Pandora: Documentation es: Configuracion

From Pandora FMS Wiki
Jump to: navigation, search

Volver a Indice de Documentacion Pandora FMS

Pandora FMS tiene tres componentes esenciales que es fundamental configurar correctamente para un buen funcionamiento, son la consola web, el servidor y la base de datos.

Info.png

Aunque tenga ya una instalación de Pandora instalada y funcionando, por ejemplo si la ha instalado a través del appliance software, considere ajustar y revisar la configuración para un funcionamiento mucho más óptimo.

 


En este capítulo se explicarán los archivos de configuración de los tres elementos, así como otros elementos importantes para un correcto funcionamiento de los componentes de la aplicación.

Contents

1 Servidor

La configuración principal del servidor de Pandora FMS se encuentra en el fichero pandora_server.conf, ubicado de forma predeterminada en la ruta /etc/pandora.

1.1 Elementos del fichero de configuración

Es un fichero en texto plano estándar de UNIX, donde las variables que no se usan o los comentarios van precedidos de un carácter almohadilla (#). Si lo va a editar desde Windows, asegúrese de usar un editor que soporte ese formato. A continuación se detallan todos los parámetros de configuración existentes en el fichero.

1.1.1 servername

Nombre que tendrá el servidor al visualizarlo en la consola. Por defecto se encuentra comentado y utiliza el nombre de la máquina.

Template warning.png

Modificar el nombre una vez esté funcionando podría causar que los chequeos remotos dejasen de funcionar, ya que habría que reconfigurar el servidor por defecto en todos los agentes existentes para que utilicen el nuevo servidor, así como borrar de la lista de servidores el nombre del servidor antiguo.

 


1.1.2 incomingdir

Directorio de entrada de los paquetes de datos XML. De forma predeterminada es /var/spool/pandora/data_in/. Se puede optimizar Pandora FMS utilizando un disco RAM o un disco especial más rápido.

1.1.3 log_file

Fichero de registro (log) de Pandora FMS. De forma predeterminada es /var/log/pandora/pandora_server.log. Este es el log principal del servidor, muy importante para localizar posibles problemas.

1.1.4 snmp_logfile

Fichero de registro (log) de la consola SNMP de Pandora FMS. De forma predeterminada es /var/log/pandora/pandora_snmptrap.log. Muestra los traps que llegan antes de que Pandora FMS los procese.

1.1.5 errorlog_file

Fichero de registro de errores (log) de Pandora FMS. De forma predeterminada es /var/log/pandora/pandora_server.error. Este log almacena todos los errores no capturados así como la información de herramientas usadas por el servidor que no ha sido capturada en el log principal.

1.1.6 dbname

Nombre de la base de datos a la que se conectará el servidor. De forma predeterminada es pandora.

1.1.7 dbengine

Obsoleto: siempre 'Mysql' (valor por defecto).

1.1.8 dbuser

Nombre de usuario para la conexión contra la base de datos de Pandora FMS. De forma predeterminada es pandora.

1.1.9 dbpass

Contraseña para la conexión a la base de datos de Pandora FMS.

1.1.10 dbhost

Dirección IP o nombre del equipo que alberga la base de datos de Pandora FMS. En instalaciones reducidas suele ser el mismo equipo donde está el servidor, es decir 127.0.0.1.

1.1.11 dbport

(Opcional) Puerto TCP donde escucha el motor de base de datos. Se empleará 3306 por defecto si el valor está comentado.

1.1.12 daemon

Indica si el servidor de Pandora FMS se ejecuta en forma de demonio o no. Si se lanza el servidor con la opción –D, entonces también se ejecuta como demonio.

1.1.13 verbosity

Nivel de detalle para los logs del servidor. Los valores posibles van desde 0 (desactivado) hasta 10 (máximo nivel de detalle). Con valor 10 el log mostrará todas las ejecuciones que el servidor realiza, incluyendo módulos, plugins y alertas.

Template warning.png

No se recomienda el uso de valores altos de forma continuada debido al gran crecimiento de los ficheros de log, pudiendo ocasionar problemas de rendimiento en el sistema.

 


1.1.14 master

Prioridad de servidor maestro. El servidor con el valor más alto (un valor numérico, positivo y sin decimales) que esté en ejecución será el maestro. Los empates se resuelven al azar. Si se configura a 0, este servidor nunca se convertirá en maestro. Vea el capítulo Alta disponibilidad (HA) para más información.

1.1.15 snmpconsole

Activarlo (con valor 1) indica que la consola de recepción de traps SNMP está activada en la configuración. 0 que no lo está. La consola depende del servicio de UNIX snmptrapd y lo para y arranca cuando Pandora se inicia. Antes de arrancar Pandora, verifique que el proceso snmptrapd no está iniciado en el sistema.

1.1.16 networkserver

Servidor de red de Pandora FMS activado (1) o desactivado (0).

1.1.17 dataserver

Servidor de datos de Pandora FMS activado (1) o desactivado (0).

Template warning.png

El dataserver es un servidor especial que también ejecuta otras tareas delicadas. Si en su instalación dispone de varios servidores de Pandora, al menos uno de ellos debe tener un hilo de dataserver corriendo.

 


1.1.18 reconserver

Servidor de autodescubrimiento de red de Pandora FMS activado (1) o desactivado (0).

1.1.19 pluginserver

Servidor de plugins remotos de Pandora FMS activado (1) o desactivado (0).

1.1.20 predictionserver

Servidor de predicción de Pandora FMS activado (1) o desactivado (0).

1.1.21 wmiserver

Servidor WMI de Pandora FMS activado (1) o desactivado (0).

1.1.22 inventoryserver

(sólo Pandora FMS Enterprise)

Servidor de inventario remoto de Pandora FMS activado (1) o desactivado (0).

1.1.23 exportserver

(sólo Pandora FMS Enterprise)

Servidor de exportación de Pandora FMS activado (1) o desactivado (0).

