Установка ЕдиногоАгента на Linux: различия между версиями

Требования к файлам и дисковому пространству ЕдиногоАгента в Linux

На этой странице представлена ​​информация о структуре директории ЕдиногоАгента и требованиях к дисковому пространству для установки ЕдиногоАгента full-stack и обновлений. Обратите внимание, что точные значения могут различаться в зависимости от версии ЕдиногоАгента.

Режим полного стека и мониторинга инфраструктуры

Требования к дисковому пространству одинаковы для режимов мониторинга Full-stack и Infrastructure.

Директории ЕдиногоАгента и их размеры

¹ Используйте параметр установки INSTALL_PATH.

² Для ЕдиногоАгента версии 1.201 и более ранних версий местоположением файлов логов по умолчанию является /opt/astromkey/oneagent/log.

³ Используйте параметр установки LOG_PATH.

⁴ Используйте параметр установки DATA_STORAGE.

⁵ Применимо только если вы используете расширения Ключ-АСТРОМ, которые определяют метрики логов, события или добавляют собственные правила обработки логов. Можно изменить с помощью запроса в службу поддержки.

⁶ Механизм надежности не работает, если требование не выполняется. Для получения дополнительной информации см. Подробности сохранения (ниже).

Полный список файлов и каталогов, добавленных в вашу систему ЕдинымАгентом, см. в разделе Безопасность ЕдиногоАгента в Linux (ниже).

Механизм устаревания файлов ЕдиногоАгента

ЕдиныйАгент в режиме мониторинга полного стека использует встроенный механизм устаревания, чтобы гарантировать, что файлы ЕдиногоАгента, включая файлы логов и данные времени выполнения, поддерживаются в разумных пределах. Для получения дополнительной информации см. Механизм устаревания файлов ЕдиногоАгента.

Необходимое пространство для обновлений

При расчете необходимого для обновлений пространства мы учитываем размер файла установщика и размер процесса установки, то есть пространство, необходимое для развертывания файлов ЕдиногоАгента.

Дополнительное пространство, необходимое для обновлений, рассчитывается с учетом 10%-го запаса прочности:

(installer file size + size of the installation process) * 1.1

Размер процесса установки

Размер процесса установки рассчитывается следующим образом:

3 * installer file size + size of the installation

Размер установщика необходимо умножить на 3, чтобы учесть:

• Загруженный файл установщика (/var/lib/astromkey/oneagent)
• Архив, который отделен от скрипта установщика (/opt/astromkey/oneagent)
• Распакованный внешний TAR (/opt/astromkey/oneagent)

С точки зрения требований к пространству, нет никакой реальной разницы между ручной установкой новой версии (когда старая версия уже установлена), автоматическим обновлением и обновлениями, которые запускаются путем перезапуска контейнера ЕдиногоАгента. Во всех этих случаях процесс установки выполняется абсолютно одинаково. Отличается лишь метод, с помощью которого запускается обновление.

Подробности сохранения

Механизм надежности обеспечивает сохранение логов Extension Execution Controller (EEC) в случае недоступности АктивногоШлюза или ЕдиногоАгента, возникновения сетевых проблем или перегрузки EEC при приеме данных. Благодаря механизму надежности мы можем минимизировать пробелы в покрытии логов.

Общая информация

• Сохранение работает по умолчанию, если соблюдено требование к объему - 2136 МБ.
  • 600 МБ свободного дискового пространства для использования механизмом надежности.
  • Дополнительно 1,5 ГБ свободного места на диске в качестве буфера (не используется механизмом обеспечения надежности).
• Требование периодически проверяется, и если оно не выполняется, сохранение будет отключено — прием логов будет передан без механизма обеспечения надежности.
• Объем используется пропорционально нагрузке.
• Если требование не может быть выполнено на хосте, можно скорректировать конфигурацию сохранения журналов — для получения дополнительной информации см. Конфигурация сохранения (ниже).

Конфигурация

Файл конфигурации Windows: C:\ProgramData\astromkey\remotepluginmodule\agent\conf\extensionsuser.conf

Файл конфигурации Linux: /var/lib/astromkey/remotepluginmodule/agent/conf/extensionsuser.conf

Непривилегированный режим OneAgent в Linux

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.

Затем, ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.

Системные Требования

Чтобы установить ЕдиныйАгент в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:

• Файловая система должна поддерживать расширенные атрибуты.
• В системе должен быть установлен libcap2. Например, установка Red Hat Enterprise Linux 5 по умолчанию не содержит libcap2.
• Файловая система не должна быть смонтирована как noexec или nosuid.
• Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе Непривилегированный режим и Linux Filesystem Capabilities (ниже).

См. Безопасность ЕдиногоАгента в Linux (ниже), чтобы узнать о действиях по отслеживанию, выполняемых ЕдинымАгентом, для которых требуется привилегированный доступ.

Привилегии во время установки

• При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:
• Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/*.
• Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
• В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
  • systemctl <start|stop|enable|disable> oneagent.service
  • systemctl daemon-reload
• В системах с SysV выполните /sbin/chkconfig, чтобы добавить сценарий службы oneagent в автозапуск или удалить его.
• Пропешите /proc/sys/kernel/core_pattern.

