Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 151, АВГУСТ 2011 г.

Сетевой эскулап. SCOM: решение для мониторинга и диагностики систем

Управление большим количеством разнородных систем никогда не было, да и не могло быть простым. Ведь в процессе работы необходимо отслеживать десятки параметров, вовремя диагностируя (и предотвращая) проблемы. Вручную это сложно, а написать соответствующие скрипты могут лишь самые опытные админы. Впрочем, эти скрипты будут лишены визуального представления, так понятного начальству.

Назначение и архитектура SCOM

Для управления сложными ИТ-инфраструктурами Microsoft предлагает целый ряд продуктов System Center, позволяющих упростить множество рутинных задач администрирования, повысив эффективность работы сисадмина. Продукт SCOM 2007 R2 (OpsMgr, System Center Operations Manager 2007 R2) появился как дальнейшее развитие МОМ 2005 (Microsoft Operations Manager). В его задачи входит собирать все журналы в одном месте, управлять и мониторить ОС, сервисы и приложения в гетерогенной среде Windows, Linux и UNIX. Преимущество SCOM — представление информации обо всех отслеживаемых компонентах в единой консоли, что дает возможность лучше контролировать происходящие процессы. Все данные связываются в логическую цепочку, то есть, если, например, вышел из строя SQL-сервер, администратор получит уведомления о том, что все взаимосвязанные приложения перестанут работать.

Для мониторинга используется несколько средств. Сбор данных о конфигурации систем и текущем состоянии осуществляют установленные агенты (служба управления System Center), отправляющие все собранное на сервер управления (Management Server). В случае возникновения проблем агент не только генерирует предупреждение, но и может выполнить заранее предусмотренные действия для ее устранения. Возможен мониторинг без агентов, когда SCOM в том числе перехватывает сообщения, отправленные службой «Доктор Ватсон». При этом данные (при помощи RPC) сервером управления будут собираться непосредственно или при помощи одного из компьютеров с установленным агентом-прокси.

Учитывая, что такой подход более ресурсоемкий, рекомендуется мониторить не более 10 безагентных систем на один сервер управления и 60 — на группу. В разветвленной сети обычно разворачивают несколько серверов управления, один из них (обычно первый установленный) является корневым. Вся собранная информация сохраняется в нескольких базах MS SQL Server — оперативная (до 7 дней) и долгосрочная (Datawarehouse, 1 год).

Все элементы объединяются в группу управления (Management Group), которая представляет собой логически обособленную единицу со своими настройками, некое подобие workgroup в сети Windows. В большой сети для удобства и безопасности можно использовать несколько MG, причем агент может отправлять данные четырем группам.

В разветвленных сетях для связи с сервером OpsMgr используют шлюз OpsMgr, который, являясь единой точкой доступа (прокси), отвечает за аутентификацию агентов.

Управление производится при помощи графической консоли, вебинтерфейса или командной строки PowerShell. В интернете можно найти десятки готовых PS-скриптов практически под любые задачи администрирования. Например, большая коллекция собрана на портале System Center Central (systemcentercentral.com).
Количество систем, ресурсов и приложений может быть большое, вручную набирать правила мониторинга для такого числа — задача напряжная. В SCOM для этой цели используются пакеты управления (Management Packs), которые и содержат все необходимое. По сути, внутри описание приложения, его структура, связи с другими приложениями и мониторы (состояние), задачи на восстановление и так далее. Их наличие упрощает настройку и дальнейшее диагностирование. Собственно MP и являются основной фишкой SCOM, определяющей его функциональность.

Часть таких пакетов разрабатывается самой MS. Причем после выхода нового продукта от MS, чуть позже объявляется о появлении соответствующего пакета. Так, например, SCOM стал поддерживать MS Forefront TMG, System Center Data Protection Manager 2010 и другие. Кроме этого любая сторонняя компания или комьюнити может добавить пакет для мониторинга нужного приложения. Необходимые ссылки для закачки дополнительных Management Packs можно найти на домашней странице SCOM или сторонних ресурсах (вроде того же systemcentercentral.com).

