Gestión de la Consola

En esta sección se tratan varios aspectos sobre la gestión de Pandora FMS: la creación de usuarios, la administración de grupos, los respaldos o backups, etcétera.

Pandora FMS es una herramienta de gestión web. Gracias al sistema de permisos 100% multitenant pueden trabajar múltiples usuarios con diferentes permisos accediendo a la información del mismo setup de Pandora FMS sin que unos vean la información de otros.

Para añadir usuarios, es importante tener bien definidos los grupos y perfiles teniendo claro qué datos necesita que visualice y/o modifique cada usuario.

Los usuarios se gestionan desde Management → Profiles → Manage users. De manera predeterminada podrá visualizar los usuarios definidos:

Campos notables al crear o editar:

• Administrator user: Un usuario Administrador (superadmin) no se regirá por el sistema de ACL interno y tendrá acceso a todo. El usuario estándar se regirá por los permisos ACL de Pandora FMS que tengan asignado.
• Login Error: Si se marca este campo, el usuario sólo podrá acceder a la API pero no de forma interactiva a través de la consola.
• Local user: Para realizar autenticación de usuario contra base de datos propia. PFMS admite, además, otros métodos de autenticación.
• Control of timeout session: Por defecto activado, verifica si no ha habido actividad en el período de tiempo establecido en Session time (mins) para cerrar sesión.
• Session time (mins):
  • El valor por defecto es 90 minutos y cuando se establece este valor a 0 para un usuario, Pandora FMS utilizará el valor guardado en la Configuración General, sección autenticación.
• Language: Por defecto es el del sistema. También se puede asignar un idioma en concreto en el que el usuario verá la Consola de Pandora FMS.
• Block size for pagination: Tamaño por defecto de paginación para ese usuario.
• Timezone: Campo donde se pone la franja horaria de la consola para visualización de distintos elementos (Vista general de agentes, Vista de módulos, …).
• Login allowed IP list: Si activa esta opción se limitará el inicio de sesión a un listado de direcciones IP (y/o rangos) separadas por comas. Para conectar desde cualquier dirección IP utilice el comodín * (asterisco).
• Profiles/Groups assigned to this user: Selección de perfiles y/o grupos en los que se organizará o a los que tendrá acceso el usuario.

Todos los usuarios pueden modificar ciertos parámetros de su propia configuración en Workspace → Edit my User. Aparecerá el formulario de creación de usuarios donde se pueden configurar algunos apartados, exceptuando los permisos sobre grupos.

Pandora FMS tiene un sistema de notificaciones para sus usuarios y, además, para facilitar su administración también tiene la gestión por grupos. Los diferentes tipos de notificación son los siguientes:

1. System status: Estado del sistema.
2. Message: Mensajes.
3. Pending task: Tareas pendientes.
4. Advertisement: Avisos.
5. Official communication: Comunicados oficiales.
6. Sugerence (Suggestions): Sugerencias.

ENABLE USER CONFIGURATION: Este token habilita que los usuarios, en el apartado de Operation → Workspace → Configure user notifications, puedan habilitar o deshabilitar dichas notificaciones en consola y/o por correo electrónico.

Si un usuario pertenece a un grupo y dicho grupo es agregado a una de las categorías de notificación, dicho usuario tendrá activo las notificaciones de consola para esa correspondiente categoría de notificación, sin embargo no podrá modificarla incluso si el ENABLE USER CONFIGURATION se encuentra activado (para dicha categoría).

Por defecto, el usuario admin viene con las notificaciones activas de System status y Official communication aunque dichas categorías se encuentren inactivas. Todo superusuario que sea agregado luego estará en todas las categorías de notificaciones.

El concepto grupo en Pandora es fundamental. Los grupos son conjuntos de elementos con sus propias reglas cuya función es ayudar a controlar el acceso de los usuarios a determinados aspectos o elementos dentro de Pandora FMS.