Привилегии суперпользователя сбрасываются при выполнении скрипта службы Ключ-АСТРОМ ЕдиныйАгент:

• В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, daemon-systemd запускает сценарий службы ЕдиныйАгент в непривилегированном режиме.
• В системах с SysV привилегии сбрасываются в сценарии при запуске процесса ЕдиныйАгент Watchdog.

Linux Filesystem Capabilities

Ключ-АСТРОМ ЕдиныйАгент Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы ЕдиногоАгента используют следующие системные возможности Linux.

Возможности двоичной системы Linux

Включение Linux Filesystem Capabilities

Linux Filesystem Capabilities необходимы для установки ЕдиногоАгента в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки ЕдиногоАгента выводит следующее сообщение, если возможности файловой системы Linux отключены:

Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.

Вы также можете проверить параметры загрузки ядра, чтобы увидеть, включены ли Linux Filesystem Capabilities. Выполните следующую команду, чтобы проверить параметры загрузки ядра.

cat /proc/cmdline

Если вы обнаружите, что file_caps=1 в выводе, ваша установка в порядке.

Чтобы включить Linux Filesystem Capabilities, добавьте file_caps=1 в параметры загрузки ядра. Например, в SUSE Linux Enterprise Server 11 используйте YaST, отредактируйте параметры загрузки ядра, добавьте file_caps=1 и перезагрузите машину.

Привилегии при автоматических обновлениях и работе

Объем привилегий, требуемых ЕдиномуАгенту, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.

Ядра с поддержкой Linux ambient capabilities (версия 4.3+)

Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. ЕдиныйАгент не требует корневого доступа для выполнения автоматического обновления.

Red Hat Enterprise Linux 7 имеет слишком низкий systemd (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска systemctl <start|stop|enable|disable> oneagent.service.

Ядра без внешних возможностей (версии с 2.6.26 по 4.3)

В большинстве случаев ЕдиныйАгент будет работать под непривилегированным dtuser. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя setuid(0) в следующих случаях:

• Автоматические обновления ЕдиногоАгента
• Генерация идентификатора OSI узла на узлах Azure
• Определение свойств контейнеров Docker
• Самодиагностика

Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр DISABLE_ROOT_FALLBACK=1 в команду установки ЕдиногоАгента. Например:

sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1

В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр DISABLE_ROOT_FALLBACK=1 для ЕдиногоАгента в контейнерах Azure или Docker.

Как узнать, работает ли ЕдиныйАгент в непривилегированном режиме?

Программа установки выдает сообщение в конце установки ЕдиногоАгента. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:

• Non-privileged mode is enabled - ядро поддерживает ambient capabilities, нет необходимости использовать доступ суперпользователя для обновлений или операций.
• Enabled non-privileged mode, but ambient capabilities are not supported by kernel - ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, ЕдиномуАгенту необходимо повышать привилегии в некоторых случаях, см. выше.
• Failed to enable non-privileged mode - ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.

Безопасность ЕдиногоАгента на Linux

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, ЕдиныйАгент вносит в вашу систему следующие изменения.

ЕдиныйАгент тщательно протестирован, чтобы гарантировать минимальное влияние на производительность вашей системы и соответствие самым высоким стандартам безопасности .

Разрешения

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для инициирования процесса установки. Затем ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя полный набор функций. Подробности и системные требования см. в разделе Непривилегированный режим ЕдиныйАгент в Linux (выше)

Операция

ЕдиныйАгент выполняет следующие привилегированные операции. В зависимости от того, работает ли ЕдиныйАгент в непривилегированном или привилегированном режиме, область действия операций та же самая, отличается только базовый механизм. В привилегированном режиме ЕдиныйАгент работает как root, тогда как непривилегированный режим использует системные возможности Linux.

• Доступ к списку открытых сокетов для каждого процесса.
• Доступ к списку библиотек, загруженных для каждого процесса.
• Получает доступ к имени и пути исполняемого файла для каждого процесса.
• Доступ к параметрам командной строки для каждого процесса.
• Мониторинг сетевого трафика.
• Чтение файлов конфигурации приложения.
• Анализ исполняемых файлов для Go Discovery.
• Собирает данные мониторинга, связанные с контейнерами Docker.

Если у вас включен мониторинг логов, права root также потребуются для:

• Доступа к системным логам: /var/log/syslog и /var/log/messages.
• Доступа к списку открытых обработчиков файлов для каждого процесса (файловой системы /proc).
• Доступа к файлу логов для каждого процесса.

Изменения операционной системы

Установщик ЕдиногоАгента вносит в вашу систему следующие изменения:

• Пользователь создан dtuser. Вы можете изменить имя по умолчанию с помощью параметра установки USER.
• Служба oneagent зарегистрирована в системе init.
• Службы ABRT (Red Hat) и Apport (Debian) остановлены и отключены.
• Пользовательский модуль SELinux устанавливается в системах с включенным SELinux. Исходные коды модуля SELinux, установленного установщиком ЕдиногоАгента {install-dir}/agent/SELinuxPolicy, доступны по умолчанию в /opt/astromkey/oneagent/agent/SELinuxPolicy
• Устанавливает компоненты ЕдиногоАгента в директории системной библиотеки.
• Настраивается /etc/ld.so.preload на автоматический мониторинг процессов.

