Előző	14.1 Mérő szerver típusok specifikumai	Következő

14.1.16 WS-Man mérőszerver

A Web Services-Management szabványt támogató adatgyűjtő a jelenleg verzióban csak a Microsoft féle megvalósítást, a Windows Remote Managmentet (WinRM) támogatja. Ez többek között a Windows WMI szolgáltatásához való hozzáférést biztosítja.

Az eszköz paraméterek az alábbiak:

· Host (WSMAN EQ 1 HOST): a cél server neve vagy ip címe. Az IP cím csak Basic autentikáció esetében használható, Kerberos esetében mindenképpen nevet kell használni

· Protokol (WSMAN EQ 2 MODE): az adatátvitelre használható HTTP vagy HTTPS protokoll. Kerberos esetében a HTTP (mivel a Kerberos már maga is titkosít), míg Basic autentikáció esetében a HTTPS az ajánlott

· Port (WSMAN EQ 3 PORT): WinRM tipikusan a 5985 (HTTP) és a 5986 (HTTPS) potokat használja

· Autentikáció (WSMAN EQ 4 AUTH):

o Kerberos: Active Diretory használatával, domain alapú. Ez a mód csak akkor támogatott, ha az adatgyűjtő Red Hat / CentOS / Oracle Linux 6 vagy újabb operációs rendszeren fut!

o Basic: HTTP(S) Basic használta, HTTP alapesetben tiltott, mert titkosítatlan kommunikációt eredményez, ezért a HTTPS ajánlott

· Felhasználó név (WSMAN EQ 5 USER): a felhasználó megfelelő jogokkal kell hogy rendelkezzen a cél szerveren, lásd később

· Jelszó (WSMAN EQ 6 PWD): a felhasználó jelszava, megadható jelszó fájl is, ’FILE:filenév’ formátumban, ilyenkor ajánlott az abszolút file név használat, pl. ’FILE:/opt/pvsr/username.pwd’. Ez Kerberoshoz egy speciális fájlt, Basic autentikációnál egy a jelszót tartalmazó szövegfájlt jelent. Az aktuális könyvtár a PVSR/bin az adatgyűjtő futásakor.

· Realm (WSMAN EQ 7 REALM): Kerberos autentikáció esetén használatos, az Active Diretoryban megadott realm paraméter csupa nagybetűvel.

· Rendszer verzió (Z 01 OS_VERSION): Nem módosítható automatikusan felderített paraméter. A paraméter az operációs rendszer verzióját tartalmazza

· Rendszer típus (Z 02 PRODUCT_TYPE): Nem módosítható automatikusan felderített paraméter. A paraméter az operációs rendszer típusát tartalmazza

· CPU (Z 03 CPU): Nem módosítható automatikusan felderített paraméter. A paraméter a CPU információt tartalmazza

Memória (Z 03 MEMINFO): a rendszer memória adatai. Nem módosítható automatikusan felderített paraméter
Swap (Z 03 SWAPINFO): a rendszer swap adatai. Nem módosítható automatikusan felderített paraméter

· IPv4 cím(ek) (Z 04 IPADDR): Nem módosítható automatikusan felderített paraméter. A paraméter a rendszer IP címeit tartalmazza

· Cluster (Z 05 CLUSTERNAME): Nem módosítható automatikusan felderített paraméter. Azt tartalmazza, hogy a rendszer melyik cluster-hez tartozik (ha tartozik egyáltalán valamilyen cluster-be)

Figyelem! A WinRM parancssori használatakor külön van client és service konfiguráció is. A példákban csak a server konfigurációjáról lesz szó, mivel a mérő szerver működéséhez csak ez lényeges. Amennyiben a winrm parancs segítségével tesztelünk szükség lehet a client rész konfigurációjára is.

HTTPS használatakor szükség van a Crypt-SSLeay-0.58 Perl modul felinstallálására is, amelyet az alap PVSR installáció nem tartalmaz.

Windows általános konfiguráció

Amennyiben a WinRM service nem fut a szerveren úgy először el kell azt indítani: az angol neve Windows Remote Management (WS-Management). Ajánlott a service automatikus indításának a beállítása. A szolgáltatás elindítása után az alap konfigurációt a „winrm qc” segítségével lehet elvégezni. Csak adminisztrátorok használhatják a winrm-et.

Kerberos autentikáció HTTP átvitellel

Windows oldal: A „winrm qc” elvégezi a Kerberos és a 5985 porton http prokollal a server modul konfigurációját. Amennyiben a parancs hibára fut (például ha van engedélyezett publikus interfész a gépen), úgy további kézi konfiguráció szükséges. Tipikus konfigurációs lépések ebben az esetben:

· Listener létrehozása: winrm create winrm/config/listener?address=*+transport=http

· Windows tűzfalon az 5985 port engedélyezése

Alapértelemezetten a Kerberos alapú autentikáció engedélyezett. Ez domain alapú autentikálást jelent, a kommunikáció http alapú ugyan, de a küldött adat titkosított az aktuális Kerberos jegy kulcsával.

