コンソール操作と管理

Pandora FMS の管理

概要

この章では、グループ管理、ユーザ作成、バックアップ、ワークスペースなど、Pandora FMS の日々の管理に必要なさまざまな内容について説明します。

プロファイル、ユーザ、グループおよび ACL

Pandora FMS は Web 管理ツールです。 100% マルチテナント化したシステムのおかげで、複数のユーザは、互いの情報を見ることなく、Pandora FMS に異なる権限でアクセスできます。

ユーザを追加するには、グループとプロファイルを適切に定義し、どのデータを各ユーザに表示または変更させるか正確に把握することが重要です。

standard-user-profile.jpg

Pandora FMS のユーザ

ユーザは、プロファイル(Profiles) > ユーザ管理(Users management) から管理します。ここで、定義済のユーザ一覧が参照できます。

ユーザ定義は次のフィールドから成ります。

ユーザに関するフィールドの詳細は以下の通りです。

  • ユーザ ID(User ID): Pandora FMS セッションを起動して、ユーザがアプリケーションで認証されるために使用する識別子です。これは識別子として使用される値なので、特殊文字やスペースは使用しないでください。
  • 表示名(Full Display Name): 名前を入力するフィールドです。説明を入力できスペースや特殊文字も含めることができます。
  • パスワード(Password): ユーザがアクセスするためのパスワードです。
  • 全体プロファイル(Global Profile): 管理者ユーザは内部 ACL システムによる制御がされず、すべてにアクセス可能です。一般ユーザは、Pandora ACL システムによって割り当てられた権限で制御されます。
  • メールと電話番号(E-mail and phone): ユーザ情報を追加できるオプションフィールドです。
  • ログインエラー(Login Error): このフィールドをチェックすると、ユーザは API でのみアクセス可能でコンソールにはログインできません。
  • セッションタイムアウト(Session time):一定時間操作しなかった場合に自動ログアウトするタイムアウト時間です。これを超えるとセッションが有効期限切れとなり再ログインが必要です。
  • 言語(Language): デフォルトはシステムの言語です。ユーザに Pandora FMS コンソールの表示を特定の言語に設定することができます。
  • タイムゾーン(Timezone): さまざまな要素(エージェントの詳細、モニターの詳細など)におけるコンソールのタイムゾーンの設定です。
  • ページごとの表示件数(Block size for pagination): ユーザのデフォルトのページごとの表示件数です。
  • スキン(Skin): カスタムスキンを選択するフィールドです。
  • ホーム画面(Home screen): コンソールにログインした時のデフォルト画面を変更します。例えば、イベントビューワや、管理者によって定義されたビジュアルコンソールなどです。
  • デフォルトイベントフィルタ(Default event filter): イベント表示の時のデフォルトのイベントフィルタです。あとで変更することができますが、ここの設定した値がデフォルトとなります。
  • ニュースレター無効化(Disabled newsletter): Pandora FMS ニュースレターの有効化・無効化です。
  • コメント(Comments): 追加情報フィールドです。
  • ユーザに割り当てられたプロファイル/グループ(Profiles/Groups assigned to this user): ユーザがアクセスできるプロファイルおよびグループの選択です。
自分自身のユーザ編集

全ユーザは、自身の設定を ワークスペース(Workspace > ユーザ情報編集(Edit my User) で修正できます。

編集可能な場合、ユーザ作成フォームが表示されますが、グループの権限の範囲です。

通知設定

ログインユーザの通知を設定するには、管理者がユーザに通知の編集権限を事前に付与しておく必要があります。 この権限とすべてのオプションを有効にしている場合、通知の有効/無効ができ、メールを送信できます。

Pandora FMS のグループ

概要

Pandora におけるグループの概念は基本的なものです。 グループは、Pandora FMS 内の特定の側面へのユーザのアクセスを制御するのを支援することを目的とした独自の規則を持つ要素の集合です。

エージェントは 1つのグループにしか属することができませんが、ユーザはこれらのグループの 1つまたは複数にアクセスできることを理解しておくことが重要です。

グループを設定するとき、すべて(All)というグループは削除できない特別なグループであり、すべてのグループがこのグループのサブグループであることを認識しておく必要があります。 すべて(All)グループに関連付けられているすべての要素は、任意のグループの権限を持っているユーザが表示または管理できます。

"すべて" グループ

Pandora には、エージェントが分類されて権限を細分化するために使用されるエンティティであるグループのシステムがあります。 これにより、ユーザには 1つまたは複数のグループに関連づけられた範囲への特定のアクセス許可が与えられ、エージェントやその他のオブジェクトをその範囲で表示したり操作したりすることができます。

グループの割り当てとフィルタリングを簡単にするために、“すべて(All)” というグループがあります。“すべて” グループは、コンテキストに応じて、すべてのグループまたは、そのうちのいずれかを意味します。 バージョン 3.1 からは、これは識別子 ID 0 で予約されており、その ID のグループがデータベース上に存在するわけではなく、コードによって完全に制御されています。