При желании легко самому написать пакет, осуществляющий сбор данных по SNMP и конвертирование в формат, понятный SCOM. Если интересует, на TechNet доступно подробное описание. Сами пакеты могут быть двоичного формата или в виде XML-файла.

Параметры первого изменить напрямую нельзя, для этого используются переопределения. В XML можно вносить изменения как непосредственно, так и скопировав его, с другим именем.

Также SCOM строит графики загруженности и позволяет моделировать возникновение проблем. Сервер отчетности (Reporting Server), устанавливаемый как дополнительный компонент, предоставляет широкий функционал в построении различных отчетов. Кроме этого при развертывании OpsMgr доступен инструмент — Audit Collection Services (ACS), позволяющий хранить и анализировать логи событий безопасности. В SCOM реализована гибкая система ролей, в которой пользователи получают лишь действительно необходимые права на управление или получение данных. В настоящее время актуальной является версия SCOM 2007 R2, в которой улучшен интерфейс, процедура импорта модулей, используются новые шаблоны, встроена поддержка Linux/Unix и многое другое.

Установка SCOM

Процедуру я бы не назвал сверхсложной, но учитывая многочисленные зависимости, иногда не разруливающиеся автоматически, в ее процессе просто следует быть внимательнее. В том смысле, что лихо нажимая клавишу Next, получить на выходе работоспособный SCOM весьма маловероятно — по ходу потребуется доустановка компонентов, багфиксов и сервиспаков. Причем бывает и так, что все вроде бы есть, а не работает… Вероятно, это происходит из-за того, что OpsMgr вышел перед Win2k8 и изначально не поддерживал новую ось, а все проблемы совместимости рихтовались при помощи сервиспаков (R2 вышел в 2009 году). По этой причине перед началом установки SCOM следует накатить (согласен, перед такими делом всегда следует накатить — прим. ред.) в ОС все обновления.

Для работы серверной части нам понадобится компьютер (CPU от 2,8 ГГц, RAM от 4 ГБ) под управлением Win2k3/2k8/R2, MS SQL Server вместе со службой отчетов MS SQL Server (Reporting Services) плюс несколько дополнительных ролей и компонентов. В частности обязательна роль Web Server (IIS). Важно: SCOM 2007 R2 официально не поддерживает MS SQL 2008 SP2 и R2, только SQL 2005 SP2 и SQL 2008 SP1. Но между «не поддерживает» и «будет работать» разница очень большая. В установочном комплекте доступна утилита DBCreateWizard.exe, которая поможет создать нужные БД. Затем в процессе установки просто отключаем Database и на следующем этапе указываем параметры БД вручную. Впрочем, автоматом такая связка не пойдет (см. support.microsoft.com/kb/2425714). Да, кстати, не забудь открыть порты к SQL-серверу в файере, как описано в clck.ru/E17g.

Список всех конфигураций приведен по адресу clck.ru/DrGM, плюс в комплекте доступен Prerequisite Viewer, который выдаст всю информацию касательно того, что нужно, и чего не хватает.

Кроме того, нужны специфические настройки для компонентов, вроде установки IIS в автоматическую загрузку. Так что перед установкой нужно запускать, смотреть, устранять и проверять. В консоли PowerShell достаточно дать команду:

> Import-Module ServerManager
> Add-WindowsFeature NET-Framework-Core,Web-Metabase,
Web-WMI,Web-Static-Content,Web-Default-Doc,Web-DirBrowsing,Web-Http-Errors,Web-Asp-Net,Web-Net-Ext,WebISAPI-Ext,Web-ISAPI-Filter,Web-Filtering,Web-WindowsAuth, Web-Mgmt-Console –r

Плюс понадобится ASP.NET Ajax Extensions. Его качаем по ссылке clck.ru/DwEY и ставим. Консоль управления не требует мощного компьютера, а в качестве ОС подойдет WinXP/Vista/7. Кроме этого должна быть соответствующим образом подготовлена среда Active Directory (имя домена, служба DNS, уровень домена не ниже 2000).

