Pandora:Documentation ja:Policy

From Pandora FMS Wiki

Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

ポリシー

概要

Pandora FMS は、数千のモジュールおよびアラートを持った、数千ものデバイスを管理することができます。大量の監視対象をもつ監視するシステムにおいて管理者の作業を簡単にするために、ポリシー機能を開発しました。

ポリシーにより、リモート設定機能  エージェント設定 を使ってモジュール、アラート、外部アラートおよび、コレクションをまとめてエージェントに割り当てることができます。

ポリシーで可能な操作は次の通りです。

  • ポリシーの作成/削除/複製
  • エージェントの追加や削除
  • モジュールの作成/変更/削除
  • アラートの作成/変更/削除
  • 外部アラートの作成/変更/削除
  • 存在するコレクションの追加/削除
  • 存在するインベントリモジュールの追加/削除
  • 一つもしくは複数のモジュールへのポリシーのリンク

ポリシーでの操作は、ポリシーを適用するまでは有効ではありません。

複数のポリシー処理は一つのキューで管理されており、エージェントまたは全ポリシーの適用でキューに入ります。リモート設定に影響しない場合は、データベースから一つのポリシーを適用することもできます。

ポリシー管理は、Pandora FMS ウェブコンソールの左側にあるシステム管理メニューのポリシー管理(Manage policies) から行えます。

Politicas.jpg

ポリシーの追加

システム管理メニューの ポリシー管理(Manage policies) をクリックすると、定義されている全ポリシーが表示されます。



Politicas1.jpg



新たにポリシーを作成するには、"作成(Create)" ボタンをクリックします。以下に新たなポリシーの作成画面を示します。ここでは、名前、所属するグループおよびオプションで説明を入力します。



Policia.jpg



ポリシーの削除

ポリシーを削除するには、関連づけられたものが無い状態である必要があります。

ポリシーにエージェントがある場合、削除ボタンは無効になり、全エージェントの削除ボタンが表示されます。このボタンを押すとエージェントが削除され、ポリシーの削除ボタンが有効になります。

Borrar agentes.jpg

ポリシーの複製

ポリシーの操作ボタンの中には、ポリシーを複製するボタンもあります。



Duplicar politica.jpg



コピー元のポリシーの状態に関係なく、ポリシーがコピーされ表示されます。

ポリシーの設定

ポリシーを設定するには、システム管理メニューの ポリシー管理(Manage policies) でポリシー名をクリックするか、設定変更したいポリシーの上にマウスカーソルをもっていきリンクをクリックします。



Windows5.jpg



ポリシーの設定では、次のウインドウがあります。

  • エージェント(Agents)
  • モジュール(Modules)
  • インベントリモジュール(Inventory Modules)
  • アラート(Alerts)
  • 外部アラート(External alerts)
  • コレクション(Collections)
  • リンク(Linking)
  • キュー(Queue)
  • エージェントプラグイン(Agent plugins)

実行可能な異なるアクションはポリシーが適用されるまで適用されません。たとえば、エージェントをポリシーに追加する場合は、複数のモジュールおよびアラートを作成することができますが、適用するまでは反映されません。

同様に、一つのポリシーを適用し、かつ要素を編集や削除した場合は、次の実行まで変更は反映されません。

すべての変更は、"キュー(Queue)" ウインドウに表示されます。また、そこでプロセスキューにポリシーを投入できます。また、そこで適用されるのを待ちます。

ポリシーの伝播

ポリシーの伝播は、定義されたエージェントに設定したモジュール、アラート、およびコレクションの有効化を意味します。これは、エージェントにモジュールおよびアラートが追加されることを意味します。

ポリシーは、特定のエージェントまたは、全体のポリシーに伝播できます。

エージェントでそれを行うには、エージェント画面で適用したいエージェントを選択する必要があります。全ポリシーを適用したい場合は、キューの画面へ行きます。

ポリシーキュー管理



Queue.jpg



ポリシー操作キューには、最後に適用してから変更があった要素のまとめがあります。

この一覧には、更新する必要のある要素と、削除がペンディング状態の要素があります。

  • 更新がペンディング
    • エージェント
    • リンクがペンディングになっているモジュール
    • リンク解除がペンディングになっているモジュール
  • 削除がペンディング
    • エージェント
    • モジュール
    • インベントリモジュール
    • アラート
    • 外部アラート
    • コレクション

