MISC.EVENTSTORMPROTECTION: Aviso de uso de cascada de eventos.
  23. NOTIF.MISC.DEVELOPBYPASS: Aviso de modo de desarrollo (mostrar todos los avisos y errores en la consola -y registrarlos-).
  24. NOTIF.MISC.FONTPATH: Comprueba si el fontpath (ruta al directorio de fuentes) existe.
  25. NOTIF.SECURITY.DEFAULT_PASSWORD: Aviso de cambio de contraseña por defecto.
  26. NOTIF.UPDATEMANAGER.OPENSETUP: Verifica si hay nuevas actualziaciones.
  27. NOTIF.UPDATEMANAGER.UPDATE: Aviso de actualización mayor de Pandora FMS.
  28. NOTIF.UPDATEMANAGER.MINOR: Aviso de actualización menor de Pandora FMS.
  29. NOTIF.UPDATEMANAGER.MESSAGES: Mensajes varios del administrador de actualizaciones.
  30. NOTIF.CRON.CONFIGURED: Aviso si el programador de tareas cron se encuentra activo.
  31. NOTIF.ALLOWOVERRIDE.MESSAGE: AllowOverride está desactivado. Puede utilizar la instrucción AllowOverride en el servidor web Apache para anular la configuración de PHP, crear reescrituras de URL, etc.
  32. NOTIF.HAMASTER.MESSAGE: Aviso de no tener ningún servidor en modo principal (master) en modo de Alta Disponibilidad.
  33. NOTIF.SERVER.STATUS: Aviso de estado del servidor PFMS.
  34. NOTIF.SERVER.QUEUE: Encolamiento de módulos en general (creciente) por servidor.
  35. NOTIF.SERVER.MASTER: Aviso de no tener ningún servidor en modo principal (master).
• Message (Mensaje).
  • Mensajes recibidos por el usuario pendientes de lectura.
• Pending Tasks (Tareas pendientes).
  • Políticas pendientes de aplicación.
  • Cola de políticas en proceso (running)/procesada (complete → ACK).
  • Colecciones de ficheros que deben ser sincronizados.
  • Plugins de servidor definidos pero cuyo ejecutable no existe.
  • Metaconsola:
    • Tareas de sincronización pendientes.
    • Tareas de sincronización completadas.
    • Notificaciones pendientes por nodo.
    • Estado de colas de políticas.
• Advertisement (Publicidad).
  • Recordatorio de que la versión Enterprise no está instalada.
  • ¿Conoce la versión Enterprise?
  • ¿Conoce la librería de módulos?
  • Descubra eHorus.
  • Descubra Integria IMS.
• Official communications (Comunicados oficiales).
  • Avisos de actualizaciones.
  • Mensajes generados desde la central de Ártica ST (actualizar a PHP 8, instalación de chromium, etc.)
• Sugerence (Sugerencias).
  • ¿Sabe que puede integrar Pandora FMS con Telegram?
  • ¿Sabe que puede realizar escalado de alertas?
  • Monitorize sus aplicaciones completas usando servicios.

Las opciones comunes en la configuración de las notificaciones son las siguientes:

• Notified users: Usuarios que recibirán las notificaciones activadas.
• Notified groups: Grupos que recibirán las notificaciones activadas.

El concepto grupo en Pandora es fundamental. Los grupos son conjuntos de elementos con sus propias reglas cuya función es ayudar a controlar el acceso de los usuarios a determinados aspectos o elementos dentro de Pandora FMS.

A la hora de configurar los grupos será necesario tener en cuenta que el grupo All es un grupo especial que no se puede eliminar y todos los grupos son subgrupos de este. Cualquier elemento que esté asociado al grupo All podrá ser visto/administrado por un usuario que tenga permisos en cualquier grupo.

Pandora FMS tiene un sistema de grupos, que son unas entidades en las que se clasifican los agentes y se utilizan para disgregar privilegios. De esta manera, a los usuarios se les otorga ciertos permisos enmarcados en uno o varios grupos y tendrán así, la capacidad de ver e interactuar con los agentes y demás objetos de su contexto.

Para facilitar la asignación y filtrado de los grupos, se dispone de una herramienta denominada grupo All. El grupo All significa, en función del contexto, TODOS los grupos o CUALQUIERA de ellos. Desde la 3.1 su identificador reservado es el ID 0 (Identificador cero), con la diferencia de que es totalmente controlado por código, sin existir un grupo con ese ID en la base de datos.

Los grupos se definen en la sección Profiles → Manage agent groups.