グループ作成

グループは、プロファイル(jProfiles) → グループ管理(Manage agent Groups) にて定義します。

グループの作成・編集には説明が必要ないくつかのフィールドがあります。 次のようなフィールドが表示されます。

関連するフィールドの詳細は以下の通りです。

  • 名前(Name): グループの名前です。このグループはエージェントの自動プロビジョニングで使用できるため、スペースまたは特殊文字(サポートされていますが)を含めることは勧めしません。
  • アイコン(Icon): グループのアイコンを選択します。
  • 親(Parent): 作成したグループの親として他のグループを設定する場合に選択します。
  • パスワード(Password): オプションです。このフィールドで定義されているものと同じパスワードを持つエージェントだけを作成できるように、エージェントの自動作成(ソフトウェアまたはサテライトエージェントの自動登録)を制限できます。
  • アラート(Alerts): 有効になっていると、グループに所属するエージェントがアラートを送信することができます。無効の場合は送信できません。このプロパティは、グループに属するエージェントのアラート生成を素早く無効化するのに利用できます。
  • ACL の伝播(Propagate ACL): 有効になっていると、このグループに属する子グループ対して、このグループと同じアクセス権が設定されます。
  • カスタムID(Custom ID): グループがデータベース上に持つ ID です。このフィールドには、外部プログラムを統合する場合などに利用するカスタム ID を設定します。
  • 連絡先(Contact): _groupcontact_ マクロで参照される連絡先情報です。
  • スキン(Skin): グループに割り当てられるスキンです。
CSV からのグループのインポート

これは Enterprise 版の機能です。拡張機能を使用すると、Pandora FMS サーバでいくつかの区切り文字で区切られたファイルをインポートできます。

管理ツール(Admin tools) > 拡張マネージャ(Extensions manager) > グループ CSV インポート(CSV import group) から拡張にアクセスします。

“ファイル選択(Select file)” をクリックしてインポートするファイルを選択し、セパレータを選択します。 フィールドに入力したら、“実行(Go)” をクリックします。

CSV ファイルには、グループ名、アイコン、親ID、伝播(1 または 0)の順序でフィールドが含まれている必要があります。

Pandora FMS でのプロファイル

Pandora FMS のプロファイルは、どのような権限をユーザに持たせることができるかを定義できます。ユーザに関連付けられたプロファイルとグループの組み合わせにより、ユーザがエージェントのグループに対して持つ権限を定義し、異なるグループに異なるプロファイルを持たせることができます。 プロファイルは、プロファイル(Profiles) > プロファイル管理(Profile management) から管理できます。

プロファイル一覧

以下は、どんなプロファイルがあるかの一覧です。

アクセスビット 操作
IR - インシデント参照
IW - トラップの承諾
- メッセージ
IM - インシデント管理
- エージェントデータ参照(すべてのビュー)
- 監視概要
- グループ表示
- ユーザ参照
- SNMP コンソール参照
- ツリー表示
- 拡張モジュールグループ
- 検索バー
AR - エージェント参照
AW - エージェント管理
- エージェントとその .conf の編集
- 一括操作
- エージェント作成
- リモート設定の複製
- ポリシー管理
AD - サービス停止の管理
- エージェント/モジュール/アラートの無効化
LW - 作成済アラートの割り当て
- アラート管理
LM - テンプレート、コマンド、アクションの定義および編集
UM - ユーザ管理
DM - データメースメンテナンス
ER - イベント参照
EW - イベント承諾・コメント
- フィルタ管理
- 対応の実行
EM - イベント削除
- イベントの所有者変更・再オープン
RR - レポート、グラフなどの参照
- レポートテンプレートの適用
RW - ビジュアルコンソールの作成
- レポート作成
- 組み合わせグラフの作成
RM - レポートテンプレートの作成
MR - ネットワークマップ表示
MW - ネットワークマップ編集
- 自身の持つネットワークマップの削除
MM - 任意のネットワークマップの削除
VR - ビジュアルコンソール表示
VW - ビジュアルコンソール編集
- 自身の持つビジュアルコンソールの削除
- 任意のビジュアルコンソールの削除
VM - ビジュアルコンソール管理
PM - 対応管理
- イベントカラムのカスタマイズ
- アップデートマネージャ(操作と管理)
- グループ管理
- インベントリモジュール作成
- モジュール管理(すべてのサブオプションを含む) - SNMP コンソール管理
- プロファイル管理 - サービス管理
- システム監査(編集および参照)
- セットアップ(すべてのサブメニューを含む)
- 拡張管理
組み合わせによる許可
EW & IW - イベントを通してのインシデント作成(対応)
LM & AR / AW & LW - アラートの承諾

権限割り当て

ユーザの設定で、特定のプロファイルでグループへのユーザのアクセス権を割り当てることができます。

グループやプロファイルをユーザに割り当てないと、ユーザがログインしようとしたときに次のようなエラーになります。

ユーザ管理権限(UM)でのプロファイルとグループの割り当て

Pandora FMS バージョン 748 以降、ユーザ、パーミッション、グループの管理が改善されました。

いくつかの考えられるシナリオを考慮しており、これについて次に説明します。

  • すべてグループに属している UM 権限を持つユーザは、任意のグループに属する任意のユーザを管理できます。
  • グループへのアクセスは、そのようなユーザを作成する前に追加できます。
  • 特定のグループの UM 権限を持つユーザは、自分が表示できるユーザのプロファイルとグループを編集できます。
  • 管理者ユーザは、他の管理者ユーザを作成し、他のユーザを管理できますが、UM 権限を持つ標準ユーザは、同じグループに対して同じ権限を持つ別のユーザの UM 権限を削除することはできません。これは管理者のみが変更できます。
  • グループに対して UM 権限のないユーザは、どのユーザがそのグループに属しているかを確認できません。
  • UM 権限を持つユーザは、管理するグループとのユーザの関係を排除できます。このユーザだけが管理するグループとの関係を持っている場合でさえも排除できます。

