Pandora:Documentation es:Politicas

From Pandora FMS Wiki

Jump to: navigation, search

Volver a Indice de Documentacion Pandora FMS

Políticas

Introducción

Pandora FMS tiene la capacidad de gestionar miles de dispositivos con miles de módulos y alertas. Debido a que los sistemas objetivo de la monitorización pueden llegar a estar formados por un gran número de componentes y con el fin de facilitar el trabajo a los administradores se han desarrollado la funcionalidad de las políticas.

El aplicado de las políticas permitirá propagar módulos, alertas, alertas externas y colecciones a los agentes de una manera centralizada y homogénea; Modificando sus ficheros de configuración mediante la característica de la edición remota de la configuración de los agentes.

Las operaciones posibles en una política son:

  • Creado/Eliminado/Duplicado de una política
  • Añadir/Eliminar uno o varios agentes existentes
  • Crear/Editar/Eliminar un módulo
  • Crear/Editar/Eliminar una alerta
  • Crear/Editar/Eliminar una alerta externa
  • Añadir/Eliminar una colección existente
  • Añadir/Eliminar un módulo de inventario existente
  • Enlazar a la política uno o varios módulos adoptados

Las operaciones que se realizan en una política no se hacen efectivas hasta que la política no es aplicada.

El aplicado de las diferentes políticas es gestionado por una cola, en la que se pueden introducir para aplicar un agente o bien toda la política. También es posible introducir el aplicado de una política tan solo de la base de datos si los cambios realizados no afectan a la configuración remota.

La gestión de Políticas se realiza en la sección Configuration > Manage policies, situado en la parte izquierda de la consola web de Pandora FMS:



Politicas.jpg



Añadir una política

Al pulsar sobre el menú Configuration > Manage policies, se mostrarán las políticas disponibles



Politicas1.jpg



Para crear una política nueva se pincha sobre el botón “Create”. A continuación se presenta la pantalla de creación de una política, donde introduciremos el nombre, el grupo donde se clasificará y una descripción opcional.



Policia.jpg



Eliminar una política

Para eliminar una política es necesario que no tenga ningún agente asociado.

Si una política tiene agentes, el botón de eliminar estará deshabilitado y aparecerá junto a él un botón para eliminar todos sus agentes. Este botón introducirá en la cola el eliminado de los agentes, y en cuanto se procese, volverá a estar activo el botón de eliminado de la política.



Borrar agentes.jpg



Duplicar una política

Entre los botones de operación de una política tenemos un botón para duplicarla.



Duplicar politica.jpg



La copia que se creará de la política figurará como no aplicada independientemente del estado de la política origen.

Configurar una política.

Para configurar la política se debe pulsar en el nombre de la política en Configuration -> Manage policies o directamente en un acceso directo de los que aparecen al posicionar el cursor del ratón sobre la política que se quiere configurar.



Windows5.jpg



Dentro de la configuración de una política además del setup se tienen las siguientes ventanas:

  • Agentes
  • Módulos
  • Módulos de inventario
  • Alertas
  • Alertas externas
  • Colecciones
  • Linkado
  • Cola
  • Plugins de agente

Las diferentes acciones que se pueden realizar no se aplicarán hasta que la política se aplique. Si agregamos a la política un agente podemos crear diversos módulos y alertas, por ejemplo, pero hasta que no apliquemos la política no se harán efectivos.

Del mismo modo, si tenemos una política aplicada y le modificamos o eliminamos elementos, tampoco se realizarán los cambios hasta su siguiente aplicación.

Todos los cambios se verán reflejados en la ventana "Cola", y allí se podrá introducir la política a la cola de proceso, donde esperará su turno para ser aplicada.

Propagación de políticas

La propagación de políticas significa la activación de los módulos, alertas y colecciones configurados en los agentes que se han definido. Esto implica que se añadiran dichos módulos y alertas a los agentes.

Una política se puede propagar en un agente determinado o una política entera.

Para hacerlo en un agente debemos ir a la sección Agentes y escoger que agente deseamos aplicar. Si lo que queremos es aplicar toda la política debemos ir a la sección Cola.

Gestión de la cola de políticas



Queue.jpg



En la cola de operaciones de la política hay un resumen de los elementos que han sido cambiados desde la última aplicación.