1.1.24 webserver

(sólo Pandora FMS Enterprise)

Servidor de chequeos WEB de Pandora FMS activado (1) o desactivado (0). A veces se le conoce (por desambiguación), como Goliat Server. No tiene nada que ver con el servidor de monitorización de experiencia de usuario web (WUX).

1.1.25 eventserver

(Sólo Pandora FMS Enterprise)

Servidor de correlación de alertas de eventos de Pandora FMS activado (1) o desactivado (0).

1.1.26 icmpserver

(sólo Pandora FMS Enterprise)

Servidor ICMP Enterprise de Pandora FMS activado (1) o desactivado (0).


Info.png

El servidor ICMP Enterprise utiliza el binario fping para realizar peticiones ICMP en bloque. Si este componente no se encuentra habilitado el servidor de red ejecutará los chequeos, pero con mucho menos rendimiento.

 


1.1.27 snmpserver

(sólo Pandora FMS Enterprise)

Servidor SNMP Enterprise de de Pandora FMS activado (1) o desactivado (0).

Info.png

El servidor SNMP Enterprise utiliza el binario braa para ejecutar peticiones SNMP en bloque. Si este componente no se encuentra habilitado el servidor de red ejecutará los chequeos.

 


1.1.28 transactionalserver

(sólo Pandora FMS Enterprise)

Servidor transaccional de Pandora FMS activado (1) o desactivado (0).

1.1.29 network_timeout

En segundos, timeout para chequeos ICMP. De forma predeterminada su valor es 2. Si va a realizar chequeos en redes WAN, se aconseja incrementar este valor para evitar falsos positivos ya que algunos chequeos podrían requerir más tiempo.


Info.png

Cuanto más timeout tengamos, más tiempo necesitaremos para ejecutar los chequeos en el peor de los casos.

 


1.1.30 server_keepalive

En segundos, tiempo antes de declarar al servidor como caído. Cada servidor comprueba el estado de los servidores a su alrededor, y en caso de que la fecha de última actualización de uno de ellos supere este valor, lo dará como caído. Esto afecta, en el caso de tener varios servidores, a como funciona la Alta Disponibilidad.


Info.png

Es fundamental que en el caso de tener varios servidores, todos sus relojes internos estén sincronizados a través de NTP

 


1.1.31 server_threshold

El número de segundos del bucle principal, en segundos. De forma predeterminada su valor es 5.

Info.png

Este es un valor muy importante para la configuración del servidor, define cuantas veces Pandora buscará para ver si hay datos pendientes en la base de datos o en el disco duro (Para buscar ficheros XML). De 5 a 15 es un valor válido para la mayoría de las ocasiones. Si se pone a 1 el consumo de CPU subirá mucho. Se puede usar el valor 1 para ocasiones especiales, como cuando por ejemplo, Pandora ha estado parado durante algún tiempo y hay muchos ficheros XML y tareas de red pendientes procesar. Se puede poner a 1, procesará algo más rápido las tareas pendientes, pero cuando acabe se debería poner entre 5 y 15. porque con valores muy bajos y gran carga, se produce un efecto de "sobrecalentamiento" que hace que aumente progresivamente el consumo de CPU y memoria del servidor.

 


Este valor junto con los parámetros de _thread de los servidores y el parámetro max_queue_files se usan para configurar el rendimiento del servidor.

1.1.32 network_threads

Número de hilos para el servidor de red. Indica cuántas comprobaciones se pueden hacer en paralelo. No se recomienda incrementar este valor de forma deliberada ya que podría causar un excesivo consumo de recursos del servidor. Un número mayor de veinte hilos requiere que tengamos una máquina con muchos procesadores o cores independientes.

1.1.33 icmp_checks

Define el número de pings para cada módulo icmp_proc. Al menos una de esas comprobaciones debe devolver 1 para que se de el módulo como correcto. Su valor predeterminado es 1. Si se pone un numero mayor, por ejemplo 5 y el primer ping tiene éxito, el resto no se hacen.


Info.png

En el caso de tener redes que tengan una fiabilidad limitada, se recomienda poner 2 o 3. Un número mayor, provocará que en caso de caída de algún segmento de red, la tasa de comprobaciones por segundo, disminuya significativamente

 



No confundir con el parámetro "icmp_packets" que se refiere al número de paquetes dentro del propio "ping". Es valor "icmp_checks" define el número de pings, cada uno con sus icmp_packets.

1.1.34 (> 5.1SP2) icmp_packets

Define el número de paquetes que se envían en cada petición de ping. 1 por defecto.

1.1.35 tcp_checks

Número de reintentos TCP si el primero falla. El valor predeterminado es 1.

1.1.36 tcp_timeout

Tiempo de expiración específico para los chequeos TCP. El valor predeterminado es 30.

Info.png

Un número alto (>40), provocará que en caso de caída de algún segmento de red, la tasa de comprobaciones por segundo, disminuya significativamente

 


1.1.37 snmp_checks

Número de reintentos SNMP si el primero falla. El valor predeterminado es 1.

1.1.38 snmp_timeout

Tiempo de expiración específico para los chequeos SNMP. El valor predeterminado es 3.

Info.png

Un número alto, provocará que en caso de caída de algún segmento de red, la tasa de comprobaciones por segundo, disminuya significativamente.

 


1.1.39 snmp_proc_deadresponse

Devuelve DOWN si no se puede contactar con un módulo SNMP booleano (proc) o bien si recibe NULL. Si se establece a 0 se ignora.

1.1.40 plugin_threads

Número de hilos para el servidor de plugins remotos. Indica cuántas comprobaciones se pueden hacer en paralelo.

1.1.41 plugin_timeout

Tiempo de expiración de los chequeos con plugins remotos. Después de este tiempo se mostrará el estado del módulo como desconocido. Su valor predeterminado es 5, probablemente nos interese subirlo a un valor más alto en el caso de que tengamos Plugins que puedan tardar más de ese tiempo.

1.1.42 wmi_timeout

Tiempo de expiración de los chequeos WMI. Después de este tiempo se mostrará el estado del módulo como desconocido. Su valor predeterminado es 10.

1.1.43 wmi_threads

Número de hilos para el servidor WMI. Indica cuántas comprobaciones se pueden hacer en paralelo.