ユーザの最後のプロファイル/グループの関係が削除され、ユーザが削除される場合、Pandora は警告を表示します。

  • グループで UM 権限を持っていても別のグループで UM 権限を持っていないユーザは、管理しているユーザが他のグループの権限をさらに持っている場合でも、管理しているグループのプロファイル/グループ情報のみを表示できます。 ユーザの残りの情報は、特定グループで UM 権限を持つユーザとは無関係です。このようにして、UM 権限を持つユーザは、自身が管理するグループの情報を取得したり、権限を変更したりすることはできますが、他のグループの権限を削除したり、ユーザを削除したりすることはできません。
タグで拡張された権限システム

Enterprise 版では、エージェントのモジュールへの個別アクセスをタグシステムで設定することができます。タグはシステムで設定し、設定したいモジュールに割り当てます。定義されたタグを持つモジュールのみにユーザアクセスを制限することができます。

タグによるアクセス制御はグループのそれを置き換えるものではありません。補完するものです。

タグは、'プロファイル(Profiles)' → 'モジュールタグ(Module Tags)' で定義します。

モジュールの設定で、一つ以上のタグを(オプションで)割り当てることができます。

タグへの特別なアクセスを割り当てるためには、ユーザ編集のプロファイルおよびグループ割り当てからタグの追加で行います。

この例では、ユーザはオペレータプロファイルで “ehorus” および “hosting” グループに対してアクセス権がありますが、また “Infrastructure” グループについては “Security” タグが付いたモジュールに対してのみアクセス権があります。

タグベースのセキュリティモードと呼ばれるこのシステムでは、すべてのエージェントコンテンツへのアクセスを制限できますが、パフォーマンスに影響があります。したがって、情報の一部にアクセスするような設計になっています。つまり、2つ以上のユーザ/プロファイル/グループの組み合わでの利用はお勧めしません。

いくつかの全体表示(戦術表示、グループ表示、一般的なツリーカウント)では、タグで表示できるものだけではなく、全体を表示します。

階層

前のセクションでは、グループのパーミッション設定オプション ACLの伝播 を使うと子グループにも適用できることを説明しました。 ただし、ユーザ設定にてこの機能を制限し、階層なし をチェックすることで ACL が伝播するのを防ぐことができます。

この例の参考として、2つの親グループ “Applications” と “Databases” がそれぞれ 2つの子を持つとします。前者は、“Development_Apps” および “Management_Apps” で、後者は “Database_America” および “Database_Asia” です。両方の親グループでは ACL が伝播するようにチェックされています。

ユーザの編集画面で、次のプロファイルが追加されると、

ユーザは、“Applications”, “Development_Apps”, “Management_Apps” および “Databases” にアクセスできます。

ただし、“Databases” の子が追加されると、

ユーザは、“Applications”, “Development_Apps”, “Management_Apps”, “Databases” および “Databases_Asia” グループにはアクセスできますが、“Databases_Ameria” へはアクセスできません。

セカンダリグループ

バージョン 721 から、エージェントはセカンダリグループを持つことができます。メインのグループとは違い、セカンダリグループはオプションです。

エージェントがセカンダリグループに所属するということは、同時に複数のグループに所属することを意味します。この機能で、適切なセカンダリグループを追加することにより、まったく異なる権限の 2人のユーザが同じエージェントにアクセスすることができます。

例えば、エージェント名が “Portal” でメイングループが “Infrastructures”、セカンダリグループが “Hosting” だった場合、“Infrastructures” または “Hosting” へのアクセス権のあるユーザがアクセスできます。

ツリー表示 などのいくつかの表示ではエージェントが複数表示されます。セカンダリグループを利用している場合、これは通常の動作です。

Enterprise ACL システム

概要

オープンソースの ACL モデルは、ロール/アクション/グループ/ユーザ (4要素) の “UNIX スタイル” を元にしています。

Enterprise ACL システムでは、ユーザが (一つ一つもしくはグループごとに) どのページにアクセスできるかプロファイルごとに定義することができます。例えば、ユーザに “グループ” 表示および “エージェント詳細” のみを見せて、“アラート参照” や “モニタリング概要” は見せないといったことができます。Pandora FMS のこれまでの ACL システムでは、これらはすべて “AR” (エージェント参照権限) に設定されていました。

この機能を使用するとページごとの管理を制限できます。特定の低レベル操作を許可するのに非常に便利です。

どちらのモデルも “並列” かつ互換性があり、これは Enterprise 版の機能に過ぎません。 従来の ACL システムは補完的に動作し、Enterprise ACL システムの前段で評価されます。

設定

新たな ACL システムを利用するためには、最初に Enterprise 設定タブで有効化する必要があります。このオプションは、Enterprise 版でのみ表示されます。