このサマリは、ポリシーを適用すべきかどうかを示しています。時々、エージェントの隣のアイコンで、適用がペンディングになっているものを適用するボタンがあります。

ペンディングとなっている変更(例ではアラートの変更)は、データベースにのみ記録されます。このボタンはこのレベルにおいてのみの変更です。そのため適用は早いです。



Queue onlydb.png



しかし、設定ファイルに適用する変更を行う(例えばコレクションやローカルモジュールの編集)と、処理が完了します。



Queue onlydbconf.png




サマリでは、修正がペンディング状態であるかに関わらず、すべてを適用するボタンがあります。



Queue applyall.png



適用を選択した場合、処理キューにポリシーエージェントを追加します。Pandora FMS サーバは、キューに入っているペンディングポリシーの適用を行います。画面を再読み込みすると、処理の進行状況を確認することができ、処理が完了したか、いつ完了したかがわかります。



Queue progress.png



エージェント

この画面では、ポリシーにエージェントを追加したり、ポリシーからエージェントを削除したりできます。

Brocha3.jpg

一括動作

上の部分は、エージェントを一括して追加・削除するためのものです。

Policy agentstop.jpg

グループおよび文字列でフィルタリングできます。複数選択し矢印をクリックして右にもっていくことができます。これらのエージェントは、右側のボックスに移り、ポリシーに関連付けられます。ただし、適用はペンディング状態です。

同様に、ポリシーのエージェントは、複数選択して矢印をクリックすることにより左側のボックスへ移動させて削除することができます。ポリシーから一つまたは複数のエージェントを削除するために選択した場合、右側のボックスでは打ち消し線が引かれます。また、左側のボックスで再度選択すると、ポリシーへ再度割り当てることができます。

ユニット動作

横のウインドウには、削除がペンディング状態のものを含め、ポリシーに関連付けられた全エージェントの一覧があります。

Policy agentsbottom.jpg

エージェント一覧は、グループ、文字列、または、処理状態でフィルタリングされます。

以下の内容が表示されます。

  • エージェント名
  • リモート設定
  • ポリシーにおけるエージェントの状態
  • エージェントで未リンク状態のモジュール数
  • エージェントを適用するキューに入れるためのボタン
  • 最終処理の日時
  • 削除/削除取消ボタン

エージェントが削除されると、その名前に取り消し線が表示され、削除ボタンの場所に、再びエージェントをポリシーにリンクするための削除を取り消すボタンが表示されます。

モジュール

モジュールメニューでは、ポリシーに追加するモジュールの設定ができます。



Windows6.jpg



モジュールを追加するには、メニューからモジュールの種類を選択します。6つのモジュール (データサーバ、ネットワーク、プラグイン、WMI、予測および、ウェブ) から 1つを選択し、作成(Create) ボタンをクリックします。



Windows7.png



データサーバモジュールの作成

データサーバモジュールは、ソフトウエアエージェントへ追加するモジュールです。このモジュールが動作するようにするためには、エージェントでリモート設定が有効になっている必要があります。

データサーバモジュールを作成するには、"データサーバモジュールの新規作成(Create a new data server module)" を選択し、作成(Create) ボタンをクリックします。



Windows8.jpg



すると、モジュールの全フィールドを設定できる新たな画面が表示されます。



Windows9.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Windows10.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力もしくは、ローカルコンポーネントの事前定義の 2種類のオプションがあります。

ネットワークサーバモジュールの作成

ネットワークサーバモジュールは、ネットワークサーバで管理されるモジュールです。

ネットワークサーバモジュールを作成するには、"ネットワークサーバモジュールの新規作成(Create a new network server module)" を選択し、作成(Create) ボタンをクリックします。



Grafic1.jpg



すると、モジュールの全フィールドを設定できる新たな画面が表示されます。



Grafic2.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Grafic3.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力を完了したら、"作成(Create)" をクリックします。

ほとんどの場合モジュールは繰り返し使われるため、毎回フィールドを入力して追加するより、事前にコンポーネントを定義してそれを使う方が良いです。

コンポーネントを使うには、"モジュールコンポーネント(Using module component)" からコンポーネントグループを選択します。



Grafic4.jpg



グループを選択すると、利用したいコンポーネントを選択できるようになります。



Grafic5.jpg



この例では、Cisco Mibs グループの "Catalyst CPU Usage" というコンポーネントを選択しています。



Grafic6.jpg



コンポーネントを選択すると、それを編集することができます。フィールドの入力が完了したら、"作成(Create)" をクリックします。

プラグインサーバモジュールの作成

プラグインサーバモジュールは、プラグインサーバで管理されるモジュールです。

プラグインサーバモジュールを作成するには、"プラグインサーバモジュールの新規作成(Create a new Plugin Server Module)" を選択して、"作成(Create)" をクリックします。