1.1.44 prediction_threads

Número de hilos para el servidor de predicción.

1.1.45 recon_threads

Número de hilos para el servidor de reconocimiento de red. Indica cuántas comprobaciones se pueden hacer en paralelo.

1.1.46 dataserver_threads

Número de hilos para el servidor de datos. Indica cuántos ficheros XML se pueden procesar en paralelo. Como regla específica para el dataserver no se debería emplear un número mayor de hilos que de procesadores físicos tenga la máquina.


Info.png

En el caso específico del dataserver un valor superior a 5 o 6 no implica mejor rendimiento

 


1.1.47 inventory_threads

(Sólo Pandora FMS Enterprise)

Número de hilos asignados al servidor de inventario remoto.

1.1.48 export_threads

(sólo Pandora FMS Enterprise)

Número de hilos asignados al servidor de exportación. Indica cuantos hilos simultáneos se asignan a este componente.

1.1.49 web_threads

(sólo Pandora FMS Enterprise)

Número de hilos asignados al servidor de pruebas WEB (Goliat). Indica cuantos hilos simultáneos se asignan a este componente.

1.1.50 web_timeout

(sólo Pandora FMS Enterprise)

Tiempo de expiración por defecto en segundos para los módulos de monitorización web (Goliat)

1.1.51 web_engine

(sólo Pandora FMS Enterprise)

Poner a "curl" para utilizar cURL en vez de LWP para la monitorización web. El binario de cURL deberá estar instalado y en el PATH.

1.1.52 transactional_threads

Por defecto 1. La presencia de este parámetro es un mero trámite, su modificación no alterará el funcionamiento del servidor transaccional.

1.1.53 mta_address

Dirección IP del servidor de correo electrónico (Mail Transfer Agent).

1.1.54 mta_port

Puerto del servidor de correo electrónico. Por defecto el puerto 25.

1.1.55 mta_user

Usuario para el servidor de correo electrónico (en caso de ser necesario).

1.1.56 mta_pass

Contraseña para el servidor de correo electrónico (en caso de ser necesaria).

1.1.57 mta_auth

Sistema de autenticación del servidor de correo electrónico (en caso de ser necesario; los valores válidos son: 'LOGIN', 'PLAIN', 'CRAM-MD5' y 'DIGEST-MD').

1.1.58 mta_from

Dirección de correo electrónico desde la que se enviarán los correos. De forma predeterminada es pandora@localhost.

1.1.59 mail_in_separate

Por defecto 1. Si se establece en 1, repartir el correo por separado para cada destinatario. Si se establece en 0, el correo será compartido entre todos los destinatarios.

1.1.60 xprobe2

Si se proporciona, se usa para descubrir el sistema operativo de los equipos remotos cuando se lanza una tarea de reconocimiento de red. La ruta predeterminada es /usr/bin/xprobe2.

1.1.61 snmpget

Necesario para las comprobaciones SNMP. De forma predeterminada está en /usr/bin/snmpget. Hace referencia a la ubicación del cliente snmp standard del sistema. En el caso de Windows, se provee un binario a tal fin.

1.1.62 nmap

Necesario para el recon server. De forma predeterminada está en /usr/bin/nmap.

1.1.63 (> 5.1) nmap_timing_template

Un valor que especifica cómo de agresivo debe ser nmap de 1 a 5. 1 significa más lento pero más fiable, 5 significa más rápido pero menos fiable. 2 por defecto.

1.1.64 (> 5.1) recon_timing_template

Es como el nmap_timing_template, pero aplicado a los escaneos de red del Servidor Satélite y el Servidor Recon.

1.1.65 plugin_exec

Indica la ruta absoluta al programa que ejecuta los plugins de forma controlada en el tiempo. Por defecto /usr/bin/timeout. Si su sistema base no dispone de este comando, debe utilizar en su lugar /usr/bin/pandora_exec, que viene incluido con Pandora FMS.

1.1.66 autocreate_group

ID numérico del grupo por defecto para los nuevos agentes creados automáticamente a través de la recepción de ficheros de datos. Si no existe un grupo definido aquí, los agentes se crearán en el grupo que contenga el XML.

1.1.67 autocreate

Si se establece a 1 se autocrearán agentes cuando se reciban ficheros de datos con un ID de agente que no exista en el sistema.


Info.png

Si desea establecer un mecanismo de seguridad, puede establecer una password de grupo

 


1.1.68 max_log_size

Tamaño máximo del fichero log de Pandora FMS, en bytes. Cuando se alcance este tamaño, se renombrará el fichero como pandora_server.log.old y el servidor generará uno con el nombre orinigal, pandora_server.log. El tamaño predeterminado es 65536Bytes.

1.1.69 max_queue_files

Número máximo de ficheros de datos XML leídos por el Servidor de Datos de Pandora FMS del directorio especificado por incomingdir. Esto evita que el Servidor de Datos intente leer demasiados ficheros, lo que afectaría al rendimiento del servidor. El valor por defecto es 5000.

Template warning.png

Puede que los módulos incrementales no funcionen correctamente si este valor no es lo suficientemente grande como para contener todos los ficheros de datos XML.

 


1.1.70 use_xml_timestamp

Por defecto desactivado. Si está activado (1) utiliza el timestamp del fichero XML, generado con la fecha y hora del servidor en el momento de la recepción del mismo, en lugar del timestamp que lleva internamente el fichero XML y que fue generado por el agente. Esto sirve para desactivar globalmente el uso de las fechas generadas por los agentes y usar la fecha/hora (timestamp) del servidor como referencia para todos los datos.


Info.png

Existe una funcionalidad parecida a nivel de agente, para que los datos del agente se evalúen con la fecha de recepción del fichero.

 


1.1.71 auto_restart

Por defecto deshabilitado. Si está activado (valor en segundos), fuerza al servidor a hacer un reinicio interno cada X segundos (1 dia = 86400). Esta opción es útil si observa degradación por ĺa caída no controlada de algún hilo o servidor específico de Pandora FMS.

