Gestión y administración de la consola

Gestión y administración de la consola

Introducción

En esta sección se tratan varios aspectos sobre la gestión de Pandora FMS : la creación de usuarios, la administración de grupos, backups, workspace, etc.

Perfiles, usuarios, grupos y ACL

Pandora FMS es una herramienta de gestión Web. Gracias al sistema de permisos 100% multitenant pueden trabajar múltiples usuarios con diferentes permisos accediendo a la información del mismo setup de Pandora sin que unos vean la información de otros.

Para añadir usuarios, es importante tener bien definidos los grupos y perfiles teniendo claro qué datos queremos que visualice y/o modifique cada usuario.

usuarios-cls-perfiles.jpg

Usuarios en Pandora FMS

Los usuarios se gestionan desde Profiles > Users management, donde se puede ver la lista de usuarios definidos.

La definición de un usuario consiste en los siguientes campos:

Detallamos los campos relevantes del usuario:

  • User ID: Identificador que usará el usuario para autenticarse en la aplicación. Este identificador es un valor que no debería tener caracteres raros ni espacios.
  • Full Display Name: Campo donde se pone el nombre completo, este si es un campo descriptivo y que puede contener espacios y caracteres no estándar.
  • Password: Contraseña que tendrá el usuario para acceder.
  • Global Profile: Un usuario Administrador no se regirá por el sistema de ACL interno y tendrá acceso a todo. El usuario standard se regirá por los permisos ACL de Pandora FMS que tengan asignado.
  • E-mail y phone: Campos opcional donde podemos añadir información extra del usuario.
  • Login Error: Si se marca este campo, el usuario sólo podrá acceder a la API pero no de forma interactiva a través de la consola.
  • Session time: Tiempo en el que podrá estar conectado el usuario sin actividad antes de que el usuario considere caducada su sesión y le obligue a autenticarse de nuevo.
  • Language: Por defecto es el del sistema. También se puede asignar un idioma en concreto en el que el usuario verá la consola de Pandora FMS.
  • Timezone: Campo donde se pone la franja horaria de la consola para visualización de distintos elementos (Vista general de agentes, Vista de módulos, …).
  • Block size for pagination: Tamaño por defecto de paginación para ese usuario.
  • Skin: Campo donde se puede elegir un skin personalizado.
  • Home screen: Cambiar la pantalla por defecto a la que ingresa el usuario después de hacer el login en la consola, por ejemplo, el visor de eventos, o una consola visual definida por el administrador.
  • Default event filter: Permite definir el filtro predeterminado que el usuario tendrá al entrar en la vista de eventos. Luego podrá cambiarlo, pero este será el que se le aplica “por defecto”.
  • Disabled newsletter: Activar o desactivar las newsletters de Pandora FMS.
  • Comments: Información adicional a los campos definidos anteriormente.
  • Profiles/Groups assigned to this user: Selección de perfiles y/o grupos en los que se organizara o a los que tendrá acceso el usuario.
Edición de un Usuario por el propio usuario

Todos los usuarios pueden modificar ciertos parámetros de su propia configuración en Workspace > Edit my User.

Aparece el formulario de creación de usuarios donde se pueden configurar algunos apartados, exceptuando los permisos sobre grupos.

Configuración de notificaciones

Para poder personalizar las notificaciones de un usuario conectado, el administrador tendrá que haberle otorgado previamente permisos de edición en las notificaciones. En caso de tener dicho permiso, así como todas las opciones activadas, se podrán habilitar/deshabilitar las notificaciones y el envío por email de las mismas.

Las notificaciones nos permitirán ver en pantalla avisos relacionados con las siguientes secciones:

  • System status. Donde se generarán las siguientes notificaciones:
    • Alerta de licencia caducada o próxima a caducar (~15 días o menos).
    • Alerta de demasiados ficheros en attachment.
    • Alerta de ficheros .data en data_in acumulándose (> 1000 ficheros y creciente).
    • Alerta de ficheros BADXML en data_in acumulándose (> 150 ficheros).
    • Encolamiento de módulos en general (creciente) por servidor.
    • Avisos de configuración de PHP.
    • Revisar si se está ejecutando pandora_db en la base de datos principal.
    • Revisar si se está ejecutando pandora_db en la base de datos histórica.
    • Estado de la actualización bbdd histórico (MR correcto).
    • Avisos de estado, componente caído o no iniciado ⇒ Cualquiera de los servidores de Pandora FMS con estado =1 y keepalive - now() sea mayor que server_keepalive * 2.
    • El servicio de Tentacle parado.
    • Aviso de no tener ningún servidor en modo máster.
    • En caso de log activados, estado de conectividad Elastic/Logstash.
    • En caso de usar Pandora FMS HA, error en la replicación de la BBDD.
    • Error de conexión con los servidores de mapas GIS (WMS).
    • Tamaño logs.
    • Alerta de punto de montaje/disco/volumen próximo a llenarse (data_in/mysql/tmp…)(> 90%).
    • Fallos de conexión con base de datos de histórico.
    • Errores de sincornización con metaconsola.
    • Paradas planificadas próximas (en menos de 15 días).
    • Metaconsola: Estado de la sincronización:
      • Errores de sincronización con nodo.
      • Errores en replicación de eventos.
      • Caché de agente.
  • Message:
    • Mensajes recibidos por el usuario pendientes de lectura.
  • Pending Tasks:
    • Políticas pendientes de aplicación.
    • Cola de políticas en proceso (running)/procesada (complete → ACK).
    • Colecciones pendientes de re-creación.
    • Plugins de servidor definidos pero cuyo ejecutable no existe.
    • Metaconsola:
      • Tareas de sincronización pendientes.
      • Tareas de sincronización completadas.
      • Notificaciones pendientes por nodo.
      • Estado de colas de políticas.
  • Announcements.
    • Recordatorio de que la versión Enterprise no está instalada.
    • ¿Conoce la versión Enterprise?
    • ¿Conoce la librería de módulos?
    • Descubra eHorus.
    • Descubra Integria IMS.
  • Public communications>
    • Avisos de actualizaciones.
    • Mensajes generados desde la central de Ártica ST (actualiza a PHP7, phantomjs, etc.)
  • Suggestions>
    • ¿Sabe que puede integrar Pandora FMS con Telegram?
    • ¿Sabe que puede realizar escalado de alertas?
    • Monitorize sus aplicaciones completas usando servicios.