Cosa1.jpg



モジュールの全フィールドを設定できる新たな画面が表示されます。



Cosa2.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Cosa3.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力を完了したら、"作成(Create)" をクリックします。

ほとんどの場合モジュールは繰り返し使われるため、毎回フィールドを入力して追加するより、事前にコンポーネントを定義してそれを使う方が良いです。コンポーネントの利用については、ネットワークモジュールの作成で説明しています。

Template warning.png

エージェントの IP アドレスなど、動的パラメータを設定するにはマクロを利用します。

 




Policy plugin macro.png



WMI サーバモジュールの作成

WMI サーバモジュールは、WMI サーバで管理されるモジュールです。

WMI サーバモジュールを作成するには、"WMI サーバモジュールの新規作成(Create a new WMI Server Module)"

を選択し、"作成(Create)" をクリックします。



Cosa4.jpg



モジュールの全フィールドを設定できる新たな画面が表示されます。



Cosa5.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Cosa6.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力を完了したら、"作成(Create)" をクリックします。

ほとんどの場合モジュールは繰り返し使われるため、毎回フィールドを入力して追加するより、事前にコンポーネントを定義してそれを使う方が良いです。コンポーネントの利用については、ネットワークモジュールの作成で説明しています。

予測サーバモジュールの作成

予測サーバモジュールは、予測サーバで管理されるモジュールです。

予測サーバモジュールを作成するには、"予測サーバモジュールの新規作成(Create a new prediction server module)" を選択し、作成(Create) をクリックします。



Cosa7.jpg



モジュールの全フィールドを設定できる新たな画面が表示されます。



Cosa8.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Cosa9.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力を完了したら、"作成(Create)" をクリックします。

予測サーバモジュールには、コンポーネントはありません。

ウェブサーバモジュールの作成

ウェブサーバモジュールは、ウェブサーバで管理されるモジュールです。

ウェブサーバモジュールを作成するには、"ウェブサーバモジュールの新規作成(Create a new web server module)" を選択し、作成(Create) をクリックします。



Monstruo1.jpg



モジュールの全フィールドを設定できる新たな画面が表示されます。



Monstruo2.jpg



拡張オプション(Advanced Options) をクリックし、拡張オプションにアクセスします。



Monstruo3.jpg



この画面のフィールドの説明は、テンプレートとコンポーネントの章に記載しています。

フィールドの入力を完了したら、"作成(Create)" をクリックします。

ウェブサーバモジュールには、コンポーネントはありません。

作成済モジュールの編集

ポリシーに割り当てられたモジュールは編集することができます。



Rama1.jpg



モジュール名をクリックすると、モジュール設定オプションが表示されます。

修正したら、更新(Update) ボタンをクリックします。



Rama2.jpg



Info.png

ポリシーモジュールの名前を変更すると、ポリシーが適用されたときの他のフィールドの名前が変更されます。

 


Template warning.png

ポリシーモジュールの名前を変更し、エージェント内に新しい名前のモジュールが存在すると、そのモジュールに適用され、古い名前のモジュールは削除されます。

 


作成済モジュールの削除

ポリシーからモジュールを削除し、エージェントからも削除するには、モジュールの行の X をクリックします。実行するとモジュールの表示は残っていますが、打消し線が引かれ、削除ボタンが取消に置き換わります。



Rama4.jpg



ポリシーでのプラグインの利用

利用する書式は非常に簡単です。プラグインを返すモジュールをトリッキーに利用します。そのために、プラグインを返すモジュールがいくつあるかを確認します。すべてを登録しない場合でも、ポリシー外で作成したプラグインやモジュールをあとから登録することができます。しかし、ポリシーでパラメータを決めることはできないため、ポリシーに関連付けられないモジュールです。

ポリシーに関連付けられたすべてのデータは事前に定義されている必要があります。"未定義" のポリシーは情報を含みません。 システムの全ドライブの空き容量をバイトで動的に返すプラグインを実行するとします。

以下の例では、プラグインが複数のドライブの情報を返します。(C:、D: および Z:)