Измененные файлы

Установка

Установщик ЕдиногоАгента изменяет следующие системные файлы:

• /proc/sys/kernel/core_patternи /etc/sysctl.conf изменяются для включения обработки дампа ядра с помощью oneagentdumpproc. Исходная конфигурация core_pattern будет работать после установки и будет сохранена в /opt/astromkey/oneagent/agent/conf/original_core_pattern, где вы можете определить собственные настройки ядра, используя формат, указанный в Руководстве программиста Linux . См. Обработка дампа ядра Linux для получения дополнительной информации.
• /etc/ld.so.preload изменен для обеспечения возможности автоматического внедрения в процессы.

Операция

Во время своей работы ЕдиныйАгент изменяет следующие файлы:

• Оболочка ЕдиногоАгента перезаписывает файл /var/vcap/packages/runc/bin/runc (Garden runc), чтобы разрешить внедрение. Это происходит периодически во время выполнения. Исходный файл сохраняется как runc-original и восстанавливается скриптом удаления .
• На хостах CRI-O (реализация Kubernetes Container Runtime Interface на базе OCI) crio hook (oneagent_crio_injection-0.1.0.json) копируется по пути, указанному в hooks_dir параметре файла конфигурации CRI-O (/etc/crio/crio.conf). Если hooks_dir параметр не задан, используется один из путей по умолчанию, либо /etc/containers/oci/hooks.d/ или /usr/share/containers/oci/hooks.d/. Хук удаляется скриптом удаления.

Добавленные файлы

Установка

Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

• Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в /opt/astromkey/oneagent. Обратите внимание, что вы можете изменить местоположение с помощью параметра INSTALL_PATH.
• Скрипты запуска копируются в системы с SystemV /etc/init.d и в системы с systemd /etc/systemd/system.
• liboneagentproc.so размещается в системных библиотечных директориях, которые различаются в зависимости от дистрибутива. Например,
  • Ubuntu 14.04 (с установленными 32-битными библиотеками): /lib32 и /lib/x86_64-linux-gnu
  • Fedora 25: /lib64
  • OpenSUSE 42.2: /libи/lib64
  • CentOS 7.3 и Red Hat Enterprise Linux 6: /lib и /lib64

Операция

• Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в формате /var/lib/astromkey/oneagent/runtime.
• Постоянная конфигурация ЕдиногоАгента сохраняется в файле /var/lib/astromkey/oneagent/agent/config.
• Большие данные времени выполнения, такие как дампы памяти, сохраняются в /var/lib/astromkey/oneagent/datastorage. Обратите внимание, что вы можете изменить расположение больших данных времени выполнения с помощью параметра DATA_STORAGE.

Системные логи, загруженные ЕдинымАгентом

ЕдиныйАгент загружает определенные системные логи, чтобы Ключ-АСТРОМ мог диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

• /var/log/boot.log
• /var/log/dmesg
• /var/log/dpkg.log
• /var/log/kern.log
• /var/log/messages
• /var/log/syslog
• /var/log/yum.log
• /var/log/audit/audit.log
• /var/log/zypper.log
• /etc/nsswitch.conf
• Вывод команды /usr/sbin/apparmor_status
• Вывод команды /bin/journalctl --utc -a -n 10000

Отзыв доступа к системным логам

Чтобы отменить доступ к системным логам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным на false.

Глобально доступные для записи директории

Структура директории ЕдиногоАгента содержит глобально доступные для записи директории (1777 разрешений). Изменение этих разрешений пользователями не поддерживается.

Механизм внедрения ЕдиногоАгента

Такие разрешения на выбранный набор директорий необходимы для успешного внедрения ЕдиногоАгента в процессы на контролируемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, отвечающий за внедрение, запускается в контексте исходного внедренного процесса. Следовательно, пользователи, под которыми запускаются эти процессы, должны иметь разрешение на запись в структуру директорий ЕдиногоАгента, что является причиной глобальных разрешений на запись.

Аналогично, для некоторых файлов логов требуются глобальные разрешения на запись (666), чтобы приложения, работающие под разными пользователями, могли записывать в них данные.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в директориях ЕдиногоАгента помечаются в сканировании безопасности, но мы можем заверить вас, что они полностью защищены.

• Мы стараемся максимально ограничить количество директорий, доступных для глобальной записи.
• Все эти директории имеют установленный sticky bit (фактические разрешения — 1777). Только владелец файла, владелец директории или пользователь root может изменять файлы в директории. Это стандартная практика, которая делает разрешения более надежными. Она также используется для каталога Linux /tmp, чтобы не дать обычным пользователям удалять или перемещать файлы других пользователей.

Установка ЕдиногоАгента в Linux

На этой странице описывается процесс загрузки и установки Ключ-Астром ЕдиныйАгент в Linux.

• Если вы являетесь клиентом Ключ-Астром SaaS, перейдите на сайт ruscomtech.ru, щелкните «Вход в SaaS» и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации.
• Если вы являетесь клиентом Ключ-Астром Managed, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать.