1.1.72 restart

Por defecto desactivado (0). Ante un error crítico el servidor reiniciará después de un número de segundos dado.

1.1.73 restart_delay

Por defecto 60. Número de segundos que esperará el servidor antes de reiniciar tras un error crítico si restart está activado.

1.1.74 self_monitoring

El servidor tiene un modo para auto-monitorizarse, que crea un agente, con el mismo nombre del servidor, que monitoriza la mayoría de los parámetros importantes de un servidor de Pandora FMS. Para activarlo, el parámetro self-monitoring debe fijarse en 1.

1.1.75 (>= 5.1SP1) self_monitoring_interval

Intervalo de tiempo para self_monitoring en segundos.

1.1.76 update_parent

Define si el agente puede actualizar su padre enviando el nombre del padre en el XML, pero si el parámetro no está definido o es 0, entonces la información del agente será ignorada. Si no es este el caso, cuando el servidor recibe un XML con el atributo parent_name, busca un agente con este nombre, y si lo encuentra, actualiza el padre del agente del XML.

1.1.77 icmp_threads

(sólo Pandora FMS Enterprise)

Número de hilos del servidor ICMP Enteprise (3 por defecto).

1.1.78 snmp_threads

(sólo Pandora FMS Enterprise)

Número de hilos del servidor SNMP Enteprise (3 por defecto).

1.1.79 block_size

(Sólo Pandora FMS Enterprise)

Tamaño del bloque de los servidores productor/consumidor en bloque, es decir, número de módulos por bloque (15 por defecto). Esto afecta a como procesa las peticiones los servidores SNMP Enterprise e ICMP Enterprise.

1.1.80 braa

(Sólo Pandora FMS Enterprise)

Ubicación del binario braa, utilizado por el servidor SNMP enterprise (/usr/bin/braa por defecto).

1.1.81 braa_retries

(Sólo Pandora FMS Enterprise)

Número de reintentos antes de que braa le pase el módulo al Servidor de Red en caso de error.

1.1.82 event_window

(Sólo Pandora FMS Enterprise)

Es el tiempo de ventana (en segundos) dentro del cual el servidor de correlación de eventos tendrá en cuenta los eventos, por ejemplo, si se configura a 3600, el motor comparará y buscará eventos en la última hora. Si tiene reglas en las cuales la ventana de tiempo es mayor, tendrá que modificar este valor. Un valor muy grande hará que el sistema se degrade y necesite mas recursos (CPU, RAM) para operar.

1.1.83 wmi_client

Cliente WMi empleado por defecto.

1.1.84 activate_gis

Activar (1) o desactivar (0) las funcionalidades GIS del servidor.

1.1.85 location_error

Margen/Radio de error en metros para considerar dos ubicaciones GIS como la misma ubicación.

1.1.86 recon_reverse_geolocation_mode

Modo de geolocalización inversa [disabled, sql, file]

  • disabled - El recon task no intenta localizar inversamente la IP.
  • sql - La tarea recon intentará consultar la base de datos para la IP descubierta (hay que cargar los datos previamente en la BBDD).
  • file - La tarea recon intentará descubrir la información de la IP descubierta en el fichero indicado en el parámetro recon_reverse_geolocation_file.

1.1.87 recon_reverse_geolocation_file

Fichero con información sobre la geolocalización inversa. Este fichero debe tener el formato MaxMind GPL GeoLiteCity.dat.

1.1.88 recon_location_scatter_radius

Radio (en metros) para el "circulo" dentro del cual se ubicarán los agentes que se descubran por una tarea de red. El centro del círculo se intentara calcular en base a geolocalizar la IP descubierta.

1.1.89 google_maps_description

Esto activa la conversión de coordenadas GPS en una descripción textual de la posición (geolocalización inversa). Para ello se utilizará la API de Google Maps. Para poder usar esta funcionalidad se necesita acceso a internet, y puede tener penalizaciones de rendimiento procesando la información GIS debido a la velocidad de conexión contra la API de Google desde el servidor de Pandora FMS.


Template warning.png

La API de Google Maps es un servicio de pago y requiere credenciales, necesitará obtener la API KEY y pagar, sino el servicio se suspende al cabo de un par de días de uso.

 


1.1.90 openstreetmaps_description

Esto activa la conversión de coordenadas GPS en una descripción textual de la dirección (geolocalización inversa). Para ello se utilizará la API de Open Street Maps. Este servicio no es tan exacto como el de Google Maps, pero es gratuito. Además tiene la ventaja que puede -mediante unas modificaciones del código- modificarse para conectarse a un servidor local.

Info.png

Si se usa con conexión directa a Internet (por defecto), se necesita acceso a Internet, y puede tener penalizaciones de rendimiento procesando la información GIS debido a la velocidad de conexión a la API de OpenStreetMaps desde el servidor de Pandora FMS.

 


1.1.91 event_file

Esta opción de configuración permite especificar un fichero de texto en el que se escribirán los eventos generados por Pandora FMS en formato CSV. Activar esta opción añade una penalización del rendimiento de Pandora FMS.

Por ejemplo:

event_file /var/log/pandora/pandora_events.txt

Template warning.png

No hay un mecanismo de rotación de este fichero, tendrá que tenerlo en cuenta ya que puede crecer mucho.

 


1.1.92 snmp_storm_protection

Sistema de protección de tormentas de traps por el cual la Consola SNMP de Pandora FMS no procesará más de este número de traps SNMP desde una sola fuente en un intervalo de tiempo definido. Si se alcanza este número se genera un evento.

1.1.93 snmp_storm_timeout

Intervalo de tiempo para snmp_storm_protection en segundos.

Por ejemplo, para evitar que una sola fuente envíe más de 1000 traps cada 10 minutos:

 snmp_storm_protection 1000
 snmp_storm_timeout 600

1.1.94 text_going_down_normal

Texto a mostrar en eventos de módulos pasando a estado normal. Soporta las macros _module_ y _data_.

1.1.95 text_going_up_critical

Texto a mostrar en eventos de módulos pasando a estado crítico. Soporta las macros _module_ y _data_.