Plugin exec sample.png



モジュールをポリシーモジュールとして管理したい場合は、それを実際のプラグイン呼び出しとして定義する必要があります。それ以外は、module_plugin フィールドを空にしてください。

module_begin
module_name C:
module_type generic_data
module_plugin cscript //B "%ProgramFiles%\pandora_agent\util\df.vbs"
module_end
module_begin
module_name D:
module_type generic_data
module_plugin 
module_end
module_begin
module_name Z:
module_type generic_data
module_plugin 
module_end

インベントリモジュール

システムに存在するインベントリ、間隔、および権限を選択することで、ポリシーにインベントリモジュールを作成することもできます。



Policy inventory modules.png



他のポリシーの要素と同じように、インベントリモジュールを削除すると、削除ボタンの代わりに取り消し線と 取り消しアイコンが表示されます。



Policy inventory modules undo.png



アラート

アラートメニューでは、ポリシーに追加するアラートの設定ができます。

Salva1.jpg

アラートの追加

アラートの追加はとても簡単です。アラートテンプレートを事前に定義したポリシーのモジュールに割り当てて "追加(Add)" をクリックするだけです。

Salva2.jpg

アラートの編集

アラートの追加はとても簡単で、若干の設定があるだけであるため、アラートの編集機能はありません。アラートを編集するには、削除してから新たに作成してください。

アラートの削除

ポリシーからアラートを削除し、設定されたエージェントから削除するには、アラートの行の X をクリックします。これを実行するとアラートは一覧には残りますが、名前が取り消し表示となり、削除ボタンが取り消しボタンに変わります。



Brocha2.png



外部アラート

外部アラートは、アラートに似ていますが、アラートをポリシーモジュールのメインリストには無いエージェントモジュールにリンクできる点が異なります。これは、すべてのモジュールではなく、いくつかのエージェントモジュールにアラートを割り当てる場合にとても便利です。

外部アラートの追加

新たな外部アラートを作成するには、以下のフィールドを入力する必要があります。最初のフィールドでは、ポリシー内に無いエージェントモジュールのみが表示されています。そして、2番目のフィールドでは、アラートテンプレートを選択します。

External-alert-filled.png

外部アラートの編集

外部アラートの追加はとても簡単で、ごくわずかな設定のみであるため、外部アラートの編集機能はありません。外部アラートを編集したい場合は、一度削除してから新たに作成します。

外部アラートの削除

外部アラートをポリシーから削除し、割り当てられたエージェントから削除するには、外部アラートの "X" をクリックします。

External-alert-action-added.png

エージェントプラグイン

Pandora FMS 5.0 から、ポリシーのプラグインエディタでエージェントプラグインを伝播させることができます。

ポリシーにエージェントプラグインを追加することができ、適用時にそれぞれのローカルエージェントに作成することができます。



Policy plugins editor.png



モジュールのタイプ

ポリシーを適用するとき、エージェントビューで見ると異なるモジュールが表示されます。エージェント管理 -> モジュール へ行くと、3種類のモジュールを確認することができます。



Modules0.jpg



適用モジュール

これらのモジュールは、エージェントにすでに存在するモジュールと同じ名前でポリシーに作成されます。ポリシーを適用すると、Pandora FMS は、該当エージェントにおいて新たに作成したモジュールの代わりに既存のモジュールのデータを利用します。



Modules1.jpg



ポリシーを削除する場合、追加モジュールはエージェントから削除されません。それらは、未適用モジュールに設定されるのみで、そのモジュールの表示は次のようになります。



Modules1 1.jpg



リンクモジュール

これらのモジュールは、ポリシー内およびポリシーが適用されたときにエージェントに作成されます。 これらは、ポリシー内に作成される通常のモジュールです。



Modules2.jpg



モジュールをリンクしたり、リンクを解除したりは、エージェント管理 -> モジュール にて可能です。リンクを解除するには、モジュールを選択して以下のボタンを押してください。



Modules3.jpg



また、以下のボタンで、モジュールのリンクをします。



Modules4.jpg



ポリシーを削除した時は、リンクモジュールおよびリンクを解除しているモジュールはエージェントから削除されます。

リンク解除モジュール

モジュールのリンクを解除すると、ポリシーに適用される以降の変更はこのモジュールには適用されません。リンクを解除したモジュールは、ポリシーの動作へ個々の例外を定義できるためとても便利です。一つのモジュールの動作 (例えばしきい値) を変更する場合、エージェントを削除する必要はありません。ポリシーからリンクを解除し、しきい値を変更するだけです。



