Verificações e políticas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Uma verificação é uma combinação de um comando e sua configuração. A verificação é executada nos dispositivos de Agent Client Collector.

    Verificações

    As verificações são fornecidas com o sistema de base e seus comandos executam scripts que fornecem dados de monitoramento para seus sistemas operacionais e aplicações. O nome padrão de uma verificação indica o que está sendo monitorado e medido, a entidade e os dados de monitoramento. Por exemplo, uma verificação chamada os.linux.check-system-cpu verifica os dados da CPU em um sistema Linux. O comando identificado na verificação é executado no dispositivo monitorado, fornecendo uma saída e um status. Cada verificação individual é chamada de definição de verificação.

    Os seguintes tipos de verificação são fornecidos com o sistema de base Gestão de eventos :

    • Evento: o resultado da verificação é transformado em um evento Gestão de eventos.
    • Métrica: os valores do resultado da verificação são transformados em métricas.

    Para obter detalhes sobre as verificações padrão da Agent Client Collector Estrutura, consulte Agent Client Collector Verificações padrão da estrutura.

    Para obter detalhes sobre Agent Client Collector para verificações e políticas padrão de monitoramento, consulte Agent Client Collector para verificações e políticas padrão do Monitoring.

    Para obter detalhes sobre Agent Client Collector para verificações e políticas padrão de visibilidade, consulte Agent Client Collector for Visibility verificações e políticas padrão.

    Se as verificações não estiverem em execução nos dispositivos do agente, seu agente poderá estar no modo de proteção de CPU. O modo de proteção da CPU é ativado automaticamente quando a CPU de um dispositivo está muito alta. Quando isso acontece, o status da coleta de dados do agente é Desativado (automático). Verifique os logs do agente para determinar as verificações problemáticas. Você pode desabilitar manualmente as verificações problemáticas ou modificar os limites do modo de proteção da CPU no arquivo acc.yml do agente e retomar manualmente a coleta de dados para o agente. Para obter detalhes sobre os limites do modo de proteção da CPU, consulte Agent Client Collector Limites de proteção da CPU. Para obter detalhes sobre como desativar manualmente a coleta de dados, consulte Pausar Agent Client Collector coleta de dados.

    No sistema de base, o status de saída do evento indica sua gravidade, da seguinte forma:
    • 0 = OK
    • 1 = AVISO
    • 2 = CRÍTICO
    Você pode adicionar severidades adicionais (como MAIOR e MINOR) executando um script personalizado. As seguintes estatísticas de saída indicam essas gravidades:
    • 13 = PRINCIPAL
    • 14 = BAIXA

    Se o usuário do sistema básico da ServiceNow não tiver privilégios para executar comandos de verificação específicos, faça o seguinte:

    • Em um sistema Linux: habilite o usuário da ServiceNow para executar o comando com permissões sudo. Os seguintes requisitos de configuração sudo devem ser atendidos:
      • Desabilitar requisitos de tty e senha
      • Preservar todas as variáveis de ambiente
      • Suporte a PATH dinâmico para executar comandos
      Por exemplo, você pode configurar o seguinte no arquivo /etc/sudoers :
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      • A cadeia de caracteres SETENV: permite que o usuário da ServiceNow preservar as variáveis de ambiente.
      • A cadeia de caracteres !requiretty desabilita o tty.
      • Adicionar o usuário da ServiceNow ao exists_group ignora os requisitos de senha e permite o PATH dinâmico para executar comandos sudo.
      Certifique-se de configurar o parâmetro de verificação must_sudo com um valor verdadeiro na seção de parâmetros do comando de verificação da definição de verificação.
    • Em um sistema macOS : certifique-se de que o usuário que executa o serviço de agente pertença a um grupo de usuários com privilégios para consultar todas as conexões TCP no host.
    • Em um sistema Windows : usando o Windows User Management, adicione o usuário da ServiceNow aos grupos com os privilégios relevantes, permitindo que o usuário execute os comandos necessários.

    Políticas

    Uma política é um conjunto de ICs e as definições de verificação para esses ICs.

    Para habilitar uma única política para oferecer suporte a várias credenciais, você deve atribuir um alias de credencial à política. Por exemplo, se você tiver servidores MySQL para Linux e Windows com credenciais diferentes, deverá criar políticas separadas para cada tipo de credencial. No entanto, se você usar um alias de credencial, poderá atribuir uma única política ao alias de credencial. O agente então corresponde a credencial relevante à aplicação que está sendo monitorada. Para obter detalhes sobre aliases de credencial, consulte Criar uma conexão e alias de credencial.

    Os alertas gerados por políticas com uma verificação de tipo de evento são encerrados automaticamente quando o monitoramento de IC para por meio de um dos seguintes:
    • Desativação da política
    • Desativando a verificação que causou o alerta
    • Excluindo a verificação da política
    • Excluindo a política
    • Modificando o filtro de política que determina os ICs monitorados