Установка ЕдиногоАгента на Windows: различия между версиями

Требования к файлам и дисковому пространству ЕдиногоАгента в Windows

На этой странице представлена ​​информация о структуре директории ЕдиногоАгента и требованиях к дисковому пространству для установки ЕдиногоАгента full-stack и обновлений. Обратите внимание, что точные значения могут различаться в зависимости от версии ЕдиногоАгента.

Режим полного стека и мониторинга инфраструктуры

Требования к дисковому пространству одинаковы для режимов мониторинга Full-stack и Infrastructure.

Директории ЕдиногоАгента и их размеры

		Директория по умолчанию	Возможность изменения
Размер установки (с удаленными временными файлами установки)	~775 МБ	%PROGRAMFILES%\dynatrace\oneagent	Да 1
Постоянная конфигурация	~10 МБ	%PROGRAMDATA%\dynatrace\oneagent\agent\config	Нет
Временные файлы, конфигурация времени выполнения	200 МБ	%PROGRAMDATA%\dynatrace\oneagent\agent\runtime	Нет
Логи	1 ГБ	%PROGRAMDATA%\dynatrace\oneagent\log	Да 2
Отчеты о сбоях, дампы памяти	3 ГБ	%PROGRAMDATA%\dynatrace\oneagent\datastorage	Да 3
Файл сохранения повторной передачи логов EEC	600 МБ + 1,5 ГБ резерва	%PROGRAMDATA%\dynatrace\oneagent\agent\runtime\extensions\persistence	Да 4 5
Дополнительное место для обновлений	~3,4 ГБ	См. Необходимое место для обновлений (ниже)
Всего	~10,5 ГБ

¹ Используйте параметр установки INSTALL_PATH.

² Используйте параметр установки LOG_PATH.

³ Используйте параметр установки DATA_STORAGE.

⁴ Применимо только если вы используете расширения Ключ-АСТРОМ, которые определяют метрики логов, события или добавляют собственные правила обработки логов. Можно изменить с помощью запроса в службу поддержки.

⁵ Механизм надежности не работает, если требование не выполняется.

Полный список файлов и директорий, добавленных в вашу систему ЕдиногоАгента, см. в разделе Безопасность ЕдиногоАгента в Windows (ниже).

Механизм устаревания файлов ЕдиногоАгента

ЕдиныйАгент в режиме мониторинга полного стека использует встроенный механизм устаревания, чтобы гарантировать, что файлы ЕдиногоАгента, включая файлы логов и данные времени выполнения, поддерживаются в разумных пределах. Для получения дополнительной информации см. Механизм устаревания файлов ЕдиногоАгента.

Необходимое место для обновлений

При расчете необходимого для обновлений пространства мы учитываем размер сжатого EXE-файла установщика, извлеченного MSI-пакета и размер процесса установки (пространство, необходимое для развертывания файлов ЕдиногоАгента).

	Размер	Описание	Удаляется после	Устанавливается с	Путь
1	~130 МБ	Установщик EXE, загруженный AutoUpdate	Перезапуск OneAgent или установка следующей версии 1	Автообновление	%PROGRAMDATA%\dynatrace\oneagent
2	~750 МБ	Извлеченный установщик MSI	Конец установки	Установка ЕдиногоАгента	%PROGRAMDATA%\dynatrace\oneagent
3	~750 МБ	Дополнительное хранилище для временных установочных файлов	Конец установки	Установка ЕдиногоАгента	%APPDATA%
4	~750 МБ	Копия установщика MSI, сохраненная Windows	Установка следующей версии	Установщик Windows	%WINDIR%\Installer
5	~750 МБ	Установленные файлы	Установка следующей версии	Установка Windows	[Installation path]
Σ	~3130 МБ

¹ Если вы загрузите EXE-установщик вручную, процесс установки не удалит его.

