Управление и администрирование консоли

Управление и администрирование консоли

Введение

В этом разделе рассматриваются некоторые аспекты управления Pandora FMS: создание пользователей, администрирование групп, резервное копирование, рабочее пространство и т.д.

Профили, пользователи, группы и ACL

Pandora FMS - это инструмент управления сетью. Благодаря системе разрешений 100% multitenant, несколько пользователей с разными разрешениями могут работать с одной и той же установкой Pandora без того, чтобы одни из них видели информацию других.

Для добавления пользователей важно иметь четко определенные группы и профили, ясно представляя, какие данные мы хотим, чтобы каждый пользователь мог просматривать и/или изменять.

usuarios-cls-perfiles.jpg

Пользователи в Pandora FMS

Управление пользователями осуществляется из Profiles > Users management, где вы можете увидеть список определенных пользователей.

Определение пользователя состоит из следующих полей:

Мы подробно описываем соответствующие поля пользователя:

  • User ID: Идентификатор, используемый пользователем для аутентификации в приложении. Этот идентификатор представляет собой значение, которое не должно содержать посторонних символов или пробелов.
  • Full Display Name: Поле, в которое вы помещаете полное имя, это описательное поле и может содержать пробелы и нестандартные символы.
  • Password: Пароль, который будет иметь пользователь для доступа.
  • Global Profile: Пользователь Администратор не будет подчиняться внутренней системе ACL и будет иметь доступ ко всему. Стандартный пользователь будет управляться назначенными ему разрешениями ACL Pandora FMS.
  • E-mail y phone: Необязательные поля, в которые мы можем добавить дополнительную информацию о пользователе.
  • Login Error: Если это поле отмечено, пользователь сможет получить доступ только к API, но не интерактивно через консоль.
  • Session time: Количество времени, в течение которого пользователь может находиться в системе без активности, прежде чем пользователь посчитает, что его сессия истекла, и заставит его пройти повторную аутентификацию.
  • Язык: По умолчанию используется язык системы. Вы также можете назначить определенный язык, на котором пользователь будет видеть консоль Pandora FMS.
  • Timezone: Поле, в котором задается временной интервал консоли для отображения различных элементов (Общий вид агентов, Вид модуля, …).
  • Block size for pagination: Размер страницы по умолчанию для данного пользователя.
  • Skin: Поле, в котором вы можете выбрать пользовательскя тема.
  • Home screen: Изменить экран по умолчанию, на который попадает пользователь после входа в консоль, например, средство просмотра событий или визуальную консоль, определенную администратором.
  • Default event filter: Позволяет определить фильтр по умолчанию, который будет у пользователя при входе в просмотр события. Вы можете изменить его позже, но это будет «по умолчанию».
  • Disabled newsletter: Активация или деактивация информационных бюллетеней Pandora FMS.
  • Comments: Информация в дополнение к полям, определенным выше.
  • Profiles/Groups assigned to this user: Выбор профилей и/или групп, в которых будет организован пользователь или к которым он будет иметь доступ.
Саморедактирование пользователя

Все пользователи могут изменять определенные параметры собственной конфигурации в Workspace > Edit my User.

Появляется форма создания пользователя, где можно настроить некоторые разделы, за исключением разрешений групп.

Настройки уведомлений

Для того чтобы настроить уведомления вошедшего в систему пользователя, администратор должен предварительно предоставить ему права на редактирование уведомлений. Если у вас есть это разрешение, а также активированы все опции, вы сможете включать/выключать уведомления и отправку уведомлений по электронной почте.

Уведомление позволят нам видеть на экране предупреждения, относящиеся к следующим разделам:

  • System status. Где будут генерироваться следующие уведомления:
    • Предупреждение о просроченной или скоро истекающей лицензии (~15 дней или менее).
    • Предупреждение о слишком большом количестве файлов во вложении.
    • Предупреждение о накоплении файлов .data в data_in (> 1000 файлов и рост).
    • Предупреждение о файлах BADXML в накоплении data_in (150 файлов).
    • Общая склейка модулей (увеличивается) на сервер.
    • Уведомления о конфигурации PHP.
    • Проверьте, запущен ли pandora_db на основной базе данных.
    • Проверьте, запущен ли pandora_db в исторической базе данных.
    • Статус обновления исторической базы данных (MR correct).
    • Предупреждения о состоянии, компонент выключен или не запущен ⇒ Любой из серверов Pandora FMS со статусом =1 и keepalive - now() больше, чем server_keepalive * 2.
    • Обслуживание Tentacle прекращено.
    • Обратите внимание, что ни один сервер не должен находиться в главном режиме.
    • В случае активированных журналов - статус эластичного подключения.
    • В случае использования Pandora FMS HA ошибка при репликации БД.
    • Ошибка соединения с серверами карт ГИС (WMS).
    • Размер журналов.
    • Предупреждение о месте установки/диске/скором заполнении объема (data_in/mysql/tmp…)(> 90%).
    • Невозможность подключения к базе данных истории.
    • Ошибки синхронизации с Метаконсолью.
    • Следующие запланированные остановки (менее чем за 15 дней).
    • Метаконсоль: Состояние синхронизации:
      • Ошибки синхронизации узлов.
      • Ошибки при репликации событий.
      • Кэш агента.
  • Message:
    • Сообщения, полученные пользователем, ожидающие прочтения.
  • Pending Tasks:
    • Политики, которые должны быть реализованы.
    • Очередь запущенных/обработанных политик (complete → ACK).
    • Коллекции, ожидающие воссоздания.
    • Серверные плагины определены, но их исполняемый файл не существует.
    • Метаконсоль:
      • Отложенные задачи синхронизации.
      • Задачи синхронизации выполнены.
      • Отложенные уведомления для каждого узла.
      • Состояние очередей политики.
  • Announcements.
    • Напоминание о том, что версия Enterprise не установлена.
    • Знакомы ли вы с версией Enterprise?
    • Знакомы ли вы с библиотекой модулей?
    • Познакомьтесь с eHorus.
    • Познакомьтесь с Integria IMS.
  • Public communications>
    • Уведомления об обновлениях.
    • Сообщения, генерируемые из центральной Artica ST (обновление до PHP7, phantomjs и т.д.)
  • Suggestions>
    • Знаете ли вы, что вы можете интегрировать Pandora FMS с Telegram?
    • Знаете ли вы, что можно выполнять эскалацию оповещений?
    • Контролируйте все свои приложения с помощью служб.