En esta lista tenemos los elementos pendientes de actualizar y los pendientes de eliminar:

  • Pendientes de actualizar
    • Agentes
    • Módulos adoptados pendientes de enlazar
    • Módulos adoptados pendientes de desenlazar
  • Pendientes de eliminar
    • Agentes
    • Módulos
    • Módulos de inventario
    • Alertas
    • Alertas externas
    • Colecciones

Este resumen nos indicará si es necesario aplicar o no la política. En ocasiones, junto al icono de agentes pendientes de aplicar aparecerá un botón para aplicarlos.

Si las modificaciones pendientes solo afectan a la base de datos (por ejemplo cambios en alertas) este botón solo hará cambios a ese nivel, por lo que la aplicación será más rápida.



Queue onlydb.png



En cambio si se ha tocado configuración que afecta a los ficheros de configuración (por ejemplo si se han modificado colecciones o módulos locales) la aplicación será completa.



Queue onlydbconf.png



Debajo del resumen hay un botón para aplicar todo, independientemente del tipo de modificaciones pendientes.



Queue applyall.png



Cuando seleccionamos aplicar estaremos añadiendo los agentes de la política a la cola de aplicación. El servidor de Pandora FMS será el encargado de ir aplicando las políticas pendientes en la cola. Si refrescamos la pantalla podremos ir viendo el progreso de la aplicación y cuando termine figurará en la cola como completa junto al tiempo que ha pasado desde que terminó.



Queue progress.png



Agentes

En esta ventana se puede agregar o eliminar agentes de la política



Brocha3.jpg



Acciones masivas

La parte superior es para agregar/eliminar agentes de forma masiva.



Policy agentstop.jpg



Se pueden filtrar por grupo y con una subcadena. De los agentes disponibles se puede hacer una selección múltiple para agregarlos a la política pulsando en la flecha que apunta hacia la derecha. Estos agentes pasarán a la caja de la derecha, estando asociados a la política pero pendientes de aplicar.

Del mismo modo, los agentes de la política se pueden eliminar con selección múltiple ayudados de un filtrado de la misma forma para pasarlos a la caja de la izquierda con la flecha que apunta hacia la izquierda. Cuando se marca de este modo uno o varios agentes para eliminarlos de la política aparecerán como tachados en la caja de la derecha, pudiendo ser reasociados a la política seleccionándolos de nuevo en la caja de la izquierda y asociándolos como si no lo estuvieran.

Acciones unitarias

En la parte inferior de la ventana se dispone de una lista con todos los agentes asociados a la politica incluyendo los que están pendientes de eliminarse de la misma.



Policy agentsbottom.jpg



La lista de agentes dispone de un filtro por grupo, subcadena o su estado de aplicación. En ella se muestra:

  • El nombre del agente
  • La configuración remota
  • El estado del agente en la política
  • El número de módulos deslinkados en el agente
  • El botón para introducir dicho agente en la cola para ser aplicado
  • La fecha y hora de la última aplicación
  • El botón de eliminado/deshacer eliminar

Cuando un agente es eliminado, aparecerá con el nombre tachado y en lugar de botón de eliminado un botón para deshacer la eliminación y volver a asociar el agente a la política.

Módulos

El menú de módulos permite configurar los módulos que se van a añadir a la política.



Windows6.jpg



Para añadir módulos hay que elegir el tipo de módulo en el menú desplegable, seleccione un módulo de los seis posibles (dataserver, red, complemento, WMI, prediction y Web) y pulsar el botón Create.



Windows7.png



Crear un módulo del data server

Los módulos del data server son los módulos que se añaden a los agentes software, para trabajar con estos módulos es necesario que los agentes tengan habilitada la configuración remota.

Para crear un módulo del data server se elige la opción “Create a new data server module” y se pulsa en el botón Create.



Windows8.jpg


Después se le presentará una pantalla para que pueda configurar todos los campos del módulo. El campo “Data configuration” es el que permite introducir el código del módulo que se aplicará a los agentes que se suscriban a dicha política. Esta modificación se verá reflejada en el fichero “pandora_agent.conf” del propio agente.



Windows9.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.