1.1.96 text_going_up_warning

Texto a mostrar en eventos de módulos pasando a estado de advertencia desde el estado normal. Soporta las macros _module_ y _data_.

1.1.97 text_going_down_warning

Texto a mostrar en eventos de módulos pasando a estado de advertencia desde el estado crítico. Soporta las macros _module_ y _data_.

1.1.98 text_going_unknown

Texto a mostrar en eventos de módulos pasando a estado desconocido. Soporta las macros _module_ y _data_.

1.1.99 event_expiry_time

Los eventos más viejos que el tiempo dado (en segundos) se validarán de forma automática. Poner a 0 para deshabilitar esta característica.

Por ejemplo, para auto-validar los eventos 10 horas después de que se hayan generado:

event_expiry_time 36000

1.1.100 event_expiry_window

Este parámetro se utiliza para reducir el impacto de event_expiry_time de modo que no haya que comprobar la tabla de eventos al completo. Sólo los eventos más recientes que la ventana de tiempo especificada (en segundos) se auto-validarán. Este valor debe ser mayor que event_expiry_time.

El valor por defecto es un día:

event_expiry_window 86400

1.1.101 (>= 5.X) snmp_forward_trap

Activa (1) o desactiva (0) el reenvío de traps SNMP al host indicado en snmp_forward_ip

1.1.102 (>= 5.X) snmp_forward_ip

Dirección IP del host al que se reenviarán los traps.

Template warning.png

Tener especial cuidado para no introducir una dirección de reenvío al propio servidor de Pandora, pues se originaría un bucle de reenvío y podrá colapsar el servidor de monitorización.

 


1.1.103 (>= 5.X) snmp_forward_version

Versión de SNMP a utilizar en el envío de traps. Este parámetro puede tomar sólo los siguientes valores:

  • 1
  • 2c
  • 3

1.1.104 (>= 5.X) snmp_forward_secName

Exclusivo de SNMP versión 3. Especifica el nombre de seguridad para la autenticación. Más información en el manual de snmpcmd

1.1.105 (>= 5.X) snmp_forward_engineid

Exclusivo de SNMP versión 3. Especifica el ID Engine autorizado. Más información en el manual de snmpcmd

1.1.106 (>= 5.X) snmp_forward_authProtocol

Exclusivo de SNMP versión 3. Especifica el protocolo de autenticación. Este parámetro puede tomar sólo los siguientes valores:

  • MD5
  • SHA

Más información en el manual de snmpcmd

1.1.107 (>= 5.X) snmp_forward_authPassword

Exclusivo de SNMP versión 3. Especifica la contraseña de autenticación. Más información en el manual de snmpcmd

1.1.108 (>= 5.X) snmp_forward_privProtocol

Exclusivo de SNMP versión 3. Especifica el protocolo de privacidad. Este parámetro puede tomar sólo los siguientes valores:

  • DES
  • AES

Más información en el manual de snmpcmd

1.1.109 (>= 5.X) snmp_forward_privPassword

Exclusivo de SNMP versión 3. Especifica la contraseña de privacidad. Más información en el manual de snmpcmd

1.1.110 (>= 5.X) snmp_forward_secLevel

Exclusivo de SNMP versión 3. Especifica el nivel de seguridad. Este parámetro puede tomar sólo los siguientes valores:

  • noAuthNoPriv
  • authNoPriv
  • authPriv

1.1.111 (>= 5.1) claim_back_snmp_modules

Si se configura a 1, los módulos SNMP que se ejecutan en el Servidor de Red serán devueltos al Servidor SNMP Enterprise cuando se ejecute el script de mantenimiento de la base de datos (pandora_db).

1.1.112 (> 5.1) snmpconsole_threads

Número de hilos de la Consola SNMP. Cada hilo procesa un trap SNMP de forma paralela. Configurado a '1' por defecto.

1.1.113 (> 5.1) translate_enterprise_strings

(Sólo Pandora FMS Enterprise)

Si se configura a 1 la consola SNMP intentará traducir los enterprise strings cuando procese traps SNMP. Configurado a '1' por defecto.

1.1.114 (> 5.1) translate_variable_bindings

(Sólo Pandora FMS Enterprise)

Si se configura a 1 la consola SNMP intentará traducir los variable bindings cuando procese traps SNMP. Configurado a '0' por defecto.

1.1.115 (>= 5.1SP1) async_recovery

Si se configura a 1, los módulos asíncronos que no reciban datos durante dos veces su intervalo pasarán a normal. Configurar a 0 para deshabilitarlo.

1.1.116 (>= 6.0) console_api_url

Dirección de la api de la consola. Normalmente la dirección del servidor y la consola terminada con la ruta /include/api.php.

1.1.117 (>= 6.0) console_api_pass

Contraseña de la api de la consola. Esta contraseña se encuentra en la sección general de la configuración de la consola y puede estar vacía.

1.1.118 (>= 6.0) console_user

Usuario de la consola con permisos para realizar las acciones requeridas, como obtener una gráfica de un módulo para incrustar en un email de una alerta.

Info.png

Por seguridad, se recomienda usar un usuario exclusivo para el uso de la API. Dicho usuario no debería tener permiso de acceso de forma interactiva a la consola, y el uso de la API debería estar restringido sólo a un conjunto de IPs

 


1.1.119 (>= 6.0) console_pass

Contraseña del usuario introducido anteriormente.

1.1.120 (>= 6.0) unknown_interval

Intervalo de tiempo (como un múltiplo del intervalo de el módulo) antes de que el módulo se ponga en desconocido. Dos veces el intervalo del módulo por defecto.

1.1.121 (>= 6.0) global_alert_timeout

Indica, en segundos, el tiempo máximo que una alerta puede estar procesándose. Pasado ese tiempo, la ejecución se interrumpe. Por defecto tiene un valor de 15 segundos. Para que el servidor de Pandora ignore este timeout y nunca finalice la ejecución de la alerta prematuramente, hay que poner este parámetro a 0.

