Агенты Operations Manager

Важно!

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.

В System Center Operations Manager агент — это служба, установленная на компьютере, который ищет данные конфигурации и заранее собирает информацию для анализа и отчетов, измеряет работоспособность отслеживаемых объектов, таких как база данных SQL или логический диск, и выполняет задачи по требованию оператора или в ответ на определенное условие. Он позволяет Operations Manager отслеживать операционные системы Windows, Linux и UNIX, а также компоненты ИТ-службы, установленные в них, например веб-сайт или доменный контроллер Active Directory.

Агент Windows

На отслеживаемом компьютере Windows агент Operations Manager указан как служба Microsoft Monitoring Agent. Служба Microsoft Monitoring Agent собирает данные о событиях и производительности, выполняет задачи и другие рабочие процессы, определенные в пакете управления. Даже если эта служба не может подключиться к серверу управления, которому она подчиняется, она продолжает работать и помещает собранные данные и события в очередь на диске наблюдаемого компьютера. При восстановлении подключения служба Microsoft Monitoring Agent отправляет собранные данные и события на сервер управления.

Примечание

Иногда службу Microsoft Monitoring Agent называют службой работоспособности.

Служба Microsoft Monitoring Agent также работает на серверах управления. На сервере управления эта служба выполняет рабочие процессы мониторинга и управляет учетными данными. Для запуска рабочих процессов служба вызывает процессы MonitoringHost.exe с использованием указанных учетных данных. Эти процессы выполняют наблюдение и собирают данные журналов событий, данные инструментария управления Windows (WMI), а также выполняют такие действия, как запуск скриптов.

Взаимодействие между агентами и серверами управления

Агент Operations Manager отправляет предупреждение и данные обнаружения на назначенный основной сервер управления, который записывает эти данные в рабочую базу данных. Кроме того, агент отправляет данные о событиях, производительности и состоянии на основной сервер управления, который одновременно записывает эти данные в рабочую базу данных и в базу данных хранилища данных.

Агент отправляет данные в соответствии с параметрами расписания для каждого правила и монитора. В случае оптимизированных правил сбора данных данные передаются только в том случае, если выборка счетчика отличается от предыдущей выборки на указанную величину допуска, например на 10%. Это помогает сократить сетевой трафик и объем данных, хранящихся в рабочей базе данных.

Кроме того, все агенты регулярно отправляют пакет данных, называемый пульсом, на сервер управления: по умолчанию это происходит каждые 60 секунд. Цель пульса состоит в проверке доступности агента и связи между агентом и сервером управления. Дополнительные сведения о пульсе см. в статье How Heartbeats Work in Operations Manager (Принципы работы пульса в Operations Manager).

Для каждого агента Operations Manager запускает наблюдатель службы работоспособности, который наблюдает за состоянием удаленной службы работоспособности с точки зрения сервера управления. Агент взаимодействует с сервером управления через TCP-порт 5723.
Взаимодействие между агентом и сервером управления

Агент Linux/UNIX

Архитектура агента UNIX и Linux существенно отличается от архитектуры агента Windows. Агент Windows имеет службу работоспособности, ответственную за оценку работоспособности отслеживаемого компьютера. Агент UNIX и Linux не запускает службу работоспособности, а вместо этого передает информацию в службу работоспособности на оцениваемом сервере управления. На сервере управления запускаются все рабочие процессы для мониторинга состояния операционной системы, определенные в реализации пакетов управления UNIX и Linux:

  • Диск
  • Процессор
  • Память
  • Сетевые адаптеры
  • Операционная система
  • Процессы
  • Файлы журнала