Windows10.png



Se puede ver la descripción de los campos de estas pantallas en el capítulo de plantillas y componentes.

Hay dos opciones: rellenar los campos o haber definido con anterioridad un componente local

Crear un módulo del Servidor de Red

Los módulos del servidor de red son los módulos que se gestionan a través del servidor de Red.

Para crear un módulo del servidor de Red se elige la opción “Create a new network server module” y se pulsa en el botón Create.



Grafic1.jpg



Después se le presentará una pantalla para que pueda configurar todos los campos del módulo.



Grafic2.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.



Grafic3.jpg



Se puede ver la descripción de los campos de estas pantallas en el capitulo de plantillas y componentes.

Una vez se han rellenado todos los campos se pulsa en el botón “Create”

Teniendo en cuenta que en la mayoría de las ocasiones los módulos se repiten, en lugar de rellenar los campos cada vez que se añade un módulo es mejor definirlo previamente como un componente y usar dicho componente.

Para usar un componente se rellena el combo que hay en “Using module component” donde se elige entre los diferentes grupos de componentes



Grafic4.jpg



Una vez se ha elegido el grupo se despliega otro combo donde se puede elegir el componente que se quiere usar.



Grafic5.jpg



En el ejemplo se ha elegido el componente “Catalyst CPU Usage” del Grupo Cisco Mibs.



Grafic6.jpg



Una vez elegido el componente es posible modificar cualquiera de los campos. Una vez se han rellenado todos los campos se pulsa en el botón “Create”

Crear un módulo del Servidor de Complementos

Los módulos del servidor de complementos son los módulos que se gestionan a través del servidor de complementos.

Para crear un módulo del servidor de complementos se elige la opción “Create a new Plugin server module” y se pulsa en el botón Create.



Cosa1.jpg



presentará una pantalla para que pueda configurar todos los campos del módulo.



Cosa2.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.



Cosa3.jpg



Se puede ver la descripción de los campos de estas pantallas en el capitulo de plantillas y componentes.

Una vez se han rellenado todos los campos se pulsa en el botón “Create”

Teniendo en cuenta que en la mayoría de las ocasiones los módulos se repiten, en lugar de rellenar los campos cada vez que se añade un módulo es mejor definirlo previamente como un componente y usar dicho componente. El uso de componetes esta explicado en el apartado de crear un módulo de red.

Template warning.png

Utilice macros para configurar parámetros dinámicos, como por ejemplo la dirección IP de un agente.

 




Policy plugin macro.png



Crear un módulo del Servidor de WMI

Los módulos del servidor de WMI son los módulos que se gestionan a través del servidor de WMI.

Para crear un módulo del servidor de Red se elige la opción “Create a new WMI server module” y se pulsa en el botón Create.



Cosa4.jpg



Después se le presentará una pantalla para que pueda configurar todos los campos del módulo.



Cosa5.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.



Cosa6.jpg



Se puede ver la descripción de los campos de estas pantallas en el capitulo de plantillas y componentes.

Una vez se han rellenado todos los campos se pulsa en el botón “Create”

Teniendo en cuenta que en la mayoría de las ocasiones los módulos se repiten, en lugar de rellenar los campos cada vez que se añade un módulo es mejor definirlo previamente como un componente y usar dicho componente. El uso de componetes esta explicado en el apartado de crear un módulo de red.

Crear un módulo del Servidor de Predicción

Los módulos del servidor de Predicción son los módulos que se gestionan a través del servidor de Predicción.

Para crear un módulo del servidor de Predicción se elige la opción “Create a new prediction server module” y se pulsa en el botón Create.



Cosa7.jpg



Después se le presentará una pantalla para que pueda configurar todos los campos del módulo.



Cosa8.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.



Cosa9.jpg



Se puede ver la descripción de los campos de estas pantallas en el capitulo de plantillas y componentes.

Una vez se han rellenado todos los campos se pulsa en el botón “Create”

El caso de los módulos de predicción no existen componentes.

Crear un módulo del servidor Web

Los módulos del servidor Web son los módulos que se gestionan a través del servidor Web.

Para crear un módulo del servidor Web se elige la opción “Create a new web server module” y se pulsa en el botón Create.