Las opciones que encontramos en la configuración de las notificaciones son las siguientes:

  • Notified users> Usuarios que recibirán las notificaciones activadas.
  • Notified groups> Grupos que recibirán las notificaciones activadas.
  • Notify all users> Opción que nos permitirá avisar a todos los usuarios.
  • Also email users with notification content> Para habilitar el envío de correos con cada notificación.
  • Users can modify notificacion preferences> Para permitir a los usuarios modificar las preferencias de las notificaciones (el administrador del sistema puede limitar esta opción).
  • Users can postpone notifications up to> Permite posponer las notificaciones para que no se reciban más de una vez cada X tiempo (a elegir en el desplegable).

Grupos en Pandora FMS

Introducción

El concepto grupo en Pandora es fundamental. Los grupos son conjuntos de elementos con sus propias reglas cuya función es ayudar a controlar el acceso de los usuarios a determinados aspectos o elementos dentro de Pandora FMS.

Es importante saber que un agente sólo puede pertenecer a un grupo, pero un usuario puede tener acceso a uno o varios de estos grupos.

A la hora de configurar los grupos será necesario tener en cuenta que el grupo All es un grupo especial que no se puede eliminar y todos los grupos son subgrupos de este. Cualquier elemento que esté asociado al grupo All podrá ser visto/administrado por un usuario que tenga permisos en cualquier grupo.

El Grupo "All" (Todos/Cualquiera)

Pandora tiene un sistema de grupos, que son unas entidades en las que se clasifican los agentes y se utilizan para disgregar privilegios. De esta manera, a los usuarios se les otorga ciertos permisos enmarcados en uno o varios grupos y tendrán así, la capacidad de ver e interactuar con los agentes y demás objetos de su contexto.

Para facilitar la asignación y filtrado de los grupos, se dispone de una herramienta denominada grupo “All”. El grupo All significa en función del contexto TODOS los grupos o CUALQUIERA de ellos. Desde la 3.1 su identificador reservado es el ID 0, con la diferencia de que es totalmente controlado por código, sin existir un grupo con ese ID en la BBDD.

Creación de un grupo

Los grupos se definen en la sección ProfilesManage agent groups.

Al hacer clic en el menú anterior mostrará los grupos predefinidos y/o creados por los usuarios:

Dentro de la creación (o modificación) de un grupo aparece el siguiente formulario:

A continuación, se detallan los campos del formulario:

  • Name: Nombre del grupo. Este grupo se podrá emplear en la provisión automática de Agentes, por lo que no se recomienda que contenga espacios ni caracteres extendidos (aunque está soportado).
  • Icon: Combo donde se puede elegir el icono que tendrá el grupo.
  • Parent: Se puede definir otro grupo como padre del grupo que se está creando.
  • Password: Contraseña opcional. Permite restringir la auto creación de Agentes (provisión automática de Agentes Software o Satellite Server) de forma que sólo podrán crearse Agentes que tengan la misma contraseña que la definida en este campo.
  • Alerts: Si se marca los Agentes pertenecientes al grupo podrán enviar alertas. Se puede utilizar esta propiedad para desactivar de forma rápida la generación de alertas de un grupo determinado de Agentes.
  • Propagate ACL: Si está habilitado, los grupos hijos tendrán los mismos permisos ACL que este grupo.
  • Custom ID: Los grupos tienen un ID en la Base de Datos, en este campo es posible poner otro ID personalizado que pueda ser usado desde un programa externo para realizar una integración (p.e: CMDB's).
  • Contact: Información de contacto accesible a través de la macro the_groupcontact_
  • Skin: Se puede asignar un tema (apariencia) por grupo.

Versión NG 754 o posterior.

Puede limitar la cantidad de Agentes en cada grupo por medio del campo Max agents allowed. Valor por defecto cero (sin límite).

También por medio de la API de Pandora FMS, al crear un grupo o editar un grupo, puede establecer el número máximo de Agentes en un grupo, en caso de ser necesario.

Importar grupos desde CSV

Esta característica está en Metaconsola.

Esta es una característica Enterprise. La extensión permite importar un archivo separado por algún carácter separador en el servidor de Pandora.

Se accede a la extensión desde Admin tools > Extensions manager > CSV import group.

Se elige el archivo a importar pulsando en “Seleccionar archivo” y desde un combo se elige el separador. Una vez completados los campos anteriores se pulsa en “Go”.

El archivo CSV debe contener los siguientes campos en el orden siguiente: Nombre de grupo, icono, id del padre y propagación (1 o 0).

Perfiles en Pandora FMS

Los perfiles de Pandora FMS permiten definir qué permisos puede tener un usuario. La combinación de perfiles más un grupo, asociada a un usuario, permite definir qué permisos tiene un usuario sobre un grupo de agentes, de forma que pueda tener diferentes perfiles en diferentes grupos. Los perfiles se gestionan desde Profiles > profile management.