1.1.122 (>= 6.0) remote_config

(Sólo Pandora FMS Enterprise)

Este parámetro controla si es posible configurar el server remotamente desde la consola en la vista de servidores. Funciona por Tentacle de forma similar a la configuración remota de los agentes.

1.1.123 (>= 6.0) remote_config_address

Dirección IP de la máquina donde se quiere enviar la configuración remota. Por defecto es localhost.

1.1.124 (>= 6.0) remote_config_port

Puerto de Tentacle para la configuración remota. Por defecto se usa el 41121.

1.1.125 (>= 6.0) remote_config_opts

Permite pasar parámetros adicionales al cliente de Tentacle para configuraciones avanzadas. Deben ir entre comillas (por ejemplo, "-v -r 5")

1.1.126 (> 6.0) warmup_event_interval

En segundos, especifica el tiempo que transcurrirá hasta que se vuelvan a generar eventos de cambios de estado y ejecutar alertas tras un reinicio del servidor.

1.1.127 (> 6.0) warmup_unknown_interval

En segundos, especifica el tiempo que transcurrirá hasta que los módulos puedan pasar a estado desconocido tras un reinicio del servidor.

1.1.128 (> 6.0SP4) enc_dir

Path a un directorio que contiene ficheros .enc adicionales para el parser de XML. Estos ficheros serán cargados por el Data Server de forma automática.

1.1.129 (>= 7.0) dynamic_updates

Número de veces que se recalculan los umbrales dinámicos por intervalo dinámico.

1.1.130 (>= 7.0) dynamic_warning

Porcentaje relativo a la longitud del intervalo crítico utilizado para calcular los umbrales de warning. Cuanto más bajo, más cerca estarán los intervalos de warning y critical.

1.1.131 (>= 7.0) dynamic_constant

Porcentaje relativo a la media de un módulo que se utiliza para ajustar la desviación estándar de un módulo cuando los datos sean constantes. Un valor más alto resulta en intervalos dinámicos más anchos.

1.1.132 (>= 7.0) wuxserver

(Sólo Pandora FMS Enterprise)

Habilita el servidor de análisis de experiencia de usuario web (WUX). Requiere la configuración de wux_host y wux_port

1.1.133 (>= 7.0) wux_host

(Sólo Pandora FMS Enterprise)

Indica la dirección IP/ FQDN del servidor que aloja el servicio Pandora Web Robot Daemon (PWRD)

1.1.134 (>= 7.0) wux_port

(Sólo Pandora FMS Enterprise)

Indica el puerto del servicio Pandora Web Robot Daemon (PWRD). Su valor por defecto es 4444.

1.1.135 (>= 7.0) syslogserver

(Sólo Pandora FMS Enterprise)

Servidor de syslog de Pandora FMS activado (1) o desactivado (0).

1.1.136 (>= 7.0) syslog_file

(Sólo Pandora FMS Enterprise)

Path absoluto del fichero de salida de syslog. Por ejemplo:

syslog_file /var/log/messages

1.1.137 (>= 7.0) syslog_threads

(Sólo Pandora FMS Enterprise)

Número de hilos para el servidor de syslog.

1.1.138 (>= 7.0) syslog_max

(Sólo Pandora FMS Enterprise)

Número máximo de líneas leídas por el servidor de syslog en cada ejecución.

1.1.139 (>= 7.0) thread_log

Configure a '0' a menos que esté depurando su servidor de Pandora FMS. '1' hace que los hilos del servidor vuelquen su estado de forma periódica a disco en /tmp/<nombre del servidor>.<tipo de servidor>.<número de hilo>.log. Por ejemplo:

[root@pandorafms]# cat /tmp/pandorafms.*
2017-12-05 09:44:19 pandorafms dataserver (thread 2):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms dataserver (thread 3):[PRODUCER] Queuing tasks.
2017-12-05 09:44:40 pandorafms eventserver (thread 21):[CONSUMER] Waiting for data.
2017-12-05 09:44:40 pandorafms eventserver (thread 22):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms inventoryserver (thread 17):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms inventoryserver (thread 18):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms networkserver (thread 4):[CONSUMER] Waiting for data.
2017-12-05 09:44:14 pandorafms networkserver (thread 5):[CONSUMER] Waiting for data.
2017-12-05 09:44:14 pandorafms networkserver (thread 6):[CONSUMER] Waiting for data.
2017-12-05 09:44:14 pandorafms networkserver (thread 7):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms networkserver (thread 8):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms pluginserver (thread 13):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms pluginserver (thread 14):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms predictionserver (thread 15):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms predictionserver (thread 16):[PRODUCER] Queuing tasks.
2017-12-05 09:44:39 pandorafms reconserver (thread 10):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms reconserver (thread 9):[CONSUMER] Waiting for data.
2017-12-05 09:44:15 pandorafms webserver (thread 19):[CONSUMER] Waiting for data.
2017-12-05 09:44:40 pandorafms webserver (thread 20):[PRODUCER] Queuing tasks.
2017-12-05 09:44:14 pandorafms wmiserver (thread 11):[CONSUMER] Waiting for data.
2017-12-05 09:44:39 pandorafms wmiserver (thread 12):[PRODUCER] Queuing tasks.

1.1.140 (>= 7.0) unknown_updates

0 por defecto. Si se pone a 1, los módulos desconocidos se comprobarán de forma periódica, en vez de una sola vez cuando pasan a desconocido. Las alertas asociadas a módulos desconocidos también se evaluarán de forma periódica.

Template warning.png

Poner unknown_updates a 1 puede afectar al rendimiento del servidor.

 


1.2 Configuración de SNMPTRAPD

La Consola SNMP de Pandora FMS utiliza snmptrapd para recibir los traps SNMP. snmptrapd es una herramienta estándar, presente en casi todos los sistemas UNIX, para recibir los traps y escribir un archivo de registro. Pandora FMS configura snmptrapd para escribir un fichero de registro personalizado y lo lee cada x segundos.

Anteriormente, snmptrapd aceptaba traps por defecto, sin configurar nada de forma explícita. A partir de la version 5.3, la configuración para el control de acceso es mas restrictiva y por defecto no permite recibir traps de cualquiera.