В конфигурации уведомлений имеются следующие опции:

  • Notified users> Пользователи, которые будут получать активированные уведомления.
  • Notified groups> Группы, которые будут получать активированные уведомления.
  • Notify all users> Опция, которая позволит нам уведомить всех пользователей.
  • Also email users with notification content> Чтобы включить отправку электронных писем с каждым уведомлением.
  • Users can modify notificacion preferences> Чтобы позволить пользователям изменять предпочтения уведомлений (эта возможность может быть ограничена системным администратором).
  • Users can postpone notifications up to> Позволяет откладывать уведомления, чтобы они не получались чаще, чем раз в X времени (выбирается из выпадающего меню).

Группы в Pandora FMS

Введение

Концепция групп в Pandora является основополагающей. Группы - это наборы элементов с собственными правилами, функция которых состоит в том, чтобы помочь контролировать доступ пользователей к определенным опциям или элементам внутри Pandora FMS.

Важно знать, что агент может принадлежать только к одной группе, но пользователь может иметь доступ к одной или нескольким из этих групп.

При настройке групп необходимо учитывать, что группа Все (All) - это специальная группа, которую нельзя удалить, а все группы являются ее подгруппами. Любой элемент, связанный с группой Все (All), может быть просмотрен/администрирован пользователем, имеющим права доступа в любой группе.

Группа "All" (Все)

В Pandora существует система групп, которые представляют собой сущности, в которые классифицируются агенты, и используются для разделения привилегий. Таким образом, пользователи получают определенные разрешения, объединенные в одну или несколько групп, и таким образом получают возможность видеть и взаимодействовать с агентами и другими объектами в их контексте.

Чтобы облегчить назначение и фильтрацию групп, доступен инструмент под названием «All» группы. Группа All означает, в зависимости от контекста, ВСЕ группы или ЛЮБУЮ из них. Начиная с версии 3.1 его зарезервированным идентификатором является ID 0, с той разницей, что он полностью контролируется кодом, и в базе данных нет группы с таким идентификатором.

Создание группы

Группы определены в разделе ProfilesManage agent groups.

Нажав на меню выше, вы увидите предопределенные и/или созданные пользователем группы:

При создании (или изменении) группы появляется следующая форма:

Поля формы подробно описаны ниже:

  • Name: Имя группы. Эта группа может использоваться при автоматической инициализации агентов, поэтому не рекомендуется, чтобы она содержала пробелы или расширенные символы (хотя это поддерживается).
  • Icon: Комбо, где вы можете выбрать значок, который будет у группы.
  • Parent: Вы можете определить другую группу в качестве родительской для создаваемой группы.
  • Password: Необязательный пароль. Позволяет ограничить автосоздание агентов (автоматическое предоставление программных агентов или агентов спутникового сервера) таким образом, чтобы можно было создавать только агентов с тем же паролем, который задан в этом поле.
  • Alerts: Если флажок установлен, агенты, принадлежащие к группе, смогут отправлять оповещения. Это свойство можно использовать для быстрого отключения генерации предупреждений для заданной группы Агентов.
  • Propagate ACL: Если включено, дочерние группы будут иметь те же разрешения ACL, что и данная группа.
  • Custom ID: Группы имеют ID в базе данных, в это поле можно поместить другой пользовательский ID, который может быть использован из внешней программы для выполнения интеграции. (например: CMDB's).
  • Contact: Контактная информация, доступная через макрос _groupcontact_.
  • Skin: Для каждой группы может быть назначена одна тема (внешний вид).

Версия NG 754 или выше.

Вы можете ограничить количество агентов в каждой группе с помощью поля Max agents allowed. Значение по умолчанию ноль (без ограничения).

Также через Pandora FMS API при создании группы или редактировании группы, можно установить максимальное количество Агентов в группе, если это необходимо.

Импорт групп из CSV

Эта функция находится в Метаконсоли.

Это функция Enterprise. Расширение позволяет импортировать файл, разделенный символом-разделителем, на сервер Pandora.

Доступ к расширению осуществляется из Admin tools > Extensions manager > CSV import group.

Файл для импорта выбирается нажатием кнопки “Seleccionar archivo”, а разделитель выбирается из комбинированного окна. После заполнения вышеуказанных полей нажмите “Go”.

CSV-файл должен содержать следующие поля в следующем порядке: Имя группы, значок, идентификатор родителя и распространение (1 или 0).

Профили в Pandora FMS

Профили Pandora FMS позволяют определить, какие разрешения может иметь пользователь. Комбинация профилей плюс группа, связанная с пользователем, позволяет определить, какие полномочия пользователь имеет над группой агентов, так что он/она может иметь разные профили в разных группах. Управление профилями осуществляется из раздела Profiles > управление профилями.

Список профилей

Этот список определяет, какие опции доступны для каждого профиля:

БИТ ДОСТУПА ОПЕРАЦИЯ
IR - См. происшествия
IW - Проверка ловушек
- Сообщения
IM - Управление инцидентами
AR - Просмотр данных агента (все виды)
- Технический обзор
- Просмотр группы
- Просмотр пользователей
- Просмотр
- Консоль SNMP
- Tree view
- Extension Module Group
- Строка поиска
AW - Просмотр управления агентами
- Редактирование агента и его .conf
- Массовые операции
- Создать агента
- Дублирование удаленной конфигурации
- Управление политикой
AD - Управление остановками обслуживания
- Деактивировать агента/модуль/оповещение
LW - Распределение уже созданных предупреждений
- Управление предупреждениями
LM - Определение и изменение шаблонов.
- Определять и изменять действия
UM - Управление пользователями
DM - Обслуживание базы данных
ER - Просмотр события
EW - Проверить/Комментировать событие
- Управление фильтрами
- Исполнение ответов
EM - Удалить событие
- Смена владельца/Переоткрытие события
RR - См. отчет, график и т.д.
- Применение шаблона отчета
RW - Создание визуальной консоли
- Создание отчета
- Создайте комбинированный график
RM - Создание шаблона отчета
MR - Просмотр карты сети
MW - Редактирование сетевых карт
- Удаление собственных сетевых карт
MM - Удаление любой карты сети
VR - Просмотр визуальной консоли
VW - Редактирование визуальной консоли
- Удаление собственных визуальных консолей
- Удаление любой визуальной консоли
VM - Управление визуальной консолью
PM - Управление ответами
- Настройка столбцов событий
- Update manager (Работа и администрирование)
- Управление группой
- Создание модулей инвентаризации
- Управление модулями (включая все подвиды)
- Управление консолью SNMP
- Управление профилем
- Управление сервером
- Аудит системы (редактирование и визуализация)
- Setup (вкл. все нижние вкладки)
- Администрирование расширений
– Определяйте и изменяйте команды предупреждения.
КОМБИНАЦИЯ РАЗРЕШЕНИЙ
EW & IW - Создать инцидент через событие (Ответ)
LM & AR / AW & LW - Проверка предупреждений