Lista de perfiles

Esta lista define qué habilita cada perfil:

BIT DE ACCESO OPERACIÓN
IR - Ver incidentes
IW - Validar traps
- Mensajes
IM - Gestionar incidentes
AR - Ver datos agente (todas las vistas)
- Vista táctica
- Vista de grupos
- Ver usuarios
- Ver
- Consola SNMP
- Tree view
- Extension Module Group
- Barra búsqueda
AW - Vista de gestión agente
- Edición del agente y de su .conf
- Operaciones masivas
- Crear agente
- Duplicar configuración remota
- Gestión de Políticas
AD - Gestión de paradas de servicio
- Desactivar agente/módulo/alerta
LW - Asignación de alertas ya creadas
- Gestión de alertas
LM - Definir y modificar plantillas.
- Definir y modificar acciones
UM - Gestión de usuarios
DM - Mantenimiento de la BBDD
ER - Ver evento
EW - Validar/Comentar evento
- Gestionar filtros
- Ejecutar respuestas
EM - Borrar evento
- Cambiar propietario/Re-abrir evento
RR - Ver informe, gráfica, etc
- Aplicar una plantilla de informe
RW - Crear un visual console
- Crear un informe
- Crear una gráfica combinada
RM - Crear una plantilla de informe
MR - Vista de mapas de red
MW - Edición de mapas de red
- Borrado de mapas de red propios
MM - Borrado de cualquier mapa de red
VR - Vista de consola visual
VW - Edición de consola visual
- Borrado de consolas visuales propias
- Borrado de cualquier consola visual
VM - Gestion de consolas visuales
PM - Gestionar respuestas
- Personalizar columnas de eventos
- Update manager (Operación y Administración)
- Gestión de grupos
- Crear módulos de inventario
- Gestionar módulos (Incluidas todas las subopciones)
- Gestión de consola SNMP
- Gestión de perfiles
- Gestión de servidores
- Auditoría del sistema (edición y visualización)
- Setup (todas las solapas inferiores incl)
- Extensiones administración
– Definir y modificar comandos de alerta.
COMBINACIÓN DE PERMISOS
EW & IW - Crear incidencia a través del evento (Respuesta)
LM & AR / AW & LW - Validar alertas

Asignación de permisos

Desde la edición de usuario, se le puede asignar a un usuario el acceso a un grupo con un perfil determinado:

Si al usuario no se le asigna ningún perfil ni grupo, a la hora de loguearse tendrá un fallo de login como se muestra a continuación:

Asignación de perfiles y grupos con permiso de gestión de usuarios (UM).

A partir de la version 748 de Pandora FMS se habilita una mejora en la gestión de usuarios, permisos y grupos.

Se han tenido en cuenta varios posibles escenarios que pasamos a explicar:

  • Un usuario “manager” con permisos UM que pertenezca al grupo ALL podrá gestionar cualquier usuario sin importar el grupo al que pertenezca.
  • Se pueden añadir accesos a grupos antes de crear un usuario como tal.
  • Un usuario “manager” puede editar perfiles y grupos solo sobre los usuarios que puede ver porque pertenezcan a los grupos que gestiona con permisos UM.
  • Un usuario administrador puede crear otros usuarios administradores y puede gestionar cualquier otro usuario, pero en ningún caso un usurario “manager” con permisos UM puede quitarle permisos UM a otro usuario que tenga los mismos permisos sobre el mismo grupo. Esto solo podrá modificarlo un administrador.
  • Un usuario “manager” sin permisos UM sobre un grupo, no puede ver que usuarios pertenecen a ese grupo.
  • Un usuario “manager” puede eliminar la relación de usuarios con los grupos que gestiona e incluso el usuario completo si este solo tiene relación con los grupos que gestiona.

En caso de que se vaya a eliminar la última relación perfil/grupo de un usuario y el usuario se vaya a eliminar Pandora muestra una advertencia.

*Un usuario “manager” que tenga permisos UM en un grupo y en otro no, puede ver solo la información perfil/grupo de los grupo que gestiona, aunque el usuario que observa tenga mas permisos de otros grupos. El resto de la información del usuario será ajena al usuario “manager”. De esta forma el usuario “manager” solo podrá obtener información o modificar los permisos sobre los grupos que gestiona, pero en ningún momento podrá eliminar más permisos o eliminar al usuario.

Sistemas de permisos ampliados mediante etiquetas (tags)

En la versión Enterprise, el acceso individual a los módulos de un agente se puede configurar con un sistema de Etiquetas o Tags. Se configuran unas etiquetas en el sistema, se asignan a los módulos que se quiera, y adicionalmente, se puede restringir el acceso a un usuario solo a los módulos que tengan esas etiquetas definidas.

El acceso por Tags no sustituye el acceso por grupos. Lo complementa

Los tags se definen en Profiles > Module Tags.

En la configuración de un módulo, se le puede asignar (opcionalmente) uno o varios tags:

Para asignar acceso específico a un tag, se hace a través del editor de usuarios, en la asignación de perfil y grupo, añadiendo un tag:

En este ejemplo, el usuario tiene acceso con el perfil de operador al grupo de “eHorus” y “hosting” y también al grupo “Infraestructura” pero sólo a los módulos marcados con el tag “Security”.

Este sistema, que llamamos modo de seguridad basado en Tags permite restringir el acceso a todo el contenido del agente, pero tiene penalizaciones de rendimiento, por lo que está diseñado exclusivamente para dar acceso a porciones pequeñas de información, es decir, no se debería usar con más de dos o tres tags por combinación de usuario/perfil/grupo.

En algunas vistas globales (vista táctica, vista de grupo, conteos generales de árbol) los totales muestran todos los módulos, no solo los “visibles” por el tag.

Jerarquía

En apartados anteriores, se explicó que los permisos de un grupo se pueden extender a los hijos mediante la opción de configuración Propagate ACL. Sin embargo, desde la configuración de usuarios, se puede limitar esta funcionalidad y evitar que el ACL se propague marcando No hierarchy.

Como referencia para los ejemplos, se plantea una configuración con dos grupos padre “Applications” y “Databases” con dos hijos cada uno, “Development_Apps” y “Management_Apps” para el primero y “Databases_America” y “Databases_Asia” para el segundo. Ambos grupos padre están marcados para que se propague el ACL.

En la vista de edición de usuario, si se añaden los siguientes perfiles:

El usuario tendrá acceso a los grupos “Applications”, “Development_Apps”, “Management_Apps” y “Databases”.

En cambio, si se añade un hijo de “Databases”:

Ahora el usuario podrá acceder a los grupos “Applications”, “Development_Apps”, “Management_Apps”, “Databases” y “Databases_Asia”, pero no a “Databases_America”.

