| Scroll Ignore | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
Rôle
Le Synchronizer met à disposition une interface web pour gérer les éléments ( hôtes, checks
... )
en supervision et la politique de supervision.
Il permet aussi d'automatiser la collecte d'information pour mettre en supervision plus rapidement des équipements, ou détecter des modifications sur les écouteurs existants.
Les modules sources qui permettent de "collecter" ces informations sont
répartis en 3 types:
- collecteurs
- Interroge une source et collecte les informations des éléments
- Interroge une source et collecte les informations des éléments
- Les
- écouteurs
- Reçoivent des messages venant de l’extérieur pour ajouter de
- nouveaux éléments ou modifier des éléments existants.
- nouveaux éléments ou modifier des éléments existants.
- Les
Les collecteurs
Active Directory / OpenLDAP
La découverte de l'Active Directory ou OpenLDAP se fait avec un compte domaine et ne nécessite qu'un accès en lecture. La connexion peut être faite dans LDAPS pour être sûr sûre que la connexion est sécurisée.
Il est possible de définir un niveau haut d'organisation ( OU = Organizational Unit ) afin de lister les éléments seulement sous ce niveau.
Les informations que ce module récupère sont les noms de serveurs, FDQN, l'OS du serveur, et si il s’il est défini, son entrée entré LDAP et son emplacement. La Voir la configuration pour de la source Collecteur de type ldap-import ( pour Active Directory est située ici et OpenLDAP ici.) et Collecteur de type ldap-import ( pour Open LDAP )
VMWare
La découverte VSphere est faite pour trouver les serveurs physiques ( ESX ) et leurs serveurs virtuels.
- Elle va également récupérer leur OS et leur adresse IP, mais seulement si les outils VMware sont activés et tournent sur le serveur virtuel.
- La connexion du Synchronizer vers VMware connexion se fait toujours
- par le serveur VSphere, et
- nécessite qu'un accès en lecture.
- Le
- collecteur ne nécessite pas un accès direct aux serveurs ESX.
- La communication de Shinken Enterprise vers VSphere se fait
- sur une API SOAP de VMWare, à travers une connexion HTTPS.
Pour configurer cette source voir Collecteur de type synchronizer-collector-vmware ( Pour ESX et VSphere ).
Import de Fichiers ( Nagios / Shinken Framework )
Fichiers de configuration Nagios ou Shinken FrameworkShinken Enterprise est capable de charger des fichiers de configuration Nagios ou Shinken Framework.
- Il va automatiquement charger les objets définis.
Scan réseau
Pour configurer cette source, voir : Importer ses propres fichiers CFG.
Scan réseau ( Scan NMAP )
La découverte par La découverte via scan réseau est optionnelle. Elle se fait via une commande nmap, lancée par le Synchronizer.
- Les scans sont faits sur les ports TCP et UDP.
- Il va également essayer de récupérer des données complémentaires depuis les serveurs ou les services qui tournent dessus ( il utilise l'option -O dans la commande nmap ).
Pour configurer cette source, voir : Collecteur (discovery-import) Import depuis un scan réseau.
Synchronizer-collector-linker ( Récupérer les hôtes d'un autre Shinken )
Dans le cas de 2 installations Shinken ou plus, il est possible que la première récolte les hôtes de la deuxième.
- Le synchronizer-collector-linker du premier Shinken va communiquer avec le listener-shinken du deuxième afin de récupérer tous les hôtes de celui-ci.
Cela peut être pratique dans le cas de contraintes de sécurité :
Exemple:
- Le Shinken 1 peut faire un scan réseau.
- Le Shinken 2 lui n'a pas le droit.
- Le Shinken 2 interroge le Shinken 1 pour avoir des hôtes découverts.
Pour configurer cette source, ( voir la page Collecteur de type ( synchronizer-collector-linker ) - Import depuis un autre Synchronizer). La configuration pour cette source est située dans une autre page.
Les écouteurs
Un écouteur est une source qui reçoit des informations à partir d'une application tierce. Cette
Ces source est sont donc à l'écoute de nouveaux éléments grâce à des appels réseaux réseau ( par exemple une API Rest ).
Les Analyseurs
Les Analyseurs analyseurs permettent de remonter des informations depuis les hôtes après avoir exécuté des scripts d'analyses.
Les Analyses analyses peuvent être lancés lancées depuis des hôtes déjà présent présents dans Shinken, afin d'enrichir les données présentes ou bien depuis une plage réseau.
Stockage de données dans la configuration
Toutes les données découvertes par le Synchronizer sont stockées dans une base Mongodb.
Si possible, il est préférable que la base soit sur le même serveur que le Synchronizer.
Elle ; elle n'est pas partagée avec d'autres démons, donc ses communications doivent être limitées au serveur local.
Configuration
Configuration de l'interface et de ses accès
Résumé des connexions du Synchronizer
Connexions du démon
Ces connexions sont établies au démarrage du démon Synchronizer et du démon Arbiter :
L'interface de configuration est stockée par le Synchronizer, et utilise un autre port TCP pour l'UI de visualisation. Vous pouvez utiliser 2 systèmes d’accréditation:
- gestion directe dans l'interface de configuration
- gestion des droits avec les comptes Active directory ou OpenLDAP. Le démon va alors utiliser les connexions LDAP pour vérifier les autorisations. La procédure est ici.
Les utilisateurs non-admin auront une visibilité restreinte sur les hôtes auxquels ils sont attachés directement, ou au groupe auquel ils sont rattachés.
Cette interface utilise la même base Mongodb que le Synchronizer. Le port par défaut est le 7766.
Plus d'information sur le paramétrage de l'interface de configuration ici.
Résumé des connexions du Synchonizer| Source | Destination | Port | Protocole | Note |
|---|---|---|---|---|
| Arbiter | Synchronizer | 7765 | HTTP/HTTPS | |
| Synchronizer | Synchronizer | 27017 | TCP/IP | Accès à la base Mongo |
Connexions possibles liées aux différentes sources
Ces connexions n'auront lieu que si les sources sont utilisées sur le Synchronizer :
| Source | Connexion à | Type de source ( module_type ) | Port | Protocole | Note |
|---|---|---|---|---|---|
| Synchronizer | Active Directory ou OpenLDAP | ldap-import | 389 | LDAP | Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | Active Directory ou OpenLDAP | ldap-import | 636 | LDAPS | Accès Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | VSphere | sync-vmware | 443 | HTTPS | Accès Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | Scan Réseau | discovery-import | x | TCP/IP |
Descriptions des variables
Liste des sources que le synchronizer va charger.
Peut être pratique dans le cas où les vmware-tools de la VM ne sont pas activés ou ne fournissent pas toutes les informations attendues.
| La plage de ports scannée est configurable sur l'interface |
Configuration de l'interface
Lors de son démarrage, le Synchronizer met à disposition l'interface de configuration. Cette interface est disponible sur un port différent :
| Démon | Port | Description |
|---|---|---|
| Synchronizer | 7766 | Interface de configuration |
Pour plus d'information ( voir Paramétrage de l'interface de Configuration)
Exemple de définition d'un synchronizer
Il est conseillé d'éditer les fichiers .cfg avec l'encodage utf-8