Al hacer clic en el menú anterior mostrará los grupos predefinidos y/o creados por los usuarios:

Dentro de la creación (botón Create group) o modificación (icono de llave de ajuste en columna Actions) de un grupo aparece el siguiente formulario:

A continuación, se detallan los campos del formulario:

• Name: Nombre del grupo. Este grupo se podrá emplear en la provisión automática de Agentes, por lo que no se recomienda que contenga espacios ni caracteres extendidos (aunque está soportado).
• Icon: Combo donde se puede elegir el icono que tendrá el grupo.
• Parent: Se puede definir otro grupo como padre del grupo que se está creando.
• Password: Contraseña opcional. Permite restringir la auto creación de Agentes (provisión automática de Agentes Software o Satellite Server) de forma que sólo podrán crearse Agentes que tengan la misma contraseña que la definida en este campo.
• Alerts: Si se marca, los Agentes pertenecientes al grupo podrán enviar alertas. Se puede utilizar esta propiedad para desactivar de forma rápida la generación de alertas de un grupo determinado de Agentes.
• Propagate ACL: Si está habilitado, los grupos hijos tendrán los mismos permisos ACL que este grupo.
• Custom ID: Los grupos tienen un ID en la Base de Datos, en este campo es posible poner otro ID personalizado que pueda ser usado desde un programa externo para realizar una integración (p.e: CMDB's).
• Contact: Información de contacto accesible a través de la macro _group_contact_
• Skin: Se puede asignar un tema (apariencia) por grupo.

Puede limitar la cantidad de Agentes en cada grupo por medio del campo Max agents allowed. Valor por defecto cero (sin límite).

También por medio de la API de Pandora FMS, al crear un grupo o editar un grupo, puede establecer el número máximo de Agentes en un grupo, en caso de ser necesario.

Esta extensión permite importar un archivo con registros (cuyos campos estén separados por comas , o por otro carácter que escoja de la lista Separator) y que definan grupos, al servidor de Pandora FMS

Se accede a la extensión desde Admin tools → Extensions manager → CSV import group.

Se elige el archivo a importar pulsando en Browse… , seleccione el carácter separador y pulse en el botón Go.

El archivo CSV debe contener los siguientes campos en el orden siguiente: Nombre de grupo, icono, id del padre y propagación (1 ó 0).

Los perfiles se gestionan desde Profiles → Profile management.

Los perfiles de Pandora FMS permiten definir qué permisos puede tener un usuario. La combinación de perfiles más un grupo, asociada a un usuario, permite definir qué permisos tiene un usuario sobre un grupo de agentes, de forma que pueda tener diferentes perfiles en diferentes grupos.

Esta lista define qué habilita cada perfil:

Además, el Servidor NCM (Network Config Management) de Pandora FMS dispone de sus propios bits de acceso.

Desde la edición de usuario, se le puede asignar a un usuario el acceso a un grupo con un perfil determinado:

Si se crea un usuario sin perfil ni grupo, dicho usuario no podrá iniciar sesión en el servidor Pandora FMS.

Se han tenido en cuenta varios posibles escenarios:

• Un usuario manager con permisos UM que pertenezca al grupo ALL podrá gestionar cualquier usuario sin importar el grupo al que pertenezca.
• Se pueden añadir accesos a grupos antes de crear un usuario como tal.
• Un usuario manager puede editar perfiles y grupos solo sobre los usuarios que puede ver porque pertenezcan a los grupos que gestiona con permisos UM.
• Un usuario administrador puede crear otros usuarios administradores y puede gestionar cualquier otro usuario, pero en ningún caso un usuario manager con permisos UM puede quitarle permisos UM a otro usuario que tenga los mismos permisos sobre el mismo grupo. Esto solo podrá modificarlo un administrador.
• Un usuario manager sin permisos UM sobre un grupo, no puede ver que usuarios pertenecen a ese grupo.
• Un usuario manager puede eliminar la relación de usuarios con los grupos que gestiona e incluso el usuario completo si este solo tiene relación con los grupos que gestiona.

• Un usuario manager que tenga permisos UM en un grupo y en otro no, puede ver solo la información perfil/grupo de los grupos que gestiona, aunque el usuario que observa tenga más permisos de otros grupos. El resto de la información del usuario será ajena al usuario manager. De esta forma el usuario manager solo podrá obtener información o modificar los permisos sobre los grupos que gestiona, pero en ningún momento podrá eliminar más permisos o eliminar al usuario.

En la versión Enterprise el acceso individual a los módulos de un agente se puede configurar con un sistema de Etiquetas (Tags). Se configuran unas etiquetas en el sistema, se asignan a los módulos que se necesiten y, adicionalmente, se puede restringir el acceso a un usuario solo a los módulos que tengan esas etiquetas definidas.

Los tags se definen en Profiles → Module Tags.