Linux oldal (csak Red Hat / CentOS / Oracle Linux 6 vagy újabb esetében): A Linux beépítetten támogatja a Kerberos alapú autentikációt ehhez csak konfigurálni kell a /etc/krb5.conf fájlban. Fontos megjegyezni, hogy ahol a konfigurációs file-ban nagybetűs érték áll, ott mindenképpen nagybetűs értéket kell alkalmazni! A tipikus konfiguráció esetében az eredeti file-ban található kis és nagybetűs EXAMPLE.COM értékeket kell lecserléni, hozzáadni a sárgával jelzett sorokat illetve helyesen megadni a kdc és admin_server értékeket. Minta konfiguráció:

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = NETVISOR.LOCAL

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = true

default_tkt_enctypes = aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96, rc4-hmac

default_tgs_enctypes = aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96, rc4-hmac

[realms]

NETVISOR.LOCAL = {

kdc = nvpdc.netvisor.local

admin_server = nvpdc.netvisor.local

}

[domain_realm]

.netvisor.local = NETVISOR.LOCAL

netvisor.local = NETVISOR.LOCAL

A konfigurációt egy Kerberos ticket kérésével, majd listázával tesztelhetjük:

[pvsr@localhost]$ kinit username@NETVISOR.LOCAL

Password for username@NETVISOR.LOCAL:

[pvsr@localhost]$ klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: username@NETVISOR.LOCAL

Valid starting Expires Service principal

02/17/12 16:25:37 02/18/12 02:25:41 krbtgt/NETVISOR.LOCAL@NETVISOR.LOCAL

renew until 02/18/12 16:25:37

Kerberos autentikációhoz jelszó fájlt a ktutil parancsal hozhatunk létre. A parancsot nem kötelező a PVSR-t futtató felhasználóval kiadni, de ajánlott. Ugyancsak ajánlott az abszolút file név használata (relatív file név esetében a PVSR alatti bin könyvtárban keresi a file-t a rendszer). Windows Server 2003 domain controller esetén RC4-HMAC a –e (titkosító algoritmust jelölő) paraméter értéke, Windows Server 2008 esetén AES128-CTS vagy AES256-CTS értéket kell használni. Egy keytab fájlban több bejezés is lehet, ilyenkor egyszerűen több addent parancsot kell kiadni egymás után. Erre például akkor van szükség, ha több domain is van a rendszerben (például szülő és gyerek domain).

[pvsr@localhost]$ ktutil

ktutil: addent -password -p username@NETVISOR.LOCAL -k 3 -e RC4-HMAC

Password for username@NETVISOR.LOCAL:

ktutil: wkt /opt/pvsr/etc/kerberos.keytab

ktutil: exit

A létrehozott fájlra a pvsr felhasználónak olvasási joga kell hogy legyen. A windowsos domain felhasználó és pvsr linux felhasználó között semmilyen kapcsolat nem szükséges. A konfiguráció elvégzése után már vehetjük fel a PVSR-be a domain-be tartozó gépeket.

Ha egy olyan gépet akarunk elérni ami egy trustolt aldomainban van akkor a keytab fájlba mindkét domainra szükséges bejegyzést létrehozni.

192. ábra PVSR konfiguráció HTTP és Kerberos használatára

Basic autentikáció HTTPS átvitellel

Windows oldal: Az alap „winrm qc” konfiguráció sem a BASIC authentikációt sem a HTTPS protokollt nem engedélyezi, ezért az alábbi plusz konfigurációkra van szükség:

· winrm set winrm/config/Service/auth @{Basic="true"}

· winrm create winrm/config/Listener?Address=*+Transport=HTTPS

· Windows tűzfalon az 5986 port engedélyezése

PVSR oldal: a PVSR alapból nem tartalmaz egy a HTTPS protokollhoz szükséges Perl modult, ezért azt még fel kell installálni a PVSR installálása után. A modul neve Crypt-SSLeay-0.58. Amennyiben jelszó file-t akarunk használni, akkor a jelszót láthatóan (clear-text-ként) kell elmenteni a szerveren egy file-ba. Ajánlott az abszolút file név használata (relatív file név esetében a PVSR alatti bin könyvtárban keresi a file-t a rendszer).