Si snmptrapd se ejecuta sin una configuración personalizada, no se reciben traps y Pandora FMS no puede mostrarlos en la consola, porque el sistema los rechaza.

Lo más probable es que necesite configurar su fichero /etc/snmp/snmptrapd.conf. Si no existe, mire el fichero /var/log/pandora/pandora_snmp.log para ver que errores hay.

Una configuración básica del fichero snmptrapd.conf sería la siguiente

authCommunity log public

Si no funciona en su distribución de Linux, por favor revise la sintaxis de la versión de su sistema snmptrapd para permitir la recepción de los traps en su demonio de snmptrapd con el comando:

man snmptrapd.conf

1.3 Configuración de Tentacle

Los agentes software de Pandora FMS por defecto envían los paquetes de datos al servidor mediante el protocolo Tentacle (puerto 41121/tcp asignado por IANA [1]). También se puede reconfigurar el agente para que envíe los datos de maneras alternativas: transferencia local (NFS, SMB), SSH ó FTP, etc. Si se desea que envíen los paquetes de datos a través del protocolo Tentacle, entonces habrá que configurar un servidor de Tentacle donde se vayan a recibir esos datos. Por defecto al instalar Pandora FMS server, se instala un servidor de Tentacle en la misma máquina.

Si es necesario ajustar algunos parámetros de configuración del servidor de Tentacle, se puede hacer modificando directamente el script lanzador del demonio de Tentacle Server que está en:

/etc/init.d/tentacle_serverd

A continuación se enumeran las diferentes opciones de configuración de Tentacle Server:

PANDORA_SERVER_PATH

Ruta al directorio de entrada de los datos. De forma predeterminada es /var/spool/pandora/data_in

TENTACLE_DAEMON

Demonio de tentacle. De forma predeterminada es tentacle_server.

TENTACLE_PATH

Ruta al binario de Tentacle. De forma predeterminada es /usr/bin.

TENTACLE_USER

Usuario con el que se lanzará el demonio de Tentacle. De forma predeterminada es pandora.

TENTACLE_ADDR

Dirección de la que escuchar los paquetes de datos. Si se establece 0.0.0.0 se escucharán en todas. De forma predeterminada se escucha en todas las direcciones, esto es, su valor es 0.0.0.0.

TENTACLE_PORT

Puerto de escucha para la recepción de paquetes. De forma predeterminada es 41121 (Puerto oficial asignado por IANA).

TENTACLE_EXT_OPTS

Opciones adicionales con las que ejecutar el servidor de Tentacle. Aqui puede configurar Tentacle para usar autenticación con password simétrica o certificados.

1.4 Configuración segura de Tentacle

Tanto el servidor como los agentes pueden utilizar una comunicación segura con certificados y contraseña a través de Tentacle. Bien comunicación directa agente -> servidor, o bien mediante un tentacle proxy.

Template warning.png

Para utilizar las opciones seguras de tentacle, por favor, verifique que el paquete perl(IO::Socket::SSL) está instalado en su sistema.

 


Algunas de las opciones contempladas son:

Transferencia simple con autenticación basada en contraseña:

Parámetros extra en el servidor:

 -x password

Parámetros extra en el cliente (TENTACLE_EXT_OPTS)

 -x password

Transferencia segura, sin certificado cliente:

Parámetros extra en el servidor:

 -e cert.pem -k key.pem 

Transferencia segura con certificado de cliente

Parámetros extra en el servidor:

 -e cert.pem -k key.pem -f cacert.pem

Parámetros extra en el cliente (TENTACLE_EXT_OPTS)

 -e cert.pem -k key.pem 

Transferencia segura con certificado de cliente y autenticación adidicional con contraseña:

Parámetros extra en el servidor:

 -x password -e cert.pem -k key.pem -f cacert.pem

Parámetros extra en el cliente (TENTACLE_EXT_OPTS)

 -x password -e cert.pem -k key.pem


1.4.1 Configuración segura, caso práctico

Vamos a explicar paso a paso cómo configurar tanto los agentes como el servidor de Tentacle para una comunicación segura, utilizando también un Tentacle proxy.

En primer lugar, es muy recomendable realizar pruebas a mano desde los terminales para asegurarnos de que la configuración, parámetros y certificados son correctos.

Para pruebas manuales:

1. Levantar tentacle_server manualmente:

 sudo -u user tentacle_server -x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem -s /tmp -v

2. Levantar proxy manualmente (sólo si se va a utilizar proxy de tentacle, si no, omitir este paso):

 sudo -u user tentacle_server -b ip_server -g 41124

3. Lanzar tentacle_client manualmente:

 sudo -u user tentacle_client -a ip_proxy/ip_server -x password -e tentaclecert.pem -k tentaclekey.pem -v /bin/ls (o cualquier archivo)


Template warning.png

Es necesario SIEMPRE indicar en los parámetros las rutas absolutas donde se encuentren los certificados, por ejemplo /home/tentaclecert.pem

 


Cuando hayamos comprobado que el envío del archivo ha tenido éxito, podemos proceder a configurar permanentemente el tentacle_server y los clientes.

Para configurar el tentacle_server con las opciones de certificado, hay que editar script de arranque del servicio tentacle_serverd, comúnmente ubicado en /etc/init.d/tentacle_serverd, lo mismo para configurar un punto intermedio para que actúe como proxy. Para configurar los agentes para que utilicen la comunicación segura de tentacle, hay que editar los ficheros de configuración pandora_agent.conf, comúnmente ubicados en /etc/pandora/pandora_agent.conf.