Определение разрешений

Из опции редактирование пользователя можно назначить ему доступ к группе с определенным профилем:

Если пользователю не назначен какой-либо профиль или группа, при входе в систему он/она получит ошибку входа, как показано ниже:

Назначение профилей и групп с правом управления пользователями (UM).

Начиная с версии 748 Pandora FMS, улучшено управление пользователями, разрешениями и группами.

Было рассмотрено несколько возможных сценариев, которые объясняются ниже:

  • Пользователь «менеджер» с правами UM, принадлежащий к группе ALL, может управлять любым пользователем, независимо от группы, к которой он принадлежит.
  • Доступ к группам может быть добавлен до создания самого пользователя.
  • Пользователь «менеджер» может редактировать профили и группы только тех пользователей, которых он может видеть, поскольку они принадлежат к группам, которыми он управляет с правами UM.
  • Пользователь-администратор может создавать других пользователей-администраторов и может управлять любым другим пользователем, но ни в коем случае пользователь «менеджер» с UM разрешениями не может удалить UM разрешения у другого пользователя, имеющего такие же разрешения в той же группе. Этот параметр может быть изменен только администратором.
  • Пользователь «менеджер» без прав UM на группу не может видеть, какие пользователи принадлежат к этой группе.
  • Пользователь «менеджер» может удалить связи пользователей с группами, которыми он управляет, и даже всего пользователя, если он имеет связи только с группами, которыми он управляет.

В случае, если последняя связь профиля/группы пользователя будет удалена и пользователь будет удален, Pandora выводит предупреждение.

*Пользователь «менеджер», имеющий права UM на одну группу и не имеющий на другую, может видеть информацию о профиле/группе только тех групп, которыми он управляет, даже если пользователь, за которым он наблюдает, имеет больше прав на другие группы. Остальная информация о пользователе будет внешней для его «менеджера». Таким образом, пользователь «менеджер» может только получать информацию или изменять разрешения для групп, которыми он управляет, но ни в коем случае не может удалить больше разрешений или удалить пользователя.

Расширенные системы разрешений с использованием тегов

В версии Enterprise индивидуальный доступ к модулям агента может быть настроен с помощью системы тегов. Теги настраиваются в системе, присваиваются нужным модулям, и, кроме того, вы можете ограничить доступ пользователя только к тем модулям, для которых определены эти теги.

Доступ по меткам не заменяет доступ по группам. Он дополняет его

Теги определены в Profiles > Module Tags.

В конфигурации модуля ему можно (по желанию) присвоить один или несколько тегов:

Чтобы назначить конкретный доступ к тегу, это делается через редактор пользователя, в назначении профиля и группы, путем добавления тега:

В этом примере пользователь имеет доступ с профилем оператора к группам «eHorus» и «Хостинг», а также к группе «Инфраструктура», но только к модулям, отмеченным тегом «Security».

Эта система, которую мы называем режимом безопасности на основе тегов, позволяет ограничить доступ ко всему содержимому агента, но имеет потери в производительности, поэтому она предназначена исключительно для предоставления доступа к небольшим порциям информации, т.е. ее не следует использовать более чем с двумя-тремя тегами в комбинации пользователь/профиль/группа.

В некоторых глобальных представлениях (тактическое представление, групповое представление, общее дерево подсчетов) итоги показывают все модули, а не только те, которые «видны» по тегу.

Иерархия

В предыдущих разделах было рассказано, что разрешения группы могут быть распространены на ее дочерние элементы с помощью опции конфигурации Propagate ACL. Однако в конфигурации пользователя вы можете ограничить эту функцию и предотвратить распространение ACL, установив флажок No hierarchy.

В качестве примера можно привести конфигурацию с двумя родительскими группами «Applications» и «Databases» с двумя дочерними, «Development_Apps» и «Management_Apps» для первой и «Databases_America» и «Databases_Asia» для второй. Обе родительские группы помечены для распространения ACL.

В представлении редактирования пользователя, если добавлены следующие профили:

Пользователь будет иметь доступ к группам «Applications», «Development_Apps», «Management_Apps» и «Databases».

С другой стороны, если добавляется дочерний элемент «Databases»:

Теперь пользователь сможет получить доступ к группам «Applications», «Development_Apps», «Management_Apps», «Databases» и «Databases_Asia», но не к группам «Databases_America».

Вторичные группы

Начиная с пакета обновления 721 агенты могут иметь вторичные группы. В отличие от основной группы, эти вторичные группы являются необязательными.

Тот факт, что агент принадлежит к вторичной группе, означает, что он фактически принадлежит к нескольким группам одновременно. Благодаря этой функции два пользователя с совершенно разными разрешениями могут иметь доступ к одному и тому же агенту, просто добавив соответствующие подгруппы.

Например агент с именем «Портал» имеет во главе группу «Инфраструктуры», а в качестве вторичной группы - «Hosting», любой пользователь, имеющий доступ к «Infraestructuras» и/или к «Hosting» может получить доступ и к агенту «Портал».

Некоторые виды, например Tree View, могут показывать повторяющихся агентов. При использовании вторичных групп это нормальное поведение.

Система ACL Enterprise

Введение

Модель Open Source ACL основана на «unix-стиле» role/action/group/user (4 элемента).