Grupos secundarios

Desde el paquete de actualización 721 los agentes pueden tener grupos secundarios. Al contrario que el grupo principal, estos grupos secundarios son opcionales.

El hecho de que un agente pertenezca a un grupo secundario significa que, en realidad, pertenece a varios grupos a la vez. Con esta funcionalidad, dos usuarios que tengan permisos muy diferentes podrán tener acceso al mismo agente con solo añadirle los grupos secundarios adecuados.

Por ejemplo, si un agente llamado “Portal” tiene como grupo principal “Infraestructuras” y como grupo secundario “Hosting”, cualquier usuario que tenga acceso a “Infraestructuras” y/o a “Hosting” podrá acceder a él.

Algunas vistas, como es el caso del Tree View, pueden mostrar agentes repetidos. Al usar grupos secundarios es el comportamiento normal.

Sistema ACL Enterprise

Introducción

El modelo de ACL Open Source está basado en “estilo unix” role/action/group/user (4 items).

El sistema de ACL Enterprise, permite definir -según perfil- a qué páginas (definidas una a una o por “grupos”) tienen acceso los usuarios. Esto permitirá redefinir que secciones de la interfaz puede ver un usuario. Como por ejemplo permitir a un usuario visualizar sólo la vista “Group” y la vista “Detallada” de agente, saltándose páginas como “ Alert view” o “ Monitor view”, ya agrupadas en el sistema clásico ACL de Pandora FMS como “AR” (Agent Read Privileges).

Esta funcionalidad permite restringir la administración por páginas. Resulta muy útil para permitir algunas operaciones específicas de bajo nivel.

Ambos modelos son “paralelos” y compatibles. El sistema clásico de ACL es complementario y se evalúa antes del sistema de ACL Enterprise.

Configuración

Para poder utilizar el nuevo sistema ACL Enterprise, lo primero será activarlo en la pestaña de configuración. Esta opción es únicamente visible si está utilizando la versión Enterprise.

Para configurar el sistema Enterprise ACL Enterprise, vaya a la opción específica en Administration → Setup. En esta pantalla puede añadir nuevos ítems en el nuevo Sistema ACL y ver los ítems definidos por perfil. También puede borrar ítems del sistema ACL Enterprise.

Si se activa el sistema ACL Enterprise, se restringen TODAS las páginas a TODOS los grupos (Administrador incluido) a todas las páginas definidas (permitidas) en el sistema ACL Enterprise. Si un usuario con el perfil “Administrador” no tiene páginas incluidas en el sistema ACL Enterprise, no podrá ver nada.

Por favor, tenga cuidado con esto porque puede perder el acceso a la consola si activa la configuración inadecuada de ACL Enterprise para su usuario.

Si por error hemos perdido el acceso a la consola, puede desactivar el sistema ACL Enterprise desde línea de comandos:

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl

Puede definir “página por página”, “secciones completas”, fijar una regla “cualquiera” o añadir “páginas personalizadas” no accesibles desde el menú.

Hay dos modos de añadir páginas a un perfil: con el asistente (por defecto) o con la edición personalizada. Encima del botón para añadir una regla hay un botón para cambiar este modo.

Asistente

En el asistente escogeremos las secciones y las páginas de unos controles combo.

Las páginas que aparecen en estos combos son solamente las accesibles desde el menú. Para dar acceso a páginas a las que se accede de otro modo (Por ejemplo, la vista principal de los agente) deberemos utilizar el editor personalizado.

Para incluir una página de Pandora FMS en las “páginas permitidas”, deberá seleccionar el perfil al que se aplicará la regla, después seleccionar en control “Section” la sección que contiene la página deseada. En ese momento, podrá seleccionar en el control “Page” cualquiera de sus páginas.

Otra opción es seleccionar una sección y el valor “All” en el control “Page”. Esto permitirá al perfil elegido poder verlo “todo” de la sección escogida. Igualmente seleccionando “All” en ambos controles, se permitirá que los usuarios de ese perfil vean “todo” de “todas” las secciones, tal como sería sin el Sistema ACL Enterprise para ese perfil.

Para que se muestre una sección en el menú, el usuario deberá tener acceso, al menos, a la primera página de la sección. Por ejemplo, para que se muestre la sección “Monitoring” deberá haber acceso, al menos, a “Vista táctica”

Edición personalizada

Para añadir páginas sueltas que no son accesibles desde el menú podemos introducir a mano su sec2. Para ello, accederemos a la página que deseemos añadir y copiaremos el parámetro sec2.

Por ejemplo, si queremos añadir la vista principal de los agentes, entraremos en la vista de cualquier agente y encontraremos una URL parecida a esta:

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

Introduciremos el contenido del parámetro sec2 (operation/agentes/ver_agente) en la caja de texto.

Seguridad

Cualquier página que no esté “permitida” no se mostrará en el menú, y no se permitirá su uso, ni siquiera cuando el usuario ponga la URL de modo “manual”. Cualquier página no permitida por el sistema “Clásico” ACL de Pandora FMS no será permitida por el sistema ACL Enterprise (esto es válido para los sistema clásico ACL). Este sería un ejemplo concreto de varios filtros:

Además, hay un control que comprueba si una página pertenece a una sección, lo que refuerza la seguridad frente a modificaciones manuales de la URL. Esta comprobación se saltará las páginas añadidas con el editor personalizado, así como el acceso a cada página de una sección completa a la que se tenga permitido el acceso, optimizando así la carga.

Visualización de datos y permisos en informes, consolas visuales y otros elementos compartidos

Los grupos y perfiles están pensados para que un usuario tenga diferentes roles en una implantación de Pandora FMS. Los elementos básicos de monitorización como agentes y módulos se rigen por estas reglas básicas de grupo/perfil, teniendo en cuenta cómo se amplían con el uso de grupos secundarios y permisos de tags.

