Tabla de Contenidos

FAQ

Aquí encontrará las preguntas frecuentes (FAQ) relacionadas con las últimas versiones de Pandora FMS, agrupadas según materia.

Para mucha más información sobre versiones anteriores consulte nuestra base de conocimientos creada pora la comunidad de Pandora FMS en varios idiomas:

Índice de materias

Hardware

Redes

Módulo de Red de tipo ICMP Booleano en estado crítico aún habiendo conectividad con el agente


Pandora FMS usa actualmente el comando fping que es más eficiente que el comando ping. Se ha conservado esta entrada por su valor histórico.

Este problema se hace latente cuando el primer paquete durante la ejecución del comando ping no llega al destinatario.

Si tenemos configurado el parámetro icmp_checks con valor 1 dentro del archivo de configuración del servidor (por defecto en /etc/pandora/pandora_server.conf), el valor que reflejará dicho módulo será crítico ya que toma en cuenta únicamente el primer intento de envío del comando ping. Si por el contrario, el parámetro icmp_checks tiene un valor superior a 1, el valor del módulo seguirá siendo crítico ya que éste parámetro ejecuta pings “independientes”, por lo que el resultado de los chequeos siempre serán erróneos.

La solución pasaría por utilizar un guión (script) que ejecute un ping, enviando tantos paquetes como se deseen en la ejecución de éste. De esta forma, si una máquina no responde al primer paquete enviado, se configura con un número de paquetes mayor que 1, por lo que el resultado final del script será un chequeo válido.

La solución sería utilizar el script pingcheck.sh, que devolverá 1 en caso de que la máquina responda, y 0 en caso contrario. El código del script es el siguiente:

#!/bin/bash
# pingcheck.sh
 
if [ -z "$1" ]
then
  echo "Syntax:"
  echo " "
  echo "pingcheck.sh <count> <timeout> ip_address"
  echo " "
  exit
fi
 
COUNT=$1
TIMEOUT=$2
IP=$3
 
ping -c $COUNT -W $TIMEOUT $IP 2> /dev/null> /dev/null
if [ $? == 0 ]
then
  echo 1
else
  echo 0
fi

La ejecución del script tiene que tener el siguiente formato:

pingcheck.sh <count> <timeout> ip_address

Para utilizar dicho script habría que realizar los siguientes pasos:

  • Crear un fichero dentro de la siguiente ruta con el contenido del script:
/usr/share/pandora_server/util/plugin/pingcheck.sh
  • Le damos permisos de ejecución:
# chmod  x /usr/share/pandora_server/util/plugin/pingcheck.sh
  • Creamos un nuevo módulo de tipo complemento (plugin) desde la Consola web PFMS en el menú Gestionar servidoresGestionar complementos:

 Nombre: PingCheck
 Comando: /usr/share/pandora_server/util/plugin/pingcheck.sh
  • Vamos a la parte de gestión de módulos del agente o agentes donde el checkeo ICMP falla, y añadimos un nuevo módulo de servidor de plugins. Escogemos el nuevo plugin y en el campo Parámetros del complemento configuramos los siguientes parámetros para el chequeo (o los que se deseen dependiendo del caso):
2 5 ip_address

Sistemas operativos

¿Cómo puedo generar un par de claves SHH para el agente para Windows (SSH Transfer) ?

R: Debe tener instalado el programa PuTTY para usar uno de sus utilitarios:

  • Abra PuTTY Key Generator (PuTTYgen) y seleccione SSH2-DSA en la ventana principal.

  • Pulse Generate. El programa pedirá que se mueva el ratón sobre un área en blanco para generar aleatoreidad.
  • Una vez que la clave se ha generado, expórtela utilizando el menú Conversions y seleccione Export OpenSSH key.

  • No utilice clave a la hora de exportarlo, con lo cual si aparece un diálogo de advertencia sobre esto, pulse Sí.

  • Con este procedimiento se exportará la clave privada, que se debe guardar como archivo id_dsa.

  • Para exportar la clave pública, en la ventana principal de PuTTYgen hay una caja de texto cuyo título es Public key for pasting into OpenSSH authorized_keys file. Seleccione todo el texto en la caja y cópielo al portapapeles de Windows.

  • Cree un nuevo archivo de texto utilizando el bloc de notas y pegue el texto que haya copiado en este archivo. Guarde este archivo como id_dsa.pub. Es importante que inserte entre comillas el nombre del fichero para evitar le sea colocado una extensión TXT.

  • Tendrá en una carpeta ambos ficheros, un o con la clave privada (sin extensión) y otro con la llave pública (extensión PUB). Observe que si tiene MS Office instalado en su ordenador, la llave pública aparecerá con icono de MS Publisher, sin embargo tenga siempre presente que es un simple archivo texto.