Система ACL Enterprise позволяет определить - в соответствии с профилем - к каким страницам (определенным по одной или по нескольким «группам») пользователи имеют доступ. Это позволяет вам переопределить, какие разделы интерфейса может видеть пользователь. Например, разрешить пользователю отображать только представление «Group» и представление «Detallada» агента, пропуская такие страницы, как « Alert view» или « Monitor view», уже сгруппированные в классической системе ACL Pandora FMS как «AR» (Agent Read Privileges).

Эта функция позволяет ограничить администрирование по страницам. Это очень полезно для включения некоторых специфических низкоуровневых операций.

Обе модели являются «параллельными» и совместимыми. Классическая система ACL является дополнительной и оценивается системой ACL Enterprise.

Конфигурация

Для того чтобы использовать новую систему ACL Enterprise, нужно сначала активировать ее во вкладке конфигурации. Эта опция видна только в том случае, если вы используете версию Enterprise.

Чтобы настроить систему Enterprise ACL Enterprise, перейдите к определенной опции в разделе Administration → Setup. На этом экране вы можете добавлять новые элементы в новую систему ACL и просматривать определенные элементы для каждого профиля. Вы также можете удалить системные элементы ACL Enterprise.

Если система ACL Enterprise активирована, ВСЕ страницы ограничены для ВСЕХ групп (включая администратора) на все страницы, определенные (разрешенные) в системе ACL Enterprise. Если у пользователя с профилем «Администратор» нет страниц, включенных в систему ACL Enterprise, он не сможет ничего увидеть.

Пожалуйста, будьте осторожны с этим, потому что вы можете потерять доступ к консоли, если включите неправильную конфигурацию ACL Enterprise для вашего пользователя.

Если вы случайно потеряли доступ к консоли, вы можете отключить систему ACL Enterprise из командной строки:

/usr/share/pandora_server/util/pandora_manage.pl /etc/pandora_server.conf --disable_eacl

Вы можете определить «страницу за страницей», «целые разделы», установить правило «любое» или добавить «пользовательские страницы», недоступные из меню.

Существует два способа добавления страниц в профиль: с помощью помощника (по умолчанию) или с помощью настраиваемого редактирования. Над кнопкой добавления правила находится кнопка для изменения этого режима.

Помощник

В мастере мы выберем разделы и страницы некоторых комбинированных элементов управления.

Страницы, которые появляются в этих комбинациях, доступны только из меню. Чтобы предоставить доступ к страницам, доступ к которым осуществляется другим способом (например, к главному представлению агентов), нам придется использовать пользовательский редактор.

Чтобы добавить страницу Pandora FMS в «разрешенные страницы», необходимо выбрать профиль, к которому будет применено правило, затем в управлении «Раздел» выбрать раздел, содержащий нужную страницу. Затем вы можете выбрать любую из ваших страниц в элементе управления «Page».

Другой вариант - выбрать раздел и значение «All» в элементе управления «Page». Это позволит выбранному профилю видеть «все» из выбранного раздела. Аналогично, если пользователь выберет «All» в обоих элементах управления, то это позволит пользователю этого профиля видеть «все» разделы, как это было бы без ACL Enterprise System для этого профиля.

Чтобы раздел отображался в меню, пользователь должен иметь доступ как минимум к первой странице раздела. Например, чтобы отображался раздел «Мониторинг», необходимо, как минимум, иметь доступ к «Техническому виду»;

Индивидуальное редактирование

Чтобы добавить отдельные страницы, недоступные из меню, мы можем ввести их sec2 вручную. Для этого перейдите на страницу, которую вы хотите добавить, и скопируйте параметр sec2.

Например, если мы хотим добавить главное представление агентов, мы введем представление любого агента и найдем URL, подобный этому:

http://localhost/pandora/index.php?sec=estado&sec2=operation/agentes/ver_agente&id_agente=7702

Введем содержание параметра sec2 (operation/agentes/ver_agente) в текстовое поле.

Безопасность

Любая страница, которая не является «разрешенной», не будет отображаться в меню и не будет разрешена к использованию, даже если пользователь задаст URL «вручную». Любая страница, не разрешенная «классической» системой ACL Pandora FMS, не будет разрешена системой ACL предприятия (это относится к классической системе ACL). Это будет конкретным примером различных фильтров:

Кроме того, имеется элемент управления, проверяющий принадлежность страницы к разделу, что усиливает защиту от ручного изменения URL. Эта проверка пропускает страницы, добавленные с помощью пользовательского редактора, а также доступ к каждой странице целого раздела, к которому разрешен доступ, что оптимизирует загрузку.

Визуализация данных и разрешений в отчетах, визуальных консолях и других общих элементах

Группы и профили предназначены для того, чтобы пользователь имел различные роли в развертывании Pandora FMS. Основные элементы мониторинга, такие как агенты и модули, регулируются этими основными правилами групп/профилей, с учетом того, как они расширяются с помощью подгрупп и разрешений тегов.

Другие элементы Pandora, такие как отчеты, визуальные консоли, карты сети и приборные панели действуют как контейнеры. Если пользователь, имеющий доступ ко всем управляемым данным, создает отчет и назначает его общей группе, пользователи с доступом к этой группе смогут видеть отчет и все его содержимое. Даже если у них нет разрешенного доступа к отдельным элементам отчета. Отчет, визуальная консоль, карта сети и приборные панели выступают в качестве информационных контейнеров. Контроль доступа осуществляется к контейнеру, но не к его содержимому.

Давайте рассмотрим пример.

Предположим, у нас есть четыре группы: Клиент А, Клиент Б, внутренняя и глобальная инфраструктуры.

Администратор создает визуальную консоль, содержащую элементы внутренней инфраструктуры и специфические элементы Клиентов A и B. Эта визуальная консоль ассоциирует ее с группой «Global».

Клиент A имеет доступ на запись к отчетам в Клиенте A и доступ на чтение к отчетам в Global. Клиент A сможет видеть эту визуальную консоль и все ее содержимое, даже если она содержит элементы от Клиента B и группы внутренней инфраструктуры, которую администратор разместил при создании визуальной консоли.

Клиент B сможет видеть точно такую же консоль, как и Клиент A, так как у него есть разрешения на чтение отчетов из группы Global.