Otros elementos de pandora como informes, consolas visuales, mapas de red y dashboards actúan como contenedores. Si un usuario con visibilidad de todos los datos gestionados crea un informe y lo asigna a un grupo general, los usuarios con acceso a ese grupo podrán ver el informe, y todo su contenido. Incluso aunque no tengan acceso por permisos a los elementos individuales de su informe. El informe, la consola visual, el mapa de red y los dashboards actúan como contenedores de información. El control de acceso es al contenedor, pero no a su contenido.

Veamos un Ejemplo

Supongamos que tenemos cuatro grupos: Cliente A, Cliente B, Infraestructura interna y Global.

El administrador crea una consola visual que contiene elementos de infraestructura interna y elementos específicos de cliente A y cliente B. Esa consola visual la asocia al grupo “Global”.

Cliente A tiene acceso de escritura de informes en Cliente A y lectura de informes en Global. Cliente A podrá ver esa consola visual y toso su contenido, a pesar de que contiene elementos de cliente B y del grupo Infraestructura interna que el administrador ha colocado cuando ha creado la consola visual.

Cliente B podrá ver exactamente la misma consola que cliente A, ya que tiene permisos para lectura de informes del grupo Global.

Excepciones a este comportamiento

Existen algunas excepciones puntuales a este comportamiento general, en concreto en algunos widgets del dashboard como el treeview o en el control de eventos del dashboard, ya que ese widget en concreto permite interactuar con los datos (para validar eventos) o en elementos independientes de la consola visual donde se puede restringir la visualización de un elemento de la consola a un grupo determinado.

Se debe tener en cuenta que el propósito de tales elementos, cuando se da acceso en modo lectura, es para poder acceder a datos que de otra manera no se podrían visualizar por ese usuario. Puede ocurrir que el usuario tenga acceso de lectura y escritura. En tal caso, cuando edite uno de esos contenedores, solo podrá agregar elementos a los que tiene acceso y podrá borrar elementos a los que no tiene acceso, pero no podrá agregarlos de nuevo.

Servidores

La vista detallada de los servidores se utiliza para conocer, además del estado general de los servidores de Pandora FMS, su nivel de carga y retraso en las ejecuciones.

Esta vista exhibe distinta información en cada columna:

Name

Nombre del servidor, generalmente usa el hostname de la máquina.

Status

Estado (verde = activo, gris = parado o caído).

Type

Tipo de servidor (Data server, Network server, etcétera).

Version

Muestra la versión actual de cada servidor de Pandora FMS.

Modules

El número de módulos de ese tipo ejecutados por el servidor respecto al número total de módulos de este tipo.

Lag

Tiempo más alto que lleva el Módulo más antiguo esperando a recibir datos / Número de módulos que están fuera de su tiempo de vida. Este indicador sirve para conocer si la relación entre cantidad de módulos y capacidad de carga del servidor. Delayed modules (Módulos atrasados) nos indica la cantidad de módulos que no han reportado al servidor.

T/Q (Current threads/queued modules currently)

Muestra el número de hilos activos actualmente en cada servidor / Número total de Módulos en cola a espera de ser atendidos. Estos parámetros reflejan estados de carga excesiva. Siempre deben haber pocos Módulos en cola; esto refleja la incapacidad del servidor para procesar los datos.

Updated

Cada servidor tiene un keepalive que actualiza su estado para asegurarse de que está activo, actualizando además sus estadísticas.

Op.

Operaciones disponibles, columna de iconos.

Algunos iconos tienen especial relevancia:

  • Poll request: Solicita al servidor de pruebas remotas que ejecute todos los chequeos que tenga, forzando a ejecutarlas otra vez. Válido para todos los servidores de red, por ejemplo Network server, WMI server, Plugin server, WEB Server, etc.
  • Edit: cambiar la dirección IP y descripción del servidor.
  • Delete: borrar el servidor.
  • Edit remote configuration: Editar la configuración remota del servidor. Válido para servidores de Pandora FMS o Satélite server.
  • Manage Discovery tasks: Administrar tareas de descubrimiento. Válido para Discovery servers.

Almacén de credenciales

Pandora FMS dispone de un almacén de credenciales. Este almacén gestiona las identidades que se utilizarán en secciones como Discovery Cloud o el despliegue automático de agentes. Vaya al menú y haga clic en Profiles > Manage agent groups.

A continuación se puede visualizar la pestaña “Almacén de credenciales”

Pandora FMS permite el cifrado de las contraseñas a guardar en la base datos. Para mayor información visite **Cifrado de Contraseñas**

Para agregar una nueva entrada se deberá presionar el botón “agregar” y rellenar la información requerida en el pop-up.

Hay cinco tipos distintos de credenciales para registrar:

  1. Credenciales de Amazon Web Services (AWS).
  2. Credenciales de Microsoft Azure.
  3. Credenciales personalizadas.
  4. Credenciales de Google.
  5. Credenciales de SAP.

El grupo asignado a la clave controla la visibilidad de la misma. Es decir, si asigna la clave 'test' al grupo 'All', todos los usuarios de la consola Pandora FMS podrán utilizar dicha clave. Solamente podrá asignar un grupo al cual pertenezca el usuario que está creando la credencial, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (**ALL**).

Del mismo modo, si se asocia 'test' al grupo 'Applications', solo los usuarios con permisos sobre 'Applications' tendrán acceso a la clave.

Una vez agregada, se podrá consultar, filtrar, etc.

Dentro de la edición de clave lo único que no se podrá modificar es el tipo de credencial:

Paradas de servicio planificadas

Introducción

Pandora FMS tiene un pequeño sistema de gestión de paradas de servicio planificadas. Este sistema permite desactivar las alertas en los intervalos que existe una parada de servicio, desactivando el agente. Cuando un agente está desactivado tampoco recoge información, de forma que en una parada de servicio, para la mayoría de las métricas o tipos de informe, los intervalos donde existe una parada de servicio, no son tenidos en cuenta en los informes ya que no existen datos de ese tiempo en los agentes.