Configuración permanente:

1. Arrancar el server con SSL. Modificar el script de arranque /etc/init.d/tentacle_serverd. Buscar la línea TENTACLE_EXT_OPTS, y añadir "-x password -e tentaclecert.pem -k tentaclekey.pem -f cacert.pem". Quedando así:

 TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"

2. Levantar proxy. Modificar script de arranque /etc/init.d/tentacle_serverd de la máquina que va a actuar como proxy. Del mismo modo que en el anterior punto, buscar la línea TENTACLE_EXT_OPTS, y añadir "-b ip_server -g 41121". Quedando así:

 TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -b 192.168.70.208 -g 41121"

3. Arrancar el agente con las opciones correspondientes. Modificar el archivo pandora_agent.conf, buscar la línea server_opts y añadir "-x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem". No hay que olvidar que el token server_ip hay que configurarlo apuntando a la IP del proxy en lugar de la del servidor principal, en caso de que se vaya a utilizar. Quedaría así:

 server_opts -x password -e /home/tentaclecert.pem -k /home/tentaclekey.pem


Info.png

Si no se quiere utilizar alguna de las opciones, como por ejemplo la contraseña, basta con no utilizar el parámetro correspondiente.

 


1.5 Pandora Web Robot Daemon (PWRD)

Pandora Web Robot Daemon es un servicio de la versión Enterprise que provee las herramientas necesarias para automatizar las sesiones de navegación web. Es parte de la funcionalidad de WUX. Está disponible en la librería de módulos.

Contiene:

  • Binario del navegador Firefox versión 46
  • Perfil preconstruido para grabación y ejecución de sesiones de navegación web
  • Servidor de automatización de sesiones
  • Grabador de sesiones de navegación web (.xpi)

1.5.1 Despliegue en Linux

Instalar xorg-x11-server-Xvfb para poder virtualizar entornos gráficos.

yum install xorg-x11-server-Xvfb

Si no está disponible en sus repositorios puede encontrar el fichero rpm en el siguiente enlace [2]

Para realizar la instalación del paquete rpm de forma manual:

yum install xorg-x11-server-Xvfb-1.15.0-22.el6.centos.x86_64.rpm

Instalar el demonio:

unzip PWRD_server.zip
cd PWRD_server/
sudo /bin/bash install_pwrd.sh --install

Una vez instalado, disponemos de varios modos de funcionamiento:

  • Standalone: Modo estándar, iniciará una única instancia de PWRD.
  • HUB: Modo concentrador. En este modo el servicio PWRD no evaluará las sesiones de navegación directamente, sino que deberán registrarse "nodos" para ejecutar las tareas. Es el modo cluster del servicio PWRD.
  • Node: Modo "nodo", se debe ejecutar indicando la dirección del concentrador al que pertenecerá. Todos los chequeos a ejecutar se solicitarán al concentrador, quien se encargará de asignarlos al nodo con menos carga de trabajo disponible.

1.5.1.1 PWRD en modo "standalone"

# Iniciar
/etc/init.d/pwrd start
# ver el estado
/etc/init.d/pwrd status
# detener
/etc/init.d/pwrd stop

Una vez iniciado podremos empezar a asignarle ejecuciones de nuestras sesiones de navegación, configurando el parámetro wux_host del servidor de Pandora FMS como la dirección IP de este equipo y wux_port el puerto 4444 (por defecto).

1.5.1.2 PWRD en modo "HUB"

# Iniciar
/etc/init.d/pwrd start-hub
# ver el estado
/etc/init.d/pwrd status-hub
# detener
/etc/init.d/pwrd stop-hub

El modo concentrador (o HUB) iniciará el demonio como un balanceador de carga. En este modo de trabajo, el sistema irá balanceando la carga entre todos los nodos que se hayan registrado en él, asignando la ejecución de las sesiones de navegación a los nodos en función de su carga de trabajo.

Una vez iniciado podremos empezar a asignarle ejecuciones de nuestras sesiones de navegación, configurando el parámetro wux_host del servidor de Pandora FMS como la dirección IP de este equipo y wux_port el puerto 4444 (por defecto).

1.5.1.3 PWRD en modo "nodo"

# Iniciar
/etc/init.d/pwrd start-node http://hub:4444/grid/register
# ver el estado
/etc/init.d/pwrd status-node
# detener
/etc/init.d/pwrd stop-node

Depende totalmente de la existencia de un concentrador (PWRD en modo HUB) previo. En este modo de trabajo, el servicio procesará todas aquellas solicitudes encoladas desde el concentrador, devolviendo a este los resultados de las ejecuciones.

2 Consola WEB

La consola web de Pandora FMS tiene un fichero de configuración que se genera automáticamente durante la instalación. Su ubicación es: /consolepath/include/config.php. Por ejemplo en sistemas CentOS:

/var/www/html/pandora_console/include/config.php

2.1 Fichero de configuración config.php

Las opciones de configuración en el archivo están en la cabecera del mismo, y son las siguientes:

$config["dbname"]

Nombre de la base de datos de Pandora FMS. De forma predeterminada es pandora.

$config["dbuser"]

Nombre de usuario para la conexión a la base de datos de Pandora FMS. De forma predeterminada es pandora.

$config["dbpass"]

Contraseña para la conexión contra la base de datos de Pandora FMS.

$config["dbhost"]

Dirección IP o nombre del equipo donde se encuentra la base de datos de Pandora FMS. En instalaciones reducidas suele ser el mismo equipo donde está el servidor, esto es 127.0.0.1 o localhost.

$config["homedir"]

Directorio donde está instalada la consola web de Pandora FMS. Suele ser /var/www/pandora_console o /srv/www/htdocs/pandora_console.

$config["homeurl"]

Directorio base para Pandora FMS. Suele ser /pandora_console.

$config["public_url"]

Esta variable tiene el valor de la url del servidor interno para cuando usa un proxy inverso como por ejemplo mod_proxy de Apache.

2.1.1 Redirección hacia /pandora_console desde /

Si sólo tiene instalado un Pandora FMS en su servidor Apache, puede que le interese redirigir automáticamente a /pandora_console cuando los usuarios se conecten con la URL / de su servidor. Para ello puede crear el siguiente fichero index.html y ponerlo en el directorio raíz del servidor web (/var/www ó /srv/www/htdocs):

 <html>
 <head>
 <meta HTTP-EQUIV="REFRESH" content="0; url=pandora_console/index.php">
 </head>
 </html>

Volver a Indice de Documentación Pandora FMS