En la configuración de un módulo se le puede asignar (opcionalmente) uno o varios tags:

Para asignar a un usuario un acceso específico a un tag, se debe hacer través del editor de usuarios, en la asignación de perfil y grupo, añadiendo un tag:

En este ejemplo, el usuario tiene acceso con el perfil de Chief Operator al grupo Applications y también el perfil Operator (Read) al grupo Network pero sólo a los módulos marcados con el tag “network_usage”.

En apartados anteriores se explicó que los permisos de un grupo se pueden extender a los hijos mediante la opción de configuración Propagate ACL. Sin embargo, desde la configuración de usuarios, se puede limitar esta funcionalidad y evitar que el ACL se propague marcando No hierarchy.

Por ejemplo, se plantea una configuración con dos grupos padre: Applications y Databases

Cada uno de estos grupos tiene dos hijos cada uno: Development_Apps y Management_Apps para el primero, Databases_America y Databases_Asia para el segundo.

Ambos grupos padre están marcados para que se propague el ACL.

En la vista de edición de usuario, si se añaden los siguientes perfiles:

El usuario tendrá acceso a los grupos Applications, Development_Apps, Management_Apps y Databases.

En cambio, si se añade un hijo de Databases:

Ahora el usuario podrá acceder a los grupos Applications, Development_Apps, Management_Apps, Databases y Databases_Asia, pero no a Databases_America.

Al contrario que el grupo principal, estos grupos secundarios son opcionales.

El hecho de que un agente pertenezca a un grupo secundario significa que, en realidad, pertenece a varios grupos a la vez. Con esta funcionalidad, dos usuarios que tengan permisos muy diferentes podrán tener acceso al mismo agente con solo añadirle los grupos secundarios adecuados.

Por ejemplo, si un agente llamado Portal tiene como grupo principal Infraestructuras y como grupo secundario Hosting, cualquier usuario que tenga acceso a Infraestructuras y/o a Hosting podrá acceder a él.

Algunas vistas, como es el caso del Tree View, pueden mostrar agentes repetidos. Al usar grupos secundarios es el comportamiento normal.

El modelo de ACL Open Source está basado en estilo unix:
role/action/group/user (4 items).

El sistema de ACL Enterprise, permite definir -según perfil- a qué páginas (definidas una a una o por “grupos”) tienen acceso los usuarios. Esto permitirá redefinir que secciones de la interfaz puede ver un usuario. Por ejemplo, el permitir a un usuario visualizar sólo la vista Group y la vista Detallada de agente, saltándose páginas como Alert view o Monitor view, ya agrupadas en el sistema clásico ACL de Pandora FMS como AR (Agent Read Privileges).

Esta funcionalidad permite restringir la administración por páginas. Resulta muy útil para permitir algunas operaciones específicas de bajo nivel.

Para poder utilizar el sistema ACL Enterprise, lo primero será activarlo en la pestaña de configuración. Esta opción es únicamente visible si está utilizando la versión Enterprise.

Para configurar el sistema Enterprise ACL Enterprise, vaya a la opción específica en Profiles → Enterprise ACL Setup. En esta pantalla puede añadir nuevos ítems en el Sistema ACL y ver los ítems definidos por perfil. También puede borrar ítems del sistema ACL Enterprise.

Si por error ha perdido el acceso a la Consola, puede desactivar el sistema ACL Enterprise desde la línea de comandos:

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl

Cómo funciona

Puede definir “página por página”, “secciones completas”, fijar una regla “cualquiera” o añadir “páginas personalizadas” no accesibles desde el menú.

Hay dos modos de añadir páginas a un perfil: con el asistente (por defecto) o con la edición personalizada. Encima del botón para añadir una regla hay un botón para cambiar este modo.

Asistente

En el asistente escogeremos las secciones y las páginas de unos controles de lista desplegable.

Para incluir una página de Pandora FMS en las “páginas permitidas”, deberá seleccionar el perfil al que se aplicará la regla, después seleccionar en control Section la sección que contiene la página deseada. En ese momento, podrá seleccionar en el control Section 2 cualquiera de sus páginas y de igual manera funciona para la Section 3.

Otra opción es seleccionar una sección y el valor All en el control Section. Esto permitirá al perfil elegido poder ver “todo” de la sección escogida. Igualmente seleccionando All en ambos controles permitirá que los usuarios de ese perfil vean “todo” de “todas” las secciones, tal como sería sin el Sistema ACL Enterprise para ese perfil.

Edición personalizada

Para añadir páginas sueltas que no son accesibles desde el menú puede introducir manualmente su sec2. Para ello, acceda a la página que desea añadir y copie el parámetro Section 2.

