Primeros Pasos en Pandora FMS
Primeros Pasos en Pandora FMS Controla los equipos de tu Red. Javier Sáenz Romero Primeros Pasos en Pandora FMS Págin
Views 100 Downloads 1 File size 1MB
Recommend stories
- Author / Uploaded
- Javier Sáenz Romero
Citation preview
Primeros Pasos en Pandora FMS Controla los equipos de tu Red. Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 2 de 28
Contenido Introducción a Pandora FMS ....................................................................................................4 ¿Qué es Pandora FMS (Flexible MonitoringSystem)? ...........................................................4 ¿Qué no es Pandora FMS? ....................................................................................................4 Más información. ..................................................................................................................4 Mediante agentes (software que necesita instalación) ......................................................4 Monitorización remota ..................................................................................................... 5 Arquitectura de Pandora FMS ..................................................................................................6 Los servidores de Pandora FMS ............................................................................................6 Servidor de Datos .............................................................................................................6 Servidor de Red ................................................................................................................6 Servidor de SNMP (también conocida como Consola de Traps SNMP) ............................. 7 Servidor de WMI ............................................................................................................... 7 Servidor de reconocimiento .............................................................................................. 7 Servidor de Complementos (Plugins) ................................................................................ 7 Consola Web de Pandora FMS .............................................................................................. 7 Base de datos de Pandora FMS............................................................................................. 7 Agentes Software de Pandora FMS ...................................................................................... 7 Agente .............................................................................................................................. 7 Después de Monitorear ............................................................................................................9 Enunciado Práctica ...................................................................................................................9 AGENTES .............................................................................................................................9 MONITORIZACIÓN ..............................................................................................................9 INFORMES ...........................................................................................................................9 GRAFICAS ............................................................................................................................9 MAPAS DE RED ....................................................................................................................9 Solucionario ........................................................................................................................... 10 INSTALACIÓN .................................................................................................................... 10 IDIOMA .............................................................................................................................. 12 AGENTES ........................................................................................................................... 13 MONITORIZACIÓN ............................................................................................................ 16 INFORMES ......................................................................................................................... 18 GRAFICAS .......................................................................................................................... 19 MAPAS DE RED ..................................................................................................................20
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 3 de 28
Alertas ................................................................................................................................20 HOST ALIVE ....................................................................................................................... 21 CONTROL REMOTO VNC ..................................................................................................22 EXTRA .................................................................................................................................... 25 ESTADO SERVIDOR ........................................................................................................... 25 Test de Conocimientos ...........................................................................................................26 Referencias.............................................................................................................................28
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 4 de 28
Introducción a Pandora FMS ¿Qué es Pandora FMS (Flexible MonitoringSystem)? Pandora FMS, es un sistema que nos ayuda a monitorizar nuestros sistemas y aplicaciones, tanto para monitorizar nuestro software y hardware. Pandora es flexible puesto que es multiplataforma, modular y abierto. Se puede adaptar a todo tipo de entorno tanto software como hardware.
¿Qué no es Pandora FMS? Pese a que pandora recolecta información, no es un sistema o herramienta de análisis de logs. Pandora no es un sistema de detección de intrusos pero si nos sirve para detectar equipos caídos y puertos abiertos y cerrados. Pese a que ofrece tiempos de respuesta relativamente cortos (+5 segundos), no es un sistema de monitorización en tiempo real.
Más información. Pandora nos proporciona información sobre el estado de sistemas operativos, servidores, aplicaciones y sistemas hardware, tal como: cortafuegos, proxies, bases de datos, servidores web, VPN, routers, switches, procesos, servicios, acceso remoto a servidores, etc. Por regla general, se usa un agente que se a de instalar sobre un sistema operativo, actualmente soporta sistemas de Windows, Linux, Mac, Solaris, BSD, etc, pero no sólo recolecta información mediante agentes, sino que mediante SNMP y pruebas de red (TCP, ICMP) puede monitorizar cualquier sistema hardware con conectividad TCP/IP, como balanceadores de carga, routers, switches, impresoras, etc. Algunos ejemplos de implementaciones ya existentes pueden ser los siguientes:
Mediante agentes (software que necesita instalación) • • • • • • • • • • • • • • • •
Número de conexiones (sesiones) de Checkpoint FW-1. Número de sesiones de NAT de Checkpoint FW-1. Número de conexiones del cortafuegos para GNU/Linux NetFilter/IPTables. Número de paquetes registrados en FW-1. Número de paquetes descartados en FW-1. Número de paquetes aceptados en FW-1. Estado de la alta disponibilidad de FW1 NG. Ultima política instalada en un modulo de Firewall-1. Estado de la sincronización de los módulos de FW1 NG. CPU del sistema: idle, user y system. Número de procesos del sistema. Temperatura de la CPU de un sistema. Valor de un registro Windows. Procesos en cola de un dispatcher genérico. Memoria del sistema: libre, swap, kernel FW-1, caché, etc. Porcentaje de espacio libre en disco (por diferentes particiones).