Pandora FMS tiene un sistema de grupos, que son unas entidades en las que se clasifican los agentes y se utilizan para disgregar privilegios. De esta manera, a los usuarios se les otorga ciertos permisos enmarcados en uno o varios grupos y tendrán así, la capacidad de ver e interactuar con los agentes y demás objetos de su contexto.

Para facilitar la asignación y filtrado de los grupos, se dispone de una herramienta denominada grupo All. El grupo All significa, en función del contexto, TODOS los grupos o CUALQUIERA de ellos.

Su identificador reservado es el ID 0 (Identificador cero), con la diferencia de que es totalmente controlado por código, sin existir un grupo con ese ID en la base de datos.

Menú Management → Profiles → Manage agent groups.

Al hacer clic en el menú anterior mostrará los grupos predefinidos y/o creados por los usuarios, desde acá se podrán editar un grupo de agentes haciendo clic en el nombre del grupo o borrar con el botón respectivo en la columna Actions.

Para crear un grupo de agentes se utiliza el botón Create grupo, campos notables:

• Para poder emplear el nombre de grupo en la provisión automática de Agentes, se recomienda que carezca de espacios ni caracteres extendidos (aunque está soportado).
• Parent: Se puede definir otro grupo como padre del grupo que se está creando.
• Password: Contraseña opcional. Permite restringir la auto creación de Agentes (provisión automática de Agentes Software o Satellite Server) de forma que sólo podrán crearse Agentes que tengan la misma contraseña que la definida en este campo.
• Alerts: Si se marca, los Agentes pertenecientes al grupo podrán enviar alertas. Se puede utilizar esta propiedad para desactivar de forma rápida la generación de alertas de un grupo determinado de Agentes.
• Propagate ACL: Si está habilitado, los grupos hijos tendrán los mismos permisos ACL que este grupo.
• Custom ID: Los grupos tienen un ID en la Base de Datos, en este campo es posible poner otro ID personalizado que pueda ser usado desde un programa externo para realizar una integración (p.e: CMDB's).
• Contact y Other: Información de contacto y notas a través de las macro _group_contact_ y _group_other_ .
• Desde la versión 754 se puede limitar la cantidad de Agentes en cada grupo por medio del campo Max agents allowed. Valor por defecto cero (sin límite). También por medio de la API de Pandora FMS, al crear un grupo o editar un grupo, puede establecer el número máximo de Agentes en un grupo, en caso de ser necesario.

Esta extensión permite importar un archivo con registros (cuyos campos estén separados por comas , o por otro carácter que escoja de la lista Separator) y que definan grupos, al servidor de Pandora FMS

Se accede a la extensión desde Management → Admin tools → Extensions manager → CSV import group. Se elige el archivo a importar pulsando en Browse… , seleccione el carácter separador y pulse en el botón Go.

El archivo CSV debe contener los siguientes campos en el orden siguiente:

Nombre de grupo, icono, id del padre, propagación (1 ó 0).

Los perfiles se gestionan desde Management → Profiles → Profile management.

Los perfiles de Pandora FMS permiten definir qué permisos puede tener un usuario. La combinación de perfiles más un grupo, asociada a un usuario, permite definir qué permisos tiene un usuario sobre un grupo de agentes, de forma que pueda tener diferentes perfiles en diferentes grupos.

Existen perfiles precargados y también se pueden crear todos los perfiles que sean necesarios teniendo en cuenta los perfiles a continuación.

Esta lista define qué habilita cada perfil:

Desde la edición de usuario, se le puede asignar a un usuario el acceso a uno o varios grupos con un perfil determinado:

Se han tenido en cuenta varios posibles escenarios:

• Un usuario manager con permisos UM que pertenezca al grupo ALL podrá gestionar cualquier usuario sin importar el grupo al que pertenezca.
• Se pueden añadir accesos a grupos antes de crear un usuario como tal.
• Un usuario manager puede editar perfiles y grupos solo sobre los usuarios que puede ver porque pertenezcan a los grupos que gestiona con permisos UM.
• Un usuario administrador puede crear otros usuarios administradores y puede gestionar cualquier otro usuario, pero en ningún caso un usuario manager con permisos UM puede quitarle permisos UM a otro usuario que tenga los mismos permisos sobre el mismo grupo. Esto solo podrá modificarlo un administrador.
• Un usuario manager sin permisos UM sobre un grupo, no puede ver que usuarios pertenecen a ese grupo.
• Un usuario manager puede eliminar la relación de usuarios con los grupos que gestiona e incluso el usuario completo si este solo tiene relación con los grupos que gestiona.