Дополнительное пространство, необходимое для установки и обновлений, рассчитывается с учетом 10% запаса :

(size of the installation process [2+3+4+5] + installer files size [1]) * 1.1

Требуемое дисковое пространство для установки и обновления ЕдиногоАгента на одном диске составляет ~3,4 ГБ, рассчитанное по этой формуле.

Обратите внимание, что установщик EXE сжат, что объясняет разницу в размере по сравнению с установщиком MSI.

С точки зрения требований к пространству, нет никакой реальной разницы между ручной установкой новой версии (когда старая версия уже установлена), автоматическим обновлением и обновлениями, которые запускаются путем перезапуска контейнера ЕдиногоАгента. Во всех этих случаях процесс установки выполняется абсолютно одинаково. Отличается лишь метод, с помощью которого запускается обновление.

Подробности сохранения

Механизм надежности обеспечивает сохранение логов Extension Execution Controller (EEC) в случае недоступности АктивногоШлюза или ЕдиногоАгента, возникновения сетевых проблем или перегрузки EEC при приеме данных. Благодаря механизму надежности мы можем минимизировать пробелы в покрытии логов.

Общая информация

• сохранение работает по умолчанию, если соблюдено требование к объему - 2136 МБ
  • 600 МБ свободного дискового пространства для использования механизмом надежности
  • дополнительно 1,5 ГБ свободного места на диске в качестве буфера (не используется механизмом обеспечения надежности)
• требование периодически проверяется, и если оно не выполняется, сохранение будет отключено — прием логов будет передан без механизма обеспечения надежности
• объем используется пропорционально
• Если требование не может быть выполнено на хосте, можно скорректировать конфигурацию сохранения логов

Конфигурация

Файл конфигурации Windows : C:\ProgramData\dynatrace\remotepluginmodule\agent\conf\extensionsuser.conf

Файл конфигурации Linux : /var/lib/dynatrace/remotepluginmodule/agent/conf/extensionsuser.conf

Переменная	Описание
persistence.reliable_mode	true- включен надежный режим; логи SFM генерируются, если требования к пространству не выполняются false- надежный режим выключен; прием логов будет передаваться без механизма надежности
persistence.total_limit_kb	Максимальный предел объема для Extensions Log Persistence в килобайтах. По умолчанию: 600 МБ Может быть изменен вручную, если требование не может быть выполнено на хосте.

Безопасность ЕдиногоАгента в Windows

Для полной автоматизации мониторинга ваших операционных систем, процессов и сетевых интерфейсов Ключ-АСТРОМ требуется привилегированный доступ к вашей операционной системе как во время установки, так и во время работы.

ЕдиныйАгент тщательно протестирован, чтобы гарантировать минимальное влияние на производительность вашей системы и соответствие самым высоким стандартам безопасности .

Разрешения

Для установки и работы ЕдиногоАгента требуются права администратора в Windows.

Установка

Установщику ЕдиногоАгента требуются права администратора для:

• Создания службы ЕдиногоАгента.
• Изменения определенных ключей реестра.
• Установки драйвера захвата пакетов (Npcap или WinPcap) для сбора метрик сети.
• Установки устройства oneagentmon.

Операции

ЕдиныйАгент требует права администратора для:

• Перечислить все процессы.
• Получить статистику памяти для всех процессов.
• Прочитать каждую командную строку процесса и среду.
• Просмотреть описания исполняемых файлов.
• Прочитать конфигурации приложения для Apache и IIS
• Просмотреть список библиотек, загруженных для каждого процесса.
• Прочитать ключи реестра Windows.
• Прочитать раздел «Домен приложения .NET» для .NET 2.0, 3.0 и 3.5.
• Начать мониторинг сетевого трафика.
• Анализировать исполняемых файлов для Go Discovery.
• Собирать данные мониторинга, связанные с контейнерами Docker.