Затем продолжите установку, описанную ниже.

Требования

Вы можете установить ЕдиныйАгент в любой системе Linux, поддерживаемой Ключ-Астром, независимо от пакетного менеджера, с которым работает ваш дистрибутив.

Разрешения

• Для загрузки и установки ЕдиногоАгента вам необходимы разрешения на загрузку/установку ЕдиногоАгента.
• Вам нужны только root-права, чтобы начать установку ЕдиногоАгента. Для этого необходимо, чтобы ваша система соответствовала определенным требованиям. В противном случае добавьте параметр NON_ROOT_MODE=0 в команду установки, чтобы отключить непривилегированный режим работы ЕдиногоАгента.
• Вам нужны разрешения и учетные данные для перезапуска всех ваших служб приложений.

Ресурсы

• Проверьте требования к дисковому пространству.
• Вашему хосту требуется 200 МБ свободной памяти для запуска установки и обновления ЕдиногоАгента.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваша среда Ключ-Астром развертыванием SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Ограничения

Существуют определенные ограничения при развертывании ЕдиногоАгента на хосте Linux с подключенными дисками NFS.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Предоставьте токен PaaS. Этот токен необходим для загрузки установщика ЕдиногоАгента из вашей среды. Если у вас нет токена PaaS, вы можете создать его прямо в пользовательском интерфейсе. Маркер автоматически добавляется к командам загрузки и установки, которые вы будете использовать позже.
3. Выберите Начать установку и выберите Linux.
4. Выберите тип установщика ЕдиногоАгента, поддерживает следующие архитектуры ЦП:
   • x86-64 — 64-битный Intel/AMD
   • IBM Z — 64-разрядный мейнфрейм IBM Z (s390x) Узнать больше
   • PowerPC (LE) — 64-битный PowerPC (ppc64le)
   • PowerPC (BE) — 64-разрядная версия PowerPC (ppc64be) Узнать больше
   • Linux ARM — ARM64 (AARch64), включая процессоры AWS Graviton
5. Скачать установщик. Вставьте предоставленную команду в окно терминала и выполните ее.
6. Подтвердить подпись. После завершения загрузки вставьте предоставленную команду в окно терминала и выполните ее. Убедитесь, что ваша система обновлена, особенно SSL и связанные библиотеки сертификатов.
7. Необязательно: Настройте свою установку
   • Установите сетевую зону для этого хоста.
   • Если ваша среда сегментирована (например, на разработку и производство), рассмотрите возможность организации хостов в группы хостов.
   • Вы можете переопределить автоматически обнаруженное имя хоста. Это полезно в больших и динамичных средах, где определенные имена хостов могут быть неинтуитивными или могут часто меняться.
   • Вы также можете применить теги к хосту, чтобы упорядочить отслеживаемые среды осмысленным образом.
   • Включите мониторинг инфраструктуры вместо мониторинга всего стека.
   • Отключить мониторинг логов.
   • Примечание. Программа установки ЕдиногоАгента из командной строки предоставляет дополнительные параметры для настройки установки.
8. Запустите программу установки. Вставьте команду в окно терминала и выполните ее. Вам потребуется root-доступ только для запуска установки ЕдиногоАгента. Повышенные привилегии сбрасываются, как только развертывается Ключ-Астром ЕдиныйАгент.
   • Если вы находитесь на сервере Ubuntu. sudo /bin/sh <script-name>.sh
   • Если вы используете Red Hat Enterprise Linux. su -c '/bin/sh <script-name>.sh'
   • Если вы запускаете корневую сессию. /bin/sh <script-name>.sh

Примечания:

Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика.

Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.

Что происходит во время установки?

Ключ-Астром ЕдиныйАгент — это набор специализированных служб, настроенных специально для вашей среды мониторинга. Роль этих служб заключается в мониторинге различных аспектов ваших хостов, включая оборудование, операционную систему и процессы приложений.

В процессе установки установщик:

Устанавливает исполняемый код и библиотеки, используемые Ключ-Астром ЕдиныйАгент. Двоичные файлы ЕдиногоАгента устанавливаются в директорию /opt/<name>/oneagent, а сценарий запуска создаются в /etc/init.d (в системах с поддержкой systemd сценарии запуска создаются в /etc/systemd/system/). Один из компонентов Linux ЕдиныйАгент, liboneagentproc.so, находится в директории системной библиотеки (/lib или /lib64 в зависимости от вашей архитектуры) и включается в /etc/ld.so.preload.

Создает своего пользователя (dtuser). Этот пользователь создан без пароля. Невозможно войти под этим пользователем. В целях безопасности службы, не требующие привилегий root, будут работать под этим пользователем. Однако для установки по-прежнему требуется root-доступ.

Проверяет глобальные настройки прокси системы.

Проверяет наличие соединения с Ключ-Астром Server или АктивнымШлюзом (если вы установили АктивныйШлюз и загрузили установщик ЕдиногоАгента после того, как АктивныйШлюз был подключен к Ключ-Астром).

Обнаруживает все приложения, поддерживающие SELinux, и соответствующим образом корректирует политику безопасности SELinux.

