События

События

Введение

Система событий Pandora FMS позволяет в режиме реального времени видеть запись всех событий, происходящих в контролируемых системах. Информация, которую они отображают, варьируется от любого изменения состояния модуля, срабатывания или получения предупреждений, до перезапуска системы или пользовательских событий. По умолчанию в просмотре событий вы увидите постоянную информацию о том, что происходит в данный момент.

События классифицируются в соответствии с их серьезностью:

  • Обслуживание (синий).
  • Информация (серый).
  • Нормальный (зеленый).
  • Меньший (розовый).
  • Опасность (желтый).
  • Больший (коричневый).
  • Критический (красный).

Над событиями можно выполнить следующие действия:

  • Изменять статус (подтвержден или находится в процессе).
  • Сменить пользователя.
  • Удалить.
  • Показать дополнительную информацию.
  • Добавить комментарий.
  • Создавать настраиваемые ответы.

Общая информация

Управление событиями осуществляется в Events > View Events:

Пример стандартного средства просмотра событий:

Начиная с версии 726 можно сортировать события по идентификатору, статусу, имени и т.д.

В средстве просмотра событий отображается краткое описание каждого события, а иногда и другие связанные с ним данные, такие как модуль агента, сгенерировавший событие, группа, теги, связанные с модулем, и т.д.

detalle_evento_1.jpg

Щелчок по значку лупы показывает более подробную информацию:

detalle_evento_2.jpg

Pandora FMS также может использовать события для оповещения о превышении пределов, установленных пользователями для системы мониторинга. Например, начиная с версии NG 754 для данной группы может быть наложен лимит агентов, и когда этот лимит будет достигнут, он будет отображен событием:

Не подтвержденные события появляются в поиске по умолчанию за последние восемь часов (их также можно настроить), и также по группам, чтобы избежать избыточности:

Нажмите, чтобы увеличить

Пользователь сможет увидеть группы, к которым он будет принадлежать, только если этот пользователь не принадлежит к группе ВСЕ (ALL).

Вы можете сохранять поисковые запросы в качестве фильтров или применять ранее созданный фильтр.

Вы можете узнать больше из обучающего видеоролика «События в Pandora FMS».

События - это запись и фундаментальная часть системы мониторинга.

Работа с событиями

Подтверждение и статусы события. Авто подтверждение

Событие может иметь четыре состояния

Событие может находиться в четыре статусах(состояниях):

  • В процессе.
  • Новое.
  • Подтвержденное.
  • Не подтверждено.

Когда в модулях происходят события из-за изменения состояния, обычно происходит два события: первое событие перехода из нормального состояния в «неправильное» состояние и событие возврата в нормальное состояние, когда проблемная ситуация разрешена. В этих случаях события, перешедшие в неправильный статус (critical или warning), автоматически подтверждаются при восстановлении нормального состояния. Это называется авто подтверждением событий и является очень удобной функцией.

При работе вручную событие также может быть подтверждено: система запомнит дату и пользователя, подтвердившего событие, с возможностью записи комментария к ситуации.

При нажатии на кнопку подтверждения экран обновляется, а событие подтверждения становится невидимым.

Событие можно пометить как находящееся «в процессе» во вкладке Responses:

Таким образом, событие не пройдет авто проверку и останется в статусе ожидающего. Обратите внимание также на возможные действия: выполнение пользовательских ответов, таких как ping на хост, назначение пользователю, среди прочих.

Вы можете подтвердить, отметить как «в процессе» или удалить события по отдельности, нажав на соответствующие значки:

Или применяйте их массово к выбору:

В случае настраиваемых ответов максимальное количество событий, к которым может быть применена операция, ограничено десятью.

Фильтрация событий

Параметры фильтрации можно найти в Event control filter; расширенные параметры - в Advanced options:

Нажмите, чтобы увеличить

Важные аспекты этой функционирования:

  • Фильтры можно сохранить для повторного использования в другое время.
  • Pandora FMS по умолчанию группирует повторяющиеся события вместе, однако эту функцию можно изменить, чтобы показывать события по отдельности.
  • Кроме того, можно настроить максимальное количество часов действия события (Max. hours old), а также запрашивать события, произошедшие за определенный период времени, см. расширенные параметры: From (date) и To (date).

Удаление событий

События могут быть удалены по отдельности и/или автоматически.

