Versions Compared

Old Version 2

changes.mady.by.user David Labardin

Saved on

compared with

New Version Current

changes.mady.by.user Guillaume ROY

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Contexte

 

Il peut arriver qu'un réseau sécurisé soit complètement isolé du réseau central et que vous ayez besoin de

recevoir

distribuer les alertes des équipements et services supervisés de ce réseau isolé, vers le réseau central. 

Nous vous conseillons alors de mettre en place une

architecture

installation Shinken Entreprise sur ce réseau isolé (

qui sera également accessible depuis l'intérieur de ce réseau

dont la politique de supervision est définie par les administrateurs de ce réseau) et de

le

la faire dialoguer avec

le réseau

votre installation Shinken Entreprise Central.

Le

dialogue se fera via le mécanisme des commandes Event Handlers (gestionnaire d'évènements) ou OCSP/OCHP (Obsessive Compulsive Service Processor / Obsessive Compulsive Host Processor) qui permet de doubler toutes les commandes

concept est que l'installation déportée va pousser ses résultats vers l'installation centrale.

  • Le flux réseau ne sera donc ouvert que dans le sens Déporté vers Central.
  • Les installations dans des zones sécurisées n'auront donc pas de connexion entrante.

La solution proposée permettra de remonter n’importe quel résultat de checks ou d'hôtes

, par une autre commande définie dans le fichier de configuration central.

 

Panel
titleSommaire

Table of Contents

Mécanismes

Le choix du mécanisme est important dans votre architecture.

Les Event Handlers sont paramétrables par check et par hôtes, via l'UI de configuration, alors que les commandes OCSP et OCHP sont paramétrables de manière globale dans Shinken, via le fichier /etc/shinken/shinken.cfg

Si vous décidez d'envoyer absolument tous les résultats vers le Shinken central, de la même manière, via une même commande, alors les commandes OCSP et OCHP seront plus rapidement mises en place, et vous n'aurez pas à vous soucier d'un paramétrage par hôtes ou checks.

Par contre, si vous souhaitez n'envoyer que certains résultats vers le central, il sera plus judicieux de passer par les Event Handlers.

 

Les Event Handlers

Les Event Handlers sont expliqués dans la documentation ici. Leurs paramétrages est possibles 

 

OCSP (checks) /OCHP (hôtes)

Les options sont à définir dans /etc/shinken/shinken.cfg :

exemple : obsess_over_services=1 et obsess_over_hosts=1

Cette valeur détermine si Shinken va, à chaque exécution de la commande de supervision de l'hôte ou du service, exécuter une autre commande en suivant. Cette commande est également à définir de manière globale dans le fichier shinken.cfg.

Pour la commande "obsession" des checks : ocsp_command=obsessive_service_handler

 

Pour la commande "obsession" des hôtes : ochp_command=obsessive_host_handler

vers l'installation centrale.

  • Il s'agit cependant d'un contournement et une utilisation généralisée sur tous les éléments supervisés sera fastidieux.
  • Nous vous conseillons de faire des clusters et de remonter seulement les informations des clusters pour avoir une vue agrégée en central.

Prenons par exemple la surveillance de l'hôte H1 dans l'infrastructure Shinken du réseau isolé:

L'objectif est d'obtenir sur l'architecture centrale Shinken la réplique de H1 (avec un objet qui a exactement le même nom, et qui est en mode passif), et que son état en central soit un miroir des états réels déterminés depuis les Pollers/Scheduler du réseau isolé.

  • Le dialogue se fera via le mécanisme du Gestionnaire d'événements qui, si paramétré sur l'hôte ou le check, enverra une commande définie sur cet hôte ou ce check.
  • Ces commandes seront alors récupérées par le module ws-arbiter du daemon Receiver en central, et permettront le changement de l'état de l'hôte ou du check concerné.
  • Il faudra définir de chaque coté un élément avec le même nom (hôtes ou couple hôte/check) pour que la remontée d'information ait bien lieu.

 

 

 

 

Panel
titleSommaire

Table of Contents

Cette commande est exécutée après les commandes "Event Handler" et les commandes de notification. The command argument is the short name of a command definition that you define in your object configuration file.


Architecture


Panel
titleArchitecture Shinken Central / Distant

Image RemovedImage Added


Installation - Les étapes de mise en place

Pour cet exemple, basé sur le schéma ci dessus, le check C1 sur la supervision de l'hôte H1 qui du réseau isolé doit envoyer l'information en central, sur un le même nom de check de ld'hôte du même nom H1 (mirroirmiroir).

Récupération et extraction des données

Shinken Entreprise vous a transmis un fichier TAR.GZ contenant des dossiers et exécutables qui vous permettront de procéder à l'installation d'un Poller sur Windows.