Агенты UNIX и Linux для Operations Manager состоят из диспетчера объектов CIM (т. е. сервера CIM) и набора поставщиков CIM. Диспетчер объектов CIM — это "серверный" компонент, реализующий взаимодействие WS-Management, проверку подлинности, авторизацию и диспетчеризацию запросов поставщикам. Поставщики являются ключевым элементом реализации CIM в агенте, определяя классы и свойства CIM, взаимодействуя с API ядра для извлечения необработанных данных, форматируя данные (например, вычисляя разности и средние значения) и обслуживая запросы, отправленные диспетчером объектов CIM. В операционных системах с System Center Operations Manager 2007 R2 по System Center 2012 SP1 диспетчер объектов CIM, используемый в агентах UNIX и Linux Operations Manager, представляет собой сервер OpenPegasus. Поставщики, используемые для сбора данных мониторинга и составления соответствующих отчетов, разрабатываются Майкрософт и предоставляются на сайте CodePlex.com с открытым кодом.
Архитектура программного обеспечения агента UNIX/Linux Operations Manager

В System Center 2012 R2 Operations Manager этот подход был изменен, а в основе агентов UNIX и Linux в качестве диспетчера объектов CIM теперь лежит полностью согласованная реализация инфраструктуры Open Management Infrastructure (OMI). В случае агентов UNIX/Linux Operations Manager OMI заменяет OpenPegasus. Как и OpenPegasus, OMI является облегченной и переносимой реализацией диспетчера объектов CIM с открытым исходным кодом, хотя OMI отличается большей легкостью и переносимостью, чем OpenPegasus. Эта реализация по-прежнему используется в System Center 2016 — Operations Manager и более поздних версий.
Обновленная архитектура программного обеспечения агента UNIX/Linux Operations Manager

Взаимодействие между сервером управления и агентом UNIX и Linux разделено на две категории: обслуживание агента и мониторинг работоспособности. На сервере управления для взаимодействия с компьютером UNIX или Linux используются два протокола:

  • Secure Shell (SSH) и протокол SFTP

    Используется для задач по обслуживанию агента, включая установку, обновление и удаление агентов.

  • Веб-службы для управления (WS-Management)

    Используется для всех операций мониторинга и обнаружения уже установленных агентов.

Взаимодействие между сервером управления Operations Manager и агентом UNIX и Linux осуществляется с помощью WS-Man по протоколу HTTPS и интерфейса WinRM. Все задачи по обслуживанию агента выполняются по протоколу SSH через порт 22. Наблюдение за работоспособностью выполняется с помощью WS-MAN через порт 1270. Сервер управления запрашивает данные конфигурации и производительности через WS-MAN, прежде чем оценить данные и сообщить состояние работоспособности. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.

Примечание

Все учетные данные, указанные в этой статье, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности.

На смену синхронным интерфейсам API WSMAN, использовавшимся по умолчанию, пришли новые асинхронные API инфраструктуры управления (MI) Windows. Они позволяют выполнять масштабирование и мониторинг нескольких систем UNIX и Linux на одном сервере управления в System Center Operations Manager 2016 и более поздних версий. Чтобы воспользоваться новыми возможностями, создайте раздел реестра UseMIAPI. Это позволит диспетчеру Operations Manager применять новые асинхронные интерфейсы API MI на серверах управления, при помощи которых выполняется мониторинг систем Linux и Unix.

  1. Откройте редактор реестра из командной строки с повышенными привилегиями.
  2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup раздел реестра UseMIAPI.

Чтобы восстановить исходную конфигурацию с синхронными API WSMAN, можно удалить раздел реестра UseMIAPI.

Безопасность агента

Проверка подлинности на компьютере под управлением UNIX или Linux

В Operations Manager системным администраторам больше не требуется указывать пароль учетной записи root компьютера под управлением UNIX или Linux на сервере управления. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).

Подробные инструкции о задании учетных данных и настройке учетных записей см. в статье Настройка учетных данных для доступа к компьютерам с ОС UNIX и Linux.

Проверка подлинности на сервере шлюза

Серверы шлюзов позволяют с помощью агентов управлять компьютерами, которые расположены за пределами зоны доверия Kerberos групп управления. Так как сервер шлюза находится в домене, у которого нет доверенных отношений с доменом группы управления, необходимо использовать сертификаты для установления подлинности каждого компьютера, агента, сервера шлюза и сервера управления. Данная схема удовлетворяет требованию Operations Manager к взаимной проверке подлинности.