¿Cómo configuro el servidor de Pandora para aceptar las claves SSH del agente para Windows (SSH Transfer) ?

R: Desde el servidor, accede al directorio /home/pandora/.ssh. Si no existe, hay que crearlo. Abra el fichero authorized_keys (o créelo si no existe) y copie la clave pública del agente windows en una nueva línea. Para verficar el funcionamiento, ejecute el agente windows con la opción de test SSH, utilizando la línea de comando:

c:\path\to\pandora> PandoraAgent --test-ssh

Seguridad

¿Pandora FMS cumple PCI/DSS?

La norma PCI DSS implica varios requisitos:

  1. Tráfico seguro mediante cifrado y certificados: Pandora FMS, a todos los niveles (operación de usuario, comunicación entre componentes) soporta cifrado SSL y certificados en ambos extremos.
  2. Sistema de Doble autenticación de acceso: Se puede implementar un sistema de doble autenticación. El primero, a nivel de acceso (HTTPS) integrado con cualquier sistema de token opensource o comercial. La segunda autenticación, a nivel de aplicación, es gestionada por Pandora FMS, que se puede autenticar contra LDAP o AD de igual manera, o hacerlo localmente.
  3. Políticas de seguridad en la gestión de usuarios: La gestión de usuarios está delimitada por políticas tanto a nivel de perfiles de usuario como a nivel de perfiles de visibilidad de operaciones, definido como el sistema de ACL Extendido de la versión Enterprise.
  4. Posibilidad de auditorías de todos los campos y acciones sobre los elementos monitorizados: Pandora FMS, en su versión Enterprise, audita todas las acciones de los usuarios, incluyendo la información sobre los campos alterados o borrados. Además, incluye un sistema de validación por firma de estos registros.
  5. Cesión de datos de auditoría a gestores de logs externos: Los registros de eventos (logs) de auditoría están disponibles para su exportación mediante SQL y permiten integrarlos en una tercera fuente para mayor seguridad, en tiempo cercano al real.

La doble autenticación está activada en mi cuenta y he perdido el generador de códigos

Debe contactar con el administrador de Pandora FMS para que deshabilite esta opción en su cuenta de esta forma.

Bases de datos

He perdido mi contraseña root de MySLQ, ¿Cómo puedo recuperarla?

Haga esto:

service mysql stop

Espere hasta que el MySQL se detenga. Entonces ejecute

mysqld_safe --skip-grant-tables &

De este modo, será posible iniciar sesión en MySQL como root (usuario raíz) sin contraseña.

mysql -uroot mysql

En el comando de línea de MySQL ejecute el siguiente comando:

    UPDATE user SET password=PASSWORD("none") WHERE user="root"; FLUSH PRIVILEGES;

Detenga la instancia del MySQL que está ejecutando:

kill `ps aux | grep -e "--skip-grant" | grep -v grep  | awk '{ print $2 }'`

Reinicie el servicio mysql con normalidad

service mysql start

Esta vez su contraseña de root es reiniciada a none y MySQL ahora conocerá los privilegios y así podrá iniciar sesión con su nueva contraseña:

mysql -uroot -pnone mysql

¿Cómo hago un respaldo de la base de datos?

R:: El comando mysqldump realizará un volcado de los contenidos de la base de datos (proceso de respaldo o backup). Para restaurar los datos será necesario una base de datos vacía con el mismo nombre que la original (generalmente pandora).

Hacer el backup

mysqldump -u root -p pandora> /backup/pandoradb_backup.sql

Restaurar el backup

 mysql -u root -p
 create database pandora;
 use pandora;
 source /backup/pandoradb_backup.sql

Probablemente también sea necesario establecer permisos de nuevo al usuario de la consola:

grant all privileges on pandora.* to [email protected] identified by 'mypassword';

Si se quiere hacer un backup completo del sistema, no se debe olvidar hacer un backup de todo el directorio /etc/pandora para guardar la información de configuración de los agentes locales y de los servidores.

Utilizando adecuadamente el mysql y el mysqldump desde la línea de comandos

Pregunta: He intentado usar las referencias que se dan en la documentación, pero hay un error en el documento. En varios lugares se indica un nombre de usuario de “root” , pero el nombre del usuario en MySQL por defecto en el fichero de configuración es “pandora”.

Respuesta: Compruebe siempre sus credenciales actuales en /etc/pandora/pandora_server.conf.

En algunos entornos, las credenciales pueden haber cambiado. Debería tener acceso a la base de datos MySQL de Pandora FMS siempre con su usuario de Pandora FMS.