Se connecter en administrateur sur le serveur, et extraire ce TAR.GZ sur le serveur Windows. (7Zip par exemple peut vous permettre d'effectuer cette extraction sur Windows)

 

Installations des dépendances

Afin de mettre en place le Poller il faut installer les dépendances suivantes (contenues à la racine du dossier):

  • python-2.7.6.amd64.msi [à installer en premier ]
  • pywin32-217.win-amd64-py2.7.exe
  • pycurl-7.19.3.1.win-amd64-py2.7.exe
  • egenix-pyopenssl-0.13.3.1.0.1.6.win-amd64-py2.7.msi
  • psutil-5.2.1.win-amd64-py2.7.exe

Note : laisser les chemins d'installations par défaut
 

Installation manuelle:

  • installation de CherryPy-3.2.4:
    • Ouvrir une commande DOS en Administrateur
    • Se déplacer dans le répertoire CherryPy-3.2.4 
    • Exécuter la commande c:\python27\python.exe setup.py install
  • Depuis l'explorateur Windows :
    • Copier le répertoire "shinken" vers C:\shinken
    • Copier tools\srvany.exe dans c:\shinken\srvany\ [remplacer le fichier]
    • Copier context.json dans c:\shinken\var [remplacer le fichier]
    • Ouvrir le fichier C:\shinken\var\context.json avec le bloc note

    Mise en place de l'architecture Shinken sur le réseau isolé

    • Installez Shinken Entrprise
    • Mettez en place la surveillance de l'hôte H1 avec une commande de supervision, par exemple la commande check-host-alive
    • Créez la commande qui enverra l'information au Receiver du réseau Shinken central, depuis l'interface de configuration - page des commandes :

    Dans notre exemple, pour un objet hôte, créons par exemple la commande ( dans l'interface de configuration ) ayant le nom "envoi-statut-hote" et avec la ligne de commande :

    Code Block
    curl -d "host_name=$HOSTNAME$&return_code=$SERVICESTATEID$" --data-urlencode "output=Statut de l hote recupere" http://IP-RECEIVER-CENTRAL:7760/push_check_result

    Si on doit effectuer l'envoi du statut d'un check, voici l'exemple de la commande ayant le nom "envoi-statut-check" et avec la ligne de commande :

    Code Block
    curl -d "host_name=$HOSTNAME$&service_description=$SERVICEDESC$&return_code=$SERVICESTATEID$" --data-urlencode "output=Statut du check recupere" http://IP-RECEIVER-CENTRAL:7760/push_check_result


    • sur H1: depuis l'interface de configuration, dans l'onglet Expert, activez le Gestionnaire d'événement (ou via un cfg passez la propriété event_handler_enabled à 1)
    • et sélectionnez la commande "envoi-statut-hote" pour la Commande lancée par le gestionnaire d’événement (ou via cfg, définie avec la propriété event_handler)


    Panel

    Image Added


    Paramétrage sur le réseau Central 

    • Configuration
      • Paramétrez votre module ws-arbiter
      • pensez bien à l'appeler depuis la définition de votre Receiver dans la propriété module.
      • Redémarrez Shinken pour la prise en compte du module.
    • Créez l'hôte H1 (attention, le nom doit être exactement le même que celui défini dans l'architecture Shinken du réseau isolé)
    • Passez H1 en mode Passif :
      • depuis l'interface de configuration, onglet Supervision,
        • via la propriété "Les commandes de vérifications sont ordonnancées et lancées par Shinken" à mettre à FAUX
        • et la propriété "Shinken accepte les états reçus depuis des outils externes pour cet hôte" à VRAI 
      • ou via un fichier de définition CFG ( utilisation d'une source d'import ) :
        •  active_checks_enabled 0
        • passive_checks_enabled 1


    Panel

    Image Added


    • Pour génèrer un retour CRITIQUE dans le cas ou l'hôte ne reçoit pas d'information externe, nous vous conseillons de définir la commande de supervision de H1 par la commande "Check Dummy" avec par exemple en argument : 2!Pas de données récentes recues 
      Pour un check, vous pouvez renvoyer un état UNKNOWN avec comme arguments : 3!Pas de données récentes recues

    • Pour que cette commande soit exécutée, dans l'onglet expert de H1, passez la propriété "Vérification que l'état reçu des outils externes ne soit pas expiré" à VRAI et passez la propriété "Seuil d'expiration des états reçus des outils externes ( x secondes )" à 300 (ou via CFG : check_freshness 1 et freshness_threshold 300 )

     


    Panel

    Image Added


    Et voila, à chaque changement d'états de l'hôte H1 du réseau isolé, la commande "envoi-statut-hote" sera lancée, et mettra à jour l'hôte de même nom sur le réseau central.