Также есть возможность в версииVersión

Enterprise.сохранять их для создания специальных отчетов.

По отдельности:

Автоматическая очистка событий:

event_purge.jpg

История событийVersión

Enterprise.:

event_history.jpg

События в RSS

Для того чтобы получить доступ к feed RSS событий, необходимо настроить IP, которым разрешен доступ в поле IP list with API access в Setup.

Для просмотра событий в новостной или RSS ленте нажмите на Events и RSS и подпишитесь на них из выбранной вами программы для чтения новостей.

Звуковая консоль событий

Она позволяет распространять различные звуковые сигналы при возникновении события. Мелодия будет играть непрерывно, пока вы не приостановите звуковое событие или не нажмете кнопку OK.

sound_console.jpg

Список событий, которые генерируют звук, по умолчанию (и могут быть настроены):

  • Срабатывание любого сигнала.
  • Переход модуля в состояние warning.
  • Переход модуля в состояние critical.
  • Переход модуля в состояние unknown.

Перейдите к параметру EventsSound events .

Это действие открывает всплывающее окно для мониторинга всех звуковых событий. В данном примере используется веб-браузер Google Chrome, вы должны настроить этот браузер на разрешение всплывающих окон.

Звуковые события сканируются каждые 10 секунд синхронно, при возникновении события окно начнет мигать красным и вибрировать, кроме того, в зависимости от конфигурации вашего браузера и/или операционной системы, окно будет сохранять фокус и визуализироваться перед другими открытыми окнами.

Звуковым сигналом будут оповещены только те события, которые происходят из предыдущего окна и, во время его открытия, соответствуют выбранным событиям и имеют настроенный звуковой сигнал.

Расширенная конфигурация

Чтобы добавить новые мелодии, скопируйте эти файлы в формате WAV, в каталог:

/var/www/pandora_console/include/sounds/

Обратите внимание, что каждая мелодия транслируется в браузер и потребляет пропускную способность; рекомендуется:

  • Выбрать в качестве основной мелодии только фрагмент длительностью несколько секунд, поскольку он будет воспроизводится циклично.
  • Преобразуйте мелодию в моно.
  • Измените кодировку на 16 bit signed или даже меньше (более низкое качество и меньший размер файла).
  • Для редактирования или создания мелодий мы рекомендуем использовать бесплатные программы, такие как Audacity.

Экспорт событий в CSV

Чтобы экспортировать события в формат CSV, выберите Events > View events > Export to CSV File.

export_to_csv.jpg

Статистика событий

Статистика событий доступна только до версии NG 751 (включительно)

Чтобы получить доступ к статистике событий, перейдите к Events > Statistics.

Event graph

Процентное соотношение событий в зависимости от их статуса.

Event graph by user

Процент, сгруппированный по пользователям.

Event graph by agent

Процент на агента, сгенерировавшего каждое событие.

Number of validated events

Проверенные и подлежащие проверке события.

Подробная информация появляется при нажатии на один из разделов.

Нажмите, чтобы увеличить

Предупреждения о событиях. Корреляция событий

Для версии 741 и выше существует управление предупреждениями, связанными с событиями,, которое рассматривается в отдельной главе.

События из командной строки

Создание и проверка событий

Внешний API Pandora FMS используется при осуществлении удаленных вызовов (через HTTPS) на файл /include/api.php. Это метод, который был определен в Pandora FMS для интеграции приложений сторонних производителей с Pandora FMS. По сути, он состоит из вызова с форматированными параметрами для получения значения или списка значений, которые приложение затем будет использовать для выполнения операций.

Используя WEB API, вы можете взаимодействовать с Pandora FMS из любой удаленной системы, даже если у вас нет подключения к базе данных или установленного Software Agent.

Три основных момента для активации API PFMS:

  1. Разрешить доступ к IP-адресу, с которого будет выполняться команда.
  2. Установите общий пароль для API.
  3. Определите конкретного пользователя с его паролем, который может подключаться только через API.