Por ejemplo, si queremos añadir la vista principal de los agentes, entraremos en la vista de cualquier agente y encontraremos una URL parecida a esta:

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

Introduciremos el contenido del parámetro sec2 (operation/agentes/ver_agente) en la caja de texto Section 2.

Cualquier página que esté limitada no se mostrará en el menú y no se permitirá su uso, ni siquiera cuando el usuario ponga la URL de modo “manual”.

Cualquier página no permitida por el sistema “Clásico” ACL de Pandora FMS no será permitida por el sistema ACL Enterprise (esto es válido para los sistema clásico ACL).

Además, hay un control que comprueba si una página pertenece a una sección, lo que refuerza la seguridad frente a modificaciones manuales de la URL. Esta comprobación se saltará las páginas añadidas con el editor personalizado, así como el acceso a cada página de una sección completa a la que se tenga permitido el acceso, optimizando así la carga.

Podrá consultar en cualquier momento las páginas permitidas para cada perfil mediante Filter by profile y pulsando luego el botón Filter:

Los grupos y perfiles están pensados para que un usuario tenga diferentes roles en una implantación de Pandora FMS. Los elementos básicos de monitorización como agentes y módulos se rigen por estas reglas básicas de grupo/perfil, teniendo en cuenta cómo se amplían con el uso de grupos secundarios y permisos de tags.

Otros elementos de Pandora FMS como informes, Consolas visuales, mapas de red y dashboards actúan como contenedores. Si un usuario (con visibilidad de todos los datos gestionados) crea un informe y lo asigna a un grupo general, los usuarios con acceso a ese grupo podrán ver el informe y todo su contenido. Incluso aunque no tengan acceso por permisos a los elementos individuales de su informe.

El informe, la Consola visual, el mapa de red y los dashboards actúan como contenedores de información. El control de acceso es al contenedor, pero no a su contenido.

Ejemplo

Tenemos cuatro grupos: Cliente A, Cliente B, Global e Infraestructura interna.

El administrador crea una Consola visual que contiene elementos de Infraestructura interna y elementos específicos de Cliente A y Cliente B. Esa Consola visual la asocia al grupo Global.

• Cliente A tiene acceso de escritura de informes en Cliente A y lectura de informes en Global. Cliente A podrá ver esa Consola visual y todo su contenido, a pesar de que contiene elementos de Cliente B y del grupo Infraestructura interna que el administrador ha colocado cuando ha creado la Consola visual.
• Cliente B podrá ver exactamente la misma Consola que Cliente A, ya que tiene permisos para lectura de informes del grupo Global.

Excepciones a este comportamiento

Existen algunas excepciones puntuales a este comportamiento general, en concreto en algunos widgets del dashboard como el treeview o en el control de eventos del dashboard, ya que ese widget en concreto permite interactuar con los datos (para validar eventos) o en elementos independientes de la Consola visual donde se puede restringir la visualización de un elemento de la Consola a un grupo determinado.

Se debe tener en cuenta que el propósito de tales elementos, cuando se da acceso en modo lectura, es para poder acceder a datos que de otra manera no se podrían visualizar por ese usuario. Puede ocurrir que el usuario tenga acceso de lectura y escritura. En tal caso, cuando edite uno de esos contenedores, solo podrá agregar elementos a los que tiene acceso y podrá borrar elementos a los que no tiene acceso, pero no podrá agregarlos de nuevo.

La vista detallada de los servidores se utiliza para conocer, además del estado general de los servidores de Pandora FMS, su nivel de carga y retraso en las ejecuciones. Vaya al menú Servers y haga clic en la opción Manage servers:

• Name: Nombre del servidor, generalmente usa el hostname de la máquina.
• Status: Estado (verde significa activo, gris significa detenido o fuera de línea).
• Type: Tipo de servidor (Data server, Network server, etcétera).
• Version: Muestra la versión actual de cada servidor de Pandora FMS.
• Modules: El número de módulos de ese tipo ejecutados por el servidor respecto al número total de módulos de este tipo.
• Lag: Tiempo más alto que lleva el Módulo más antiguo esperando a recibir datos / Número de módulos que están fuera de su tiempo de vida. Este indicador sirve para conocer si la relación entre cantidad de módulos y capacidad de carga del servidor. Delayed modules (Módulos atrasados) indica la cantidad de módulos que no han reportado al servidor.
• T/Q (Current threads/queued modules currently): Muestra el número de hilos activos actualmente en cada servidor / Número total de Módulos en cola a espera de ser atendidos. Estos parámetros reflejan estados de carga excesiva. Siempre deben haber pocos Módulos en cola; esto refleja la incapacidad del servidor para procesar los datos.
• Updated: Cada servidor tiene un keepalive que actualiza su estado para asegurarse de que está activo, actualizando además sus estadísticas.
• Op.: Operaciones disponibles, columna de iconos.