193. ábra PVSR konfiguráció HTTPS és basic autentikáció haszálatára

Mérés definíciók

Az adatgyűjtő egy általános mérésképletet támogat mellyel a WMI-ből tetszőleges adat lekérdezhető. Az adatgyűjtő négyféle változó definíciót ismer a mérés definíciókban:

· WQL_TABLE: táblázatos mérés definícióban használhat. WQL_TABLE_ prefixel kezdődik, akkor utána a WMI fában az útvonal követekezik, majd „|” jel után az objektum neve, „/” jellel elválasztva szűrő tulajdonság neve, a ’@’ jel után mérési eredmény oszlopa következik, és végül mérés képlet esetében a „.PORT” zárja, míg Leíró OID esetében a „.PORT” rész nem kell. Például: WQL_TABLE_cimv2|Win32_LogicalDisk/Name@freespace.PORT

· WQL_*_TABLE: lényegét tekintve megegyezik a WQL_TABLE-lel, egy kivétellel. A WQL_TABLE esetében a rendszer a mérés során összegyűjti, hogy milyen paramétereket kell lekérdezni a mérések elvégzéséhez, és csak azokat kérdezi le (például select Name, freespace from Win32_LogicalDisk). Vannak azonban olyan esetek, amikor a szerver Windows oldalon nincsen ez a lekérdezési forma implementálva, és ilyenkor mindig az összes paramétert le kell kérdezni (select * from …). Az ilyen esetekben használandó a WQL_*_TABLE, például: WQL_*_TABLE_MicrosoftExchangeV2|Exchange_Mailbox/MAILBOXDISPLAYNAME@Size.PORT

· WQL_INSTANCE: a WQL_TABLE lekérdezés esetében a PVSR az összes instanciát lekérdezi a mért eszközből, és a szűrést a saját oldalán végzi el. Bizonyos esetekben ez fölösleges adatforgalmat eredményezhet, ezért ilyenkor választhatjuk a WQL_INSTANCE-t is: ennek a formátuma szintén megegyezik a WQL_TABLE-lel, viszont ebben az esetben az egyes instanciákat a mérés során külön-külön kérdezi le a PVSR

· WQL_ROW: ezzel tetszőleges lekérdezést meg lehet valósítani, viszont a rendszer csak az első találati objektum adatát fogja visszaadni. A formátuma: WQL_ROW_ prefix utána a WMI fában az útvonal követekezik, majd „|” jel után a lekérdezés és végül a ’@’ jel után mérési eredmény oszlopa következik, például: WQL_ROW_cimv2|select * from Win32_PageFileUsage@CurrentUsage

Jelenleg három diagnosztikai oldal elérhető a WS-Man típusú eszközökhöz: Windows események, Exchange mailbox és Tetszőleges lekérdezés.

14.1.16.1 Processzek

Az oldal automatikusan frissül és az aktuálisan futó processzek megtekintésére lehet használni. A rendszer a fő processz paramétereket mutatja (processz azonosító, név és parancs), illetve főbb statisztikákat (a legutolsó frissítés óta): CPU és memória használatot illetve olvasást és írást:

194. ábra Windows adatgyűjtő specifikus oldal: Processzek

A CPU az összesített kernel és felhasználói időket tartalmazza, de ezek külön-külön is megtekinthetőek a nyíl ikonra történő klikkeléssel: ilyenkor nem csak százalékban, hanem másodpercben is láthatóak. A 100% CPU a teljes CPU kihasználtságot jelenti az összes magon, azaz például ha egy egy-szálas alkalmazás teljesen kihasznál egy magot egy két-magos CPU-n, akkor nála a kihasználtság 50% lesz. Ha a felhasználó a [Részletek] linkre klikkel, akkor ugyanezek az adatok láthatóak, csak grafikonokon:

195. ábra Windows adatgyűjtő specifikus oldal: Processz részletek

14.1.16.2 Szolgáltatások

A szolgáltatások oldal a feltelepített szolgáltatásokat főbb paramétereit mutatja a monitorozott szerveren. Ha az adott szolgáltatás éppen fut, akkor a [Részletek] linkre klikkelve az meg lehet tekintenni a processzének a részletes információs oldalát.

196. ábra Windows adatgyűjtő specifikus oldal: Szolgáltatások

14.1.16.3 Windows események

Az oldal segítségével lekérdezhetjük egy adott időszakra a Windows eseményeket. Az oldal alapból az elmúlt 10 perc eseményeit jeleníti meg, de nem többet, mint 500-at. Ezek a paraméterek átállíthatóak és az OK gombra történő klikkeléssel lekérdezhető az esemény lista. A kapott táblázat kliens oldalon szűrhető és rendezhető.

197. ábra WS-Man adatgyűjtő specifikus oldalak: Windows események

14.1.16.4 Tetszőleges lekérdezés

Az oldal csak adminisztrátorok számára elérhető. A felhasználó tetszőleges select utasítást megadhat és annak megjelenik a kimenete az oldalon. Az utasítást alapesetben a CIMV2 névtérben hajtja végre a rendszer, de ez átállítható:

198. ábra WS-Man adatgyűjtő specifikus oldalak: Tetszőleges lekérdezés