• Un usuario manager que tenga permisos UM en un grupo y en otro no, puede ver solo la información perfil/grupo de los grupos que gestiona, aunque el usuario que observa tenga más permisos de otros grupos. El resto de la información del usuario será ajena al usuario manager. De esta forma el usuario manager solo podrá obtener información o modificar los permisos sobre los grupos que gestiona, pero en ningún momento podrá eliminar más permisos o eliminar al usuario.

El acceso individual a los módulos de un agente se puede configurar con un sistema de Etiquetas (Tags). Se configuran unas etiquetas en el sistema, se asignan a los módulos que se necesiten y, de manera adicional, se puede restringir el acceso a un usuario solo a los módulos que tengan esas etiquetas definidas.

Las Tags se definen en Management → Profiles → Module Tags.

En la configuración de un módulo se le puede asignar (opcionalmente) uno o varios tags:

Para asignar a un usuario un acceso específico a un tag, se debe hacer través del editor de usuarios, en la asignación de perfil y grupo, añadiendo un tag:

En apartados anteriores se explicó que los permisos de un grupo se pueden extender a los hijos mediante la opción de configuración Propagate ACL. Sin embargo, desde la configuración de usuarios, se puede limitar esta funcionalidad y evitar que el ACL se propague marcando No hierarchy.

Los grupos secundarios son opcionales.

El hecho de que un agente pertenezca a un grupo secundario significa que, en realidad, pertenece a varios grupos a la vez. Con esta funcionalidad, dos usuarios que tengan permisos diferentes podrán tener acceso al mismo agente con solo añadir los grupos secundarios adecuados.

El modelo de ACL Open Source está basado en estilo Unix: role/action/group/user .

El sistema de ACL Enterprise permite definir -según perfil- a cuáles páginas (definidas una a una o por “grupos”) tienen acceso los usuarios. Esto permitirá redefinir las secciones de la interfaz que puede ver un usuario con el sistema clásico ACL de Pandora FMS.

Los grupos y perfiles están pensados para que un usuario tenga diferentes roles en Pandora FMS. Los elementos básicos de monitorización como agentes y módulos se rigen por estas reglas básicas de grupo/perfil, teniendo en cuenta cómo se amplían con el uso de grupos secundarios y permisos de tags.

Otros elementos de Pandora FMS como informes, Consolas visuales, mapas de red y dashboards, actúan como contenedores. Si un usuario (con visibilidad de todos los datos gestionados) crea un informe y lo asigna a un grupo general, los usuarios con acceso a ese grupo podrán ver el informe y todo su contenido, incluso aunque no tengan acceso por permisos a los elementos individuales de su informe.

• Algunos widgets del dashboard como el treeview o en el control de eventos del dashboard, ya que permiten interactuar con los datos (para validar eventos) o en elementos independientes de la Consola visual donde se puede restringir la visualización de un elemento de la Consola a un grupo determinado.
• Se debe tener en cuenta que el propósito de tales elementos, cuando se da acceso en modo lectura, es para poder acceder a datos que de otra manera no se podrían visualizar por ese usuario. Puede ocurrir que el usuario tenga acceso de lectura y escritura. En tal caso, cuando edite uno de esos contenedores, solo podrá agregar elementos a los que tiene acceso y podrá borrar elementos a los que no tiene acceso, pero no podrá agregarlos de nuevo.