Для административных задач до начала установки следует создать отдельную Global-группу и пять входящих в нее учетных записей, две из которых — с правами локального администратора.

Когда все требования выполнены, запускаем установочный файл. Обрати внимание, что агенты OpsMgr, модуль создания отчетов, сервер сбора аудита и шлюз OpsMgr устанавливаются из отдельных меню.

На этапе выбора компонентов указываем, что будем ставить на сервер. Далее, если установщик не обнаружил SQL, вводим его данные и имя БД. После чего задаем данные учетной записи для Management Server Action Account, от имени которой выполняются основные операции и SDK and Config Service Account. После чего указываем метод проверки подлинности веб-консоли. Предлагаемую по умолчанию проверку подлинности Windows следует оставить, если доступ к ней будет только из внутренней сети; если же к веб-консоли будут обращаться через интернет, установи флажок «Использовать проверку подлинности» с помощью форм.

И на последнем шаге включаем обновление. По окончании обязательно создаем архивную копию ключа, при помощи которого шифруются данные, здесь отказываться не стоит. Процесс прост, после активации появится простой визард, в котором следует указать имя файла и пароль для доступа.

Аналогично просто доустанавливается модуль создания отчетов (Datawarehouse и Reporting Server), сервер ACS и консоль управления (на админском компе). Теперь можно регистрироваться в консоли или используя вебинтерфейс (по умолчанию — порт 51908).

Первоначальные задачи настройки

Консоль управления организована классически, в стиле оутлука. Слева находится пять вкладок, при помощи которых выбираются основные задачи, — Monitoring, Authoring, Administration, Reporting и My Workspace. Назначение их очевидно. Наиболее часто используемые функции, чтобы долго их не искать, можно собирать в My Workspace. При выборе любого пункта выше откроются доступные параметры. Все события выводятся в поле посередине, правое меню позволяет выполнить определенные действия. Советую некоторое время потратить на изучение консоли и разобраться с установками по умолчанию. Веб-консоль содержит только две вкладки: Monitoring и My Workspace и предоставляет, соответственно, меньшую функциональность.

Список всех доступных командлетов PS можно получить, введя «Get-OperationManagerCommand». Например, чтобы получить список всех серверов управления, вводим команду:

PS> Get-managementServer

После установки можно проверить состояние сервера управления.Для этого переходим в Monitoring и выбираем ссылку Windows Computer или Operations Manager — Сервер управления. Состояние должно быть показано как Healthy. Щелчок по данным сервера выведет дополнительную строку с более подробным описанием.

Во вкладке Monitoring также показываются все текущие предупреждения (alerts), диаграммы, задачи, приложения, устройства и так далее. В общем, все, что связано с мониторингом, мы найдем здесь. При выборе конкретного пункта в поле Actions показываются возможные действия и связанная справка. Реализованы все необходимые инструменты — поиск, фильтр по времени и отображение известного объекта. Еще один момент. При выборе основной задачи в поле Required Configuration Tasks показывается список рекомендуемых дальнейших операций. Выбирая последовательно пункты и следуя подсказкам, можно быстро настроить среду мониторинга, не особо вчитываясь в документацию.

Если обслуживается несколько доменов, настраиваем интеграцию с Active Directory, для этого выбираем ссылку Configure Active Directory (AD) Integration в поле Optional Configuration. Далее стартует мастер, в котором и указываем нужные домены.

Рекомендуется устанавливать агенты на удаленных системах при помощи консоли. Но в случае необходимости можно использовать локальную установку при помощи инсталляционного диска SCOM и другие варианты распространения (групповые политики, внедрить в образ и т.п.).

Итак, переходим в Administration и вызываем контекстное меню. Собственно большую часть операций по администрированию можно произвести, выбирая последовательно пункты этого контекстного меню (перемещаясь по нему сверху вниз). Здесь имеется около десятка пунктов, позволяющих развернуть агентов, создать/скачать/импортировать пакет управления, создать новую роль пользователя, канал, подписку, добавить группу управления и некоторые другие.