Modules5.jpg



ポリシーの変更は、モジュールを再びリンクしたときにのみ適用されます。

ファイルコレクション

ファイルコレクションは、ポリシーのためだけのオプションではありませんが、通常はポリシーでのみ利用します。ファイルコレクションはファイルのグループ (スクリプトや実行ファイル) で、エージェント (Windows および Unix) の特定のディレクトリに自動的にコピーされます。ファイルコレクションはポリシーとともに配布することができ、スクリプトとそれを利用するモジュールのパッケージとして、エージェントのグループで利用することができます。

まず最初に、エージェント参照で手動でエージェントごとにファイルコレクションを使う方法と、同じことをポリシーを使って行う方法を見てみます。

最初にファイルコレクションを作成します。そのためには、次の画面ショットのように、エージェント管理の "コレクション(Collections)" サブオプションをクリックすることにより、新しいコレクションを作成します。



File collection create.png



ファイルコレクションを作成したら、コレクションにファイルをアップロードします。バイナリ、スクリプト、データファイルなどを扱えます。全てのファイルを同じベースディレクトリに置きます。それぞれのコレクションは、それぞれのベースディレクトリがあります。これはとても重要です。コンソールの /pandora_console/attachment/collection ディレクトリに fc_XXX という名前で置かれます。XXX は、コレクションの ID を数字で表したものです。ファイルコレクションは、サブディレクトリを含めることができます。ファイルコレクションは、tentacle を使って ZIP ファイルでエージェントに送られます。ファイルコレクションは、Tentacle 転送モードでのみサポートされています。

2つのファイルをアップロードした、コレクション (fc_3) がどのように作成されるかを以下に示します。



File collection addfile.png



この場合、メインのコレクション画面に戻ると、問題があることを示す三角形のアイコンが両方のコレクションに表示されます。これは、コレクションの同期がとれていないために発生します。同じ三角形のアイコンをクリックすることにより、同期させる必要があります。



File collection sync.png



ファイルコレクションの同期を実行すると、次の画面に示すような青い矢印アイコンが表示されます。



File collection sync1.png



コレクションの同期が完了したら、この時点でポリシーを使わずにエージェントに適用します。エージェントの管理で、コレクションタブ (ディスクアイコン) を行く操作を繰り返します。定義されているコレクションが表示されるので、一つを選択してエージェントに適用します。以下の画面は、上記 (Windows utilities) を適用する例です。



Agent collection apply1.png



以上で適用されました。エージェントが次回サーバに接続する時に、ファイルと .conf ファイルの若干の修正を受け取ります。この例の場合、修正内容は次の通りです。

file_collection fc_3



Agent collection apply2.png




ファイルコレクションとポリシー

これは、エージェント個々にコレクションを適用するのととても似た動作をします。しかし、特定のエージェントに適用するかわりに、次の画面のようにポリシーに適用します。



File collection policyadd.png



コレクションに含まれるファイルを使うモジュールを利用したい場合、それは簡単で、決まった id を使って、コレクションを含むディレクトリを参照するだけです。以下にプラグインモジュールの利用例を示します。



Collection module usage plugin.png



ポリシーがプラグインでどのように動作するかの詳細は、この章の該当のセクションを参照してください。

エージェントにおけるファイルコレクションの場所

それぞれのファイルコレクションは、'短い名前' を持っています。この例では、"fc_3" で、ユーティリティ、スクリプトや、実行ファイルなどを含んだコレクションが、%ProgramFiles%\pandora_agent\collections\fc_3 に置かれることを意味しています。コレクションのファイルを必要とするモジュールを使うためには、これを把握しておく必要があります。

コレクションの名前が "fc_18" であれば、置かれる場所は %ProgramFiles%\pandora_agent\collections\fc_18 になります。それぞれのコレクションは、それぞれがファイルを上書きしてしまわないように、異なるディレクトリに置かれます。

(エージェントを実行しているマシンの) ローカルでファイルを編集すると、サーバに接続した時にエージェントによって上書きされます。これは、ローカルの編集を避け、デプロイした全てのホストでコレクションが同じになるようにするためです。リモート設定ファイルと同様に MD5 ハッシュでのチェックをしています。

これは、Windows エージェントで、"fc_3" というコレクションに含まれる "df_percent.vbs" というファイルを対象とした、プラグイン利用の例です。

module_plugin cscript //B "%ProgramFiles%\pandora_agent\collections\fc_3\df_percent.vbs"