Algunos iconos tienen especial relevancia:

• Poll request: Solicita al servidor de pruebas remotas que ejecute todos los chequeos que tenga, forzando a ejecutarlas otra vez. Válido para todos los servidores de red, por ejemplo Network server, WMI server, Plugin server, WEB Server, etc.
• Edit: Para cambiar la dirección IP y descripción del servidor.
• Delete: Para borrar el servidor.
• Manage Discovery tasks: Administrar tareas de descubrimiento. Válido para Discovery servers.
• Edit remote configuration: Editar la configuración remota del servidor. Válido para servidores de Pandora FMS o Satélite server.

Para habilitar la configuración remota deberá cambiar el token remote_config a 1 y luego reiniciar el servidor PFMS. Al hacer clic en el icono Remote configuration podrá editar un servidor PFMS o un servidor Satélite PFMS. La configuración remota con interfaz gráfica tiene tres secciones:

• Server features: donde podrá habilitar o deshabilitar cada uno de los servidores que tenga según su tipo de licencia adquirida.

• Optimization settings: para afinar cada uno de los servidores según sus características, unos más, otros menos.

• Other server settings: para configurar tareas automatizadas.

Para balancear la carga en la ejecución de tareas de consola en Discovery server, podrá declarar y agregar consolas en la sección config.php.

Pandora FMS dispone de un almacén de credenciales. Este almacén gestiona las identidades que se utilizarán en secciones como Discovery Cloud o el despliegue automático de agentes. Vaya al menú y haga clic en Profiles → Manage agent groups.

A continuación se puede visualizar la pestaña Credential Store (Almacén de credenciales):

Para agregar una nueva entrada se deberá presionar el botón Add key y rellenar la información requerida en la venta emergente:

Hay siete tipos distintos de credenciales para registrar:

1. Credenciales de Amazon Web Services® (AWS®).
2. Credenciales de Microsoft Azure®.
3. Credenciales personalizadas.
4. Credenciales de Google®.
5. Credenciales de SAP®.
6. Credenciales tipo WMI.
7. Credenciales tipo SNMP (v1, v2, v2.c y v3).

El grupo asignado a la clave controla la visibilidad de la misma. Es decir, si asigna la clave “test” al grupo All, todos los usuarios de la Consola Pandora FMS podrán utilizar dicha clave. Solamente podrá asignar un grupo al cual pertenezca el usuario que está creando la credencial, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (ALL).

Del mismo modo, si se asocia “test” al grupo Applications, solo los usuarios con permisos sobre ese grupo explícito tendrán acceso a la clave.

Una vez agregada, se podrá consultar, filtrar, etcétera.

En la modificación de clave todos los campos son editables excepto el tipo de credencial (Product):

Pandora FMS tiene un sistema de gestión de paradas de servicio planificadas o agendadas ►Herramientas → Desconexión programada (►Tools → Scheduled downtime).

Este sistema permite desactivar las alertas en los intervalos que existe una parada de servicio, desactivando los agentes.

Para crear una parada de servicio, debe ir al menú ►Herramientas → Desconexión programada (►Tools → Scheduled downtime ):

A continuación pulse el botón Create para añadir una nueva parada planificada:

• Name: Nombre de la parada planificada, campo obligatorio.
• Group: Grupo al que queremos que pertenezca. Solamente podrá asignar un grupo al cual pertenezca el usuario que está creando la parada planificada, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (ALL). Los agentes y módulos a seleccionar para la nueva parada planificada se agregarán después de haberla creado.
• Type: Seleccione de los siguientes tipos de paradas:
  • Quiet: Marca como silenciosos los módulos que se indiquen, por lo que no generarán ni alertas, ni eventos.
  • Disable only alerts: Deshabilita las alertas de los agentes seleccionados.
  • Disable Agents: Deshabilita los agentes seleccionados. Es importante saber que si un agente es deshabilitado manualmente antes de que se lance la tarea, pasará a estar habilitado una vez que esta tarea haya finalizado.
  • Disable modules: Deshabilita los módulos seleccionados.

• Execution: Permite configurar que se ejecute una sola vez o periódicamente: mensualmente (Monthly) o semanalmente (Weekly).
• Set time: Configuración de día y hora a la que se iniciará y día y hora que terminará la parada planificada ya sea una vez o periódicamente.

