Agentes do Operations Manager

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que você atualize para o Operations Manager 2022.

No System Center Operations Manager, um agente é um serviço instalado em um computador que procura dados de configuração e coleta proativamente informações para análise e relatório, mede o estado de integridade de objetos monitorados, como um banco de dados SQL ou disco lógico, e executa tarefas sob demanda por um operador ou em resposta a uma condição. Ele permite que o Operations Manager monitore sistemas operacionais Windows, Linux e UNIX e os componentes de um serviço de TI instalado neles, como um site ou um controlador de domínio do Active Directory.

Agente do Windows

Em um computador Windows monitorado, o agente do Operations Manager está listado como serviço do MMA (Microsoft Monitoring Agent). O serviço do Microsoft Monitoring Agent coleta dados de desempenho e eventos, executa tarefas e outros fluxos de trabalho definidos em um pacote de gerenciamento. Mesmo quando o serviço é incapaz de se comunicar com o servidor de gerenciamento ao qual se reporta, o serviço continua a ser executado e coloca em fila os dados coletados e eventos no disco do computador monitorado. Quando a conexão for restaurada, o serviço do Microsoft Monitoring Agent enviará os dados coletados e eventos ao servidor de gerenciamento.

Observação

• Às vezes, o serviço do Microsoft Monitoring Agent é conhecido como o serviço de integridade.

O serviço do Microsoft Monitoring Agent também é executado em servidores de gerenciamento. Em um servidor de gerenciamento, o serviço executa fluxos de trabalho de monitoramento e gerencia credenciais. Para executar fluxos de trabalho, o serviço inicia processos do MonitoringHost.exe usando as credenciais especificadas. Estes processos monitoram e coletam dados de logs de eventos, dados do contador de desempenho, dados de Instrumentação de Gerenciamento do Windows (WMI), e executam ações, como scripts.

Comunicação entre agentes e servidores de gerenciamento

O agente do Operations Manager envia dados de alerta e descoberta ao seu servidor de gerenciamento primário atribuído, o que grava os dados no banco de dados operacional. O agente também envia dados de eventos, desempenho e estado ao servidor de gerenciamento primário para esse agente, que sobrescrevem os dados para o banco de dados operacional e data warehouse simultaneamente.

O agente envia dados de acordo com os parâmetros de agendamento para cada regra e monitor. Para regras de coleta otimizada, os dados somente serão transmitidos se uma amostra de um contador diferir da amostra anterior por uma tolerância especificada, como 10%. Isto ajuda a reduzir o tráfego de rede e o volume de dados armazenados no banco de dados operacional.

Além disso, todos os agentes enviam um pacote de dados, chamado de uma pulsação, para o servidor de gerenciamento em um agendamento regular, por padrão a cada 60 segundos. A finalidade da pulsação é validar a disponibilidade do agente e comunicação entre o agente e o servidor de gerenciamento. Para obter mais informações sobre pulsações, consulte How Heartbeats Work in Operations Manager (Como as pulsações funcionam no Operations Manager).

Para cada agente, o Operations Manager executa um inspetor do serviço de integridade, que monitora o estado do Serviço de integridade remoto do ponto de vista do servidor de gerenciamento. O agente se comunica com um servidor de gerenciamento na porta TCP 5723.

Agente do UNIX/Linux

A arquitetura do agente do UNIX e Linux difere significativamente da de um agente do Windows. O agente do Windows tem um Serviço de integridade responsável por avaliar a integridade do computador monitorado. O AGENTE UNIX e Linux não executa um serviço de integridade; em vez disso, ele passa informações para o Serviço de Integridade em um servidor de gerenciamento a ser avaliado. O servidor de gerenciamento executa todos os fluxos de trabalho para monitorar a integridade do sistema operacional definido em nossa implementação dos pacotes de gerenciamento do UNIX e do Linux:

• Disco
• Processador
• Memória
• Adaptadores de rede
• Sistema operacional
• Processos
• Arquivos de log

Os agentes do UNIX e Linux para o Operations Manager consistem em um Gerenciador de Objetos CIM (ou seja, o Servidor CIM) e um conjunto de provedores de CIM. O Gerenciador de Objetos CIM é o componente do servidor que implementa o WS-Management comunicação, autenticação, autorização e expedição de solicitações para os provedores. Os provedores são a chave para a implementação do CIM no agente, definindo as classes e propriedades de CIM, fazendo a interface com as APIs do kernel para recuperar dados brutos, formatar os dados (por exemplo, calcular deltas e médias) e atender as solicitações expedidas do Gerenciador de Objetos CIM. Do System Center Operations Manager 2007 R2 ao System Center 2012 SP1, o Gerenciador de Objetos CIM usado nos agentes UNIX e Linux do Operations Manager é o servidor OpenPegasus. Os provedores usados para coletar e relatar dados de monitoramento são desenvolvidos pela Microsoft e fornecidos como software livre em CodePlex.com.