Позволяет Ключ-Астром ЕдиныйАгент внедрять собственные библиотеки в отслеживаемые процессы.

Изменяет конфигурацию основного шаблона, чтобы ЕдиныйАгент мог обнаруживать сбои процессов и сообщать о них. Первоначальная конфигурация core_pattern по-прежнему будет работать после установки и будет сохранена в /opt/<name>/oneagent/agent/conf/original_core_pattern, где вы можете определить свои собственные основные настройки, используя формат, указанный в Руководстве программиста Linux.

Сводку изменений, внесенных в вашу систему при установке ЕдиногоАгента, см. в разделе Безопасность ЕдиногоАгента в Linux (выше).

Установка ЕдиногоАгента на PPC BE Linux

Чтобы установить Ключ-Астром ЕдиныйАгент при развертывании Ключ-Астром SaaS, перейдите на ruscomtech.ru и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации. Если у вас есть управляемое развертывание Ключ-Астром, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать. Затем продолжите установку, описанную ниже.

Требования

• Вам нужны разрешения для следующих действий:
  • Чтобы создать директорию, в который вы хотите установить ЕдиныйАгент
  • Чтобы изменить настройки брандмауэра (необходимо только в том случае, если ваша внутренняя политика маршрутизации может препятствовать доступу программного обеспечения Ключ-Астром в Интернет).
  • Чтобы перезапустить службы приложений
• Также необходимо проверить требования к дисковому пространству.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваше развертывание Ключ-Астром SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Примечания:

• В PPC BE Linux ЕдиныйАгент поддерживает только Java и Apache/IHS.
• Вам не нужен root-доступ для установки ЕдиногоАгента на PPC BE Linux.
• Вы можете установить ЕдиныйАгент в любую директорию.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Нажмите кнопку Начать установку и выберите Linux.
3. Выберите тип установщика PowerPC (BE) из списка. Скопируйте команду из текстового поля Использовать эту команду на целевом хосте для загрузки ЕдиногоАгента для Linux PowerPC (BE)
4. Войдите на свой хост PPC BE Linux и выполните команду, которую вы скопировали из Ключ-Астром.
   • Примечания:
     Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика.
     Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.
5. В вашей файловой системе создайте папку для установки ЕдиногоАгента.
6. Разархивируйте ZIP-архив ЕдиногоАгента во вновь созданную папку.
   • Все отслеживаемые приложения должны иметь возможность читать библиотеку ЕдиногоАгента. Убедитесь, что разрешения позволяют это.
7. Теперь у вас есть два варианта: либо отслеживать каждое приложение на вашем хосте, либо только одно приложение.
   • Все приложения.
     • Чтобы автоматически отслеживать каждое приложение на вашем хосте, включите компонент liboneagentproc.so ЕдиногоАгента. Он находится в каталоге системной библиотеке (/lib или /lib64 в зависимости от вашей архитектуры), в /etc/ld.so.preload.
   • Одно приложение.
     • Для мониторинга одного приложения его необходимо сначала перезапустить. Предварите команду запуска приложения следующими командами:
       KA_HOME=<installation directory>
export KA_HOME
LD_PRELOAD=$KA_HOME/agent/<system library>/liboneagentproc.so
export LD_PRELOAD
       Где:
       <installation directory> — эта директория, в котором установлен ЕдиныйАгент.
       <system library> — это /lib или /lib64 в зависимости от вашей архитектуры.

Настройка установки ЕдиногоАгента на Linux

Установщик для дистрибутивов Linux можно использовать с параметрами командной строки, если вы не можете использовать параметры по умолчанию. Обратите внимание, что все параметры, перечисленные ниже, являются необязательными.

Передача параметров установки

Чтобы передать параметры, добавьте их к команде установщика и разделите пробелами.

Например:

OneAgent-Linux.sh --set-host-group=my_host_group --set-infra-only=true

Удаленные параметры установки

Преобразуйте в более новые параметры --set-param=<value>. Эквивалентные параметры PARAM=<value> не поддерживаются программой установки ЕдиногоАгента, начиная с версии 1.213.

Удален параметр PARAM=<value>

Новый параметр --set-param=<value>

Если вы смешиваете эквивалентные параметры PARAM=<value> и --set-param=<value>, параметр --set-param=<value> переопределяет параметр PARAM=<value>.

Конечная точка связи

Значение по умолчанию: зависит от среды

Адрес конечной точки связи ЕдиногоАгента, которая является компонентом Ключ-Астром, на который ЕдиныйАгент отправляет данные. В зависимости от вашего развертывания это может быть кластер Ключ-Астром или АктивныйШлюз. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-Астром, для него уже установлено правильное значение. Чтобы изменить его, используйте IP-адрес или имя. Добавьте номер порта после двоеточия.

Чтобы установить конечную точку связи, передайте ее как значение параметра:

--set-server=https://100.20.10.1:443

ЕдиныйАгент и Ключ-Астром автоматически поддерживают рабочее соединение. Если детали конечной точки изменяются, кластер уведомляет ЕдиныйАгент об изменении, и ЕдиныйАгент автоматически обновляет конечную точку, которую вы установили с помощью --set-server, до нового рабочего значения.