Enterprise 版の ACL システムを設定するには、システム管理メニューの 設定(Setup) にて、Enterprise 版の ACL オプションへ行きます。その画面で、新たな ACL システムに新たなアイテムを追加することができ、プロファイルにより定義されたアイテムを参照することができます。また、Enterprise 版 ACL システムからアイテムを削除することもできます。

Enterprise 版 ACL システムを有効にすると、Enterprise 版 ACL システムで定義された全てのページ、全てのグループのアクセスが (管理者でさえも!) 制限されます。管理者ユーザの場合は、Enterprise 版 ACL システムにページを含めないでください。そうでないと何も参照できなくなってしまいます。

実行ユーザで間違ったエンタープライズ版 ACL 設定をしてしまい、コンソールへのアクセスが出来なくなってしまわないよう、十分注意してください。

間違えてコンソールへのアクセスができなくなってしまった場合は、コマンドラインから次のように Enterprise 版 ACL システムを無効化できます。

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl

“ページごと”、“全セクション”、また任意のルールを設定したり、メニューからアクセスできない “カスタムページ” を追加できます。

プロファイルにページを追加するには、ウィザード (デフォルト) または、カスタム設定 の 2つのモードがあります。ルールを追加するボタンの上に、このモードを変更するボタンがあります。

ウィザード

ウィザードでは、メニューからセクションとページを選択します。

選択ページは、メニューからアクセス可能です。ページにアクセスを許可すると、他の方法でもアクセス可能です(たとえば、エージェントのメインビュー)。カスタムエディタを使用する必要があります。

Pandora FMS ページを “許可ページ” に含めるためには、acl を適用するプロファイルを選択する必要があります。そして、“セクション” の制御からセクションを選択します。このとき、どのようなセクションページも、“ページ” 制御から選択できます。

他にはセクションの選択と、“ページ” の “すべて” を設定するオプションがあります。これは、選択したプロファイルで、“すべて” を見られるようにします。同様に、“すべて(All)” を両方の制御で選択すると、“すべて(all)” の “すべて(all)” ということになり、エンタープライズ ACL システムが無いのと同じような状態になります。

メニューにセクションを表示するには、少なくともユーザがそのセクションの最初のページにアクセスできる必要があります。たとえば、“モニタリング(Monitoring)” を表示するには、“モニタリング概要(Tactical View)” ページにアクセスできる必要があります。

カスタム設定

メニューからアクセスできない個別のページを設定するには、sec2 を手動で定義します。そのためには、sec2 パラメータをコピーするために該当ページにアクセスします。

たとえば、エージェントのメインビューを追加したい場合、エージェントの表示画面に行きます。URL は次のようになっています。

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

ここで、sec2 パラメータ (operation/agentes/ver_agente) をテキストボックスに入力します。

セキュリティ

メニューに表示されないページは、ユーザが URL を手動で入力したとしても利用することができません。従来の Pandora FMS ACL システムでアクセス許可されていないページも、エンタープライズ ACL システムでもアクセスできません(従来の ACL システム上で動いているためです)。以下にいくつかのフィルタの例を示します。

また、URL を手動で編集された場合を考慮して、ページがセクションに属しているかどうかをチェックする制御があります。このチェックは、パフォーマンスを確保するために、カスタムエディタで追加されたページへアクセスする場合と、ユーザが全ページにアクセスできる場合は実施されません。

レポート、ビジュアルコンソール、その他の共有要素でのデータの表示と権限

グループとプロファイルは、ユーザが Pandora FMS の実装で異なる役割を持つための考え方です。エージェントおよびモジュールの監視の基本は、セカンダリグループおよびタグ権限の拡張も考慮して、グループ/プロファイルの基本ルールによって管理されます。

レポート、ビジュアルコンソール、ネットワークマップ、ダッシュボードなど、Pandora の他の要素は コンテナとして機能 します。 すべての管理対象データを表示できるユーザがレポートを作成して一般グループに割り当てると、そのグループにアクセスできるユーザは、レポートとそのすべてのコンテンツを表示できます。レポートの個々の要素へのアクセス許可がない場合でも、レポート、ビジュアルコンソール、ネットワークマップ、およびダッシュボードは、情報コンテナとして機能します。アクセス制御はコンテナに対するものですが、そのコンテンツに対するものではありません。

例を見てみましょう。

Client A, Client B, Internal Infrastructure および Global という 4つのグループがあるとします。

管理者は、Internal Infrastructure の要素と、Clinet A および Client B の特定の要素を含むビジュアルコンソールを作成します。このビジュアルコンソールは、“Global” グループに関連付けられています。

Client A には、Client A でのレポート書き込みアクセスと、Global でのレポート読み取りアクセスがあります。Client A は、Client B の要素と、管理者がビジュアルコンソールを作成したときに配置した Internal Infrastructure グループが含まれている場合でも、そのビジュアルコンソールとそのすべてのコンテンツを表示できます。

Client B は、Global グループからのレポートを読み取る権限を持っているため、Client A とまったく同じコンソールを表示できます。

この動作の例外

この一般的な動作には、特にツリー表示やダッシュボードイベントコントロールなどの一部のダッシュボードウィジェットでいくつかの 例外な点 があります。これは、特定のウィジェットがデータとの対話(イベントの承諾)をすること、または コンソール要素の表示を特定のグループに制限できるビジュアルコンソールです。