Por defecto, la base de datos puede llamarse “pandora”, y la contraseña “pandora” del usuario será una cadena aleatoria. Esto significa que los comandos serán como este:

Para entrar en la consola MySQL:

 mysql -u pandora -D pandora -p
 <introduzca la contraseña en la línea de comandos>

Y para hacer un dump SQL(backup):

 mysqldump -u pandora -p pandora> file
 <introduzca la contraseña en la línea de comandos>

Servidores web (Apache, Nginx) y Consola web

Nuevos temas para la Consola web

Respuesta: Depende de la versión que tenga instalada, vaya a este enlace para más información.

¿Cómo puedo añadir fuentes para utilizarlas en las gráficas e informes?

Para añadir fuentes a Pandora FMS basta con copiarlas dentro de la carpeta include/fonts. Para que las fuentes funcionen en los informes PDF, el nombre del fichero debe coincidir con el nombre de familia de la fuente en minúsculas (lowercase) y sin espacios. Por ejemplo, para el nombre de familia Honoka Mincho el nombre de fichero correcto sería: honokamincho.ttf.

En GNU/Linux puede utilizar ttfdump para encontrar el nombre de familia de la fuente en la sección Name table 1. Por ejemplo:

$ ttfdump font_1_honokamin.ttf | grep -A10 "Name table   1"
Name table   1.  PlatformID:     1
                EncodingID:     0
                LanguageID:     0
                NameID:         1
                Length:         13
                Offset:         256
                48 6f 6e 6f 6b 61 20 4d 69 6e>  Honoka Min
                63 68 6f> cho
Name table   2.  PlatformID:     1
                EncodingID:     0
                LanguageID:     0

Pandora FMS incluye gráficos, mapas y fuentes que pueden utilizarse en los informes. Por defecto, se utiliza (code.ttf). Contiene latín, árabe, hiragana, katakana, etc. Como dijimos, las fuentes se pueden encontrar en /include/fonts y se pueden añadir nuevas fuentes si es necesario.

¿Cómo recupero el acceso a la consola si me he olvidado de mi contraseña de administrador?

Necesita crear otro usuario administrador para poder cambiar el usuario anterior. Para ello, vaya al servidor, y como root ejecute lo siguiente:

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora/pandora_server.conf --create_user admin2 none 1

Esto creará un nuevo usuario administrador llamado admin2 con contraseña none.

Correo electrónico

¿Cómo configuro el servidor de correo para las alertas de tipo email?

Esto se configura en el servidor, concretamente en el fichero pandora_server.conf. Tendrá que reiniciar el servidor tras modificar este fichero para que tome los cambios.

Lenguaje PHP

Lenguaje Perl

Instalación de PFMS

¿Cuáles son las diferencias entre WMIC y PandoraWMIC?

WMI son las siglas deWindows Management Instrumentation® (en español, Instrumentación de Administración Windows®, invención tecnológica de la empresa Microsoft®) cuyo fin es encargarse de los diferentes ambientes operacionales del sistema operativo Windows®.

WMI permite así que los lenguajes de guiones (como Windows PowerShell o VBScript) administren las computadoras personales y los servidores con Microsoft Windows®, por defecto, tanto de forma local como remota. Microsoft® proporciona una interfaz de línea de comandos para WMI llamada Windows Management Instrumentation Command-line (WMIC) el cual es utilizado por Pandora FMS para realizar únicamente operaciones de consulta, con el permiso de los propietarios de dichos ordenadores y solamente con propósitos de monitorización. Por ejemplo la orden PROCESS GET NAME devuelve los procesos que se encuentren en ejecución.

A finales del año 2021 fue reportado una vulnerabilidad en WMI que puede ser aprovechado con aviesas intenciones por lo que Microsoft® comenzó a distribuir un parche que eleva RPC_C_AUTHN_LEVEL_PKT_INTEGRITY al valor 1, primero de forma opcional pero en 2023 será implementado de forma obligatoria para ese sistema operativo. PandoraWMIC es un software que sustituye a WMIC y cumple con los protocolos de seguridad necesarios (credenciales de autenticación) y esa es la diferencia fundamental.

Pandora FMS monitoriza muchos sistemas operativos distintos, tanto privativos como libres y se mantiene al día con la seguridad, para más información global consulte el apartado “Arquitectura de seguridad PFMS”.

Actualización de PFMS

Agente Software PFMS

¿Cómo correr el agente Pandora FMS en el sistema de inicio?

Pregunta: He instalado el pandora_agent en mi sistema GNU/Linux y quiero que corra cada vez que inicio el sistema, ¿Cómo puedo hacerlo automáticamente?

Respuesta: Lo primero que debe hacer es copiar el pandora_agent_daemon en /etc/init.d . Después, si quiere que el pandora_agent_daemon se inicie al arrancar su sistema, solo tiene que configurar:

ln -s /etc/init.d/pandora_agent_daemon /etc/rcX.d/S99pandora_agent_daemon

Donde la X es el run level que está iniciando.