Исключения из этого поведения

Существуют некоторые специфические исключения из этого общего поведения, а именно в некоторых виджетах приборной панели, таких как древовидный просмотр или в элементе управления событиями приборной панели, поскольку этот конкретный виджет позволяет взаимодействовать с данными (проверять события) или в независимых элементах визуальной консоли, где вы можете ограничить визуализацию элемента консоли определенной группой.

Следует отметить, что назначение таких элементов, когда предоставляется доступ на чтение, заключается в возможности доступа к данным, которые в противном случае не были бы видны данному пользователю. Может случиться так, что пользователь имеет доступ на чтение и запись. В таком случае при редактировании одного из этих контейнеров вы можете добавлять только те элементы, к которым у вас есть доступ, и можете удалять элементы, к которым у вас нет доступа, но не можете добавить их снова.

Серверы

Детальный просмотр серверов используется для того, чтобы узнать, помимо общего состояния серверов Pandora FMS, уровень их загрузки и задержки в выполнении.

В этом представлении в каждом столбце отображается разная информация:

Name

Имя сервера, обычно используется имя хоста машины.

Status

Статус (зеленый = активен, серый = остановлен или отключен).

Type

Тип сервера (сервер данных, сетевой сервер и т.д.).

Version

Текущая версия каждого сервера Pandora FMS.

Modules

Количество таких модулей, выполняемых сервером, по отношению к общему количеству таких модулей.

Lag

Наибольшее время, в течение которого самый старый модуль ожидал получения данных / Количество модулей, у которых закончился срок службы. Этот показатель используется для определения соотношения между количеством модулей и нагрузочной способностью сервера. Delayed modules (Просроченные модули) указывает количество модулей, которые не сообщили о себе серверу.

T/Q (Current threads/queued modules currently)

Отображает количество активных в данный момент потоков на каждом сервере / Общее количество модулей в очереди, ожидающих обслуживания. Эти параметры отражают состояние чрезмерной нагрузки. Если в очереди всегда мало модулей, то это отражает неспособность сервера обработать данные.

Updated

Каждый сервер имеет keepalive, который обновляет его статус, чтобы убедиться, что он активен, а также обновляет его статистику.

Op.

Доступные операции, столбец значков.

Некоторые значки имеют особое значение:

  • Poll request: Он запрашивает удаленный тестовый сервер о выполнении всех имеющихся у него проверок, заставляя его выполнить их снова. Подходит для всех сетевых серверов, например, Network server, WMI server, Plugin server, WEB Server, и т.д.
  • Edit: изменить IP-адрес и описание сервера.
  • Delete: удалить сервер.
  • Edit remote configuration: Редактирование удаленной конфигурации сервера. Действителен для Pandora FMS или сервера satellite
  • Manage Discovery tasks: Управление задачами по обнаружению. Действителен для серверов Discovery.

Хранилище учетных данных

В Pandora FMS есть хранилище учетных данных. Это хранилище управляет идентификаторами, которые будут использоваться в таких разделах, как Discovery Cloud или автоматическое развертывание агентов. Перейдите в меню и нажмите на Profiles > Manage agent groups.

Затем можно открыть вкладку «Хранилище учетных данных»

Pandora FMS позволяет шифровать пароли, сохраняемые в базе данных. Для получения дополнительной информации, пожалуйста, посетите **Шифрование паролей**

Чтобы добавить новую запись, нажмите на кнопку «добавить» и заполните необходимую информацию во всплывающем окне.

Существует пять различных типов учетных данных для регистрации:

  1. Учетные данные Amazon Web Services (AWS).
  2. Учетные данные Microsoft Azure.
  3. Персональные учетные данные.
  4. Учетные данные Google.
  5. Учетные данные SAP.

Группа, приписанная к ключу, управляет его видимостью. То есть, если вы назначите ключ 'test' группе 'All', все пользователи консоли Pandora FMS смогут использовать этот ключ. Вы можете назначить только ту группу, к которой принадлежит пользователь, создающий учетные данные, если только этот пользователь явно не принадлежит к группе ВСЕ. (**ALL**).

Аналогично, если 'test' связан с группой 'Applications', только пользователи с правами 'Applications' будут иметь доступ к ключу.

После добавления его можно просмотреть, отфильтровать и т.д.

Единственное, что нельзя изменить при редактировании ключа, - это тип учетной записи:

Планируемые остановки обслуживания

Введение

Pandora FMS имеет небольшую систему управления плановыми простоями. Эта система позволяет отключать оповещения в интервалах, когда происходит остановка обслуживания, деактивируя агента. Когда агент деактивируется, он также не собирает информацию, поэтому при остановке обслуживания, для большинства политик или типов отчетов, интервалы, в которых происходит остановка обслуживания, не учитываются в отчетах, поскольку в агентах нет данных за это время.

Создание планируемой остановки

Чтобы создать остановку, перейдите в меню Tools > Scheduled downtime и нажмите на кнопку для ее создания:

Доступны следующие настраиваемые параметры:

  • Имя: Название планируемой остановки
  • Группа: Группа, к которой мы хотим, чтобы элемент принадлежал. Вы можете назначить только ту группу, к которой принадлежит пользователь, создающий запланированную остановку, если только этот пользователь явно не принадлежит к группе ВСЕ. (**ALL**).
  • Описание: Ее описание.
  • Tipo: Можно настроить следующие типы остановок:
    • Quiet: Отмечает как «quiet» модули, которые мы указываем, поэтому он не генерирует предупреждения или события.
    • Disable Agents: Deshabilita los agentes seleccionados. Важно знать, что если агент был вручную отключен до запуска задания, он будет включен после завершения задания.
    • Disable Alerts: Отключает предупреждения для выбранных агентов.
  • Выполнение: Он позволяет нам настроить, хотим ли мы, чтобы он выполнялся один раз или периодически.
  • Установите время: Настройка дня и времени, в которые запланированное отключение будет начинаться и заканчиваться либо однократно, либо периодически, в зависимости от того, что было ранее настроено в разделе «Выполнение».

Если администратор Pandora FMS включит эту функцию в разделе визуальной конфигурации, то можно будет создавать плановые отключения за прошедшую дату. Они не будут реализованы, но их существование будет отражено в различных отчетах. Это особенно актуально, поскольку влияет, в частности, на доступность и отчетность по SLA

Наконец, мы указываем, какие конкретные агенты мы хотим включить в эту остановку обслуживания.