Изменения операционной системы

ЕдиныйАгент вносит следующие изменения в вашу систему:

Установка

Установщик ЕдиногоАгента изменяет следующие аспекты вашей системы:

• Начиная с версии 1.195, для запуска расширений ЕдиногоАгента не создается учетная запись пользователя. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM.
• Саздание службы Dynatrace OneAgent.
• Программа Ключ-АСТРОМ ЕдиныйАгент зарегистрирована в установщике Windows.
• Драйвер oneagentmon установлен и устройство OneAgentMon создано. Требуется для включения автоматического внедрения в процессы.
• Создаются подреестры:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Dynatrace\OneAgent
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oneagentmon
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dynatrace OneAgent
  • HKEY_LOCAL_MACHINE\SOFTWARE\Caphyon\Advanced Installer
• Устранение неполадок: сбой инициализации сетевого агента в Windows
• Драйвер Npcap устанавливается с установленным флагом /admin_only, который ограничивает чтение и запись пакетов Npcap только пользователями с привилегиями администратора. Непривилегированные пользователи не могут получить доступ к функциональным возможностям Npcap на контролируемом хосте. Обратите внимание, что WinPcap не предлагает такого ограничения. Для получения дополнительной информации см. раздел Настройка установки OneAgent в Windows (ниже). Убедитесь, что эти операции Npcap и WinPcap разрешены в настройках безопасности вашей системы:
  • Npcap: Запись значений реестра в SYSTEM\CurrentControlSet\Services\npcap
  • Npcap: Чтение и запись значений реестра в SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\NpcapInst
  • Winpcap: Чтение и запись значений реестра SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInstвSOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinPcapInst
  • Npcap и Winpcap: Загрузка wpcap.dll и packet.dll расположенных в C:\WINDOWS\system32\Npcap/C:\WINDOWS\system32\WinPcap
  • Npcap и Winpcap: Чтение значений реестра, касающихся текущих сетевых интерфейсов в *SYSTEM\CurrentControlSet\Control\Network\{Network-Service-GUID}

Добавленные файлы

Установка

Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

• Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в %PROGRAMFILES%\dynatrace\oneagent. Обратите внимание, что вы можете изменить местоположение с помощью параметра INSTALL_PATH.
• Временные файлы установщика сохраняются в C:\AI_RecycleBin. Папка удаляется после завершения установки.

Операция

• Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в формате %PROGRAMDATA%\dynatrace\oneagent\runtime.
• Постоянная конфигурация ЕдиногоАгента сохраняется в файле %PROGRAMDATA%\dynatrace\oneagent\config.
• Большие данные времени выполнения, такие как дампы памяти, сохраняются в %PROGRAMDATA%\dynatrace\oneagent\datastorage. Обратите внимание, что вы можете изменить расположение больших данных времени выполнения с помощью параметра DATA_STORAGE.

Системные логи, загружаемые ЕдинымАгентом

ЕдиныйАгент загружает системные логи Security, System и Application за последние 14 дней, чтобы Ключ-АСТРОМ мог диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

Отзыв доступа к системным логам

Чтобы отменить доступ к системным логам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным на false.

Глобально доступные для записи директории

Структура директорий ЕдиногоАгента содержит глобально доступные для записи каталоги (директории Everyone, в которых группа пользователей может писать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

Механизм внедрения ЕдиногоАгента

Такие разрешения на выбранный набор директорий необходимы для успешного внедрения ЕдиногоАгента в процессы на контролируемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, отвечающий за внедрение, запускается в контексте исходного внедренного процесса. Следовательно, пользователи, под которыми запускаются эти процессы, должны иметь разрешение на запись в структуру директорий ЕдиногоАгента, что является причиной глобальных разрешений на запись, которые это разрешают.

Аналогично, для некоторых файлов логов требуются глобальные разрешения на запись, чтобы приложения, работающие под разными пользователями, могли записывать в них данные.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в директорий ЕдиногоАгента помечаются в сканировании безопасности, но мы можем заверить вас, что они полностью защищены.