Para guardar pulse el botón Add y a continuación agregue, mediante filtro, los Agentes y Módulos afectados por la parada planificada:

Mediante Group filter seleccione un grupo y en Available agents se mostrarán los agentes disponibles. De ellos a su vez seleccione uno o varios y los módulos serán actualizados en Available modules. También puede seleccionar todos con la opción Any. También puede mostrar los módulos comunes entre los agentes selecionados en Show common modules o, por el contrario, mostrar todos los módulos con Show all modules y así realizar una nueva selección de módulos. Para finalizar pulse el botón Update para actualizar los valores de la parada planificada recién creada.

Una vez agregados los módulos a la parada planificada puede modificar, borrar o agregar los módulos (que estén disponibles según filtro seleccionado):

Cuando una parada de servicio programada está “en activo” (Running) no se puede modificar ni borrar, pero desde la versión 5.0 se dispone de una opción en la que se puede detener su ejecución (Stop downtime).

A menudo existen ciertas situaciones “cíclicas” que debe tener en cuenta y el método de gestión de paradas de servicio es demasiado específico. Por ejemplo, el poder desactivar todos los agentes de forma rápida y puntual o planificar una parada general cada semana de cierta hora a cierta hora. Para este tipo de operaciones, existen maneras para hacerlo desde la línea de comando.

Existe una manera rápida de poner todos los agentes en modo de servicio, a través del uso del CLI con la utilidad pandora_manage.pl :

./pandora_manage.pl /etc/pandora/pandora_server.conf --enable_group 1

Pandora FMS Manage tool 3.1 PS100519 Copyright (c) 2010 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

[*] Pandora FMS Enterprise module loaded.

[INFO] Enabling group 1

Para desactivarlos:

./pandora_manage.pl /etc/pandora/pandora_server.conf --disable_group 1

Pandora FMS guarda un registro o log de todos los cambios y acciones de importancia producidos en la Consola de Pandora FMS . Este log se puede ver en Admin tools → System Audit Log:

Podrá ver una serie de entradas relacionadas con la actividad de la Consola, información sobre el usuario, tipo de acción, fecha y una pequeña descripción de los eventos registrados.

En la parte superior izquierda puede filtrar qué entrada va a mostrar por diferentes criterios incluyendo: acciones, usuario y dirección IP. Incluso puede realizar una búsqueda de texto y determinar las horas máximas a buscar.

Los campos de filtrado disponibles son:

• Action: Las diferentes acciones posibles entre las que filtrar:

• User: Búsqueda por usuario.
• Free text for search: Buscará en los campos User, Action y Comments.
• Max. Hours old: Número de horas hacia atrás en las que mostrar los eventos.
• IP: Dirección IP origen.

También es posible exportar la información mostrada en la pantalla a un fichero CSV, haciendo clic en el botón en la parte superior derecha de la pantalla.

Con esta herramienta, puede buscar, por ejemplo, las tareas que todos los usuarios hayan realizado sobre la configuración en las últimas 72 horas:

O el momento en que un usuario determinado ha iniciado sesión en la consola. Además, puede ver la fecha de inicio del servicio del servidor Pandora FMS (podrá ver fecha y hora exacta al posicionar el puntero sobre el icono “ i ” ):

En las versiones modernas (718 o posterior) de la consola de Pandora FMS puede comprobar el estado de los logs a través del menú Admin tools → Extension management → System logfiles.

Desde esta extensión podrá consultar los logs tanto de la consola como del servidor local:

Si no pudiera ver el contenido, por favor revise los permisos de sus archivos de log:

chown -R pandora:apache /var/log/pandora/

Puede ajustar las opciones del rotador para que mantenga esta configuración, modificando el archivo /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

Por otra parte también existe una configuración específica para la rotación de logs de la consola en /etc/logrotate.d/pandora_console:

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

cat> /etc/logrotate.d/pandora_server <<EO_LR
/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
        su root apache
        weekly
        missingok
        size 300000
        rotate 3
        maxage 90
        compress
        notifempty
        copytruncate
        create 660 pandora apache
}

/var/log/pandora/pandora_snmptrap.log {
        su root apache
        weekly
        missingok
        size 500000
        rotate 1
        maxage 30
        notifempty
        copytruncate
        create 660 pandora apache
}

EO_LR

chmod 0644 /etc/logrotate.d/pandora_server

El núcleo del sistema de Pandora FMS es su base de datos. En ella se almacenan todos los datos recogidos por los sistemas monitorizados, la configuración de los agentes, las alertas, los eventos, los datos de auditoría, los diferentes usuarios y sus datos. Es decir todos los datos del sistema.

La eficiencia y fiabilidad es vital para el correcto funcionamiento de Pandora FMS, por lo que realizar un mantenimiento de la base de datos es de suma importancia.