Monstruo1.jpg



Después se le presentará una pantalla para que pueda configurar todos los campos del módulo.



Monstruo2.jpg



Pulsando en Advanced Options se accede a las opciones avanzadas.



Monstruo3.jpg



Se puede ver la descripción de los campos de estas pantallas en el capítulo de plantillas y componentes.

Una vez se han rellenado todos los campos se pulsa en el botón “Create”

El caso de los módulos Web no existen componentes.

Modificar un módulo ya creado

Es posible modificar cualquiera de los módulos asignados a una política.



Rama1.jpg



Para ello basta con pulsar en el nombre del módulo para que aparezcan las opciones de configuración del módulo.

Una vez se han modificado se pulsa en botón Update



Rama2.jpg



Info.png

Si el módulo de la política es renombrado, el nombre del módulo será actualizado como cualquier otro campo cuando la política se aplique

 


Template warning.png

Si el módulo de la política se renombra y en un agente ya existe un módulo con el nuevo nombre, este módulo será adoptado y el módulo con el nombre antiguo será eliminado

 


Borrar un módulo ya creado

Para borrar el módulo de la política y quitarlo de los agentes que lo tengan instalado se debe pincha en la equis que hay en la línea del módulo. Una vez hecho el módulo seguirá apareciendo pero tachado y el botón de borrado se sustituirá por uno que deshace la acción.



Rama4.jpg



Usando plugins dentro de las políticas

El formato usado es relativamente sencillo. Para ello basta con "engañar" al sistema, declarando un modulo por cada tipo de modulo que devuelva el plugin, para ello, hay que saber de antemano cuantos modulos puede devolver el plugin, si no estamos del todo seguros, podemos optar por dar de alta una vez el plugin y que los modulos que se creen lo hagan fuera de la política, los datos llegarán, pero no podemos parametrizarlos con las politicas ya que son modulos que llegarán sin estar asociados a la política.

Todos los datos vinculados a una política han de estar previamente definidos. Las políticas no contienen informacion "no definida" explícitamente.

Supongamos que vamos a ejecutar este plugin, que devuelve, de forma dinámicamente, el espacio libre en bytes de todas las unidades del sistema.

En este ejemplo la salida del plugin me devuelve varias unidades (C:, D: y Z:)



Plugin exec sample.png



Deberia definir, si quiero gestionarlos como modulos de políticas, varios modulos, y solo en uno de ellos definir la llamada real al plugin, dejando en otros otros, el campo module_plugin vacio:

module_begin
module_name C:
module_type generic_data
module_plugin cscript //B "%ProgramFiles%\pandora_agent\util\df.vbs"
module_end

module_begin
module_name D:
module_type generic_data
module_plugin 
module_end

module_begin
module_name Z:
module_type generic_data
module_plugin 
module_end

Módulos de inventario

En una política también se puede crear módulos de inventario escogiendo uno de la lista de los disponibles en el sistema, un intervalo y las credenciales.



Policy inventory modules.png



Al igual que con el resto de elementos de las políticas si eliminamos un módulo de inventario aparecerá tachado y en lugar del botón de eliminado aparecerá un botón para deshacer la acción.



Policy inventory modules undo.png



Alertas

El menú de Alertas permite configurar las alertas que se van a añadir a la política.



Salva1.jpg



Añadir alertas

Añadir una alerta es muy sencillo simplemente se asocia uno de los templates de alertas definido previamente o con uno de los módulos con un módulo perteneciente a la política y se pulsa en el botón “Add”.



Salva2.jpg



Modificación de Alertas

Se puede añadir acciones, poner en standby o desactivar una alerta.

Si se desea cambiar el módulo o la plantilla se debe de borrar y crear una nueva alerta.

Borrado de Alertas

Para borrar la alerta de la política y quitarla de los agentes que lo tengan instalado se debe pincha en la equis que hay en la línea de la alerta. Al hacerlo la alerta permanecerá en la lista pero con el nombre tachado y el botón de borrado será sustituido por un botón para deshacer la eliminación.



Brocha2.png



Alertas Externas

Las Alertas Externas son similares a las Alertas, la diferencia es que estas permiten enlazar alertas con módulos de agentes que no están en la lista principal de módulos de la política. Es muy útil para asignar alertas sólo a algunos módulos de agente y no a todos ellos.