La vista detallada de los servidores se utiliza para conocer, además del estado general de los servidores de Pandora FMS, su nivel de carga y retraso en las ejecuciones. Se accede por medio del menú Management → Servers → Manage servers:

Cada servidor tiene sus propios iconos, en la anterior imagen de ejemplo un Data server:

• Reset module status and triggered alerts count: Para reiniciar conteos de alertas disparadas y módulos.
• Edit: Para cambiar la dirección IP y descripción del servidor.
• Manage satellite hosts: Permite configurar de manera remota los Satellite servers.
• Remote configuration: Para habilitar la configuración remota deberá cambiar el tokenremote_config a 1 y luego reiniciar el servidor PFMS.
  • Server features: donde podrá habilitar o deshabilitar cada uno de los servidores que tenga según su tipo de licencia adquirida.
  • Optimization settings: para afinar cada uno de los servidores según sus características, unos más, otros menos.
  • Other server settings: para configurar tareas automatizadas.
• Delete: Para borrar el servidor.

Se accede por medio del menú Management → Servers → Manage consoles.

Para balancear la carga en la ejecución de tareas de consola en Discovery server, podrá declarar y agregar consolas en la sección config.php.

Se accede por medio del menú Management → Servers → Manage database HA, si se dispone de centralización en Command Center (Metaconsola) se deberá utilizar el menú Setup → Manage database HA.

Permite visualizar y realizar acciones sobre los nodos que integran el sistema de Alta Disponibilidad:

Menú Management → Configuration → Credential Store.

Pandora FMS dispone de un almacén de credenciales. Este almacén gestiona las identidades que se utilizarán en secciones como Discovery Cloud o el despliegue automático de agentes.

Para agregar una nueva entrada se deberá presionar el botón Add key, y se dispone de siete tipos distintos de credenciales para registrar:

1. Credenciales de Amazon Web Services® (AWS®).
2. Credenciales de Microsoft Azure®.
3. Credenciales personalizadas.
4. Credenciales de Google®.
5. Credenciales de SAP®.
6. Credenciales tipo WMI.
7. Credenciales tipo SNMP (v1, v2, v2.c y v3).

El grupo asignado a la clave controla la visibilidad de la misma. Solamente se podrá asignar un grupo al cual pertenezca el usuario que está creando la credencial, a menos que dicho usuario pertenezca explícitamente al grupo TODOS (ALL). Una vez agregada, se podrá consultar, filtrar, etcétera.

Pandora FMS tiene un sistema de gestión de paradas de servicio planificadas o agendadas en Management → Tools → Scheduled downtime.

Este sistema permite desactivar las alertas en los intervalos que existe una parada de servicio, desactivando los agentes.

Pandora FMS guarda un log con todos los cambios y acciones de importancia producidos en la Consola de Pandora FMS . Este log se puede ver en Management → Admin tools → System Audit Log, donde se podrá ver una serie de entradas relacionadas con la actividad de la Consola, información sobre el usuario, tipo de acción, fecha y una pequeña descripción de los eventos registrados.

En la parte superior izquierda puede filtrar cuales entradas a mostrar por diferentes criterios, incluyendo: acciones, usuario y dirección IP. Incluso puede realizar una búsqueda de texto y determinar las horas máximas a buscar.

También es posible exportar la información mostrada en la pantalla a un fichero CSV, haciendo clic en el botón en la parte superior derecha de la pantalla.

Menú Management → Admin tools → Extension management → System logfiles. Desde esta extensión se podrán consultar los logs tanto de la consola como del servidor local.

Si no se pudiera ver el contenido, configure los permisos de sus archivos de log, ejecute en una ventana terminal con los permisos adecuados:

chown -R pandora:apache /var/log/pandora/

Puede ajustar las opciones del rotador para que mantenga esta configuración, modificando el archivo /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

Por otra parte también existe una configuración específica para la rotación de logs de la consola en /etc/logrotate.d/pandora_console:

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

El núcleo del sistema de Pandora FMS es su base de datos. En ella se almacenan todos los datos recogidos por los sistemas monitorizados, la configuración de los agentes, las alertas, los eventos, los datos de auditoría, los diferentes usuarios y sus datos.