Когда запланированная остановка «активна», ее нельзя изменить или удалить, но с версии 5.0, есть возможность остановить выполнение запланированной остановки, чтобы в этот момент все агенты/модули/оповещения, которые были временно отключены, после остановки были снова включены. Этот вариант не совместим с периодически планируемыми остановками. Начиная с версии 6.0, непериодические плановые отключения могут быть отложены, даже если они 'активны'. Когда эта остановка обслуживания закончится, мы можем снова изменить или удалить ее.

Альтернативы управлению остановкой службы через консоль

Часто возникают определенные «специфические» ситуации, которые необходимо учитывать, а метод управления отключениями слишком специфичен: например, мы хотим иметь возможность быстро деактивировать всех агентов или планировать общее отключение каждую неделю с определенного времени до определенного времени. Для этого типа операций есть способы сделать это из командной строки.

Существует более быстрый способ перевести все агенты в режим обслуживания, используя CLI, pandora_manage.pl управления Pandora через командную строку:

./pandora_manage.pl /etc/pandora/pandora_server.conf --enable_group 1

Pandora FMS Manage tool 3.1 PS100519 Copyright (c) 2010 Artica ST
This program is Free Software, licensed under the terms of GPL License v2
You can download latest versions and documentation at http://www.pandorafms.org

[*] Pandora FMS Enterprise module loaded.

[INFO] Enabling group 1

Чтобы отключить их, выполните следующие действия:

./pandora_manage.pl /etc/pandora/pandora_server.conf --disable_group 1

Журнал аудита

Pandora FMS ведет журнал всех важных изменений и действий, происходящих в консоли Pandora FMS. Этот журнал можно посмотреть по адресу Admin tools > System Audit Log.

На этом экране вы можете увидеть ряд записей, связанных с активностью консоли, информацией о пользователе, типом действия, датой и кратким описанием зарегистрированных событий.

В левом верхнем углу вы можете отфильтровать записи, которые следует отобразить, по различным критериям, включая: действия, пользователя и IP, вы даже можете выполнить текстовый поиск и определить макс время.

Доступными полями фильтра являются:

  • Action: Различные возможные действия для фильтрации → ACL Violation, Agent management, Agent remote configuration, Alert management, Command management, Dashboard management, Event alert management, Event deleted, Extension DB inface, File collection, Logoff, Logon, Logon Failed, Massive management, Module management, No session, Policy management, Report management, Setup, System, Template alert management, User management, Visual console builder.
  • User.
  • Free text for search: Поиск в полях User, Action и Comments.
  • Max. Hours old: Количество часов назад, в течение которых следует отображать события.
  • IP: IP-адрес источника.

Также можно экспортировать информацию, отображаемую на экране, в файл CSV, нажав на кнопку в верхней правой части экрана.

С помощью этого инструмента можно искать, например, задачи, которые пользователь выполнял по управлению агентами в течение последнего часа.

Или время, в которое конкретный пользователь вошел в консоль. Он может получить всю информацию о действиях, совершенных пользователем в целом. Кроме того, вы можете увидеть дату запуска службы сервера Pandora или дату изменения конфигурации консоли.

Журналы локального сервера

В современных версиях консоли Pandora FMS вы можете проверить состояние журналов через меню Admin toolsExtension managementSystem logfiles.

С помощью этого расширения вы сможете просматривать журналы как с консоли, так и с локального сервера:

Если вы не можете увидеть содержимое, проверьте права доступа к файлам журнала:

chown -R pandora:apache /var/log/pandora/

Вы можете настроить параметры ротатора так, чтобы сохранить эту настройку, изменив файл /etc/logrotate.d/pandora_server

/var/log/pandora/pandora_server.log
/var/log/pandora/web_socket.log
/var/log/pandora/pandora_server.error {
    weekly
    missingok
    size 300000
    rotate 3
    maxage 90
    compress
    notifempty
        copytruncate
    create 660 pandora apache
}
/var/log/pandora/pandora_snmptrap.log {
    weekly
    missingok
    size 500000
    rotate 1
    maxage 30
    notifempty
    copytruncate
    create 660 pandora apache
}

С другой стороны, существует также специальная конфигурация для вращения журналов консоли в /etc/logrotate.d/pandora_console&>

/var/www/html/pandora_console/log/audit.log
/var/www/html/pandora_console/log/console.log {
        weekly
        missingok
        size 100000
        rotate 3
        maxage 15
        compress
        notifempty
        create 644 apache root
}

Примечание> Если ваша система SuSE, замените apache на www-data, в противном случае проверьте пользователей, соответствующих службе apache ( httpd ).

В случае обновления OUM с версии более ранней, чем 747, файл logrotate должен быть изменен вручную.

Cron Job

Это расширение версии Enterprise Pandora FMS позволяет планировать выполнение задач с сервера Pandora.

Доступ к расширению осуществляется из Servers > Cron jobs.

cron_jobs.jpg

Чтобы добавить задачу, необходимо заполнить следующие поля:

  • Задача: Комбинация, в которой вы выбираете задание для выполнения.
    • Отправка персонализированного отчета по электронной почте
    • Выполнение пользовательского сценария
    • Резервное копирование базы данных Pandora FMS
    • Сохранение пользовательского отчета на диск
  • Планирование: Поле, в котором вы выбираете частоту, с которой будет выполняться задание.
    • Без планирования: Эти задания выполняются только один раз и в указанное время.
    • Каждый час
    • Ежедневно
    • Еженедельно
    • Ежемесячно
    • Каждый год
  • Первое выполнение: Поле, в котором выбирается дата и время первого выполнения задания, которое будет выполняться периодически, принимая эту дату и время за эталон.
  • Параметры: Поле, позволяющее ввести параметры выполняемого задания. Это зависит от задачи.
    • Резервная копия Pandora FMS: Описание и путь для сохранения резервной копии.
    • Отправить отчет по электронной почте: отчет для отправки и e-mail получателя.
    • Выполнение скрипта: команда сценария, которая должна быть выполнена.
    • Сохранение отчета на диске: отчет для сохранения и путь для его сохранения.

