Verificações e políticas

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Uma verificação é uma combinação de um comando e sua configuração. A verificação é executada nos dispositivos de Agent Client Collectorpara coletar dados desses dispositivos.

    Verificações

    As verificações são fornecidas com o sistema de base e seus comandos executam scripts que fornecem dados de monitoramento para seus sistemas operacionais e aplicações. O nome padrão de uma verificação indica o que está sendo monitorado e medido, a entidade e os dados de monitoramento. Por exemplo, uma verificação chamada os.linux.check-system-cpu verifica os dados da CPU em um sistema Linux. O comando identificado na verificação é executado no dispositivo monitorado, fornecendo uma saída e um status. Cada verificação individual é chamada de definição de verificação.

    Os seguintes tipos de verificação são fornecidos com o sistema de base Gestão de eventos :

    • Evento: o resultado da verificação é transformado em um evento Gestão de eventos.
    • Métrica: os valores do resultado da verificação são transformados em métricas.

    Para obter detalhes sobre as verificações padrão da Agent Client Collector Estrutura, consulte Agent Client Collector Verificações padrão da estrutura.

    Para obter detalhes sobre o Agent Client Collector para verificações e políticas padrão do Monitoramento, consulte Agent Client Collector para verificações e políticas padrão de monitoramento.

    Para obter detalhes sobre as Agent Client Collector para Visibilidade verificações e políticas padrão, consulte Agent Client Collector para Visibilidade verificações e políticas padrão.

    Se as verificações não estiverem em execução nos dispositivos do agente, seu agente poderá estar no modo de proteção de CPU. O modo de proteção da CPU é ativado automaticamente quando a CPU de um dispositivo está muito alta. Quando isso acontece, o status da coleta de dados do agente é Desativado (automático). Verifique os logs do agente para determinar as verificações problemáticas. Você pode desabilitar manualmente as verificações problemáticas ou modificar os limites do modo de proteção da CPU no arquivo acc.yml do agente e retomar manualmente a coleta de dados para o agente. Para obter detalhes sobre os limites do modo de proteção da CPU, consulte Agent Client Collector Limites de proteção da CPU. Para obter detalhes sobre como desativar manualmente a coleta de dados, consulte Pausar Agent Client Collector coleta de dados.

    No sistema de base, o status de saída do evento indica sua gravidade, da seguinte forma:
    • 0 = OK
    • 1 = AVISO
    • 2 = CRÍTICO
    Você pode adicionar gravidades adicionais (como MAJOR e MINOR) executando um script personalizado. Os seguintes status de saída indicam estas gravidades:
    • 13 = PRINCIPAL
    • 14 = BAIXO

    Se o usuário do sistema base da ServiceNow não tiver privilégios para executar comandos de verificação específicos, faça o seguinte:

    • Em um sistema Linux: habilite o usuário da ServiceNow para executar o comando com permissões sudo. Os seguintes requisitos de configuração de sudo devem ser atendidos:
      • Desabilitar requisitos de tty e senha
      • Preservar todas as variáveis de ambiente
      • Suporte a PATH dinâmico para executar comandos
      Por exemplo, você pode configurar o seguinte no arquivo /etc/sudoers :
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      Nota:
      Os caminhos do comando podem variar. Consulte o manual sudoers para considerações especiais.
      • A cadeia de caracteres SETENV: permite que o usuário da ServiceNow preserva as variáveis de ambiente.
      • A cadeia de caracteres !requiretty desabilita o tty.
      • Adicionar o usuário da ServiceNow ao approval_group ignora os requisitos de senha e habilita o PATH dinâmico para executar comandos sudo.
      Certifique-se de configurar o parâmetro de verificação must_sudo com um valor verdadeiro na seção de parâmetros do comando de verificação da definição de verificação.
    • Em um sistema macOS : certifique-se de que o usuário que executa o serviço do agente pertença a um grupo de usuários com privilégios para consultar todas as conexões TCP no host.
    • Em um sistema Windows : usando a Gestão de usuários do Windows, adicione o usuário da ServiceNow aos grupos com os privilégios relevantes, permitindo que o usuário execute os comandos necessários.

    Políticas

    Uma política é um conjunto de ICs e as definições de verificação desses ICs.

    Para habilitar uma única política para oferecer suporte a várias credenciais, você deve atribuir um alias de credencial à política. Por exemplo, se você tiver servidores MySQL para Linux e Windows com credenciais diferentes, deverá criar políticas separadas para cada tipo de credencial. No entanto, se você usar um alias de credencial, poderá atribuir uma única política ao alias de credencial. O agente então corresponde a credencial relevante à aplicação que está sendo monitorada. Para obter detalhes sobre aliases de credencial, consulte Criar um alias de conexão e credencial.

    Os alertas gerados por políticas com uma verificação de tipo de evento são encerrados automaticamente quando o monitoramento de IC é interrompido por meio de um dos seguintes:
    • Desativação da política
    • Desativando a verificação que causou o alerta
    • Excluindo a verificação da apólice
    • Excluindo a política
    • Modificando o filtro de política que determina os ICs monitorados