Creación parada planificada

Para crear una parada de servicio, debemos ir al menú Tools > Scheduled downtime y pulsar el botón para crear una:

Nos encontramos con los siguientes parámetros configurables:

  • Nombre: Nombre de la parada planificada
  • Grupo: Grupo al que queremos que pertenezca. Solamente podrá asignar un grupo al cual pertenezca el usuario que está creando la parad planificada, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (**ALL**).
  • Descripción: Descripción de la misma.
  • Tipo: Podemos configurar los siguientes tipos de paradas:
    • Quiet: Marca como “quiet” los módulos que le indiquemos, por lo que no generarán ni alertas, ni eventos.
    • Disable Agents: Deshabilita los agentes seleccionados. Es importante saber que si un agente es deshabilitado manualmente antes de que se lance la tarea, pasará a estar habilitado una vez que esta tarea haya finalizado.
    • Disable Alerts: Deshabilita las alertas de los agentes seleccionados.
  • Ejecución: Nos permite configurar si queremos que se ejecute una vez o Periódicamente.
  • Configurar el tiempo: Configuración de dia y hora a la que se iniciará y terminará la parada planificada ya sea una vez o periódicamente, dependiendo lo que se haya configurado anteriormente en “Ejecución”.

Si el administrador de Pandora FMS lo habilita en la sección de configuración visual, es posible crear paradas planificadas en una fecha pasada. No se ejecutarán, pero su existencia se verá reflejada en distintos informes. Esto es especialmente relevante ya que afecta, entre otros, a los informes de disponibilidad y SLA

Finalmente especificamos que agentes en concreto queremos incluir en esa parada de servicio.

Cuando una parada de servicio programada está “en activo” no se puede modificar ni borrar, pero a partir de la versión 5.0 se dispone de una opción en la que podemos parar la ejecución de la parada programada “Stop downtime”, para que en ese momento se vuelvan a habilitar todos los agentes/módulos/alertas que la parada planificada está deshabilitando temporalmente. Esta opción no es compatible con las paradas planificadas periódicas. A partir de la versión 6.0 se pueden posponer las paradas planificadas no periódicas aunque estén 'activas'. Cuando esa parada de servicio finaliza podemos volver a modificar o borrar la misma.

Alternativas a la gestión de parada de servicio en la consola

A menudo existen ciertas situaciones “cíclicas” que debemos tener en cuenta y el método de gestión de paradas de servicio es demasiado específico: por ejemplo, queremos poder desactivar todos los agentes de forma rápida y puntual o planificar una parada general cada semana de cierta hora a cierta hora. Para este tipo de operaciones, existen maneras para hacerlo desde la línea de comando.

Existe una manera más rápida de poner todos los agentes en modo de servicio, a través del uso del CLI, pandora_manage.pl de gestión de Pandora mediante la línea de comandos:

./pandora_manage.pl /etc/pandora/pandora_server.conf --enable_group 1

Pandora FMS Manage tool 3.1 PS100519 Copyright (c) 2010 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

[*] Pandora FMS Enterprise module loaded.

[INFO] Enabling group 1

Para desactivarlos sería de la siguiente manera:

./pandora_manage.pl /etc/pandora/pandora_server.conf --disable_group 1

Log de auditoría

Pandora FMS guarda un log de todos los cambios y acciones de importancia que se dan en la consola de Pandora FMS . Este log se puede ver en Admin tools > System Audit Log.

En esta pantalla, puede ver una serie de entradas relacionadas con la actividad de la consola, información sobre el usuario, tipo de acción, fecha y una pequeña descripción de los eventos registrados.

En la parte superior izquierda, puede filtrar qué entrada va a mostrar por diferentes criterios incluyendo: acciones, usuario e IP, incluso puede realizar una búsqueda de texto y determinar las horas máx.

Los campos de filtrado disponibles son:

  • Action: Las diferentes acciones posibles entre las que filtrar → ACL Violation, Agent management, Agent remote configuration, Alert management, Command management, Dashboard management, Event alert management, Event deleted, Extension DB inface, File collection, Logoff, Logon, Logon Failed, Massive management, Module management, No session, Policy management, Report management, Setup, System, Template alert management, User management, Visual console builder.
  • User.
  • Free text for search: Buscará en los campos User, Action y Comments.
  • Max. Hours old: Número de horas hacia atrás en las que mostrar los eventos.
  • IP: Dirección IP origen.

También es posible exportar la información mostrada en la pantalla a un fichero CSV, haciendo clic en el botón en la parte superior derecha de la pantalla.

Con esta herramienta, puede buscar, por ejemplo, la tarea que un usuario realiza sobre la gestión de agentes en la última hora.

O el momento en que un usuario determinado ha iniciado sesión en la consola. Puede recuperar toda la información sobre las acciones realizadas por todo el usuario. Además, puede ver la fecha de inicio del servicio del servidor Pandora o cuando se cambió la configuración de la consola.

Logs del servidor local

En las versiones modernas de la consola de Pandora FMS puede comprobar el estado de los logs a través del menú Admin toolsExtension managementSystem logfiles.

Desde esta extensión podrá consultar los logs tanto de la consola como del servidor local:

Si no pudiera ver el contenido, por favor revise los permisos de sus archivos de log:

chown -R pandora:apache /var/log/pandora/

Puede ajustar las opciones del rotador para que mantenga esta configuración, modificando el archivo /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

Por otra parte también existe una configuración específica para la rotación de logs de la consola en /etc/logrotate.d/pandora_console>

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

Nota> Si su sistema es SuSE sustituya apache por www-data, en otro caso verifique los usuarios correspondientes al servicio apache ( httpd )

En caso de actualizar por OUM desde una versión anterior a la 747 deberá modificarse el archivo logrotate manualmente.

Cron Job

Esta extensión de la versión Enterprise de Pandora FMS permite programar la realización de tareas desde el servidor de Pandora.