Для установки агента выбираем первый пункт — Discovery Wizard. В результате наших нехитрых действий появится мастер, позволяющий найти нужные устройства. На первом шаге определяемся с типом компьютеров (Windows, Linux или сетевое устройство), затем указываем, как искать (автоматически или «продвинутым» способом). При автоматическом способе мастер просканирует все компьютеры домена. Теперь задаем дополнительные критерии поиска (шаблон имени, роль и т.п.), выбираем учетную запись, от имени которой будет производиться поиск, и нажимаем Discovery. По окончании процесса отбираем объекты и указываем режим (agent или agentless) и, переходя к следующему шагу, устанавливаем агенты. Устанавливаемые агенты, а также агенты, требующие обновления или не распределенные, появляются в подменю Pending Management. Затем, по окончании (или после обновления), они автоматически переносятся в Agent Management, где в последующем можно отслеживать его состояние.

После установки агент каждые 60 секунд отсылает пакет данных на сервер, допускается пропуск трех таких пакетов, после чего сервер пытается связаться с компьютером, и в случае неудачи меняет его статус. При необходимости администратор может настроить время отсылки пакетов глобально (Administration q„ Settings Ad Heartbeat, максимум до одного дня) или индивидуально, изменить количество пропусков или вовсе отключить такой мониторинг (например, для компьютеров, подключающихся периодически).

Еще одной интересной функцией SCOM является централизованная отсылка в MS сообщений CEIP и ошибок с клиентских компьютеров. Все это настраивается при помощи мастера Client Monitoring Configuration, запускаемого из контекстного меню Management Server.

Создание оповещений

Агент собирает данные, но в случае возникновения проблем, администратор о них узнает лишь при анализе данных в консоли, а решение нередко необходимо принимать моментально. Поэтому следующий шаг — настройка предупреждений. Состоит он из нескольких несложных этапов.

Так, после установки SCOM не знает, что ему собирать, не различает приложения и сервисы. Как уже говорилось выше, помочь ему в этом могут пакеты управления. В поставке доступно почти 50 пакетов управления, просмотреть их список можно в Administration Management Pack. Выбор свойств любого покажет подробную информацию. Если имеющихся MP недостаточно для контроля установленных сервисов и приложений, то следует поискать в указанных выше репозиториях, а затем — импортировать пакеты при помощи пунктов Download Management Pack и Import Management Pack. После импорта SCOM сравнивает данные агентов и информацию в пакетах, обнаруживая специфические приложения, и выводит все доступные атрибуты объектов.

Следующий шаг — создание канала, то есть метода оповещения администратора. Переходим в Notifications„ Channel, в контекстном меню выбираем New и один из вариантов: email, IM, SMS и команда. После этого запускается мастер, который поможет настроить выбранный канал. Например, в случае с email задаем данные SMTP-сервера и шаблон сообщения.

Чтобы указать адреса получателей предупреждения, выбираем пункт New Subscriber, указываем имя подписчика, время отсылки сообщений (по умолчанию всегда) и собственно адреса электронной почты.

И наконец, создание подписки — Subscriptions. Переходим в соответствующий пункт меню, выбираем New и следуем указаниям мастера. Важный шаг — создание критериев, то есть типов сообщений, которые будут перенаправляться подписчику. По умолчанию отправляются все сообщения, что не всегда удобно.

В большой среде с несколькими админами вероятнее придется распределить их более точно, используя фильтры. Далее указываем подписчиков для события, выбираем канал. При необходимости — определяем задержку в отправке сообщения, чтобы не бежать сразу, ведь часто бывает так, что проблемы решаются сами собой :).

Теперь в случае сбоя админ получает сообщение с описанием ситуации, а для получения более подробной информации можно тут же перейти по ссылке на веб-консоль.

Заключение

В статье затронуты лишь основные возможности такого весьма полезного инструмента как SCOM, который после настройки будет мониторить инфраструктуру, предупреждая админа о проблемах. При дальнейшем знакомстве тебе помогут документация проекта и, конечно, собственные экспериментальные данные. z

Links

Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001