• Мы стараемся максимально ограничить количество директорий, доступных для глобальной записи.
• Мы используем расширенные права доступа к файлам Creator Owner и используем их для ограничения доступа к файлам.

Подписи установщика

Установщик ЕдиногоАгента подписан одним или несколькими корневыми сертификатами DigiCert. Для регулярно обслуживаемых систем Windows проверяет, что установщик ЕдиногоАгента был опубликован проверенным издателем.

Если ваша система на базе Windows была отключена с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика ЕдиногоАгента будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последний сертификат из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert обязательным для успешной проверки установщика ЕдиногоАгента является DigiCert Global Root G3.

• Чтобы узнать, какие корневые сертификаты установлены в вашей системе, см . раздел Как просмотреть сертификаты с помощью оснастки MMC в документации Microsoft.
• Загрузите последние корневые сертификаты с сайта DigiCert root certificates.

Windows 2008 R2

Начиная с версии ЕдиногоАгента 1.225, установщик подписан с использованием алгоритма SHA-2. Следовательно, хосты Windows 2008 R2 должны иметь установленную поддержку подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка ЕдиногоАгента не будут работать, если настроена блокировка неизвестных издателей Applocker и/или могут отображаться предупреждения безопасности. Для получения дополнительной информации см. Требование поддержки подписи кода SHA-2 Microsoft 2019 для Windows и объявление WSUS.

Установка ЕдиногоАгента на Windows

На этой странице описывается, как загрузить и установить Ключ-АСТРОМ ЕдиныйАгент в Windows.

• Если вы являетесь клиентом Ключ-АСТРОМ SaaS, перейдите на сайт Ключ-АСТРОМ, войдите в систему, используя имя пользователя и пароль, полученные от Ключ-АСТРОМ в электронном письме с подтверждением регистрации.
• Если вы являетесь клиентом Ключ-АСТРОМ Managed, откройте консоль управления кластером и выберите среду, которую вы хотите отслеживать.

Затем продолжите установку, следуя инструкциям ниже.

Требования и предустановка

• Вам потребуются права администратора для серверов, на которых будет установлен ЕдиныйАгент, а также для изменения настроек брандмауэра (необходимо только в том случае, если ваша внутренняя политика маршрутизации может помешать программному обеспечению Ключ-АСТРОМ выйти в Интернет).
• Для перезапуска всех служб приложений вам потребуются разрешения и учетные данные.
• Вам также необходимо проверить требования к свободному месту на диске.
• Хост, на котором устанавливается ЕдиныйАгент, должен иметь не менее 200 МБ оперативной памяти.
• Установка ЕдиногоАгента не поддерживается в точках монтирования сетевых хранилищ, которые управляются такими стандартами, как NFS или iSCSI.
• Все хосты, которые должны отслеживаться, должны иметь возможность отправлять данные в кластер Ключ-АСТРОМ. В зависимости от того, развернут ли ваш Ключ-АСТРОМ на SaaS или в управляемой среде, а также от вашей сетевой структуры и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-АСТРОМ, либо настроить АктивныйШлюз .
• Для ЕдиногоАгента версии 1.253 и более ранних версий мы рекомендуем вам удалить все существующие драйверы WinPcap, чтобы разрешить установку Npcap — сделайте это во всех версиях Windows, кроме Windows Server 2019 build 1809 without hotfix KB4571748.
  Для ЕдиногоАгента версии 1.255+ Npcap устанавливается по умолчанию и может вызвать сбой сети на Windows Server 2016, Windows Server 2019 build 1809и Windows Server 2019 build 1809 without hotfix KB4571748. Чтобы предотвратить это, обновите свои хосты с помощью исправления KB4571748 или используйте другие задокументированные варианты .

Разрешить соединения через брандмауэр

Убедитесь, что настройки вашего брандмауэра разрешают связь с Ключ-АСТРОМ.