Añadir Alertas Externas

Para crear una Alerta Externa debe rellenar el siguiente formulario, el primer campo sirve para seleccionar los módulos de agente, sólo aparecerán los que no están presentes en la política. En el segundo campo puede seleccionar la plantilla de alerta.



External-alert-filled.png



Modificación de Alertas Externas

Teniendo en cuenta lo sencillo que es añadir Alertas Externas y las pocas variables no existe la posibilidad de modificar Alertas Externas. Para modificar una Alerta Externa se debe de borrar y crear una nueva.

Borrado de Alertas Externas

Para borrar la Alerta Externa de la política y quitarla de los agentes que lo tengan instalado se debe pincha en la equis que hay en la línea de la Alerta Externa.



External-alert-action-added.png



El sistema de borrado es igual que el de las alertas normales, no se hará efectivo hasta que se aplique la política y en lugar del botón de eliminado aparecerá un botón para deshacer la eliminación.

Plugins de agente

A partir de Pandora FMS 5.0, con el editor de plugins en políticas se pueden propagar los plugins de agentes con facilidad.

Se pueden añadir plugins de agente en una política para que se creen en cada agente local al ser aplicada.



Policy plugins editor.png



Tipos de módulos

Cuando se aplica una política se pueden ver diferentes módulos en la vista de agente. Si va al menú Manage Monitoring > Manage agents > Modules podrá ver tres tipos de módulos diferentes.



Modules0.jpg



Módulos adoptados

Estos módulos fueron creados en la política con el mismo nombre de un módulo ya existente en el agente. Al aplicar la política Pandora FMS usará los datos del módulo existente en lugar de crear un nuevo módulo.



Modules1.jpg



Al borrar un política, los módulos adoptados no son borrados de los agentes. Únicamente son marcados como módulos no adoptados y la línea para estos módulos será así.



Modules1 1.jpg



Módulos enlazados

Estos módulos son creados en la política y al aplicar la política se crean también en el agente. Estos son los módulos normales creados en las políticas.



Modules2.jpg



Puede enlazar y desenlazar modulos llendo a Manage Agent > Modules, entonces seleccionar el módulo escogido y pulsar este botón para no enlazar el módulo.



Modules3.jpg



Y este botón para enlazar el módulo.



Modules4.jpg



Cuando se borra una política, los módulos enlazados y no enlazados se borran de los agentes.

Módulos no enlazados

Cuando un módulo no está enlazado los futuros cambios realizados en la política no se aplicarán sobre ellos. Los módulos no enlazados son útiles porque permiten establecer excepciones individuales a módulos pertenecientes en una política, de esta manera podemos "personalizar" un agente dentro de una política sin sacarlo de la política, y solo para un módulo determinado.



Modules5.jpg



Los cambios en las políticas serán aplicados sólo cuando el módulo vuelva a estar enlazado.

Colecciones de ficheros

Una colección de ficheros, no sólo es una opción para políticas, pero se utiliza generalmente en políticas. Una colección de ficheros es un grupo de ficheros (scripts, y/o ejecutables) que se copian automáticamente a un directorio específico del agente (Windows o Unix). Las colecciones de ficheros permiten que se propagen con las políticas, de manera que pueden ser utilizadas por un grupo de agentes, usando un "paquete" de sripts y de módulos que los usan.

Primero aprenderemos cómo utilizar las colecciones de ficheros en la vista de agente, modo manual, agente por agente, sin colecciones, y cómo hacer lo mismo con las políticas.

Nuestra primera tarea es hacer una recopilación de ficheros en sí. Para hacer esto, vaya al administrador del agente y después veremos una "subopción" llamada "Collections": haga click en ella para crear una nueva colección, tal como podemos ver en la siguiente captura de pantalla:



File collection create.png



Una vez que hayamos creado una colección de ficheros, subiremos cualquier fichero a esta colección. Esta puede ser binarios, scripts o ficheros de datos. Todos los ficheros irán al mismo directorio de base. Cada colección tiene su propio directorio base, que es tremendamente importante. En la consola, estos se almacenan como /pandora_console/attachment/collection diretory with a name like fc_XXX, donde XXX es la ID numérica de la colección. Las colecciones de ficheros pueden contener subdirectorios. Las colecciones de ficheros se transfieren como ficheros ZIP al agente, mediante tentacle. Las colecciones de ficheros están únicamente soportadas con el modo de transferencia de Tentacle.