Javier Sáenz Romero
Primeros Pasos en Pandora FMS • • • • • • • • • • •
• • • • • •
Página 5 de 28
Mensajes procesados por una puerta de enlace de correo. Existencia de una cadena en un archivo de texto. Tráfico por IP (filtrando según las conexiones del cortafuegos). Visualizaciones de páginas en servidores HTTP (Apache, iPlanet, IIS, etc.). Porcentaje de paquetes erróneos en una puerta de enlace. Conexiones establecidas en un servidor de acceso remoto (RAS). Tamaño de un fichero concreto. Sesiones abiertas por un servidor VPN. Rendimiento MySQL: consultas e inserciones por segundo, nivel de caché empleada,acierto de caché, consultas lentas y sesiones simultáneas. Eventos proporcionados por IDS (Snort) hasta seis niveles de prioridad o por grupos. Número de conexiones locales (TCP, UDP, sockets UNIX) y estadísticas detalladas de lacapa de red del S.O. (fragmentación de paquetes, pérdidas, paquetes marcianos, y otrosmuchos tipos de anomalías detectadas por el kernel). Tiempo de latencia ICMP hacia un equipo. Tasa de transferencia media en una herramienta de transferencia de ficheros. Numero de peticiones DNS atendidas por un servidor (incluyendo tipos). Numero de sesiones FTP atendidas por un servidor FTP. Estado de cualquier proceso/servicio activo en el sistema. Estado de cualquier parámetro cuantificable del sistema.
Monitorización remota • • • •
• • • • •
Conocer si un sistema responde a PING (si está activo o no). Conocer el tiempo de latencia de un sistema (en milisegundos). Saber si un puerto remoto TCP esta abierto o no. Conocer el estado de un sistema remoto TCP en función de una respuesta a una cadenaenviada. Por ejemplo, esto vale para saber si la versión SSH de un sistema remoto estáactivo y no ha cambiado. Esto también valdría para verificar que una página Web no ha sido alterada y queresponde bien. Otra implementación válida sería simplemente para tomar un dato de una aplicaciónWeb. Obtener información mediante SNMP. Saber si un puerto remoto UDP responde. Conocer si una página web ha cambiado su contenido (posible defacement). Pronosticar posibles errores gracias a su sistema de predicción. Cualquier consulta de un registro de Windows (a través de WMI), como por ejemplo: Valor de cualquier registro de Windows Cambios en el sistema de auditoría de Windows CPU del sistema Windows Traza del núcleo de Windows
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 6 de 28
Arquitectura de Pandora FMS
Como se puede ver en el esquema, la parte principal de Pandora FMS, es una base de datos SQL en la cual los componentes de Pandora guardan los datos recolectados.
Los servidores de Pandora FMS Los servidores de Pandora FMS son los elementos encargados de realizar las comprobaciones existentes. Ellos las verifican y cambian el estado de las mismas en función de los resultados obtenidos. También son los encargados de disparar las alertas que se establezcan para controlar el estado de los datos.
Servidor de Datos Procesa la información enviada por los agentes Software, no funciona de forma remota. Los agentes Software envían los datosXML al servidor por medio de diferentes formas de envío (FTP, SSH, o Tentacle) y el servidorverifica periódicamente si tiene nuevos ficheros de datos esperando a ser procesados. Esteproceso utiliza un directorio del disco como "cola" de elementos a procesar. Una vez procesados si es necesario crea una alerta o ejecuta el comportamiento definido.
Servidor de Red Ejecuta tareas de monitorización remota a través de la red: pruebas ICMP (Ping, tiempos de latencia), peticiones TCP y peticiones SNMP. Cuando se asigna un agente a un servidor, se está asignando a un servidor de red, no a un servidor de datos, así que es muy importante que las máquinas que ejecutan los servidores de red tengan «visibilidad de red» para poder ejecutar las tareas de monitorización de red asignadas a los mismos. Es decir, que si va a hacer pings a sistemas de una red determinada, el servidor de red pueda llegar a esa red.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 7 de 28
Servidor de SNMP (también conocida como Consola de Traps SNMP) Este servidor utiliza el demonio standard del sistema de recolección de traps, snmptradp. Este demonio recibe traps SNMP y el servidor SNMP de Pandora FMS los procesa y almacena en la base de datos. Cuando los procesa y analiza, también puede lanzar las alertas asignadas en la consola SNMP de la consola de Pandora FMS.