В зависимости от политики вашего брандмауэра вам может потребоваться разрешить определенные исходящие соединения. Удаленные адреса Ключ-АСТРОМ для добавления в список разрешенных указаны на странице установки ЕдиногоАгента.

Удалите драйвер WinPcap, чтобы разрешить установку Npcap.

Если у вас установлен драйвер WinPcap, мы рекомендуем вам удалить его перед установкой ЕдиногоАгента и позволить установщику ЕдиногоАгента установить соответствующий драйвер захвата пакетов, входящий в комплект установщика ЕдиногоАгента: Npcap— рекомендуемый драйвер захвата пакетов для ЕдиногоАгента.

Npcap является преемником WinPcap и лучше всего подходит для сетевого анализа Ключ-АСТРОМ. Драйвер Npcap, предоставляемый вместе с установщиком ЕдиногоАгента, упакован таким образом, что его файлы библиотеки DLL интегрируются с программным обеспечением Ключ-АСТРОМ, что позволяет выполнять обновления без вмешательства оператора.

Более подробную информацию см. здесь:

• Безопасность ЕдиногоАгента в Windows (выше)
• Настройте установку OneAgent в Windows (ниже)

Во время обновления с WinPcap до Npcap вы можете столкнуться с сетевыми сбоями, которые можно устранить, обновив версию Windows Server и/или отключив Microsoft Network Monitor Driver. Для получения более подробной информации см. Возможные сетевые сбои во время установки ЕдиногоАгента в Windows (ниже)

Переустановка или восстановление установки

Установщик ЕдиногоАгента для Windows не поддерживает операции modify и repair. Вы не можете переустановить ЕдиныйАгент, используя ту же версию установщика, которая использовалась для установки текущего установленного ЕдиногоАгента. Чтобы переустановить ЕдиныйАгент, сначала удалите его или просто установите более новую версию.

Установка

1. В Ключ-АСТРОМ выберите Установить мониторинг.
2. Выберите Загрузить установщик > Windows.
3. Предоставьте токен PaaS. Токен необходим для загрузки установщика ЕдиногоАгента из вашей среды. Если у вас нет токена PaaS, вы можете сгенерировать его прямо в пользовательском интерфейсе. Токен автоматически добавляется к команде загрузки, которую вы будете использовать позже.
4. Загрузите установщик. Есть два варианта:
   • Выберите Скачать установщик ЕдиногоАгента, чтобы загрузить установщик для Windows (EXE-файл) для установки на одном сервере.
   • Загрузите через командную строку Windows. Скопируйте и выполните команду powershell. Она генерируется автоматически при предоставлении токена PaaS.
     Эта команда будет работать только с PowerShell 3.0 и TLS 1.2 (или более поздней версией).
5. необязательный Настройте свою установку На этом этапе пользовательский интерфейс Ключ-АСТРОМ позволяет вам настроить установку ЕдиногоАгента: Вы можете указать ряд настроек интерактивно на экране. На основе ваших записей будет сгенерирована и отображена команда установки для использования на следующем этапе установки (см. ниже). Вы можете:
   • Установите сетевую зону для этого хоста.
   • Если ваша среда сегментирована (например, на разработку и производство), организуйте хосты в группы хостов .
   • Переопределить автоматически обнаруженное имя хоста. Это полезно в больших и динамических средах, где определенные имена хостов могут быть неинтуитивными или могут часто меняться.
   • Применяйте теги к хосту, чтобы осмысленно организовать контролируемые среды.
   • Измените режим ЕдиногоАгента на Infrastructure Monitoring или Discovery вместо Full-Stack Monitoring.
   • Отключить мониторинг логов.
     Если требуются дополнительные настройки, вы можете указать дополнительные параметры в командной строке .
6. Если вы не указали никаких пользовательских параметров, просто запустите исполняемый файл и следуйте инструкциям, как показано. Если вы указали пользовательские параметры выше, используйте сгенерированную команду и запустите ее из директории загрузки. Команда будет содержать все параметры установки, отражающие указанные вами пользовательские настройки.
7. Перезапустите все процессы, которые вы хотите отслеживать. Вам будет предложен список процессов, которые необходимо перезапустить. Обратите внимание, что вы можете перезапустить свои процессы в любое время, даже во время следующего запланированного периода обслуживания вашей организации. Хотя до тех пор, пока все процессы не будут перезапущены, вы увидите только ограниченный набор метрик, например, потребление ЦП или памяти.