Isso mudou no System Center 2012 R2 Operations Manager, em que os agentes do UNIX e Linux agora são baseados em uma implementação totalmente consistente da OMI (Open Management Infrastructure) como seu Gerenciador de Objetos CIM. No caso de agentes do UNIX/Linux do Operations Manager, a OMI está substituindo o OpenPegasus. Assim como o OpenPegasus, o OMI é uma implementação de software livre, leve e portátil do Gerenciador de Objetos CIM , embora seja mais leve em peso e mais portátil que o OpenPegasus. Essa implementação continua se aplicando ao System Center 2016 – Operations Manager e posterior.

A comunicação entre o servidor de gerenciamento e o agente UNIX e Linux é dividida em duas categorias: manutenção do agente e monitoramento de integridade. O servidor de gerenciamento usa dois protocolos para se comunicar com computadores UNIX ou Linux:

• SSH (Secure Shell) e SFTP (Protocolo de Transferência de Arquivos do Secure Shell)

  Usado para tarefas de manutenção de agente, como instalar, atualizar e remover agentes.

• Serviços Web para Gerenciamento (WS-Management)

  Usado para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.

A comunicação entre o servidor de gerenciamento do Operations Manager e o agente do UNIX e Linux usa WS-Man sobre HTTPS e a interface do WinRM. Todas as tarefas de manutenção do agente são executadas por SSH na porta 22. Todo o monitoramento de integridade é realizado por WS-MAN na porta 1270. O servidor de gerenciamento solicita dados de configuração e desempenho por WS-MAN antes de avaliar os dados para fornecer o status de integridade. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.

Observação

Todas as credenciais mencionadas neste artigo pertencem a contas que foram estabelecidas no computador UNIX ou Linux, e não a contas do Operations Manager configuradas durante a instalação do Operations Manager. Entre em contato com o administrador do sistema para solicitar credenciais e informações de autenticação.

Para dar suporte às novas melhorias de escalabilidade com o número de sistemas UNIX e Linux, o System Center 2016 – Operations Manager e posterior podem monitorar servidores de gerenciamento individualmente, as novas APIs da MI (Infraestrutura de Gerenciamento) Assíncrona do Windows estão disponíveis, em vez das APIs de Sincronização do WSMAN, que são usadas por padrão. Para habilitar essa alteração, você precisa criar a nova chave do Registro UseMIAPI para permitir que o Operations Manager use as novas APIs de MI Assíncrono em servidores de gerenciamento que monitoram sistemas Unix/Linux.

1. Abra o Editor do Registro em um prompt de comandos com privilégios elevados.
2. Crie a chave de registro UseMIAPI em .

Se você precisar restaurar a configuração original usando as APIs de Sincronização WSMAN, exclua a chave do Registro UseMIAPI.

Segurança do agente

Autenticação no computador Linux/UNIX

No Operations Manager, o administrador do sistema não precisa mais fornecer a senha raiz do computador UNIX ou Linux ao servidor de gerenciamento. Agora, por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento. Para operações privilegiadas de manutenção de agente que usem SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), oferece-se suporte a su, elevação sudo e suporte à autenticação de chave de SSH (com ou sem senha). Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), adiciona-se o suporte a elevação sudo (sem senha).

Para obter instruções detalhadas para especificar credenciais e configurar contas, consulte How to Set Credentials for Accessing UNIX and Linux Computers (Como definir credenciais para acessar computadores UNIX e Linux).

Autenticação com o servidor de gateway

Os servidores de gateway são usados para habilitar o gerenciamento de agente de computadores que se encontram fora do limite da relação de confiança do Kerberos de um grupo de gerenciamento. Como o servidor de gateway reside em um domínio que não é confiável pelo domínio no qual o grupo de gerenciamento está, os certificados devem ser usados para estabelecer a identidade, o agente, o servidor de gateway e o servidor de gerenciamento de cada computador. Este procedimento satisfaz o requisito do Operations Manager de autenticação mútua.

Isso exige solicitar certificados para cada agente que reportará a um servidor de gateway e importará os certificados para o computador de destino por meio da ferramenta MOMCertImport.exe, localizada no diretório SupportTools\ (amd64 ou x86) da mídia de instalação. Você precisa ter acesso a uma AC (autoridade de certificação), que pode ser uma AC pública, como VeriSign, ou pode usar os Serviços de Certificados da Microsoft.