読み取りモードでアクセスが許可されている場合、このような要素の目的である、そのユーザが表示できないデータにもアクセスできることに注意してください。 ユーザは読み取りおよび書き込みアクセス権を持っている可能性があります。 このような場合、これらのコンテナの1つを編集すると、アクセスできる要素のみを追加でき、アクセスできない要素は削除できますが、再度追加することはできません。

サーバ

サーバ詳細の参照は、Pandora FMS サーバの処理状況や遅延状態を知るのに利用します。以下にサーバの状態を表示したスナップショットを示します。これは、操作メニューの Pandoraサーバ(Pandora Servers) から参照できます。

上記画面には、いくつかの特別な意味のあるアイコンがあります。

  • 実行リクエスト(Poll request): リモート監視サーバへすべてのチェックを強制的に再実行するようにリクエストします。すべてのリモート監視系のサーバで有効です。例えば、ネットワークサーバ、WMIサーバ、プラグインサーバ、WEBサーバなどです。
  • 自動検出サーバタスクの編集(Editing recon server tasks)
  • リモートサーバ設定編集(Edit remote server configuration) Pandora サーバまたはサテライトサーバで有効です。

加えて、ここの表示ではいくつかの重要なデータを参照できます。それぞれのカラムは次の情報を示します。

  • サーバ名: 通常は、システムのホスト名です。
  • サーバの状態 ('緑' = 稼働中、'グレー' = 停止中または障害)
  • サーバのタイプ: データサーバ、ネットワークサーバなど。
  • そのタイプのサーバの総モジュールの負荷率を示すプログレスバー。 この場合、関連するタスクがないため 0% になっている自動検出サーバ以外のすべてのサーバは 100% です。
  • モジュールの総数に対して、該当サーバーによって実行されているモジュールの数を表示します。
  • サーバの遅延: データを待っているモジュールの最大数と、実行間隔を超えた状態で処理がされていないモジュールの数です。この例では、approx というサーバがありますが、3000 モジュールが実行間隔を超え、前回実行から 10分13秒経過しています。この情報はとても有用で、多数のモジュールがあり、サーバが負荷の限界に達しているかどうかを知るのに便利です。この場合(モジュールの実行間隔が平均 5分で、10分13秒)は過度の遅延ではありませんが、遅延しているモジュールは多いといえます。この例におけるネットワークサーバについてはより負荷が低く、合計で約 1500個のモジュールのうち遅延(10分)モジュールは 19個だけです。
  • サーバのスレッド数と処理待ちでキューに入っている総モジュール数: 実行待ちのモジュールの数です。このパラメータは負荷状態を表します。モジュールがほとんどキューに入っていませんが、これはサーバが処理を行っていないことを意味します。
  • サーバがデータを更新してからの秒数: 各サーバは 'Keep alive' 処理を行っており、稼働中であることを示すために状態を更新しています。また、統計情報も更新しています。

認証情報ストア

Pandora FMS は認証情報ストアを備えています。 このリポジトリは、クラウド検出やエージェントの自動展開などのセクションで使用される ID を管理します。メニューへ行き、プロファイル(Profiles) > エージェントグループ管理(Manage agent groups) を選択します。

次に、“認証情報ストア(Credential store)” タブが表示されます。

Pandora FMS は、暗号化したパスワードをデータベースに保存できます。詳細は、**パスワードの暗号化** を参照してください。

新たなエントリを追加するには、“追加(add)” ボタンをクリックし、ポップアップフォームに入力します。

5種類のログイン情報登録があります。

  1. Amazon Web Services (AWS) ログイン情報
  2. Microsoft Azure ログイン情報
  3. カスタムログイン情報
  4. Google ログイン情報
  5. SAP ログイン情報

パスワードに割り当てられたグループは、可視性 を制御します。つまり、パスワード 'test' が 'All' という名前のグループに割り当てられている場合、 すべてのPandora FMS コンソールユーザはそのパスワードを見ることができます。ユーザが明示的に"すべて"グループ に属していない限り、ユーザは自身が属するグループのみを割り当てることができます。

同様に、'Application' という名前のグループに 'test' が割り当てられている場合、'Applications' に対する権限を持つユーザのみがパスワードにアクセスできます。

追加したら、確認、フィルタなどができます。

パスワードのカスタマイズで変更できないのは、ログイン情報のタイプのみです。

計画停止

概要

Pandora FMS には、計画停止を管理するシステムがあります。このシステムにより、指定した停止時間にエージェントを無効にし、アラートを無効化することができます。エージェントが無効になると、情報も収集しなくなり、停止期間中のエージェントのデータが無いため、レポート等にも反映されなくなります。

計画停止の作成

計画停止を設定するには、ツール(Tools) > 計画停止(Scheduled Downtimes) に行き、作成(Add) ボタンをクリックします。

次の設定パラメータがあります。

  • 名前(Name): 計画停止の名前
  • グループ(Group): 対象としたいグループ。ユーザは、"すべて"グループに明示的に属していない限り、計画停止にはユーザが属するグループのみを割り当てることができます。
  • 説明(Description): 説明
  • タイプ(Type): 以下の計画停止のタイプを設定できます
    • 静観(Quiet): 表示されているモジュールを無効化します。イベントおよびアラートを生成せず、データを保存しません。
    • エージェント無効化(Disable Agents): 選択したエージェントを無効化します。処理が開始される前に手動で無効化されたエージェントは、タスクが終了するときに有効化されることに注意してください。
    • アラートのみ無効化(Disable Alerts): 選択したエージェントのアラートを無効化
  • 実行(Execution): 一回のみか定期的な実行かの設定
  • 時間設定(Configure the time): 計画停止の開始・終了日時や、一回か定期的かの、実行タイプに応じた設定