Para realizar el mantenimiento de la base de datos de forma regular, los administradores pueden usar comandos MySQL estándar desde línea de comandos o pueden gestionar la Base de Datos desde la Consola sin tener grandes conocimientos de MySQL.

Existen varias extensiones que puede utilizar desde la Consola para observar información sobre la base de datos.

En esta sección podemos visualizar información general de la instalación de Pandora FMS. Cabe destacar la gran cantidad de información que se obtiene de la base de datos, donde se pueden observar los parámetros recomendados, así como avisos sobre valores existentes que necesitan ser cambiados.

Para la versión 767 está compuesto de 14 secciones, algunas de ellas son las siguientes:

Esta es una extensión que permite ejecutar comandos en la base de datos y ver el resultado. Es una herramienta avanzada que sólo debe ser usada por personas que conozcan SQL y el esquema de base de datos de Pandora FMS en suficiente detalle.

Se accede a la extensión desde el menú Admin tools → DB interface:

Escriba el comando en el campo en blanco y haga clic en Execute SQL.

Esta es una extensión que permite comprobar las diferencias estructurales entre la base de datos establecidas Pandora FMS, y un esquema patrón para comparar posibles errores.

El funcionamiento es el siguiente:

• Se crea una base de datos temporal con la estructura que debe de tener la base de datos de la instalación (diferente dependiendo de la versión instalada).
• Se compara la base de datos creada con la base de datos referenciada en la instalación.
• Se borra la base de datos temporal.

Escriba los datos de acceso a su base de datos y haga clic en el botón Run test. Por ejemplo:

• Traceroute path: Si está vacío, Pandora FMS buscará el sistema traceroute.
• Ping path: Si está vacío, Pandora FMS buscará el sistema de ping.
• Nmap path: Si está vacío, Pandora FMS buscará el sistema nmap.
• Dig path: Si está vacío, Pandora FMS buscará el sistema dig.
• Snmpget path: Si está vacío, Pandora FMS buscará el sistema snmpget.

Para la opción de respaldo (backup) consulte la sección Discovery - Console Tasks.

Es una extensión que permite registrar plugins del servidor de forma sencilla.

Se accede a la extensión desde Servers → Register plugin.

Para registrar un plugin se elige el archivo pulsando en Browser (Examinar) y luego en Upload (Cargar).

Puede encontrar más información sobre los plugins del servidor en el capítulo de desarrollo y ampliación.

También puede ver en la sección "Desarrollo de plugins de servidor" el formato de los ficheros .pspz.

Extensión que permite importar datos en un archivo separado por comas (CSV) a un módulo de un agente. Se accede a esta extensión desde Resources → Insert Data.

El formato del fichero CSV debe ser fecha y valor, separados por punto y coma, uno por cada línea. La fecha se debe dar en formato Y/m/d H:i:s. Por ejemplo:

 2021/08/06 12:20:00;77.0
 2021/08/06 12:20:50;68.8

Si no pudiera cargar el fichero, por favor revise los permisos del directorio:

chown -R pandora:apache /var/spool/pandora/data_in

Esta extensión permite importar ficheros en formato .prt que contienen la definición de network component, smnp component, local component o wmi component. Además puedes añadirlos todos ellos (menos el local component) a un template.

Accesa a esta opción por el menú Resources → Resource registration:

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

Esta extensión pertenece al menú de Setup → Translate string y permite traducir cadenas de texto de la interfaz de Pandora FMS de manera personalizarla.

• Language: Permite filtrar la cadena por idioma.
• Free text for search (*): Contenido de la cadena que se quiere personalizar.

Aparecerán tres columnas: en la primera mostrará la cadena original, en la segunda la traducción actual y en la tercera la traducción personalizada que se quiere añadir. Complete esta última columna y haga clic en el botón Update para guardar.

Esta sección permite interactuar con los usuarios de Pandora FMS, o bien editar los detalles del propio usuario, así como algunas operaciones diversas, como acceso al sistema de incidencias (para abrir tickets), chat con otros usuarios conectados de Pandora FMS, etcétera.

Permite interactuar en una charla con otros usuarios conectados (en línea) a esa Consola de Pandora FMS. Útil por ejemplo, para comentar algo a otro operador de manera instantánea.

Pandora FMS nos permite realizar una gestión de incidencias desde la consola gracias a la integración con Integria IMS.

Para más información acerca de esta herramienta consulte el apartado Gestión de incidencias con Integria IMS

Pandora FMS tienen una herramienta que permite que los distintos usuarios se envíen mensajes entres sí.

Cuando un usuario tiene un mensaje le aparece el icono de un sobre en la parte superior derecha de la Consola.