Servidor de WMI
WMI es un standard de Microsoft para obtener información del sistema operativo y aplicaciones de entornos Microsoft Windows. Pandora FMS tiene un servidor dedicado para realizar llamadas nativas WMI de forma centralizada. Con él se pueden recoger datos de sistemas Windows deforma remota, sin agente.
Servidor de reconocimiento Utilizado para explorar regularmente la red y detectar nuevos sistemas en funcionamiento. El servidor de reconocimiento también puede aplicar una plantilla de monitorización para aquellos sistemas detectados recientemente y aplicar automáticamente los módulos predefinidos en esa plantilla para que se puedan utilizar para monitorizar inmediatamente el nuevo sistema. Utilizándolas aplicaciones de sistema nmap, xprobe y traceroute es capaz de identificar sistemas por su Sistema Operativo, en función de los puertos abiertos y establecer la topología de red en función de los sistemas que ya conoce.
Servidor de Complementos (Plugins)
Permite al usuario añadir complementos propios desarrollado en cualquier lenguaje de programación y usarlos como si de uno nativo se tratase de forma centralizada.
Consola Web de Pandora FMS Es la interfaz de usuario de Pandora FMS. Esta consola de administración y operación permite a diferentes usuarios, con diferentes privilegios, controlar el estado de los agentes, ver información estadística, generar gráficas y tablas de datos así como gestionar incidencias con su sistema integrado. También es capaz de generar informes y definir de forma centralizada nuevos módulos, agentes, alertas y crear otros usuarios y perfiles.
Base de datos de Pandora FMS Pandora FMS utiliza una base de datos MySQL. Estos datos se gestionan automáticamente desde Pandora FMS, llevando a cabo un mantenimiento periódico y automático de la base de datos, esto permite que Pandora FMS no requiera ningún tipo de administración de base de datos ni proceso manual asistido por un operador o administrador. Esto se realiza por medio de una purga periódica de los datos pasada una fecha (90 días de forma predeterminada), así como una compactación de los datos que tienen más de un número determinado y configurable de días de antigüedad (30 días de forma predeterminada).
Agentes Software de Pandora FMS Anteriormente hemos hablado de los agentes Pandora, ahora los describiremos mas en profundidad. Los agentes es el software o hardware que instalamos en un equipo que se encarga de recolectar información para mas tarde enviársela al servidor Pandora FMS.
Agente Estos realmente son un cliente del servidor Pandora FMS, un agente a secas, simplemente tiene asociadas unas funciones que deseamos monitorizar. Estos,
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 8 de 28
pueden tener módulos asociados de forma remota y local. Los módulos de tipo remoto son ejecutados por el servidor que obtienen la información y los de tipo local obtienen los datos por el servidor de datos. Dentro de los agentes, debemos diferenciar dos tipos:
Agente software: Estos agentes, se encargan de monitorear datos como por ejemplo el uso de CPU, disco duro, etc y lo envía al servidor de datos mediante un fichero XML a través del protocolo Tentacle (protocolo para transmisión de pequeños archivos que pretende sustituir a ssh para pequeñas cosas como esta), aunque puede usar SSH o FTP. Estos datos son monitoreados del sistema en el que están instalados pero se puede configurar para que lo haga de otros remotamente, de esta forma pasaría a ser un agente satélite.
Agente Hardware: Pandora FMS tiene un agente físico montado sobre un routerAsus y un autómata Arduino. Este tándem junto con los sensores conectados consigue, por el momento, monitorizar las siguientes características ambientales: • Humedad • Temperatura • Luz ambiental • Presencia
Los sensores se pueden calibrar fácilmente al ser electrónicos, y sus valores también son fácilmente procesables por Pandora FMS. El hecho de que el sensor sea un router con características inalámbricas abre un mundo de posibilidades a este tipo de sensores, ya presentes en algunos CPD de empresas españolas.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 9 de 28
Después de Monitorear Una vez que ya hemos obtenido la información, debemos tratarla. Para ello Pandora FMS, nos da la posibilidad de realizar informes, alertas para que con un estado determinado nos envíe por ejemplo un correo. Podemos sacar estadísticas respecto a los eventos que ocurran en nuestros sistemas y gráficas para poder ver las estadísticas de forma visual.