Pandora FMS 管理者が設定画面でオプションを有効にしていると、過去の日時の計画停止を作成することができます。この計画停止は実行されることはありませんが、多くのレポートに反映されます。

最後に、計画停止対象としたいエージェントを指定します。

計画停止が動作しているときは変更や削除はできませんが、バージョン 5.0 からは計画停止を中止するオプションがあります。計画停止が中止されたエージェント・モジュール・アラートは一時的に有効化されます。このオプションは、定期的な計画停止には対応していません。バージョン 6.0以降では、'有効' な状態であっても、定期的な計画停止以外は延期することができます。

コンソール以外での停止時間管理

特定の時間にサービス停止を行う場合など、繰り返して設定したい場面もしばしばあります。例えば、毎週決まった時間にすべてのエージェントをすばやく正確に無効状態にしたいとします。このような操作を、コマンドラインから行う方法があります。

CLI を使用して、すべてのエージェントをサービスモードにするより速い方法があります。 コマンドラインから、 pandora_manage.pl を利用します。

./pandora_manage.pl /etc/pandora/pandora_server.conf --enable_group 1
Pandora FMS Manage tool 3.1 PS100519 Copyright (c) 2010 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org
[*] Pandora FMS Enterprise module loaded.
[INFO] Enabling group 1

これにより、全てのエージェントが有効になります。無効にするには次のようにします。

./pandora_manage.pl /etc/pandora/pandora_server.conf --disable_group 1

監査ログ

Pandora FMS は、重要な全ての変更および操作をコンソールのログに記録します。このログは、管理メニューの システム監査ログ(System Audit Log) から参照できます。

この画面では、コンソール操作に関して、ユーザ、操作内容、日付、簡単な説明の記録を参照できます。

左上では、操作、ユーザ、IP、文字列検索、最大何時間前までかといった、異なる要素を表示するためのフィルタリングができます。

フィルタリングのフィールドは次の通りです。

  • アクション(Action): フィルタするアクションを以下から選択します: ACL Violation, Agent management, Agent remote configuration, Alert management, Command management, Dashboard management, Event alert management, Event deleted, Extension DB inface, File collection, Logoff, Logon, Logon Failed, Massive management, Module management, No session, Policy management, Report management, Setup, System, Template alert management, User management, Visual console builder
  • ユーザ(User). 操作を実行したユーザを指定します。
  • 検索文字列(Free text for search): ユーザアクションコマンド フィールドを検索する文字列です。
  • 最大表示範囲(時間)(Max. Hours old): イベントを遡って表示する時間範囲です。
  • IPアドレス(IP): ソースIPの指定です。

画面に表示されている一覧を、右下のボタンをクリックすることにより CSV ファイルへエクスポートすることもできます。

フィルタ可能な操作

このツールで、例えば、直近一時間のエージェント管理に関する操作を検索することができます。

または、特定のユーザーがコンソールにログインした時刻や、すべてのユーザーが実行しているアクションに関するすべての情報を取得できます。 また、Pandora サーバデーモンが起動した日時や、いつ設定が変更されたかも参照できます。

ローカルサーバログ

最新版の Pandora FMS コンソールでは、メニューからログを確認することができます。<i>拡張(Extensions) > 拡張マネージャ(Extension management) > システムログ(System logs)</i>

この拡張で、コンソールとローカルサーバの両方のログを参照できます。

内容を参照できない場合は、ログファイルのパーミッションを確認してください。

chown -R pandora:apache /var/log/pandora/

/etc/logrotate.d/pandora_server を修正することにより、ログローテートを調整することができます。

/var/log/pandora/pandora_server.log
/var/log/pandora/websocket.log 
/var/log/pandora/pandora_server.error {
	weekly
	missingok
	size 300000
	rotate 3
	maxage 90
	compress
	notifempty
        copytruncate
	create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
	weekly
	missingok
	size 500000
	rotate 1
	maxage 30
	notifempty
	copytruncate
	create 660 pandora apache
}

一方、/etc/logrotate.d/pandora_consoleには、コンソールログローテーションの設定もあります。

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

> SuSe を利用している場合は、apache を www-data に置きかけてください。他のシステムを利用している場合は、Apache のサービス(httpd)に対応するユーザを確認してください。

OUMでバージョン747までアップデートする場合は、手動で logrotate ファイルを修正する必要があります。

Cronジョブ

(Enterprise版のみ)