Если вам нужно изменить конечную точку после установки, используйте --set-server в интерфейсе командной строки ЕдиныйАгент.

Идентификатор среды

Значение по умолчанию: зависит от среды

Идентификатор среды Ключ-Астром, который вы получили по электронной почте с активацией. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-астром, для него уже установлено правильное значение. Если вы продаете услуги на основе Ключ-Астром, используйте этот параметр, чтобы установить идентификаторы ваших клиентов из пула идентификаторов, приобретенных вами у Ключ-Астром.

Чтобы установить идентификатор среды, передайте его в качестве значения параметра:

--set-tenant=mySampleEnv

Если вам нужно изменить арендатора после установки, используйте --set-tenant в интерфейсе командной строки ЕдиногоАгента.

Токен

Значение по умолчанию: зависит от среды

Маркер клиента, который используется для проверки подлинности, когда ЕдиныйАгента подключается к конечной точке связи для отправки данных. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-Астром, для него уже установлено правильное значение.

Чтобы установить токен, передайте его как значение параметра:

--set-tenant-token=abcdefghij123456

См. Токены доступа, чтобы узнать, как получить токен.

Если вам нужно изменить токен клиента после установки, используйте --set-tenant-token в интерфейсе командной строки ЕдиногоАгента.

Сетевые зоны

Значение по умолчанию: не установлено

Чтобы узнать о правилах именования сетевых зон и другую справочную информацию, см. раздел Сетевые зоны.

Используйте параметр --set-network-zone, чтобы указать ЕдиномуАгенту обмениваться данными через указанную сетевую зону:

--set-network-zone=your.network.zone

Если вам нужно изменить назначение сетевой зоны после установки, используйте --set-network-zone в интерфейсе командной строки ЕдиногоАгента.

Прокси

Значение по умолчанию: не установлено

Адрес прокси-сервера. Используйте IP-адрес или имя и добавьте номер порта после двоеточия. Для прокси-сервера с проверкой подлинности вы можете указать имя пользователя и пароль, например username:password@172.1.1.128:8080, где имя пользователя и пароль должны быть указаны в URL-адресе.

Чтобы установить прокси, передайте его как значение параметра:

--set-proxy=172.1.1.128:8080

Ключ-Астром также поддерживает адреса IPv6.

Если вам нужно изменить адрес прокси-сервера после установки, используйте --set-proxy в интерфейсе командной строки ЕдиногоАгента.

Диапазон портов

Значение по умолчанию: 50000:50100

Используйте параметр --set-watchdog-portrange=<arg>, чтобы изменить диапазон портов прослушивания на <arg>. <arg> должен содержать два номера порта, разделенных двоеточием (:). Например 50000:50100. Максимальный поддерживаемый диапазон портов — от 1024 до 65535. Диапазон портов должен охватывать не менее 4 портов. Номер порта, начиная с диапазона, должен быть меньше. Например:

--set-watchdog-portrange=50000:50100

Если вам нужно изменить диапазон портов после установки, используйте --set-watchdog-portrange в интерфейсе командной строки ЕдиногоАгента.

Группа хостов

Значение по умолчанию: не установлено

Имя группы, к которой вы хотите привязать хост. Дополнительные сведения см. в разделе Организация среды с помощью групп хостов. Требования к строке группы хостов:

• Может содержать только буквенно-цифровые символы, дефисы, символы подчеркивания и точки.
• Не должен начинаться с dt.
• Максимальная длина – 100 символов.

Чтобы назначить хост группе хостов, передайте имя группы хостов в качестве значения параметра:

--set-host-group=My.HostGroup_123-456

Чтобы удалить узел из группы, необходимо удалить ЕдиныйАгент или передать пустое значение --set-host-group="" при запуске обновления ЕдиногоАгента. Вы не можете удалить хост из группы с помощью параметра HOST_GROUP при обновлении ЕдиногоАгента. Дополнительные сведения см. в разделе Настройка ЕдиногоАгента через интерфейс командной строки.

Режим мониторинга инфраструктуры

Значение по умолчанию: false

Активирует режим мониторинга инфраструктуры вместо режима мониторинга полного стека. При таком подходе вы получаете данные о работоспособности только инфраструктуры, без данных о производительности приложений или пользователей.

Чтобы включить режим мониторинга инфраструктуры, установите для параметра значение:

--set-infra-only=true

Чтобы отключить режим мониторинга инфраструктуры, установите для параметра значение:

--set-infra-only=false

Если вам нужно изменить, включить или отключить режим мониторинга инфраструктуры после установки, используйте

--set-infra-only в интерфейсе командной строки ЕдиногоАгента или задайте его на странице настроек хоста.

Пользовательское имя хоста

Значение по умолчанию: не установлено

Используйте --set-host-name, чтобы переопределить автоматически обнаруженное имя хоста. Значение имени хоста не должно содержать символы <, >, &, CR (возврат каретки) и LF (перевод строки), а максимальная длина — 256 символов.

Чтобы установить имя хоста:

--set-host-name=myhostname

Если вам нужно изменить имя хоста после установки, используйте --set-host-name в интерфейсе командной строки ЕдиногоАгента.