Специальный инструмент для создания или проверки событий с помощью Pandora FMS API может быть скопирован из:

/usr/share/pandora_server/util/pandora_revent.pl

При выполнении на клиентском устройстве, без параметров, вы сможете увидеть его синтаксис (переведенный здесь):

Pandora FMS Remote Event Tool Copyright (c) 2013 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at https://www.pandorafms.org

Опции для создания события:

  ./pandora_revent.pl -p <path_consoleAPI> -u <credentials> -create_event <opts>

Где опции:

 -u <credentials>:
     Учетные данные API, разделенные запятыми: <api_pass>,<user_name>,<user_pass>
 -name <event_name>:
   Свободный текст
 -group <id_group>:
   Идентификатор группы (используйте 0 для 'всех')

Дополнительные параметры:

 [-agent] : Указывает агента по его идентификатору.
 [-status <status>]  : 0 Новый, 1 Подтвержденный, 2 В процессе
 [-user <id_user>]   : Комментарий пользователя (сочетается с -comment)
 [-type <event_type>] : unknown, alert_fired, alert_recovered, alert_ceased
         alert_manual_validation, system, error, new_agent
         configuration_change, going_unknown, going_down_critical,
         going_down_warning, going_up_normal
 [-severity <severity>] :
        0 Обслуживание,
        1 Информация,
        2 Нормальный,
        3 Опасность,
        4 Критический,
        5 Меньший,
        6 Больший.
 [-am <id_agent_module>]       : ID модуля агента, из которого исходит событие
 [-alert <id_alert_am>]        : ID предупреждения/модуля, от которого исходит событие
 [-c_instructions <critical_instructions>]
 [-w_instructions <warning_instructions>]
 [-u_instructions <unknown_instructions>]
 [-user_comment <comment>]
 [-owner_user <owner event>]   : Владелец события, используйте login name
 [-source <source>]            : (По умолчанию 'Pandora')
 [-tag <tags>]                 : Tag (должен уже существовать в системе)
 [-custom_data <custom_data>]  : Пользовательские данные должны быть base 64
                                 encoded JSON document (>=6.0)
 [-server_id <server_id>]      : Идентификатор узла сервера (>=6.0)
        [-id_extra <id extra>] : Id extra
 [-agent_name <Agent name>]    : Имя агента, НЕ путать с алиас.
 [-force_create_agent<0 o 1>]  : Принудительное создание агента, если он не существует для
                                 этого установите параметр на 1 и выберите опцию
                                 agent_name.

Пример генерации события с использованием в качестве соединителя порядков и дидактического отступа:

./pandora_revent.pl \
     -p https://$path_consoleAPI/pandora_console/include/api.php \
     -u $api_pass, $user_name, $user_pass \
     -create_event \
                   -name "SampleEvent" \
                   -group 2 -agent 189 \
                   -status 0 \
                   -user "admin" -type "system" \
                   -severity 3 \
                   -am 0 \
                   -alert 9 \
                   -c_instructions "Critical instructions" \
                   -w_instructions "Warning instructions"

Варианты подтверждения события следующие:

./pandora_revent.pl -p <path_to_consoleAPI> -u <credentials> -validate_event <options> -id

<id_event>

Пример подтверждения события:

./pandora_revent.pl \
    -p https://$path_consoleAPI/pandora/include/api.php \
    -u $api_pass, $user_name, $user_pass \
    -validate_event \
                   -id 234

Чтобы поля инструкций unknown, critical или warning появились в деталях сгенерированного события, событие должно быть типа going_unknown, going_down_critical, или же going_down_warning, соответственно.

Только создание событий

Иногда, возможно в целях безопасности, должна быть доступна только опция создания события, для чего pandora_revent_create.pl может быть скопирован на клиентское устройство. Расположено в:

/usr/share/pandora_server/util/pandora_revent_create.pl

Этот инструмент имеет схожие характеристики, уже описанные в предыдущем разделе.

Пример:

/pandora_revent_create.pl \
                       -p http://$path_consoleAPI/pandora_console/include/api.php \
                       -u $api_pass, $user_name, $user_pass \
                       -create_event -name "Another nice event" \
                         -group 0 \
                         -type "system" \
                         -status 0 \
                         -severity 4 \
                         -user "johndoe" \
                         -owner_user "admin" \
                         -source "Commandline" \
                         -comment "testing event creation"

Использование пользовательских полей в событиях

Вы можете создавать события с пользовательскими полями через CLI Pandora FMS. Например, событие, созданное с помощью следующей команды:

perl pandora_manage.pl \
             /etc/pandora/pandora_server.conf \
             --create_event 'Custom event' system Firewalls \
             'localhost' 'module' 0 4 '' 'admin' '' '' '' ''

\
             '{"Location": "Office", "Priority": 42}'

Выдает результат, аналогичный:

Нажмите, чтобы увеличить

Конфигурация событий

С помощью Events > View events > Manage events можно настроить:

  • Фильтрация.
  • Ответы.
  • Визуализация.

configuracion_eventos.jpg

Настройка просмотра событий

Можно настроить поля по умолчанию, отображаемые средством просмотра событий; для этого в меню ►EventsView events, Manage eventsCustom columns выберите поля для отображения.