Se accede a la extensión desde Servers > Cron jobs.

cron_jobs.jpg

Para añadir una tarea se deben rellenar los siguientes campos:

  • Tarea: Combo donde elegir la tarea que se va a realizar.
    • Enviar informe personalizado por correo electrónico
    • Ejecutar script personalizado
    • Copia de seguridad de la BD de Pandora FMS
    • Guardar informe personalizado en disco
  • Programación: Campo donde se elige la frecuencia con que se ejecutara la tarea.
    • Sin programación: Estas tareas se ejecutarán una sola vez y a la hora especificada.
    • Cada hora
    • Diariamente
    • Semanalmente
    • Mensualmente
    • Anualmente
  • Primera ejecución: Campo donde se elige la fecha y hora de la primera ejecución de la tarea.Se ejecutará periódicamente tomando como referencia esa fecha y hora.
  • Parámetros: Campo que permite introducir parámetros en la tarea a realizar. Es variable según la tarea.
    • Copia de seguridad de la BD de Pandora FMS: Descripción y ruta en la que guardar el respaldo.
    • Enviar informe por correo electrónico: informe a enviar y e-mail del destinatario.
    • Ejecutar script: comando del script a ejecutar.
    • Guardar informe en disco: informe a guardar y ruta donde guardarlo.

Una vez se han rellenado los datos se pulsa en create y aparece la tarea en la lista de tareas programadas.

cron_jobs_list.jpg

Una vez se ha creado la tarea programada es posible forzar su ejecución pulsando en el círculo verde que hay a la derecha de la tarea o borrara pulsando en la cruz roja que hay a la izquierda.

Si el cron job es de tipo “Non scheduled”, cuando se ejecute se eliminará automáticamente.

Gestión de la Base de Datos desde la consola

El núcleo del sistema de Pandora FMS es su base de datos. En ella se almacenan todos los datos recogidos por los sistemas monitorizados, la configuración de los agentes, las alertas, los eventos, los datos de auditoría, los diferentes usuarios y sus datos. Es decir todos los datos del sistema.

La eficiencia y fiabilidad es vital para el correcto funcionamiento de Pandora FMS, por lo que realizar un mantenimiento de la base de datos es de suma importancia.

Para realizar el mantenimiento de la base de datos de forma regular, los administradores pueden usar comandos MySQL estándar desde línea de comandos o pueden gestionar la Base de Datos desde la consola aunque no tengan grandes conocimientos de MySQL.

Existen varias extensiones que podemos utilizar desde la consola para observar información sobre la base de datos.

Diagnostic tool

En esta sección podemos visualizar información general de la instalación de Pandora FMS. Cabe destacar la gran cantidad de información que se obtiene de la base de datos, donde se pueden observar los parámetros recomendados, así como avisos sobre valores existentes que necesitan ser cambiados.

DB Interface

Esta es una extensión que permite ejecutar comandos en la BBDD y ver el resultado. Es una herramienta avanzada que sólo debe ser usada por personas que conozcan SQL y el esquema de BBDD de Pandora FMS en suficiente detalle.

Esta herramienta mal usada puede destruir datos o dejar inoperativa la aplicación de forma permanente.

Se accede a la extensión desde Admin tools > DB interface.

Se escribe el comando en el campo en blanco y se pincha en “Execute SQL”

DB Schema Check

Esta es una extensión que permite comprobar las diferencias estructurales entre la base de datos establecida en su pandora y un esquema patrón para comparar posibles errores.

El funcionamiento es el siguiente:

  • Se crea una base de datos temporal con la estructura que debe de tener la base de datos de la instalación (diferente dependiendo de la versión instalada).
  • Se compara la base de datos creada con la base de datos referenciada en la instalación.
  • Se borra la base de datos temporal.

Se escriben los datos de acceso a su base de datos y se pincha en “Run test”

Es recomendable el uso de esta extensión para comprobar si se ha realizado correctamente una migración de base de datos

Esta comprobación únicamente se puede realizar en Bases de datos de MySQL.

Network Tools

  • Traceroute path: Si está vacío, Pandora FMS buscará el sistema traceroute.
  • Ping path: Si está vacío, Pandora FMS buscará el sistema de ping.
  • Nmap path: Si está vacío, Pandora FMS buscará el sistema nmap.
  • Dig path: Si está vacío, Pandora FMS buscará el sistema dig.
  • Snmpget path: Si está vacío, Pandora FMS buscará el sistema snmpget.

Backup

Extensión que permite hacer un backup de la BBDD y restaurarlo.

Para hacer un backup, en primer lugar, se debe de seleccionar la carpeta de destino donde se va a guardar la copia de seguridad. Una vez escogida, escribiremos una descripción del backup que vamos a llevar a cabo.

Cuando se hace el backup este aparece en la lista de Backups con el icono de running.

Una vez se ha creado el Backup es posible:

  • Descargarlo pulsando en el icono de la imagen.

Hacer un rollback pulsando en el icono de la imagen.

El rollback aplica un backup creado previamente y lo restaura. Esto destruirá todos los datos existentes en la consola y aplicará los datos que existen en el backup sobre el cual se hace el rollback.

Mediante esta herramienta únicamente podremos recuperar el backup de la base de datos realizado con esta utilidad. No es posible cargar una copia de seguridad hecha manualmente.

  • Borrarlo pulsando en el icono de la imagen.

Registro de plugins

Es una extensión que permite registrar plugins del servidor de forma sencilla.

Se accede a la extensión desde Servers > Register plug-in.

Para registrar un plugin se elige el archivo pulsando en “Examinar” y en “Upload”.

Se puede encontrar más información sobre los plugins del servidor en el capítulo de desarrollo y ampliación.

Se puede ver en la sección Desarrollo de plugins de servidor el formato de los ficheros .pspz.

Insert data

Extensión que permite importar datos en un archivo separado por comas (CSV) a un módulo de un agente. Se accede a esta extensión desde Resources > Insert Data.

El formato del fichero CSV debe ser date;value por cada línea. La fecha se debe dar en formato Y/m/d H:i:s. Por ejemplo:

 2011/08/06 12:20:00;77.0
 2011/08/06 12:20:50;68.8

Resource registration

Esta extensión permite importar ficheros .prt que contienen la definición de network component, smnp component, local component o wmi component. Además puedes añadirlos todos ellos (menos el local component) a un template.