Implantação do agente

Os agentes do System Center Operations Manager podem ser instalados usando um dos três métodos a seguir. A maioria das instalações usa uma combinação desses métodos para instalar diferentes conjuntos de computadores, conforme apropriado.

Observação

• Não é possível instalar o MMA em um computador, em que o servidor de gerenciamento do Operations Manager, o servidor de gateway, o console de operações, o banco de dados operacional, o console Web, System Center Essentials ou System Center Service Manager estão instalados, pois eles têm a versão interna do MMA já instalada.
• Só é possível usar o MMA ou o agente do Log Analytics (versão de extensão da VM).

• A descoberta e instalação de um ou mais agentes do Console de Operações. Essa é a forma mais comum de instalação. Um servidor de gerenciamento deve ser capaz de conectar o computador ao RPC e a Conta de Ação do servidor de gerenciamento ou outras credenciais fornecidas devem ter acesso administrativo ao computador de destino.
• Inclusão na imagem de instalação. Trata-se de uma instalação manual em uma imagem de base que é usada para a preparação de outros computadores. Nesse caso, a integração do Active Directory pode ser usada para atribuir automaticamente o computador a um servidor de gerenciamento durante a inicialização.
• Instalação manual. Esse método é usado quando o agente não pode ser instalado por um dos outros métodos, por exemplo, quando a RPC (chamada de procedimento remoto) não está disponível devido a um firewall. A instalação é executada manualmente no agente ou implantada por meio de uma ferramenta de distribuição de software existente.

Os agentes instalados usando o Assistente de Descoberta podem ser gerenciados no console de Operações, como atualizar versões do agente, aplicar patches e configurar o servidor de gerenciamento ao qual o agente relata.

Quando você instalar o agente usando um método manual, as atualizações para o agente deverão também ser realizadas manualmente. Você poderá usar a integração do Active Directory para atribuir agentes a grupos de gerenciamento. Para obter mais informações, consulte Integrando Active Directory e Operations Manager.

Selecione a guia necessária para saber mais sobre a implantação de agente em sistemas Windows e UNIX e LINUX:

Implantação do agente no sistema Windows

A descoberta de um sistema Windows requer que as portas TCP 135 (RPC), intervalo RPC e TCP 445 (SMB) permaneçam abertas e que o serviço SMB esteja habilitado no computador do agente.

• Após a descoberta de um dispositivo de destino, é possível implantar um agente nele. A instalação do agente requer:
• a abertura de portas RPC, começando no mapeador de ponto de extremidade TCP 135 e da porta do protocolo SMB TCP/UDP 445.
• Habilitar os serviços de Compartilhamento de Arquivos e Impressoras para Redes Microsoft e o Cliente para Redes Microsoft. (Isso garante que a porta SMB fique ativa.)
• Se habilitadas, as configurações de Política de Grupo do Firewall do Windows para Permitir exceção de administração remota e Permitir exceções no compartilhamento de arquivos e impressoras devem ser definidas como Permitir mensagens de entrada não solicitadas de para o endereço IP e as sub-redes para os servidores de gerenciamento primário e secundário para o agente.
• Uma conta que tenha direitos de administrador local no computador de destino.
• Windows Installer 3.1. Para instalar, confira o artigo 893803 na Base de Dados de Conhecimento Microsoft https://go.microsoft.com/fwlink/?LinkId=86322
• MSXML (Microsoft Core XML Services) 6 na mídia de instalação do produto do Operations Manager no subdiretório \msxml. A instalação do agente por push instalará o MSXML 6 no dispositivo de destino se ele ainda não estiver instalado.

Implantação de agente em sistemas UNIX e Linux

No System Center Operations Manager, o servidor de gerenciamento usa dois protocolos para se comunicar com computadores UNIX ou Linux:

• SSH (Secure Shell) para instalar, atualizar e remover agentes.
• Serviços Web para Gerenciamento (WS-Management) para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.

O protocolo usado varia conforme a ação ou informação solicitada ao servidor de gerenciamento. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.

Observação

Todas as credenciais mencionadas nesta seção pertencem a contas que foram estabelecidas no computador UNIX ou Linux, e não a contas do Operations Manager configuradas durante a instalação do Operations Manager. Entre em contato com o administrador do sistema para solicitar credenciais e informações de autenticação.

Por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento. Para operações privilegiadas de manutenção de agente que usam SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), há suporte para su, elevação sudo e autenticação de chave de SSH (com ou sem senha). Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), há suporte para elevação sudo (sem senha).