После заполнения данных нажмите кнопку создать, и задание появится в списке запланированных действий.

cron_jobs_list.jpg

После создания запланированной задачи можно форсировать ее выполнение, нажав на зеленый кружок справа от задачи, или удалить ее, нажав на красный крестик слева.

Если cron job имеет тип «Non scheduled», то после его выполнения оно будет автоматически удалено.

Управление базой данных из консоли

Ядром системы Pandora FMS является ее база данных. В ней хранятся все данные, собранные контролируемыми системами, конфигурация агентов, предупреждения, события, данные аудита, различные пользователи и их данные. То есть все данные системы.

Эффективность и надежность очень важны для правильного функционирования Pandora FMS, поэтому обслуживание базы данных имеет первостепенное значение.

Для регулярного обслуживания базы данных администраторы могут использовать стандартные команды MySQL из командной строки или управлять базой данных из консоли, даже если они не обладают обширными знаниями MySQL.

Существует несколько расширений, которые мы можем использовать из консоли для наблюдения за информацией о базе данных.

Diagnostic tool

В этом разделе представлена общая информация об установке Pandora FMS. Стоит отметить большой объем информации, полученной из базы данных, где можно наблюдать рекомендуемые параметры, а также предупреждения о существующих значениях, которые необходимо изменить.

DB Interface

Это расширение, которое позволяет выполнять команды на базе данных и видеть результат. Это продвинутый инструмент, который должен использоваться только теми, кто достаточно подробно знает SQL и схему БД Pandora FMS.

Если неправильно использовать этот инструмент, то это может привести к уничтожению данных или сделать приложение окончательно неработоспособным.

Доступ к расширению осуществляется из Admin tools > DB interface.

Введите команду в пустое поле и нажмите кнопку “Execute SQL”

DB Schema Check

Это расширение, которое позволяет проверить структурные различия между базой данных, установленной в вашей pandora, и схемой шаблона, чтобы сравнить возможные ошибки.

Это работает следующим образом:

  • Создается временная база данных со структурой, которую должна иметь база данных установки (отличается в зависимости от установленной версии).
  • Созданная база данных сравнивается с базой данных, указанной при установке.
  • Временная база данных удаляется.

Введите данные доступа к базе данных и нажмите на “Run test”

Рекомендуется использовать это расширение для проверки правильности выполнения миграции базы данных.

Эта проверка может быть выполнена только для баз данных MySQL.

Network Tools

  • Traceroute path: Если не заполнено, Pandora FMS будет искать систему traceroute.
  • Ping path: Если не заполнено, Pandora FMS будет искать систему ping.
  • Nmap path: Если не заполнено, Pandora FMS будет искать систему nmap.
  • Dig path: Если не заполнено, Pandora FMS будет искать систему dig.
  • Snmpget path: Если не заполнено, Pandora FMS будет искать систему snmpget.

Backup

Расширение, позволяющее создавать резервную копию базы данных и восстанавливать ее.

Для создания резервной копии, прежде всего, необходимо выбрать папку назначения, в которой будет сохранена резервная копия. После выбора мы напишем описание резервного копирования, которое мы собираемся выполнить.

Когда резервная копия будет создана, она появится в списке Резервные копии со значком running.

После создания резервной копии возможно:

  • Загрузить ее, нажав на значок изображения.

Сделать откат, нажав на значок изображения.

Откат применяет ранее созданную резервную копию и восстанавливает ее. При этом уничтожаются все существующие данные на консоли и применяются данные, существующие в резервной копии, на которую производится откат.

С помощью этого инструмента можно восстановить только резервную копию базы данных, сделанную с помощью этой утилиты. Невозможно загрузить резервную копию, сделанную вручную.

  • Удалите ее, нажав на значок изображения.

Регистрация плагина

Это расширение, которое позволяет легко регистрировать серверные плагины.

Доступ к расширению осуществляется из Servers > Register plug-in.

Чтобы зарегистрировать плагин, выберите файл, нажав кнопку «Обзор», и нажмите “Upload”.

Более подробную информацию о серверных плагинах можно найти в главе о разработке и расширении.

Можно посмотреть в разделе Разработка серверных плагинов формат файлов .pspz.

Insert data

Расширение, позволяющее импортировать данные в файле с разделителями-запятыми (CSV) в модуль агента. Это расширение доступно из Resources > Insert Data.

Формат файла CSV должен быть date;value для каждой строки. Дата должна быть указана в формате Y/m/d H:mi:s. Например:

 2011/08/06 12:20:00;77.0
 2011/08/06 12:20:50;68.8

Resource registration

Это расширение позволяет импортировать файлы .prt, содержащие определение сетевого компонента, компонента smnp, локального компонента или компонента wmi. Вы также можете добавить их все (кроме локального компонента) в шаблон.

Формат файла .prt

<?xml version="1.0"?>
<pandora_export version="1.0" date="yyyy-mm-dd" time="hh:mm">
    <component>
        <name></name>
        <description></description>
        <module_source></module_source>
        <id_os></id_os>
        <os_version></os_version>
        <data></data>
        <type></type>
        <max></max>
        <min></min>
        <max_cri></max_cri>
        <min_cri></min_cri>
        <max_war></max_war>
        <min_war></min_war>
        <historical_data></historical_data>
        <ff_treshold></ff_treshold>
        <module_interval></module_interval>
        <id_module_group></id_module_group>
        <group></group>
        <tcp_port></tcp_port>
        <tcp_send></tcp_send>
        <tcp_rcv_text></tcp_rcv_text>
        <snmp_community></snmp_community>
        <snmp_oid></snmp_oid>
        <snmp_version></snmp_version>
        <auth_user></auth_user>
        <auth_password></auth_password>
        <privacy_method></privacy_method>
        <privacy_pass></privacy_pass>
        <auth_method></auth_method>
        <security_level></security_level>
        <plugin></plugin>
        <plugin_username></plugin_username>
        <plugin_password></plugin_password>
        <plugin_parameters></plugin_parameters>
        <wmi_query></wmi_query>
        <key_string></key_string>
        <field_number></field_number>
        <namespace></namespace>
        <wmi_user></wmi_user>
        <wmi_password></wmi_password>
        <max_timeout></max_timeout>
        <post_process></post_process>
    </component>
    <component>...</component>
    <component>...</component>
    <template>
        <name></name>
        <description></description>
    </template>
</pandora_export>

Переводчик текстовых строк

Это расширение относится к меню Setup > Translate string и позволяет переводить текстовые строки из интерфейса Pandora FMS для его настройки.