Для этого вам нужно запросить сертификаты для каждого агента, который будет отправлять отчеты на сервер шлюза, а затем импортировать эти сертификаты на целевой компьютер с помощью средства MOMCertImport.exe. Средство находится на установочном носителе в каталоге \SupportTools\ (amd64 или x86). Необходимо иметь доступ к центру сертификации, который может быть общедоступным, например VeriSign. Также можно использовать службы сертификации Майкрософт.

Развертывание агента

Агенты System Center Operations Manager можно установить с использованием одного из следующих трех методов. В большинстве установок используется сочетание этих методов для установки разных наборов компьютеров (в зависимости от ситуации).

  • Обнаружение и установка одного или нескольких агентов с консоли управления. Это наиболее распространенная форма установки. Сервер управления должен иметь возможность подключиться к компьютеру с использованием RPC, и либо учетная запись действий сервера управления, либо другие предоставленные учетные данные должны иметь административный доступ к целевому компьютеру.
  • Включение в образ установки. Это установка вручную в базовый образ, который используется для подготовки других компьютеров. В этом случае интеграция с Active Directory может применяться для автоматического назначения компьютера серверу управления после начальной загрузки.
  • Установка вручную. Этот метод используется в том случае, если агент не удалось установить другим методом, например если удаленный вызов процедур (RPC) недоступен из-за брандмауэра. Эта настройка вручную выполняется в агенте или развертывается с помощью существующего инструмента распределения программного обеспечения.

Агенты, уже установленные с помощью мастера обнаружения, могут управляться из консоли управления. Для них, например, может изменяться версия, применяться обновления, настраиваться сервер управления для отправки агентами отчетов.

При установке агента вручную его обновление также должно выполняться вручную. Для назначения агентов группам управления допускается использование интеграции с Active Directory. Дополнительные сведения см. в статье Интеграция Active Directory и Operations Manager.

Развертывание агента в системе Windows

Для обнаружения системы Windows должны быть открыты порты TCP 135 (RPC), диапазон RPC и TCP 445 (SMB), а на агентском компьютере должна быть установлена служба SMB.

  • После обнаружения целевого устройства на него можно развернуть агент. Установка агента требует следующего:
  • Открыть порты RPC, начиная с сопоставителя конечных точек TCP 135 до порта SMB TCP/UDP 445.
  • Включить службы доступа к файлам и принтерам сетей Microsoft и клиента для служб сетей Microsoft. (Это гарантирует, что SMB-порт является активным.)
  • Параметры групповой политики брандмауэра Windows "Разрешить исключение для удаленного администрирования" и "Разрешить исключение для входящего общего доступа к файлам и принтерам" (если они включены) должны иметь значение "Разрешить незапрошенные входящие сообщения с IP-адресом и подсетями для основного и дополнительного сервера управления агента".
  • Учетная запись с правами администратора на целевом компьютере.
  • Установщик Windows 3.1. Инструкции по установке см. в статье 893803 базы знаний Майкрософт https://go.microsoft.com/fwlink/?LinkId=86322
  • Службы Microsoft Core XML (MSXML) 6 на установочном носителе продукта Operations Manager в подкаталоге \msxml. При установке агента принудительной доставки на целевое устройство будут установлены службы MSXML 6 (при их отсутствии).

Развертывание агента в системе UNIX и Linux

В System Center Operations Manager сервер управления использует два протокола для связи с компьютером UNIX или Linux:

  • Безопасную оболочку (SSH) для установки, обновления и удаления агентов.
  • Веб-службы управления (WS-Management) используются для всех операций мониторинга и включают обнаружение уже установленных агентов.

Используемый протокол зависит от действия или информации, запрошенной на сервере управления. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.

Примечание

Все учетные данные, указанные в этом разделе, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности.