Enunciado Práctica INSTALACIÓN Descarga la maquina virtual de PANDORA FMS y configura su consola de administración. Puedes descargarla desde la web oficial de pandora FMS.
IDIOMA En primer lugar, cambiaremos el idioma de Pandora para entendernos mejor, y por motivos de seguridad la contraseña que viene por defecto.
AGENTES Instala un agente en un cliente Windows y otro en Linux, si lo deseas también puedes instalar otro en tu móvil. Podrás encontrar todo lo necesario en la web oficial. Observa los cambios surgidos en el servidor.
MONITORIZACIÓN Monitoriza el uso de CPU y memoria RAM del nuevo agente windows y crea alertas de rendimiento. Observa el nuevo evento. Debes crear un evento pandora FMS y este debe ocurrir un mínimo de 2 veces y un máximo de 5 para que realice la acción.
INFORMES Crea un informe sobre el estado del equipo agente, en el aparecerán los eventos del agente y sus alertas.
GRAFICAS Crea una gráfica que muestre el estado de la CPU del agente Linux.
MAPAS DE RED Crea un mapa de tu red en el cual se vean los equipos que existen. Alertas En un cliente Linux con el servidor ssh arrancado, ¿como identifica pandora la gravedad de la alerta? HOST ALIVE Comprueba de forma permanente si los equipos de trabajo están encendidos. CONTROL REMOTO VNC Controla remotamente un equipo agente.
EXTRA ESTADO SERVIDOR En un agente con un servidor Apache, chequea que todo funciona bien, no que solo este escuchando en el puerto adecuado.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 10 de 28
Solucionario INSTALACIÓN Descarga la maquina virtual de PANDORA FMS y configura su consola de administración. Puedes descargarla desde la web oficial de pandora FMS.
En primer lugar, debemos aceptar la licencia de uso, seguiremos indicando el hostname del equipo.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 11 de 28
Una vez ya arrancada la maquina, debemos confirmar cual es la ip del equipo para luego acceder a ella por un navegador web.
Puedes encontrar las contraseñas de la maquina virtual en la wikipedia.
Una vez que ya hemos accedido podemos ver la pantalla principal de Pandora FMS.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 12 de 28
IDIOMA En primer lugar, cambiaremos el idioma de Pandora para entendernos mejor, y por motivos de seguridad la contraseña que viene por defecto.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 13 de 28
AGENTES Instala un agente en un cliente Windows y otro en Linux, si lo deseas también puedes instalar otro en tu móvil. Podrás encontrar todo lo necesario en la web oficial. Observa los cambios surgidos en el servidor.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 14 de 28
En el grupo del agente, debemos especificar a que grupo de los que tenemos creados en el servidor debe pertenecer. Esto servirá para que se le apliquen diferentes políticas de por defecto. Durante la instalación, también deberemos especificar la ip del servidor Pandora FMS.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 15 de 28
Para el agente de Linux, debemos instalar el paquete descargado y en el fichero pandora_agent.conf debes dar la ip del servidor pandora. Despues reinicia el agente y listo.
En la opción “ver agentes” podremos ver servidor.
Javier Sáenz Romero
los cambios surgidos en el
Primeros Pasos en Pandora FMS
Página 16 de 28
MONITORIZACIÓN Monitoriza el uso de CPU y memoria RAM del nuevo agente windows y crea alertas de rendimiento. Observa el nuevo evento. Debes crear un evento pandora FMS y este debe ocurrir un mínimo de 2 veces y un máximo de 5 para que realice la acción.
En la siguiente imagen podemos ver los dos eventos y su estado, en este caso verde, pues la alerta no esta configurada con los valores adecuados.
Ahora debemos modificar la alerta para definir el estado de advertencia.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 17 de 28
En la imagen podemos ver que cuando se ha actualizado cambia el color del estado.
En el visor de eventos podemos ver como está el nuevo evento.
Puedes desplegar el evento y observarlo mas en profundidad.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 18 de 28
INFORMES Crea un informe sobre el estado del equipo agente, en el aparecerán los eventos del agente y sus alertas. Para crear el informe, primero debemos acceder al menú creador de informes dentro del gestor de informes.
Después debemos editarla con el botón con forma de llave inglesa en la parte superior.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 19 de 28
GRAFICAS Crea una gráfica que muestre el estado de la CPU del agente Linux. Deberemos acceder al menú constructor de gráficos dentro del gestor de informes.