Пользовательские метаданные хоста

Значение по умолчанию: не установлено

После настройки пользовательские метаданные отображаются в виде набора свойств в нижней части раздела Свойства и теги на странице обзора хоста. Значения свойств не должны содержать символы = (кроме разделителя "ключ-значение") и пробелы. Максимальная длина — 256 символов, включая разделитель «ключ-значение».

Чтобы добавить или изменить свойства хоста:

--set-host-property=AppName --set-host-property=Environment=Dev

Вы можете добавить или изменить более одного свойства в одной команде.

Если вам нужно изменить метаданные хоста после установки, используйте команду --set-host-property в интерфейсе командной строки ЕдиногоАгента .

Пользовательские теги хоста

Значение по умолчанию: не установлено

После настройки теги отображаются в верхней части раздела Свойства и теги на странице обзора хоста. Значения свойств не должны содержать символы = (кроме разделителя "ключ-значение") и пробелы. Максимальная длина — 256 символов, включая разделитель «ключ-значение».

Чтобы добавить или изменить теги хоста:

--set-host-tag=TestHost --set-host-tag=role=fallback --set-host-tag=Gdansk

Вы можете добавить или изменить более одного тега в одной команде. Допускается определение тегов с одним и тем же ключом, но разными значениями.

Если вам нужно изменить теги хоста после установки, используйте --set-host-tag в интерфейсе командной строки ЕдиногоАгента.

Источник идентификатора хоста

Значение по умолчанию: auto

Доступно на всех поддерживаемых платформах для ЕдиногоАгента версии 1.223+. Для ЕдиногоАгента версии 1.221 и более ранних эта функция поддерживается только для Citrix Virtual Apps and Desktops.

Особенно важно сохранять статический идентификатор хоста в динамических виртуальных средах, где хосты воссоздаются ежедневно.

Чтобы определить источник для генерации идентификатора хоста, используйте --set-host-id-source и установите для него одно из предопределенных значений:

• auto — разрешить Ключ-Астром автоматически генерировать идентификатор хоста.
• ip-addresses — Генерировать идентификатор хоста на основе IP-адреса хоста
• mac-address — Генерировать идентификатор хоста на основе MAC-адреса сетевой карты хоста.
• fqdn — Генерировать идентификатор узла на основе полного доменного имени узла (FQDN) в формате host.domain. Если полное доменное имя не содержит символа точки, вместо него используется MAC-адрес сетевой карты.
• Если вы отслеживаете несколько сред, вы можете разделить узлы с одинаковыми IP-адресами, MAC-адресами или полными доменными именами, используя разные пространства имен для каждой среды. Пространство имен может содержать только буквенно-цифровые символы, дефисы, символы подчеркивания и точки; максимальная длина 256 символов:
• ip-addresses;namespace=<namespace>
• mac-addresses;namespace=<namespace>
• fqdn;namespace=<namespace>

Например, чтобы задать в качестве источника идентификатора узла IP-адреса и назначить его пространству имен с именем test, запустите программу установки ЕдиногоАгента со следующим параметром:

--set-host-id-source="ip-addresses;namespace=test"

Мониторинг логов

Значение по умолчанию: true

Если установлено значение true, ЕдиныйАгент получает доступ к файлам логов для мониторинга логов. Допустимые значения: (true, false) или (1, 0). В качестве альтернативы эту опцию можно включить/отключить через веб-интерфейс.

Например:

--set-app-log-content-access=true

Если вам нужно включить или отключить мониторинг логов после установки, используйте -set-app-log-content-access в интерфейсе командной строки ЕдиногоАгента.

Прием локальных метрик

ЕдиныйАгент версии 1.201

Значение по умолчанию: 14449

Вы можете использовать параметр --set-extensions-ingest-port=<arg>, чтобы изменить порт связи по умолчанию, используемый для локального приема метрик. Порт используется следующими модулями: ЕдиныйАгент REST API, интеграции сценариев и Telegraf.

Дополнительные сведения см. в разделе Прием метрик.

Загрузка показателей StatsD

ЕдиныйАгент версии 1.201

Значение по умолчанию: 18125

Вы можете использовать параметр --set-extensions-statsd-port=<arg>, чтобы изменить порт прослушивания UDP Ключ-АстромStatsD по умолчанию.

Дополнительные сведения см. в разделе Прием метрик.

Непривилегированный режим

NON_ROOT_MODE

Значение по умолчанию: 1 (версия ЕдиногоАгента 1.193+. Для более ранних версий 0).

При установке ЕдиногоАгента для работы в непривилегированном режиме, вам нужно один раз предоставить повышенные привилегии ЕдиномуАгенту во время установки. Повышенные привилегии сбрасываются сразу после установки ЕдиногоАгента.

Начиная с версии 1.193, ЕдиныйАгент по умолчанию устанавливается в непривилегированном режиме. Существующие установки не переключаются в непривилегированный режим.

Чтобы переключить установленный ЕдиныйАгент в непривилегированный режим, вам необходимо вручную добавить параметр NON_ROOT_MODE=1 к команде установки. Пример: sudo /bin/sh Agent-Linux-1.0.0.sh NON_ROOT_MODE=1

Чтобы переключить установщик обратно в режим по умолчанию для последовательных обновлений, запустите его с NON_ROOT_MODE=0.