Atribuição de agente do Active Directory

O System Center Operations Manager permite que você aproveite o investimento feito no AD DS (Active Directory Domain Services), possibilitando seu uso para atribuir computadores gerenciados por agente a grupos de gerenciamento. Esse recurso é comumente usado com o agente implantado como parte de um processo de build de implantação de servidor. Quando o computador fica online pela primeira vez, o agente do Operations Manager consulta o Active Directory quanto à sua atribuição do servidor de gerenciamento primário e de failover e começa automaticamente a monitorar o computador.

Para atribuir computadores a grupos de gerenciamento usando o AD DS:

• O nível funcional de domínios do AD DS deve ser nativo do Windows 2008 ou superior
• Computadores gerenciados por agente e todos os servidores de gerenciamento devem estar no mesmo domínio ou em domínios confiáveis bidirecionais.

Observação

Um agente que determina que ele está instalado em um controlador de domínio não consultará o Active Directory para obter informações de configuração. Isso ocorre por motivos de segurança. A Integração do Active Directory fica desabilitada por padrão em controladores de domínio porque o agente é executado sob a conta Sistema Local. A conta Sistema Local em um controlador de domínio tem direitos de Administrador de Domínio. Portanto, ele detecta todos os pontos de conexão de serviço do Servidor de Gerenciamento que são registrados no Active Directory, independentemente da associação de grupo de segurança do controlador de domínio. Como resultado, o agente tenta se conectar a todos os servidores de gerenciamento em todos os grupos de gerenciamento. Os resultados podem ser imprevisíveis, apresentando assim um risco à segurança.

A atribuição de agente é realizada por meio de um SCP (ponto de conexão de serviço), que é um objeto do Active Directory para publicar informações que aplicativos cliente podem usar para se associar a um serviço. Isso é criado por um administrador de domínio executando a ferramenta de linha de comando MOMADAdmin.exe para criar um contêiner do AD DS para um grupo de gerenciamento do Operations Manager, nos domínios dos computadores que ele gerencia. O grupo de segurança do AD DS especificado ao executar MOMADAdmin.exe recebe permissões ler e excluir filho para o contêiner. O SCP contém informações de conexão ao servidor de gerenciamento, incluindo o FQDN e o número da porta do servidor. Agentes do Operations Manager podem descobrir automaticamente os servidores de gerenciamento consultando SCPs. A herança não está desabilitada e, como um agente pode ler as informações de integração registradas no AD, se você forçar a herança do grupo Todos a ler todos os objetos no nível raiz no Active Directory, isso afetará gravemente e essencialmente interromperá a funcionalidade de Integração do AD. Se você forçar explicitamente a herança por todo o diretório concedendo ao grupo Todos as permissões de leitura, precisará bloquear essa herança no contêiner superior da Integração do AD, chamada OperationsManager e todos os objetos filho.  Se você não fizer isso, o AD Integration não funcionará como projetado e você não terá atribuição primária e de failover confiável e consistente para agentes implantados. Além disso, se você tiver mais de um grupo de gerenciamento, todos os agentes em ambos os grupos de gerenciamento serão multihomed também. 

Esse recurso funciona bem para controlar a atribuição de agentes em uma implantação de grupo de gerenciamento distribuído, para impedir que os agentes sejam subordinados a servidores de gerenciamento que são dedicados a pools de recursos ou servidores de gerenciamento em um data center secundário em uma configuração de espera passiva para evitar o failover do agente durante a operação normal.

A configuração da atribuição de agente é gerenciada por um administrador do Operations Manager usando o Assistente de Atribuição e Failover do Agente para atribuir computadores ao servidor de gerenciamento principal e ao servidor de gerenciamento secundário.

Observação

A integração com o Active Directory fica desabilitada para agentes que foram instalados do console de Operações. Por padrão, a integração do Active Directory é habilitada para agentes instalados manualmente usando MOMAgent.msi.

Próximas etapas

• Para entender como instalar o agente do Windows do console de operações, consulte Instalar o agente no Windows usando o assistente de descoberta ou para instalar o agente da linha de comando, consulte Instalar manualmente o agente do Windows usando MOMAgent.msi.

• Para entender como instalar o Linux e o UNIX do console de Operações, consulte Instalar o agente no UNIX e no Linux usando o Assistente de Descoberta.

• Para saber como criar o contêiner no Active Directory, configurar a atribuição de failover do agente e gerenciar a configuração, examine Como configurar e usar a Integração do Active Directory para atribuição de agente.