Después, asegúrese de que su pandora_agent_daemon está correctamente desconectado cuando apague.

 ln -s /etc/init.d/pandora_agent_daemon /etc/rc0.d/K99pandora_agent_daemon
 ln -s /etc/init.d/pandora_agent_daemon /etc/rc6.d/K99pandora_agent_daemon

Cómo ejecuto un guión de PowerShell en un módulo?

Para ejecutar un guión (script) de PowerShell en un módulo, simplemente tiene que indicar la ruta donde está ubicado el PowerShell y dar la orden de ejecutar el comando:

module_exec C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -Command "C:\RutaDeScript\Script\script.ps1"

Servidor PFMS

¿Cómo puedo borrar los miles/millones de ficheros de datos en /var/spool/pandora/data_in?

El método mas rápido para borrar millones de archivos en un directorio en GNU/Linux es ejecutar el siguiente comando (perl inline):

perl -e 'for(<*>){((stat)[9]<(unlink))}'

Módulos WMI no funcionan con Servidor Satélite

En algunos equipos Windows® por motivos de seguridad, si ejecutamos el servicio del Servidor Satélite como Usuario Local, nos podemos encontrar que los módulos WMI no se ejecuten correctamente.

Para evitar este problema, hay que configurar el servicio para que corra con permisos de usuario Administrador. Para ello tenemos dos métodos:

1.- Desde cmd.exe mediante este comando:

sc.exe config "SATELLITESRV" obj= "DOMAIN\Administrador" password= "password"

2.- O desde Services.msc → Botón secundario del ratón sobre servicio SATELLITESRVPropiedadesIniciar Sesión y seleccionamos el usuario Administrador para su ejecución.

Pandora FMS Enterprise, licencias

Borrar agentes ante problemas con exceso de agentes en versión Enterprise

La versión Enterprise esta limitada por número de agentes, en el caso que sobrepase el número de agentes de la licencia aparecerá un mensaje de error. Puede adquirir una licencia para mayor número de agentes o volver a la versión Open.

Para borrar los agentes sobrantes lo único que hay que hacer es deshabilitar la función Enterprise y con la Open borrar los agentes sobrantes. Lo podemos hacer renombrando la carpeta Enterprise, en el caso de que se trate de un Appliance de Centos seria asi:

mv /var/www/html/pandora_console/enterprise /var/www/html/pandora_console/enterprise.bk

Simple Network Management Protocol (SNMP)

¿ Cómo añado MIBs a Pandora FMS ?

Pregunta: ¿Sabe alguien cómo cargar HP® y/o Compaq® MIBs en Pandora FMS para la funcionalidad SNMP Walk?

Respuesta: Pandora FMS no gestiona directamente SNMP, se basa en librerías GNU/Linux Net-SNMP que están gestionadas por sistema, así que edite /etc/snmp/snmp.conf para definir MIB loading. Debe configurar su sistema GNU/Linux que corre la consola de Pandora FMS y añadir los ficheros MIB al fichero /etc/snmp/snmp.conf (y reiniciar el servidor web Apache). Estas son las directivas /etc/snmp/snmp.conf para la gestión de MIB:

mibdirs DIRLIST

Especifica una lista de directorios para buscar archivos MIB. Esto funciona de la misma manera que la opción -M (ver snmpcmd para más detalles). Tenga en cuenta que este valor puede ser anulado por la variable de entorno MIBDIRS, y la opción -M.

mibs MIBLIST

Especifica una lista de módulos MIB (no archivos) que deben cargarse. Esto funciona de la misma manera que la opción -M (ver snmpcmd para más detalles). Tenga en cuenta que esta lista puede ser anulada por la variable de entorno MIBS, y la opción -M.

mibfile FILE

Especifica un (único) archivo MIB para cargar, además de la lista leída desde el token mibs (o configuración equivalente). Tenga en cuenta que este valor puede ser anulado por la variable de entorno MIBFILES.

Cómo borrar todos los traps de la consola de traps

Pregunta: Quiero borrar todos los traps de mi consola de traps sin necesidad de ir hoja por hoja. ¿Se puede hacer también desde una fecha determinada?

Respuesta: Para borrar todos los traps que hay en la consola de traps se debe ejecutar, desde la extensión DB Interface, la siguiente sentencia SQL:

DELETE FROM ttrap;

Para borrar todos los traps anteriores al 10 de julio de 2020 que hay en la consola de traps se debe ejecutar, desde la extensión DB Interface, la siguiente sentencia SQL:

DELETE FROM ttrap WHERE timestamp <'2020-07-10 00:00:00';

Otros

Contraseñas de imágenes CentOS para VMWare

Usuario SO: root

Contraseña: pandora

Usuario Consola web: admin

Contraseña: pandora

Usario MySQL:root

Contraseña: pandora

Volver al Índice de Documentación Pandora FMS