Обратите внимание, что для непривилегированного режима требуются возможности ядра Linux, доступные в следующих версиях:

• Ядро Linux версии 2.6.26+ для установки ЕдиногоАгента без привилегий root.
• Ядро Linux версии 4.3+ (рекомендуется версия systemd 221+) для автоматических обновлений ЕдиногоАгента и полноценной работы без привилегий root. Для получения дополнительной информации см. непривилегированный режим Linux (выше).

DISABLE_ROOT_FALLBACK

Значение по умолчанию: 0

Используется вместе с параметром NON_ROOT_MODE для блокировки уровня разрешений суперпользователя для запуска ЕдиногоАгента в непривилегированном режиме. Привилегии суперпользователя требуются для автоматических обновлений и отдельных операций с версиями ядра между 2.6.26 и 4.3, то есть версиями без поддержки Linux ambient capabilities.

sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1

Чтобы переключить установщик обратно на использование уровня разрешений суперпользователя для последующих обновлений, запустите его с параметром DISABLE_ROOT_FALLBACK=0.

Дополнительные сведения см. в требованиях к разрешениям для установки и работы ЕдиногоАгента в Linux (выше).

Примечания:

• Процесс удаления не удаляет непривилегированного пользователя из системы (независимо от того, является ли он dtuser или задан при помощи USER parameter).
• Непривилегированное имя пользователя сохраняется во время обновления, если во время обновления не указано новое имя пользователя.

Изменение непривилегированного пользователя и группы

USER

Значение по умолчанию: dtuser

Данный параметр определяет имя непривилегированного пользователя, которое используется непривилегированными процессами ЕдиногоАгента. Непривилегированные процессы — это процессы, которым не нужны привилегии root. Эти процессы в Linux называются Network ЕдиныйАгент и Plugin ЕдиныйАгент.

• По умолчанию программа установки Ключ-Астром использует dtuser в качестве имени непривилегированного пользователя.
• Если указан параметр USER=<username>, программа установки использует <username> в качестве имени непривилегированного пользователя.

В любом случае программа установки Ключ-Астром проверяет, существует ли уже в системе требуемый пользователь (dtuser или пользователь, указанный в параметре USER).

• Если пользователь и группа с одинаковым именем существуют, и эта группа установлена ​​для этого пользователя в качестве основной, пользователь используется для запуска сетевых и подключаемых модулей ЕдиногоАгента.
• Если пользователь не существует, программа установки Ключ-Астром создает этого пользователя и группу, а затем запускает непривилегированные процессы с этим новым пользователем.
• Если пользователь существует в системе, но не имеет группы с тем же именем, что и основная, установка прерывается — чтобы использовать группу с другим именем, необходимо использовать параметр GROUP.

Требования к строке USER:

• Может содержать только буквенно-цифровые символы, дефис -, подчеркивание _ и точку .
• Минимальная длина 3 символа
• Максимальная длина – 32 символа
• Не может быть строкой идентификатора пользователя

GROUP

Значение по умолчанию: dtuser

Может использоваться только в сочетании с параметром USER и используется для указания основной группы для пользователя, переданного через параметр USER. Если вы не укажете параметр GROUP, программа установки предполагает, что он такой же, как и USER, как для существующих, так и для несуществующих пользователей. Если вы указываете группу с помощью параметра GROUP, а пользователя не существует, программа установки создает пользователя и назначает его в указанную группу. Вы также используете параметр GROUP, чтобы указать непривилегированного пользователя, принадлежащего к определенной группе, с именем, отличным от имени пользователя. Чтобы усилить безопасность вашей системы, мы настоятельно рекомендуем использовать выделенную группу пользователей для запуска процессов ЕдиногоАгента.

Требования к строке GROUP:

• Может содержать только буквенно-цифровые символы, дефис -, подчеркивание _ и точку .
• Минимальная длина 3 символа
• Максимальная длина – 32 символа.
• Не может быть строкой идентификатора группы

Как передать адрес прокси-сервера при установке ЕдиногоАгента на Linux

Установщик ЕдиногоАгента распознает параметры --set-proxy (рекомендуется с версии 1.185) или PROXY. Значением этих параметров является адрес прокси-сервера. Добавьте номер порта после двоеточия, например 172.1.1.128:8080. Для аутентифицирующего прокси-сервера вы можете указать имя пользователя и пароль следующим образом, username:password@172.1.1.128:8080 где и имя пользователя, и пароль должны быть закодированы в URL. Мы также поддерживаем адреса IPv6.

Имена параметров чувствительны к регистру, поэтому для имен параметров используйте ALL CAPS.

Передача адреса прокси-сервера установщику

Допустим, вы используете сервер openSUSE, вы загрузили установщик ЕдиногоАгента в каталог /tmp, а ваш IP-адрес прокси-сервера — 10.1.1.5. В таком случае вы начнете установку следующим образом:

Изменить прокси после установки

Если вам необходимо изменить адрес прокси-сервера после установки, используйте --set-proxy в интерфейсе командной строки ЕдиногоАгента.