Debemos seleccionar el agente sobre el cual se basará la gráfica y después el tipo de gráfica.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 20 de 28
MAPAS DE RED Crea un mapa de tu red en el cual se vean los equipos que existen.
En el menú ver agentes, encontramos el submenú mapas de red y deberemos pulsar el + marcado en la imagen anterior.
Alertas En un cliente Linux con el servidor ssh arrancado, ¿como identifica pandora la gravedad de la alerta? Cuando todo esta bien, esta de color verde, cuando hay algo raro pasa a color amarillo y si es grave pasa a color rojo.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 21 de 28
HOST ALIVE Comprueba de forma permanente si los equipos de trabajo están encendidos. En la configuración del agente, en la parte indicada en la imagen inferior, deberemos seleccionar “Crear un modulo de módulos de red”,
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 22 de 28
CONTROL REMOTO VNC Controla remotamente un equipo agente. En primer lugar, debemos instalar en el equipo ha manejar un servidor de VNC.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 23 de 28
Solamente deseamos instalar el servidor VNC, pues el cliente no nos hace falta pues el usuario de ese equipo no tiene que conectarse a ningún otro.
Una vez instalado y configurado de forma correcta, podremos utilizar el botón de VNC y manejar el agente.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Javier Sáenz Romero
Página 24 de 28
Primeros Pasos en Pandora FMS
Página 25 de 28
EXTRA ESTADO SERVIDOR En un agente con un servidor Apache, chequea que todo funciona bien, no que solo este escuchando en el puerto adecuado.
Especificaremos la ip del servidor HTTP que deseamos comprobar que esta funcionando correctamente.
Ahora paramos el servidor apache y comprobamos como nos da la alerta.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 26 de 28
Afianza tus conocimientos Test de Conocimientos 1. ¿Cual a. b. c. d.
es el componente principal de Pandora FMS? La base de datos. El servidor de red. El servidor WMI. El servidor de complementos.
2. Un agente hardware puede monitorear: a. El uso de CPU. b. El uso de disco duro. c. El tráfico de red. d. La humedad. 3. ¿Cual es el protocolo por el cual envía Pandora los datos al servidor por defecto? a. SSH. b. Tentacle. c. FTP. d. SNMP 4. En que formato envía pandora la información monitoreada. a. PDF b. Texto plano. c. XML. d. Ninguno de los anteriores.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 27 de 28
5. ¿De qué dos formas puede obtener información Pandora FMS? a. Mediante agentes y monitorización remota. b. De forma centralizada. c. Por broadcast. d. De ninguna de las anteriores. 6. ¿Cuál a. b. c. d.
de las siguientes afirmaciones es correcta? La base de datos por defecto en Pandora es MySQL. El cliente es el que realiza las alertas. El servidor solo trata datos en formato PDF. Todas son incorrectas.
7. ¿Qué protocolo usa Pandora para obtener de forma remota información de la red? a. SNMP. b. SSH. c. Tentacle. d. Ninguno de los anteriores. 8. ¿Cuál a. b. c. d.
de las siguientes no es una característica de Pandora FMS? Modular. Flexible. Multiplataforma. Cerrado.
9. ¿Cuál a. b. c. d.
de las siguientes afirmaciones es cierta sobre el servidor de datos? Procesa la información enviada por los agentes Software. Ejecuta tareas de monitorización remota a través de la red. No puede crear alertas si fuese necesario. Todas son falsas.
10. ¿Qué es cierto sobre el servidor de complementos (plugins)? a. Permite al usuario añadir complementos propios y usarlos como si de uno nativo se tratase de forma centralizada. b. Solo permite usar los complementos de Pandora FMS. c. Solo admite plugins programados en java. d. Ninguno de los anteriores habla del servidor de complementos.
Javier Sáenz Romero
Primeros Pasos en Pandora FMS
Página 28 de 28
Referencias
http://pandorafms.org/index.php?sec=project&sec2=downloads&lang=es http://es.wikipedia.org
Este documento está protegido por una licencia CreativeCommons, al igual que pido que se respete dicha licencia pido que si infrinjo alguna licencia se me comunique por el correo electrónico [email protected] para corregirlo. Si fuera el caso pido disculpas anticipadas. También pongo el correo a disposición de interesados, dudas o posibles correcciones.
Primeros pasos en Pandora FMS por Javier Sáenz Romero se encuentra bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 3.0 Unported.
Javier Sáenz Romero