この拡張は、Pandora FMS サーバから指定した時間にタスクを実行します。

サーバ(Servers) > Cronジョブ(Cron jobs) からアクセスできます。

cron_jobs.jpg

タスクを追加するには、次のフィールドに入力します。

  • タスク(Task): 実行するタスクを選択します。
    • カスタムレポートのメールでの送信(Send custom report by e-mail)
    • カスタムスクリプトの実行(Execute custom script)
    • Pandora データベースバックアップ(Backup Pandora database)
    • カスタムレポートをディスクに保存(Save custom report to disk)
  • スケジュール(Scheduled): タスクを実行する頻度を選択します。
    • スケジュールなし(Not Scheduled): タスクは、指定した時間に一度だけ実行されます。
    • 時間ごと(Hourly)
    • 日次(Daily)
    • 週次(Weekly)
    • 月次(Monthly)
    • 年次(Yearly)
  • 最初の実行(First Execution): タスクを最初に実行する日時を選択するフィールドです。指定した日時のあとは定期的に実行されます。
  • パラメータ(Parameter): タスクのパラメータを指定するフィールドです。タスクに応じて変更ができます。
    • Pandora データベースバックアップ(Backup Pandora database): データベースの説明とバックアップの保存先パス。
    • カスタムレポートのメールでの送信(Send custom report by e-mail): 送信レポートと送信先アドレスです。
    • カスタムスクリプトの実行(Execute custom script): 実行するスクリプトです。
    • カスタムレポートをディスクに保存(Save custom report to disk): 保存するレポートと保存先です。

全て入力したら作成をクリックします。タスクが予定タスク一覧に表示されます。

cron_jobs_list.jpg

タスクを作成したら、タスクの左にある緑の丸いアイコンをクリックすることにより、強制実行することができます。また、右側の赤い×印をクリックするとタスクを削除できます。

コンソールからのデータベース管理

Pandora FMS のコアはデータベースです。監視対象システムから収集されるデータ、エージェントの設定、アラーム、イベント、監査データ、ユーザ、その他データが保存されます。システムに関連するすべてのデータです。

このモジュールの効率性および信頼性は、Pandora FMS が正しく動作するために必須のものです。Pandora FMS データベースを正常状態に保つことは、Pandora FMS が正常に動作するためには重要なことです。

通常のデータベースのメンテナンスをするために、管理者は MySQL のコマンドをコマンドラインから使える必要があり、MySQL の専門家無しにコンソールからデータベースを操作できるスキルが必要です。

Pandora FMS には、データベースの情報を参照する複数の拡張があります。

診断ツール

ここでは、Pandora FMS のインストールに関する一般的な情報を参照することができます。データベースから取得する多くの情報を調整することが重要であるため、推奨値が表示されるだけでなく、変更が必要な値が存在する場合は警告が表示されます。

データベースインタフェース

ここでは、データベースのコマンド実行およびその結果を見ることができます。SQL および、詳細な Pandora データベースの構造を知っている方向けの拡張ツールです。

このツールの利用方法を間違えると、データの消失や Pandora FMS が動作しなくなることがあります。

データベースインタフェースへ行くには、システム管理(Administration) → 管理ツール(Admin Tools) → DBインタフェース(DB Iinterface) をクリックします。

テキストフィールドに SQL コマンドを入力して、SQLの実行(Execute SQL) ボタンをクリックします。

DB スキーマチェック

これは、Pandora を導入した時と現在のスキーマにエラーを引き起こす可能性のある問題がないかをチェックするための拡張機能です。

処理は次の通りです。

  • 一時データベースは、インストール時のデータベースが持つ構造で作成されます(インストールされたバージョンによって異なります)。
  • 作成されたデータベースは、インストールされているデータベースと比較されます。
  • 一時データベースは削除されます。

データベースにアクセスするためのデータを入力し、“テスト実行(Run test)” をクリックします。

データベースのマイグレーションが正しくできているかは、この拡張を使うことをお勧めします。

このチェックは MySQL データベースでのみ実施可能です。

ネットワークツール

  • Traceroute パス(Traceroute path): 空の場合は、Pandora FMS は traceroute を検索します。
  • Ping パス(Ping path): 空の場合は、Pandora FMS は ping を検索します。
  • Nmap パス(Nmap path): 空の場合は、Pandora FMS は nmap を検索します。
  • Dig パス(Dig path): 空の場合は、Pandora FMS は dig を検索します。
  • Snmpget パス(Snmpget path): 空の場合は、Pandora FMS は snmpget を検索します。

バックアップ

DB のバックアップとリストアを行う拡張です。

バックアープを取得するには、最初にデータを保存するフォルダを選択する必要があります。選択したら、作成するバックアップの説明を入力します。

バックアップが実施されると、実行中アイコンと共にバックアップ一覧が表示されます。

バックアップが作成されたら、次の操作ができます。

  • アイコンをクリックしてダウンロード

  • アイコンをクリックしてのロールバック。

ロールバックは、以前のバックアップをリストアします。コンソール上の現在のデータをすべて破棄し、ロールバック対象のデータを上書きします。

  • アイコンをクリックして削除。

プラグイン登録

簡単にプラグインを追加することができる拡張です。

サーバ(Servers) > プラグインの登録(Register plug-in) からアクセスできます。

プラグインを登録するには、ファイルを選択し、“アップロード(Upload)” をクリックします。

サーバプラグインについての詳細は、開発および拡張の章に示します。

.pspz ファイルのフォーマットは、以下から参照できます。 サーバプラグイン開発

データの挿入

この拡張では、カンマで区切ったファイル(CSV)でデータをエージェントモジュールに入れることができます。リソース(Resources) > データの挿入(Insert Data) からアクセスします。