Также можно ознакомиться с этим разделом в ►ConfigurationEventsCustom columns.

По умолчанию отображаются следующие поля:

  • Severity mini: Тяжесть события в уменьшенном формате.
  • Event name: Имя события.
  • Agent ID: ID агента.
  • Status: Статус события.
  • Timestamp: Дата, когда было создано событие.

Однако существует большое количество полей в дополнение к полям по умолчанию, которые можно добавить в список «Fields selected»:

  • Event ID: ID события.
  • Agent name: Имя агента.
  • User: Пользователь, создающий событие.
  • Group: Группа, к которой принадлежит модуль.
  • Event type: Тип события.
  • Module name: Имя модуля.
  • Alert: Предупреждение, связанное с событием.
  • Severity: Степень тяжести события.
  • Comment: Комментарий/и о событии.
  • Tags: Ярлыки модулей.
  • Source: Источник происхождения события.
  • Extra ID: Дополнительный ID.
  • Owner: Обладатель.
  • ACK Timestamp: Дата, когда событие было подтверждено.
  • Instructions: Инструкции при критическом состоянии или состоянии опасности.
  • Server name: Имя сервера, с которого происходит событие.
  • Data: Числовые данные, сообщаемые событием.
  • Module status: Состояние, в котором находится модуль.
  • Module custom ID: Значение поля Module custom ID модуля.

Выберите поля Fields available и переместите их в Fields selected с помощью кнопок со стрелками.

Сохраните изменения с помощью кнопки Update.

Создание фильтров событий

Для просмотра событий вы можете создавать, удалять и редактировать фильтры; при нажатии на Create new filter вы можете создать и выбрать поля для фильтрации:

После сохранения вы можете в любое время перезагрузить сохраненные предпочтения:

event1.jpg

Event Responses

Введение

Ответ на событие - это настраиваемое действие, которое может быть выполнено на событие, например, создание заявки в Integria IMSс соответствующей информацией о событии. Более подробную информацию об Integria IMS можно найти в документации Pandora FMS.

Введите соответствующее имя, описание, параметры для использования, разделенные запятыми, команду для использования (можно использовать макросы), тип и сервер для выполнения команды.

Event Responses macros

Принимаются следующие макросы:

_agent_alias_

Алиас агента.

_agent_name_

Имя агента.

_agent_address_

Адрес агента.

_agent_id_

Идентификатор агента.

_alert_id_

Идентификатор предупреждения, связанного с событием

_event_date_

Дата, когда произошло событие.

_event_extra_id_

Дополнительный идентификатор.

_event_id_

Идентификатор события.

_event_instruction_

Инструкции к событию.

_event_severity_id_

Идентификатор критичности события.

_event_severity_text_

Степень тяжести события (переводится консолью Pandora FMS).

_event_source_

Происхождение события.

_event_status_

Статус события (Новое, подтвержденное или событие в процессе).

_event_tags_

Теги событий, разделенные запятыми.

_event_text_

Полный текст события.

_event_type_

Тип события (Система, переход в неизвестное состояние…).

_event_utimestamp_

Дата, когда произошло событие в формате utimestamp.

_group_id_

Идентификатор группы.

_group_name_

Имя группы в базе данных.

_module_address_

Адрес модуля, связанного с событием.

_module_id_

Идентификатор модуля, связанного с событием.

_module_name_

Имя модуля, связанного с событием.

_owner_user_

Пользователь, которому принадлежит событие.

_user_id_

Идентификатор пользователя.

_current_user_

Идентификатор пользователя, выполняющего ответ.

_command_timeout_

Время ответа команды (секунды)

Вернуться в оглавление Документации Pandora FMS