Versions Compared

Old Version 9

changes.mady.by.user David Labardin

Saved on

compared with

New Version 10

changes.mady.by.user Jroy

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Contexte

Il peut arriver qu'un réseau sécurisé soit complètement isolé du réseau central et que vous ayez besoin de distribuer les alertes des équipements et services supervisés de ce réseau isolé, vers le réseau central. 

Nous vous conseillons alors de mettre en place une architecture installation Shinken Entreprise sur ce réseau isolé ( qui sera également accessible depuis l'intérieur de ce réseau dont la politique de supervision défini par les administrateurs de ce réseau) et de la faire dialoguer avec votre architecture installation Shinken en Entreprise Central. En suivant cette procédure, il sera possible de n'autoriser au minimum qu'un seul flux réseau (entre 2 IP spécifiques), dans le sens réseau isolé vers réseau central.

Prenons par exemple la surveillance de l'hôte H1 dans l'infrastructure Shinken du réseau isolé.
L'objectif est d'obtenir sur l'architecture centrale Shinken la réplique de H1 (avec un objet qui a exactement le même nom, et qui est en mode passif), et que son état en central soit un miroir des états réels déterminés depuis les Pollers/Scheduler du réseau isolé.

Le dialogue pourra se faire via le mécanisme des commandes Event Handlers (gestionnaire d'évènements) qui, si paramétrés sur l'hôte ou le check, enverra une commande définie sur cet hôte ou ce check.

Ces commandes seront alors récupérées par le module ws-arbiter du daemon Receiver en central, et permettront le changement de l'état de l'hôte ou du check concerné.

 

 

 

 

Panel
titleSommaire

Table of Contents

Architecture

Panel
titleArchitecture Shinken Central / Distant

Installation - Les étapes de mise en place

Pour cet exemple, basé sur le schéma ci dessus, la supervision de l'hôte H1 du réseau isolé doit envoyer l'information en central, sur le même nom de d'hôte H1 (miroir).

Mise en place de l'architecture Shinken sur le réseau isolé

  • Installez Shinken
  • Mettez en place la surveillance de l'hôte H1 avec une commande de supervision, par exemple la commande check-host-alive
  • Créez la commande qui enverra l'information au Receiver du réseau Shinken central, depuis l'interface de configuration - page des commandes :

Dans notre exemple, pour un objet hôte, créons par exemple la commande ayant le nom "envoi-statut-hote" et avec la ligne de commande :

Code Block
curl -d "host_name=$HOSTNAME$&return_code=$SERVICESTATEID$" --data-urlencode "output=Statut de l hote recupere" http://IP-RECEIVER-CENTRAL:7760/push_check_result

Si on doit effectuer l'envoi du statut d'un check, créons par exemple la commande ayant le nom "envoi-statut-check" et avec la ligne de commande :

Code Block
curl -d "host_name=$HOSTNAME$&service_description=$SERVICEDESC$&return_code=$SERVICESTATEID$" --data-urlencode "output=Statut du check recupere" http://IP-RECEIVER-CENTRAL:7760/push_check_result
  • sur H1: depuis l'interface de configuration, dans l'onglet Expert, activez le Gestionnaire d'événement (ou via un cfg passez la propriété event_handler_enabled à 1) et sélectionnez la commande "envoi-statut-hote" pour la Commande lancée par le gestionnaire d’événement (ou via cfg, définie avec la propriété event_handler)

Paramétrage sur le réseau Central 

  • Paramétrez votre module ws-arbiter et pensez bien à l'appeler depuis la définition de votre Receiver dans la propriété module. Redémarrez Shinken pour la prise en compte du module.
  • Créez l'hôte H1 (attention, le nom doit être exactement le même que celui défini dans l'architecture Shinken du réseau isolé)
  • Passez H1 en mode Passif : depuis l'interface de configuration, onglet Supervision, via la propriété "Les commandes de vérifications sont ordonnancées et lancées par Shinken" à mettre à FAUX et "Shinken accepte les états reçus depuis des outils externes pour cet hôte" à VRAI  (ou via CFGactive_checks_enabled 0 et passive_checks_enabled 1)
  • Pour génèrer un retour CRITIQUE dans le cas ou l'hôte ne reçoit pas d'information externe, nous vous conseillons de définir la commande de supervision de H1 par la commande "Check Dummy" avec par exemple en argument : 2!Pas de données récentes recues 
    Pour un check, vous pouvez renvoyer un état UNKNOWN avec comme arguments : 3!Pas de données récentes recues
  • Pour que cette commande soit exécutée, dans l'onglet expert de H1, passez la propriété "Vérification que l'état reçu des outils externes ne soit pas expiré" à VRAI et passez la propriété "Seuil d'expiration des états reçus des outils externes ( x secondes )" à 300 (ou via CFG : check_freshness 1 et freshness_threshold 300 )

 

Et voila, à chaque changement d'états de l'hôte H1 du réseau isolé, la commande "envoi-statut-hote" sera lancée, et mettra à jour l'hôte de même nom sur le réseau central.

 

Troubleshoot

Commande manuelle

Pour tester le bon fonctionnement du module ws-arbiter, vous pouvez exécuter simplement cette commande depuis un terminal :

Code Block
curl -d "host_name=mon_hote&return_code=0" --data-urlencode "output=Statut OK" http://IP-DU-RECEIVER:7760/push_check_result  

Vérifiez alors que l'état de votre hôte depuis l'interface de visualisation de votre réseau Shinken Central a bien été modifié.

Réseau

Au minimum, pour faire communiquer les deux infrastructures, il faut autoriser une communication entre l'IP hébergeant le daemon Reactionner (port 7769) qui enverra les commandes d'Event Handler, et l'IP hébergeant le daemon Receiver (port 7773) à l'écoute des commandes.