CSV ファイルのフォーマットは、各行が 日時;値 でなければいけません。日時は、Y/m/d H:i:s フォーマットです。

 2011/08/06 12:20:00;77.0
 2011/08/06 12:20:50;68.8

リソース登録

この拡張により、ネットワークコンポーネント、snmp コンポーネント、ローカルコンポーネントや、wmi コンポーネントの定義を .prt ファイルでインポートすることができます。また、これらのコンポーネント (ローカルコンポーネント以外) をテンプレートに追加することができます。

.prt ファイルフォーマット

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
	<component>
		<name></name>
		<description></description>
		<module_source></module_source>
		<id_os></id_os>
		<os_version></os_version>
		<data></data>
		<type></type>
		<max></max>
		<min></min>
		<max_cri></max_cri>
		<min_cri></min_cri>
		<max_war></max_war>
		<min_war></min_war>
		<historical_data></historical_data>
		<ff_treshold></ff_treshold>
		<module_interval></module_interval>
		<id_module_group></id_module_group>
		<group></group>
		<tcp_port></tcp_port>
		<tcp_send></tcp_send>
		<tcp_rcv_text></tcp_rcv_text>
		<snmp_community></snmp_community>
		<snmp_oid></snmp_oid>
		<snmp_version></snmp_version>
		<auth_user></auth_user>
		<auth_password></auth_password>
		<privacy_method></privacy_method>
		<privacy_pass></privacy_pass>
		<auth_method></auth_method>
		<security_level></security_level>
		<plugin></plugin>
		<plugin_username></plugin_username>
		<plugin_password></plugin_password>
		<plugin_parameters></plugin_parameters>
		<wmi_query></wmi_query>
		<key_string></key_string>
		<field_number></field_number>
		<namespace></namespace>
		<wmi_user></wmi_user>
		<wmi_password></wmi_password>
		<max_timeout></max_timeout>
		<post_process></post_process>
	</component>
	<component>...</component>
	<component>...</component>
	<template>
		<name></name>
		<description></description>
	</template>
</pandora_export>

テキスト文字列翻訳

設定(Setup) > 翻訳文字列(Translate string) にあるこの拡張では、Pandora FMS インタフェースの文字列を個別に翻訳できます。

以下に入力フィールドを示します。

  • 言語(Language): 言語によって文字列をフィルタリングします。
  • 文字列検索(Free text for search (*): 個別調整する文字列。

3つの絡むが表示されます。一つ目はオリジナルの文字列、2つ目は現在の翻訳文字列、そして 3つ目はカスタマイズしたい内容です。

ワークスペース

このセクションでは、Pandora ユーザと対話したり、ユーザの詳細を編集したり、(チケットをたてるために)インシデントシステムへアクセスしたり、Pandora に接続している他のユーザとのチャットなど、さまざまな操作ができます。

チャット

このツールで、コンソールに接続している他の pandora ユーザとリアルタイムでチャットができます。オペレータや管理者間でサービスについて情報を共有するのに便利です。

問題管理

Integria IMS との統合により、Pandora FMS はコンソールから問題管理ができます。

このツールに関する詳細は、Integria IMS での問題管理を確認してください。

接続ユーザ

この拡張は Pandora FMS コンソールに接続している自分自身以外の他のユーザを表示します。異なるユーザが接続できる Pandora FMS コンソールでは重要な機能です。

参照するには、ワークスペース(Workspace) > 接続ユーザ(Connected users) へ行きます。

メッセージ

Pandora FMS には、各ユーザ間でメッセージを送ることができるツールがあります。

メッセージの参照

メッセージが届いている場合、コンソールの上の部分にアイコン (封筒) が表示されます。

メッセージは、ワークスペース(Workspace) > メッセージ(Messages) > メッセージ一覧(Messages list) で参照できます。また、読み出し、削除、特定のグループやユーザへの送信ができます。

ソフトウエアエージェントリポジトリ

ソフトウエアエージェントリポジトリはデプロイセンターの一部であり、デプロイするエージェントインストーラのバージョン(プログラム)を制御します。

以下のメニューからアクセスします。

リポジトリに新たなインストーラを追加するには、'エージェントの追加(Add agent)' をクリックします。

ターゲット OS タイプ、アーキテクチャ、インストールファイルなどに関連する情報をフィールドに入力します。

注意: Linux (およびすべての Unix および BSD 範囲)のインストーラーは、すべてのアーキテクチャで共通です。 x64、x86、ARM など同じインストーラー .tar.gz を共有します。

アップロードが正しくできたか確認します。

アップロードされたエージェントインストーラは、バージョン、アップロード者、アップロード日時などの情報とともにリストに表示されます。

カスタムテーマ

Pandora FMS では、ビジュアルコンソールでカスタムテーマを設定するために、CSS ファイルをアップロードすることができます。

その際、CSS ファイルのには以下のコメントを入れます。

 /*
 Name: My custom Theme
 */

そして、CSS ファイルを以下のパスにインポートします。

pandorafms/pandora_console/include/styles/CustomTheme.css

必要なテーマがアップロードされたら、セットアップ(Setup) > セットアップ(Setup) > ビジュアルスタイル(Visual styles) へ行き、スタイルテンプレート(Style template) ドロップダウンから適切なテーマを選択します。