Los mensajes que tienen un usuario los puede ver en Workspace → Messages → Messages list, y desde ahí puede leerlos, borrarlos o componer un mensaje para un grupo o un usuario específico:

En Pandora FMS existe un sistema de supervisión del estado de la consola y en general del sistema.

Puede habilitar las notificaciones siguiendo los siguientes pasos:

• En la pestaña de configuración de notificaciones de Pandora FMS (Setup → Setup → Notifications ) debe añadir o suscribir a cada categoría de notificaciones aquellos usuarios o grupos que recibirán la notificación.

• Para el estado del sistema (System status) puede, además, especificar cada aspecto técnico para cada uno de los usuarios o grupos registrados.

• Para el usuario propio, puede asegurarse de que las distintas categorías de notificaciones se encuentran activas en Workspace → Configure → User notifications. En este punto, si lo desea, podrá activar también la recepción de notificaciones por correo electrónico. Un administrador, a su vez, también puede restringir que un usuario manipule o altere dichos valores.

Los envíos de notificaciones por correo electrónico requieren que CRON esté iniciado y funcionando para poder procesar la cola de mensajes de correos electrónicos. Dado que es el sistema CRON quien realiza el envío, las URL de las notificaciones que se envíen por correo electrónico se construirán automáticamente tomando como referencia la URL que usted configure en el crontab.

Recomendación:

• Use un FQDN (full qualified domain name) para la Consola.
• Establezca el valor local para este FQDN en la propia máquina que aloja la consola (agregue la entrada 127.0.0.1 FQDN a su archivo /etc/hosts en la máquina o máquinas que sirve la Consola).

* * * * *  wget -q -O - --no-check-certificate http://nova.artica.lan/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log

Contenido de /etc/hosts (ejemplo en máquina nova.artica.lan):

127.0.0.1 nova.artica.lan

Si no dispone de un FQDN, utilice la dirección IP desde la que accede a la Consola como objetivo en la configuración de crontab:

 * * * * *  wget -q -O - --no-check-certificate http://192.168.1.100/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log

Esta extensión muestra otros usuarios conectados a la Consola de Pandora FMS distintos del propio. Esta funcionalidad cobra importancia debido a que la Consola de Pandora FMS permite conexiones de múltiples usuarios.

Se accede a la extensión desde Workspace → Users connected. Debe ser usuario administrador para tener acceso a este menú.

El repositorio de Agentes Software forma parte del Centro de Despliegues, el cual controla las versiones disponibles de los instaladores de agentes (programas) para ser desplegados.

Puede acceder a través del menú Configuration → Software agents repository.

Para agregar un nuevo instalador al repositorio presione el botón Add new software:

Selecciones OS (Linux o Windows):

Rellene la información correspondiente al tipo de arquitectura (Architecture), Version y Transfer timeout (tiempo de espera en segundos antes de que el despliegue sea cancelado), seleccione el fichero y haga clic en el botón Ok. Espere unos instantes.

Verifique que la subida ha sido satisfactoria:

Aparecerá en la lista el instalador de agente subido, con su versión, quién y cuándo lo subió, etcétera:

Use el botón para editar cada instalador, o el botón para borrarlo.

Pandora FMS ofrece la posibilidad de cargar archivos CSS para disponer de temas personalizados en la Consola visual.

Para hacer esto solo es necesario incluir el siguiente comentario en el archivo CSS:

 /*
 Name: My custom Theme
 */

El archivo CSS deberá entonces importarse en la siguiente ruta:

pandorafms/pandora_console/include/styles/CustomTheme.css

Una vez cargados los temas que desee, vaya a Setup → Setup → Visual styles ( Style configuration ) y seleccione el tema en el desplegable Style template.

A partir de esta versión está disponible un script llamado styles_backup.sh que permite exportar los iconos y los CSS existentes. Se encuentra ubicado en el directorio:

/tmp/pandorafms/pandora_server/util -> styles_backup.sh

Al ejecutarlo crea la siguiente carpeta:

/var/www/html/pandora_console/styles_backup

Dentro de dicho directorio se guardarán dos archivos comprimidos:

 images-backup-<date>-<time>.tar.gz
 styles-backup-<date>-<time>.tar.gz

Donde <date> y <time> serán la fecha y hora al hacer dicho respaldo.

Dispone de dos temas para escoger en la configuración de la Consola web de Pandora FMS:

Si desea cambiar el tema simplemente debe ir a la base de datos, con las credenciales adecuadas, y ejecutar:

UPDATE tconfig SET value = '<new_skin>' WHERE token LIKE 'style';

Donde style es la palabra clave para hallar el registro en la tabla tconfig y <new_skin> es el nuevo tema deseado a usar.

Volver al Índice de Documentación Pandora FMS