    Troubleshoot

    Commande manuelle

    Pour tester le bon fonctionnement du module ws-arbiter, vous pouvez exécuter simplement cette commande depuis un terminal :

    Code Block
    curl -d "host_name=mon_hote&return_code=0" --data-urlencode "output=Statut OK" http://IP-DU-RECEIVER:7760/push_check_result  

    Vérifiez alors que l'état de votre hôte depuis l'interface de visualisation de votre réseau Shinken Central a bien été modifié.

    Réseau

    Au minimum, pour faire communiquer les deux infrastructures, il faut autoriser une communication entre l'IP hébergeant le daemon Reactionner (port 7769) qui enverra les commandes d'Event Handler, et l'IP hébergeant le daemon Receiver (port 7773) à l'écoute des commandes

    Modifier la valeur current_version par la version de votre installation - par exemple : 02.04.00-137.fr

    Installation du service Automatique Windows 

     Ouvrir une commande DOS en Administrateur puis exécuter la commande :

    • sc create "Shinken-Poller" binpath= "c:\shinken\srvany\srvany.exe" DisplayName= "Shinken-Poller"
      • (ATTENTION: les espaces après les = sont nécessaires)

    Depuis l'explorateur Windows :

  • Importer le fichier poller.reg dans votre registre en double cliquant dessus
  • Depuis la console MMC des services Windows (depuis les Outils d'Administration ou via la commande services.msc), changer le service Shinken-Poller en "Automatique" depuis les propriétés du service et changer le compte qui va exécuter le service (via un compte administrateur local ou de domaine)
  • Démarrer alors le service en cliquant sur "démarrer" sur la ligne du service Shinken-Poller de la console MMC ou via la commande : net start Shinken-Poller
    • Vérifier qu'il est lancé avec :
  • 1/ le log C:\shinken\var\pollerd.log
  • 2/ le port 7771 qui doit être ouvert, vérifiable avec netstat -an
    • 3/ une fois le nouveau Poller déclaré en configuration, depuis votre installation centrale, exécuter la commande shinken-healthcheck : vos Pollers doivent être valides et accessibles.Note : une à deux minutes sont parfois nécessaires afin que la configuration soit diffusée

    Mise à jour

    Stopper le daemon poller:

    • net stop Shinken-Poller

    Afin de mettre à jour une ancienne installation, il est nécessaire de mettre à jour une nouvelle dépendance qui n'était pas installée à l'origine:

    • psutil-5.2.1.win-amd64-py2.7.exe

    De plus, il faut placer le fichier context à son emplacement:

    • Copier context.json dans c:\shinken\var [remplacer le fichier]
    • Ouvrir avec le bloc note C:\shinken\var\context.json et modifier la valeur current_version par la version de votre installation - par exemple : 02.04.00-137.fr

    Il faut supprimer l'ancien code de Shinken en supprimant le dossier suivant:

    • c:\shinken\shinken
      ATTENTION: il ne faut PAS supprimer le répertoire c:\shinken en entier, mais seulement le répertoire "shinken" à l'intérieur.

    Il faut placer le nouveau code shinken:

    • windows - XXX\shinken\shinken à copier dans c:\shinken\shinken
    • Vérifier que le fichier c:\shinken\shinken\daemon.py est bien présent (pour vérifier que les répertoires sont au bon endroit).

    Relancer le daemon avec:

    • net start Shinken-Poller

    Troubleshooting

    Configuration SSL

    Pour paramétrer le daemon en SSL, il faut modifier le fichier c:\shinken\etc\daemons\pollerd-windows.ini et modifier le bloc suivant #-- HTTPS  configuration --

    Vous pourrez alors activer le SSL et paramétrer vos certificats.

     

    Démarrage manuel du Poller - pour test

     Si le service Windows ne démarre pas, pour débugger, vous pouvez lancer le démarrage du Poller, ouvrir une commande DOS en Administrateur et tester le démarrage en exécutant la commande:

    c:\Python27\python.exe c:\shinken\bin\shinken-poller.py -c c:\shinken\etc\daemons\pollerd-windows.ini

    Réseau

    Bien vérifier que la communication réseau entre votre architecture Shinken et ce nouveau Poller Windows est opérationnelle.
    En effet, un firewall pourrait bloquer des communications importantes, ce qui pourrait provoquer des problèmes entres les différents démons.
    Le port d'écoute 7771 doit être également ouvert sur le Poller Windows.
    Si besoin, suivant les définitions des démons de votre configuration, la résolution de nom doit également permettre au Poller Windows de communiquer avec les autres démons et inversement.

    Droits

    Lors de vos installations, bien penser à être connecté en administrateur local de la machine, ou administrateur du domaine si le serveur est sur un domaine.