Rôle
Le Synchronizer met à disposition une interface web pour gérer les éléments ( hôtes, checks ... ) en supervision et la politique de supervision.
Il permet aussi d'automatiser la collecte d'information pour mettre en supervision plus rapidement des équipements, ou détecter des modifications sur les existants.
Les modules sources qui permettent de "collecter" ces informations sont répartis en 3 types:
- Les collecteurs
- Interroge une source et collecte les informations des éléments
- Interroge une source et collecte les informations des éléments
- Les Écouteurs
- Reçoivent des messages venant de l’extérieur pour ajouter de nouveaux éléments ou modifier des éléments existants.
- Reçoivent des messages venant de l’extérieur pour ajouter de nouveaux éléments ou modifier des éléments existants.
- Les Analyseurs
- Interroge directement élément par élément pour récupérer des informations.
|
Les collecteurs
Active Directory / OpenLDAP
La découverte de l'Active Directory ou OpenLDAP se fait avec un compte domaine et ne nécessite qu'un accès en lecture. La connexion peut être faite dans LDAPS pour être sûre que la connexion est sécurisée.
Il est possible de définir un niveau haut d'organisation (OU = Organizational Unit) afin de lister les éléments seulement sous ce niveau.
Les informations que ce module récupère sont les noms de serveurs, FDQN, l'OS du serveur, et s’il est défini, son entré LDAP et son emplacement. Voir la configuration de la source Active Directory et OpenLDAP
VMWare
La découverte VSphere est faite pour trouver les serveurs physiques ( ESX ) et leurs serveurs virtuels.
- Elle va également récupérer leur OS et leur adresse IP, mais seulement si les outils VMware sont activés et tournent sur le serveur virtuel.
- La connexion du Synchronizer vers VMware connexion se fait toujours par le serveur VSphere, et nécessite qu'un accès en lecture.
- Le collecteur ne nécessite pas un accès direct aux serveurs ESX.
- La communication de Shinken Enterprise vers VSphere se fait sur une API SOAP de VMWare, à travers une connexion HTTPS.
Pour configurer cette source voir TODEL - Module de source synchronizer-collector-vmware.
Import de Fichiers ( Nagios / Shinken Framework )
Shinken Enterprise est capable de charger des fichiers de configuration Nagios ou Shinken Framework.
- Il va automatiquement charger les objets définis.
Pour configurer cette source, voir : Importer ses propres fichiers CFG.
Scan réseau ( Scan NMAP )
La découverte par scan réseau est optionnelle. Elle se fait via une commande nmap, lancée par le Synchronizer.
- Les scans sont faits sur les ports TCP et UDP.
- Il va également essayer de récupérer des données complémentaires depuis les serveurs ou les services qui tournent dessus (il utilise l'option -O dans la commande nmap).
Pour configurer cette source, voir : Collecteur Discovery ( Découverte réseau ).
Synchronizer-collector-linker ( Récupérer les hôtes d'un autre Shinken )
Dans le cas de 2 installations Shinken ou plus, il est possible que la première récolte les hôtes de la deuxième.
- Le synchronizer-collector-linker du premier Shinken va communiquer avec le listener-shinken du deuxième afin de récupérer tous les hôtes de celui-ci.
Cela peut être pratique dans le cas de contraintes de sécurité :
Exemple:
- Le Shinken 1 peut faire un scan réseau.
- Le Shinken 2 lui n'a pas le droit.
- Le Shinken 2 interroge le Shinken 1 pour avoir des hôtes découverts.
Pour configurer cette source, voir : Collecteur (synchronizer-collector-linker) Import depuis un autre Synchronizer.
Les écouteurs
Un écouteur est une source qui reçoit des informations à partir d'une application tierce.
Ces source sont donc à l'écoute de nouveaux éléments grâce à des appels réseau ( par exemple une API Rest ).
Les Analyseurs
Les analyseurs permettent de remonter des informations depuis les hôtes après avoir exécuté des scripts d'analyses.
Les analyses peuvent être lancées depuis des hôtes déjà présents dans Shinken, afin d'enrichir les données présentes ou bien depuis une plage réseau.
Stockage de données dans la configuration
Toutes les données découvertes par le Synchronizer sont stockées dans une base Mongodb.
Si possible, il est préférable que la base soit sur le même serveur que le Synchronizer.
Elle n'est pas partagée avec d'autres démons, donc ses communications doivent être limitées au serveur local.
Résumé des connexions du Synchronizer
Connexions du démon
Ces connexions sont établies au démarrage du démon Synchronizer et du démon Arbiter :
| Source | Destination | Port | Protocole | Note |
|---|---|---|---|---|
| Arbiter | Synchronizer | 7765 | HTTP/HTTPS | |
| Synchronizer | Synchronizer | 27017 | TCP/IP | Accès à la base Mongo |
Connexions possibles liées aux différentes sources
Ces connexions n'auront lieu que si les sources sont utilisées sur le Synchronizer :
| Source | Connexion à | Type de source ( module_type ) | Port | Protocole | Note |
|---|---|---|---|---|---|
| Synchronizer | Active Directory ou OpenLDAP | ldap-import | 389 | LDAP | Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | Active Directory ou OpenLDAP | ldap-import | 636 | LDAPS | Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | VSphere | sync-vmware | 443 | HTTPS | Il est possible d'utiliser un compte avec accès en lecture seule |
| Synchronizer | Scan Réseau | discovery-import | x | TCP/IP | La plage de ports scannée est configurable sur l'interface |
Configuration de l'interface
Lors de son démarrage, le Synchronizer met à disposition l'interface de configuration. Cette interface est disponible sur un port différent :
| Démon | Port | Description |
|---|---|---|
| Synchronizer | 7766 | Interface de configuration |
Pour plus d'information voir Paramétrage de l'interface de Configuration