Para realizar el mantenimiento de la base de datos de forma regular, los administradores pueden usar comandos MySQL estándar desde línea de comandos o pueden gestionar la Base de Datos desde la Consola con varias extensiones para ello.

Conocido en versiones anteriores como Network Tools, ahora está ubicado en Management → Setup → Setup → External Tools.

• Permite personalizar los sonidos de las alertas sonoras.
• De ser necesario se puede indicar la ruta completa a las utilidades snmp, ping, etcétera.
• Se pueden agregar comandos personalizados, los cuales pueden hacer uso de macros como _address_ (dirección IP de un agente) como parámetro para ejecutar el comando respectivo.

Para la opción de respaldo (backup) consulte la sección Discovery - Console Tasks.

Es una extensión que permite registrar plugins del servidor y se accede por Management → Servers → Register plugin.

Para registrar un plugin se elige el archivo pulsando en Browser y luego en Upload.

Puede encontrar más información sobre los plugins del servidor (formato de los ficheros .pspz) en la sección "Desarrollo de plugins de servidor".

Se accede a esta extensión desde Management → Resources → Insert Data. Permite agregar datos a un módulo de agente, indicando fecha y hora del mismo y guardando con el botón Update.

También permite importar datos en un archivo separado por comas (CSV) a un módulo de agente. El formato del fichero CSV debe ser fecha y valor, separados por punto y coma, uno por cada línea. La fecha se debe dar en formato Y/m/d H:i:s.

chown -R pandora:apache /var/spool/pandora/data_in

Menú Management → Resources → Resource registration.

Esta extensión permite importar ficheros en formato .prt que contienen la definición de network component, smnp component, local component o wmi component. Además se pueden añadir todos ellos (menos el local component) a un template.

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

Menú Management → Resources → Resources export/import.

La nueva funcionalidad permite exportar e importar en formato PRD el cual es independiente de los identificadores de base de datos, todo esto para permitir la mayor flexibilidad al momento de copiar y/o mover elementos entre servidores PFMS.

Se elige un tipo de elemento y luego se marca uno de los elementos existentes a exportar a un fichero con nombrado automático. Se copia el fichero o ficheros al PFMS server destino y se importa(n), dado el caso se informará de los elementos incompatibles.

Los elementos disponibles a ser exportados son:

• Custom graph.
• Custom report.
• Dashboard.
• GIS map.
• Network map.
• Policy.
• Service.
• Visual Console.

Esta extensión pertenece al menú Management → Setup → Translate string y permite traducir cadenas de texto de la interfaz de Pandora FMS de manera personalizada.

• Language: Permite filtrar la cadena por idioma.
• Free text for search (*): Contenido de la cadena que se quiere personalizar.

Aparecerán tres columnas: en la primera mostrará la cadena original, en la segunda la traducción actual y en la tercera la traducción personalizada que se quiere añadir. Complete esta última columna y haga clic en el botón Update para guardar.

Esta sección permite interactuar con los usuarios de Pandora FMS, o bien editar los detalles del propio usuario, así como algunas operaciones diversas, como acceso al sistema de incidencias (para abrir tickets), chat con otros usuarios conectados de Pandora FMS, etcétera.

Menú Management → Configuration → Software agents repository.

El repositorio de Agentes Software forma parte del Despliegue automático de agentes, el cual controla las versiones disponibles de los instaladores de agentes (programas) para ser desplegados.

Para agregar un nuevo instalador al repositorio se presiona el botón Add new software. Se rellena la información correspondiente al tipo de sistema operativo, tipo de arquitectura, versión y se selecciona el fichero a subir. Se hace clic en el botón Ok y en unos instantes estará almacenado.

En el listado de ficheros registrados existe la columna de opciones la cual contiene botones de edición, borrado y sincronización correspondiente a cada renglón.