При повышении прав непривилегированная учетная запись может принимать удостоверение привилегированной учетной записи на компьютере UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).

Назначение агента Active Directory

System Center Operations Manager позволяет эффективно использовать инвестиции в доменные службы Active Directory Domain Services (AD DS), предоставляя возможность использовать их для назначения управляемых агентом компьютеров группам управления. Эта функция обычно используется в сочетании с агентом, развернутым в рамках процесса построения развертывания сервера. Если компьютер впервые подключается к сети, агент Operations Manager отправляет запрос в Active Directory на назначение основного и резервного серверов управления и автоматически приступает к мониторингу компьютера.

Назначение компьютеров группам управления с помощью доменных служб Active Directory выполняется описанным ниже способом.

  • У доменов доменных служб Active Directory должен быть собственный функциональный уровень Windows 2008 или выше
  • Управляемые агентом компьютеры и все серверы управления должны принадлежать одному домену или доменам с двусторонними отношениями доверия.

Примечание

Агент, который определяет, что он установлен на контроллере домена, не запрашивает сведения о конфигурации у Active Directory. Это предусмотрено соображениями безопасности. Интеграция с Active Directory отключается по умолчанию на контроллерах домена, поскольку агент запускается под учетной записью локальной системы. Учетная запись локальной системы в контроллере домена имеет права администратора домена; следовательно, она обнаружит все точки подключения службы сервера управления, которые зарегистрированы в Active Directory, независимо от членства в группе безопасности контроллера домена. В результате агент попытается подключиться ко всем серверам управления во всех группах управления. Результаты могут быть непредсказуемыми, что создает угрозу безопасности.

Назначение агентов выполняется с помощью точки подключения службы (SCP), которая представляет собой объект Active Directory для публикации информации, с помощью которой клиентские приложения могут выполнить привязку к службе. Для этого администратор домена с помощью средства командной строки MOMADAdmin.exe создает контейнер AD DS для группы управления Operations Manager в доменах управляемых компьютеров. Группа безопасности доменных служб Active Directory, которая указывается при запуске MOMADAdmin.exe, предоставляет контейнеру разрешения на чтение и удаление дочерних объектов. Точка SCP содержит сведения о подключении к серверу управления, включая полное доменное имя сервера и номер порта. Агенты Operations Manager могут автоматически обнаруживать серверы управления, запрашивая точки подключения службы. Наследование не отключается, и так как агент может прочитать сведения об интеграции, зарегистрированные в AD, в случае применения принудительного наследования для группы "Все" на чтение всех объектов на корневом уровне в Active Directory, это значительно снизит и, по сути, прервет действие функциональных возможностей интеграции AD. Если явным образом применить принудительное наследования во всем каталоге, предоставив группе "Все" разрешения на чтение, необходимо заблокировать данное наследование на уровне корневого контейнера интеграции AD с именем OperationsManager и всех дочерних объектов.  Если этого не сделать, интеграция AD не будет работать, как ожидалось, и у вас не будет надежного и согласованного основного и резервного назначения для развернутых агентов. Кроме того, если в вашем распоряжении находится несколько групп управления, все агенты в обеих группах управления также будут многосетевыми. 

Эта функция хорошо подходит для управления назначением агентов в распределенном развертывании группы управления, чтобы не допустить отправку отчетов агентами на серверы управления, которые выделены для пулов ресурсов или серверов управления во вторичном ЦОД в конфигурации постоянного резерва и, следовательно, предотвратить переключение агента на резервный ресурс при нормальной работе.

Администратор Operations Manager управляет конфигурацией назначения агентов с помощью мастера назначения агентов и настройки их переключения и назначает компьютеры основному и дополнительному серверам управления.

Примечание

Для агентов, установленных из консоли управления, отключена интеграция с Active Directory. По умолчанию интеграция с Active Directory включается для агентов, установленных вручную с помощью MOMAgent.msi.

Дальнейшие шаги