Prüfungen und Richtlinien

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Eine Prüfung ist eine Kombination aus einem Befehl und der zugehörigen Konfiguration. Die Prüfung wird auf den Geräten von Agent Client Collector ausgeführt.

    Prüfungen

    Prüfungen werden mit dem Basissystem bereitgestellt. Mit diesen Befehlen werden Skripts ausgeführt, die Überwachungsdaten für Ihre Betriebssysteme und Anwendungen bereitstellen. Der Standardname einer Prüfung gibt den Gegenstand der Überwachung/Messung, die Entität und die Überwachungsdaten an. Beispielsweise überprüft eine Prüfung mit dem Namen os.linux.check-system-cpu die CPU-Daten auf einem Linux-System. Der in der Prüfung identifizierte Befehl wird auf dem überwachten Gerät ausgeführt und liefert eine Ausgabe und einen Status. Jede einzelne Prüfung wird als Prüfungsdefinitionbezeichnet.

    Die folgenden Prüfungstypen gehören zum Lieferumfang des Ereignismanagement-Basissystems:

    • Event: Das Ergebnis der Prüfung wird in ein Ereignismanagement-Event umgewandelt.
    • Metrik: Die Werte aus dem Prüfungsergebnis werden in Metriken umgewandelt.

    Einzelheiten zu den Standardprüfungen des Agent Client Collector-Frameworks finden Sie unter Standardprüfungen des Agent Client Collector-Framework.

    Einzelheiten über Standardprüfungen und Richtlinien von Agent Client Collector for Monitoring finden Sie unter Agent Client Collector for Monitoring – Standardprüfungen und Richtlinien.

    Einzelheiten über Standardprüfungen und Richtlinien von Agent Client Collector for Visibility finden Sie unter Agent Client Collector Visibility – Standardprüfungen und Richtlinien.

    Wenn auf den Geräten des Agent keine Prüfungen ausgeführt werden, befindet sich der Agent möglicherweise im CPU-Schutzmodus. Der CPU-Schutzmodus wird automatisch aktiviert, wenn die CPU-Auslastung eines Geräts zu hoch ist. In diesem Fall lautet der Datenerfassungsstatus des Agent Aus (automatisch). Überprüfen Sie die Agent-Protokolle, um die problematischen Prüfungen zu ermitteln. Sie können problematische Prüfungen manuell deaktivieren, oder Sie können die Schwellenwerte für den CPU-Schutzmodus in der Datei acc.yml des Agent ändern und die Datensammlung für den Agent manuell fortsetzen. Details zu den Schwellenwerten für den CPU-Schutzmodus finden Sie unter Agent Client Collector-CPU-Schutzschwellenwerte. Einzelheiten zum manuellen Deaktivieren der Datensammlung finden Sie unter Agent Client Collector-Datensammlung anhalten.

    Im Basissystem gibt der Beendigungsstatus des Events wie folgt seinen Schweregrad an:
    • 0 = OK
    • 1 = WARNUNG
    • 2 = KRITISCH
    Sie können zusätzliche Schweregrade hinzufügen (z. B. SCHWERWIEGEND und GERINGFÜGIG), indem Sie ein benutzerdefiniertes Skript ausführen. Die folgenden Beendigungsstatus geben diese Schweregrade an:
    • 13 = SCHWERWIEGEND
    • 14 = GERINGFÜGIG

    Wenn der Basissystem-Benutzer servicenow nicht über Berechtigungen zum Ausführen bestimmter Prüfbefehle verfügt, gehen Sie wie folgt vor:

    • Unter Linux: Erteilen Sie Benutzer servicenow die Berechtigung, den Befehl mit sudo-Berechtigungen auszuführen. Die folgenden sudo-Konfigurationsanforderungen müssen erfüllt sein:
      • tty-Anforderungen und Passwortanforderungen deaktiviert
      • Alle Umgebungsvariablen beibehalten
      • Zur Ausführung von Befehlen Unterstützung eines dynamischen PATH
      In der Datei /etc/sudoers können Sie beispielsweise Folgendes konfigurieren:
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      • Die Zeichenfolge SETENV: ermöglicht dem Benutzer servicenow die Beibehaltung von Umgebungsvariablen.
      • Durch die Zeichenfolge !requiretty wird tty deaktiviert.
      • Durch Hinzufügen des Benutzers servicenow zu exempt_group werden die Passwortanforderungen umgangen und dynamische PATH-Variablen zur Ausführung von sudo-Befehlen aktiviert.
      Stellen Sie sicher, dass Sie in der Prüfungsdefinition im Abschnitt zu den Prüfbefehlparametern den Prüfungsparameter must_sudo mit dem Wert true konfigurieren.
    • In einem macOS -System: Stellen Sie sicher, dass der Benutzer, der den Agent-Service ausführt, zu einer Benutzergruppe mit Berechtigungen zum Abfragen aller TCP-Verbindungen auf dem Host gehört.
    • In einem Windows -System: Fügen Sie mithilfe der Windows-Benutzerverwaltung den Benutzer servicenow den Gruppen mit den entsprechenden Berechtigungen hinzu, damit der Benutzer die erforderlichen Befehle ausführen kann.

    Richtlinien

    Eine Richtlinie ist ein Satz von CIs und den Prüfungsdefinitionen für diese CIs.

    Um zu ermöglichen, dass eine einzelne Richtlinie mehrere Anmeldeinformationen unterstützt, müssen Sie der Richtlinie einen Anmeldeinformationsalias zuweisen. Wenn Sie beispielsweise MySQL-Server für Linux und Windows mit unterschiedlichen Anmeldeinformationen haben, müssen Sie für jeden Anmeldeinformationstyp separate Richtlinien erstellen. Wenn Sie jedoch einen Anmeldeinformationsalias verwenden, können Sie dem Anmeldeinformationsalias eine einzelne Richtlinie zuweisen. Der Agent ordnet dann die relevanten Anmeldeinformationen der überwachten Anwendung zu. Weitere Informationen zu Aliassen für Anmeldeinformationen finden Sie unter Aliasse für Verbindungen und Anmeldeinformationen erstellen.

    Durch Richtlinien mit einer Prüfung des Event-Typs generierte Warnungen werden automatisch geschlossen, wenn die CI-Überwachung auf eine der folgenden Arten beendet wird:
    • Deaktivierung der Richtlinie
    • Deaktivierung der Prüfung, die die Warnung verursacht hat
    • Löschung der Prüfung aus der Richtlinie
    • Löschung der Richtlinie
    • Änderung des Richtlinienfilters, der die überwachten CIs bestimmt