Ниже приведены поля, которые необходимо заполнить:

  • Language: Позволяет отфильтровать строку по языку.
  • Free text for search (*): Содержание цепочки должно быть персонализировано.

Появятся три колонки: в первой - исходная строка, во второй - текущий перевод, в третьей - пользовательский перевод, который вы хотите добавить.

Workspace

Этот раздел позволяет вам взаимодействовать с пользователями Pandora или редактировать данные пользователя, а также выполнять некоторые разнообразные операции, такие как доступ к системе инцидентов (для открытия заявок), чат с другими подключенными пользователями Pandora и т.д.

Chat

Позволяет общаться в чате с другими пользователями, подключенными к данной консоли Pandora. Полезно, например, если мы хотим прокомментировать что-то другому оператору.

Issues

Pandora FMS позволяет нам управлять инцидентами с консоли благодаря интеграции с Integria IMS.

Более подробную информацию об этом инструменте можно найти в разделе Управление инцидентами с помощью Integria IMS

Сообщения

В Pandora FMS есть инструмент, позволяющий разным пользователям отправлять сообщения друг другу.

Когда у пользователя есть сообщение, в правом верхнем углу консоли появляется значок конверта.

Сообщения, которые есть у пользователя, можно просмотреть в Workspace > Messages > Messages list, и оттуда их можно прочитать, удалить или составить сообщение для группы или конкретного пользователя.

Уведомления

В Pandora FMS имеется система мониторинга состояния консоли и в целом системы.

Вы можете включить уведомления, выполнив следующие действия:

  • На вкладке конфигурации уведомлений Pandora FMS (SetupSetupNotifications ) вы должны добавить или подписать на каждую категорию уведомлений тех пользователей или группы, которые будут получать уведомления.

  • Для статуса системы (System status) вы можете, кроме того, указать каждый технический аспект для каждого из зарегистрированных пользователей или групп.

  • Для собственного пользователя вы можете убедиться, что различные категории уведомлений активны в WorkspaceConfigureUser notifications. На этом этапе, при желании, вы также можете активировать получение уведомлений по электронной почте. Администратор, в свою очередь, также может ограничить пользователя при работе или изменении этих значений.

Отправка уведомлений по электронной почте требует, чтобы CRON был запущен и работал, чтобы обрабатывать очередь электронной почты. Поскольку отправкой занимается система CRON, URL-адреса уведомлений, отправляемых по электронной почте, автоматически строятся с учетом URL-адреса, который вы настраиваете в crontab.

В качестве рекомендации:

  • Используйте FQDN (full qualified domain name) для консоли.
  • Установите локальное значение для этого FQDN на машине, на которой расположена сама консоль (добавьте запись 127.0.0.1 FQDN в файл /etc/hosts на машине(ах), обслуживаемой консолью).
* * * * *  wget -q -O - --no-check-certificate http://nova.artica.lan/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log

Содержимое /etc/hosts (пример в машине nova.artica.lan):

127.0.0.1 nova.artica.lan

Если у вас нет FQDN, используйте IP-адрес, с которого вы получаете доступ к консоли, в качестве цели в конфигурации crontab:

 * * * * *  wget -q -O - --no-check-certificate http://192.168.1.100/pandora_console/enterprise/cron.php>> /var/www/html/pandora_console/pandora_console.log


Вы можете найти дополнительную информацию о конфигурации электронной почты в этом разделе.

Подключенные пользователи

Это расширение показывает других пользователей, подключенных к консоли Pandora FMS, отличных от вашего собственного. Эта функция важна, поскольку консоль Pandora FMS допускает подключение нескольких пользователей.

Доступ к расширению осуществляется из Workspace > Users connected.

Репозиторий программных агентов

Репозиторий программных агентов является частью центра развертывания, который контролирует доступные версии инсталляторов агентов (программ) для развертывания.

Можно зайти через меню:

Чтобы добавить новую программу установки в хранилище, нажмите кнопку 'Добавить агент'

Заполните информацию, соответствующую типу целевой операционной системы, архитектуре, установочному файлу и т.д.

Примечание: Установщики для Linux (и всего семейства Unix и BSD) являются общими для всех архитектур. Для x64, x86, ARM и т.д. используется один и тот же установщик .tar.gz.

Убедитесь, что загрузка прошла успешно:

Загруженная программа установки агента появится в списке с указанием ее версии, кто и когда ее загрузил и т.д:

Пользовательские темы

Только NG 752 и более ранние версии.

Pandora FMS предлагает возможность загрузки CSS файлов для создания пользовательских тем в визуальной консоли.

Для этого достаточно включить в файл CSS следующий комментарий:

 /*
 Name: My custom Theme
 */

Затем файл CSS должен быть импортирован по следующему пути:

pandorafms/pandora_console/include/styles/CustomTheme.css

После загрузки нужных тем перейдите в SetupSetupVisual styles ( **Style configuration** ) и выберите тему из выпадающего меню Style template.

Только NG 753 и более поздние версии.

Начиная с этой версии, для экспорта существующих иконок и CSS доступен скрипт под названием styles_backup.sh. Расположено в директории:

/tmp/pandorafms/pandora_server/util -> styles_backup.sh

При выполнении создается следующая папка:

/var/www/html/pandora_console/styles_backup

В этом каталоге будут храниться два сжатых файла:

 images-backup-<date>-<time>.tar.gz
 styles-backup-<date>-<time>.tar.gz

Где <date> и <time> - это дата и время выполнения резервного копирования.

В конфигурации веб-консоли Pandora FMS есть две темы на выбор:

Если вы хотите изменить тему, просто зайдите в базу данных, имея соответствующие учетные данные, и запустите ее:

UPDATE tconfig SET value = '<new_skin>' WHERE token LIKE 'style';

Где style - это ключевое слово чтобы найти зарегистрированное значение в таблице tconfig, а <new_skin> - это новая выбранная тема.

Вернуться в оглавление Документации Pandora FMS