Ahora podemos ver como la colección que hemos creado (fc_1383033439) tiene dos ficheros descargados:



File collection addfile.png



En este caso, si volvemos a la pantalla de la colección principal, podemos ver ambas colecciones como un icono triangular, lo que indica que existe un problema. Esto sucede porque la colecciones no están sincronizadas, y debemos sincronizarlas, haciendo click en ese mismo icono triangular.



File collection sync.png



Cuando una colección de ficheros está sincronizada, aparece un icono con una flecha azul, tal y como se puede ver en la siguiente captura:



File collection sync1.png



Una vez que se haya sincronizado la colección, se aplicará al agente, esta vez sin utilizar políticas. Vaya al modo de administrador del agente y busque el tabulador de la colección ( un icono en forma de disco). Allí aparecen las colecciones disponibles, de manera que podemos escoger una de ellas y aplicarla al agente, en este caso, del ejemplo anterior (utilidades Windows):



Agent collection apply1.png



Ahora ya está aplicado. La próxima vez que el agente contacte con el servidor, obtendremos el fichero y también una pequeña modificación en el fichero .conf, que en este caso será este:


file_collection fc_1383033439



Agent collection apply2.png



Colecciones de ficheros y políticas

Esto funciona de manera muy parecida a las colecciones de agentes individuales, pero en lugar de aplicar una colección sobre un agente específico, se aplica a una política, tal como se puede ver a continuación:



File collection policyadd.png



Si se quiere utilizar un módulo que emplee un fichero incluido en la colección, es muy sencillo: haga referencia únicamente al directorio que contiene la colección, utilizando su id.fija. Este es un ejemplo usando un módulo plugin:



Collection module usage plugin.png



Para saber cómo funcionan las políticas - con plugins- vea la sección específica en este capítulo.

Ubicación de las colecciones de ficheros en el agente

Cada colección de ficheros tiene un "nombre corto", en este ejemplo, se llama "fc_13830334393", esto significa que las utilidades, scripts o ejecutables que estén dentro de la colección, estarán en %Archivos de programa%\pandora_agent\collections\fc_1383033439. Es importante saber que la colección se comprime para su envío al agente, por lo que este último debe contar con la herramienta unzip para poder así descomprimir el fichero. A partir de la versión 3.2 del agente, esta utilidad se instala dentro de %Archivos de programa%\pandora_agent\utils.

Es necesario saber esto para poder usar módulos que funcionen trabajando con esos ficheros, para poder especificar la ruta "real" completa. Veamos otro ejemplo:

Si el nombre corto de la coleccion es "fc_18", la ubicacion sería (en el caso de un ordenador en ingles) : %ProgramFiles%\pandora_agent\collections\fc_18.

Cada colección de ficheros se almacena en una dirección diferente, para evitar que diferentes colecciones de ficheros se sobreescriban o tengan conflictos entre ellas.

El sistema de control de las colecciones se basa en hashes md5, de forma similar a la gestión de los ficheros de configuración de los agentes. Al crear la colección en la consola de Pandora, se crea un hash md5 que es enviado al agente. Éste md5 sólo se actualizará cuando se produzcan cambios en la colección en el lado de la consola de pandora, y no en el agente. Por lo tanto, cambios en las colecciones realizados localmente en los agentes permanecerán mientras que no se modifique la colección en la consola. Si se realiza algún cambio en la colección en el lado de la consola, se recalculará el md5, y al discrepar con el existente en los agentes, aplicará la última configuración de la colección, sobreescribiendo lo anterior y eliminando posibles modificaciones locales sobre las colecciones.

Este es un ejemplo de uso de un plugin, que usa el fichero "df_perfecnt.vbs", contenido en una coleccion llamada "fc_1383033439" para un agente Windows:

module_plugin cscript //B "%ProgramFiles%\pandora_agent\collections\fc_1383033439\df_percent.vbs"

Volver a Indice de Documentacion Pandora FMS