Получение пакета MSI

Если вы хотите использовать групповую политику для автоматического распространения ЕдиногоАгента на ваши хосты Windows, вам понадобится пакет MSI вместе с пакетным файлом. Чтобы получить пакет MSI:

1. Загрузите установщик ЕдиногоАгента, предоставленный в виде EXE-файла.
2. Запустите его с параметром --unpack-msi. Это извлечет пакет MSI и установочный пакетный файл. При желании вы можете указать существующий путь. Если вы пропустите путь, файлы будут сохранены в рабочем каталоге. Например: C:\Downloads\Dynatrace-OneAgent-Windows.exe --unpack-msi "C:\installers"

При использовании параметра --unpack-msi не допускаются никакие другие параметры установки. Добавьте параметр --quiet для запуска извлечения пакета MSI в тихом режиме. Используйте параметр --help для отображения всплывающего окна со списком доступных параметров.

Скопируйте и вставьте пакет MSI и пакетный файл при настройке групповой политики для установки Ключ-АСТРОМ. Установка по умолчанию должна работать в большинстве случаев, но если вам нужно настроить ее, вы можете изменить параметры установки. Затем вам нужно создать точку распространения, назначить пакет (пакет MSI ЕдиныйАгент с параметрами), указать команду для установки пакета MSI в режиме тихой установки и опубликовать свою политику.

Что происходит во время установки?

ЕдиныйАгент — это набор специализированных служб, которые были настроены специально для вашей среды мониторинга. Роль этих служб заключается в мониторинге различных аспектов ваших хостов, включая оборудование, операционную систему и процессы приложений.

В процессе установки установщик:

• Устанавливает исполняемый код и библиотеки, используемые ЕдинымАгентом.
• Создает записи в реестре Windows, которые запускают ЕдиныйАгент как службу SYSTEM. Кроме того, устройство oneagentmon и (опционально) Npcap или WinPcap устанавливаются для лучшей интеграции с операционной системой и для облегчения сбора сетевой статистики.
• Проверяет глобальные настройки прокси-сервера системы.
• Проверяет наличие соединения с Ключ-АСТРОМ Server или АктивнымШлюзом (если вы установили АктивныйШлюз и загрузили установщик ЕдиногоАгента после подключения АктивногоШлюза к Ключ-АСТРОМ).
• ЕдиныйАгент версии 1.193 и более ранних Создает собственного пользователя (dtuser) для запуска расширений ЕдиногоАгента. Этот пользователь является членом группы Performance Monitoring Users и может входить в систему только как служба. Пароль генерируется случайным образом во время установки и хранится в зашифрованном виде. Вы не можете изменить пароль. В целях безопасности dtuser не разрешается:
  • Доступ к компьютеру из сети.
  • Войдите в систему как пакетное задание.
  • Войдите в систему локально.
  • Войдите через Remote Desktop Services.
    dtuser требуется для правильной работы Ключ-АСТРОМ, поэтому его нельзя удалять. Если по какой-то причине dtuser был удален, следующее обновление его воссоздаст.
• ЕдиныйАгент версии 1.195+ Для новых установок ЕдиногоАгента 1.195+ по умолчанию используется запуск расширений ЕдиногоАгента LocalSystem account. Для краткого обзора изменений, внесенных в вашу систему установкой ЕдиногоАгента, см. Безопасность ЕдиногоАгента в Windows (выше).