Formato del fichero.prt

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
	<component>
		<name></name>
		<description></description>
		<module_source></module_source>
		<id_os></id_os>
		<os_version></os_version>
		<data></data>
		<type></type>
		<max></max>
		<min></min>
		<max_cri></max_cri>
		<min_cri></min_cri>
		<max_war></max_war>
		<min_war></min_war>
		<historical_data></historical_data>
		<ff_treshold></ff_treshold>
		<module_interval></module_interval>
		<id_module_group></id_module_group>
		<group></group>
		<tcp_port></tcp_port>
		<tcp_send></tcp_send>
		<tcp_rcv_text></tcp_rcv_text>
		<snmp_community></snmp_community>
		<snmp_oid></snmp_oid>
		<snmp_version></snmp_version>
		<auth_user></auth_user>
		<auth_password></auth_password>
		<privacy_method></privacy_method>
		<privacy_pass></privacy_pass>
		<auth_method></auth_method>
		<security_level></security_level>
		<plugin></plugin>
		<plugin_username></plugin_username>
		<plugin_password></plugin_password>
		<plugin_parameters></plugin_parameters>
		<wmi_query></wmi_query>
		<key_string></key_string>
		<field_number></field_number>
		<namespace></namespace>
		<wmi_user></wmi_user>
		<wmi_password></wmi_password>
		<max_timeout></max_timeout>
		<post_process></post_process>
	</component>
	<component>...</component>
	<component>...</component>
	<template>
		<name></name>
		<description></description>
	</template>
</pandora_export>

Traductor de cadenas de texto

Esta extensión pertenece al menú de Setup > Translate string y permite traducir cadenas de texto de la interfaz de Pandora FMS para personalizarla.

A continuación se detallan los campos a rellenar:

  • Language: Permite filtrar la cadena por idioma.
  • Free text for search (*): Contenido de la cadena que se quiere personalizar.

Aparecerán tres columnas: en la primera mostrará la cadena original, en la segunda la traducción actual y en la tercera la traducción personalizada que se quiere añadir.

Workspace

Esta sección, permite interactuar con los usuarios de Pandora, o bien editar los detalles del propio usuario, así como algunas operaciones diversas, como acceso al sistema de incidencias (para abrir tickets), chat con otros usuarios conectados de Pandora, etc.

Chat

Permite interactuar en una charla con otros usuarios conectados a esa consola de Pandora. Útil por ejemplo, si queremos comentar algo a otro operador.

Issues

Pandora FMS nos permite realizar una gestión de incidencias desde la consola gracias a la integración con Integria IMS.

Para más información acerca de esta herramienta consulte el apartado Gestión de incidencias con Integria IMS

Mensajes

Pandora FMS tienen una herramienta que permite que los distintos usuarios se envíen mensajes entres sí.

Ver mensajes

Cuando un usuario tiene un mensaje le aparece el icono de un sobre en la parte superior derecha de la consola.

Los mensajes que tienen un usuario los puede ver en Workspace > Messages > Messages list, y desde ahí puede leerlos, borrarlos o componer un mensaje para un grupo o un usuario específico.

Usuarios conectados

Esta extensión muestra otros usuarios conectados a la Consola de Pandora FMS distintos del propio. Esta funcionalidad cobra importancia debido a que la consola de Pandora FMS permite conexiones de múltiples usuarios.

Se accede a la extensión desde Workspace > Users connected.

Repositorio de agentes software

El repositorio de agentes software forma parte del centro de despliegues, el cual controla las versiones disponibles de los instaladores de agentes (programas) para ser desplegados.

Puede acceder a través del menú:

Para agregar un nuevo instalador al repositorio presione el botón 'Agregar agente'

Rellene la información correspondiente al tipo de sistema operativo objetivo, la arquitectura, el archivo de instalación, etc.

Nota: Los instaladores para Linux (y toda la familia Unix y BSD) son comunes para todas las arquitecturas. Tanto x64, x86, ARM, etc comparten el mismo instalador .tar.gz.

Verifique que la subida ha sido satisfactoria:

Aparecerá en la lista el instalador de agente subido, con su versión, quién y cuándo lo subió, etcétera:

Temas personalizados

Solamente NG 752 y versiones anteriores.

Pandora FMS ofrece la posibilidad de cargar archivos CSS para disponer de temas personalizados en la Consola visual.

Para hacer esto solo es necesario incluir el siguiente comentario en el archivo CSS:

 /*
 Name: My custom Theme
 */

El archivo CSS deberá entonces importarse en la siguiente ruta:

pandorafms/pandora_console/include/styles/CustomTheme.css

Una vez cargados los temas que desee, vaya a SetupSetupVisual styles ( **Style configuration** ) y seleccione el tema en el desplegable Style template.

Solamente NG 753 y versiones posteriores.

A partir de esta versión está disponible un script llamado styles_backup.sh que permite exportar los iconos y los CSS existentes. Se encuentra ubicado en el directorio:

/tmp/pandorafms/pandora_server/util -> styles_backup.sh

Al ejecutarlo crea la siguiente carpeta:

/var/www/html/pandora_console/styles_backup

Dentro de dicho directorio se guardarán dos archivos comprimidos:

 images-backup-<date>-<time>.tar.gz
 styles-backup-<date>-<time>.tar.gz

Donde <date> y <time> serán la fecha y hora al hacer dicho respaldo.

Dispone de dos temas para escoger en la configuración de la Consola web de Pandora FMS:

Si desea cambiar el tema simplemente debe ir a la base de datos, con las credenciales adecuadas, y ejecutar:

UPDATE tconfig SET value = '<new_skin>' WHERE token LIKE 'style';

Donde style es la palabra clave para hallar el registro en la tabla tconfig y <new_skin> es el nuevo tema deseado a usar.

Volver al Índice de Documentación Pandora FMS