Установка ЕдиногоАгента на Linux

Требования к файлам и дисковому пространству ЕдиногоАгента в Linux

На этой странице представлена ​​информация о структуре директории ЕдиногоАгента и требованиях к дисковому пространству для установки ЕдиногоАгента full-stack и обновлений. Обратите внимание, что точные значения могут различаться в зависимости от версии ЕдиногоАгента.

Режим полного стека и мониторинга инфраструктуры

Требования к дисковому пространству одинаковы для режимов мониторинга Full-stack и Infrastructure.

Директории ЕдиногоАгента и их размеры

	Linux (x86)	Linux (ppcle)	Linux (s390)	Директория по умолчанию	Возможность замены
Размер установки	~1,3 ГБ	~500 МБ	~480 МБ	/opt/astromkey/oneagent	Да 1
Постоянная конфигурация	~5 МБ	~5 МБ	~5 МБ	/var/lib/astromkey/oneagent/agent/config	Нет
Временные файлы, конфигурация времени выполнения	200 МБ	200 МБ	200 МБ	/var/lib/astromkey/oneagent/agent/runtime	Нет
Логи	1 ГБ	1 ГБ	1 ГБ	/var/log/astromkey/oneagent 2	Да 3
Отчеты о сбоях, дампы памяти	3 ГБ	3 ГБ	3 ГБ	/var/lib/astromkey/oneagent/datastorage	Да 4
Файл сохранения повторной передачи логов EEC	600 МБ + 1,5 ГБ	600 МБ + 1,5 ГБ	600 МБ + 1,5 ГБ	/var/lib/astromkey/oneagent/agent/runtime/extensions/persistence	Да 5 6
Дополнительное место для обновлений	~2,6 ГБ	~950 МБ	~880 МБ	См. Требуемое пространство для обновлений (ниже)
Всего	~10,2 ГБ	~7,8 ГБ	~7,7 ГБ

¹ Используйте параметр установки INSTALL_PATH.

² Для ЕдиногоАгента версии 1.201 и более ранних версий местоположением файлов логов по умолчанию является /opt/astromkey/oneagent/log.

³ Используйте параметр установки LOG_PATH.

⁴ Используйте параметр установки DATA_STORAGE.

⁵ Применимо только если вы используете расширения Ключ-АСТРОМ, которые определяют метрики логов, события или добавляют собственные правила обработки логов. Можно изменить с помощью запроса в службу поддержки.

⁶ Механизм надежности не работает, если требование не выполняется. Для получения дополнительной информации см. Подробности сохранения (ниже).

Полный список файлов и каталогов, добавленных в вашу систему ЕдинымАгентом, см. в разделе Безопасность ЕдиногоАгента в Linux (ниже).

Механизм устаревания файлов ЕдиногоАгента

ЕдиныйАгент в режиме мониторинга полного стека использует встроенный механизм устаревания, чтобы гарантировать, что файлы ЕдиногоАгента, включая файлы логов и данные времени выполнения, поддерживаются в разумных пределах. Для получения дополнительной информации см. Механизм устаревания файлов ЕдиногоАгента.

Необходимое пространство для обновлений

При расчете необходимого для обновлений пространства мы учитываем размер файла установщика и размер процесса установки, то есть пространство, необходимое для развертывания файлов ЕдиногоАгента.

Приведенные ниже цифры являются примерами и должны использоваться в качестве общего руководства. Для точного размера установки см. раздел Размер установки в директориях ЕдиногоАгента и их размеры (выше).

	Linux (x86)	Linux (ppcle)	Linux (s390)
Размер файла установщика	~260 МБ	~90 МБ	~80 МБ
Размер процесса установки	~2,1 ГБ	~770 МБ	~720 МБ

Дополнительное пространство, необходимое для обновлений, рассчитывается с учетом 10%-го запаса прочности:

(installer file size + size of the installation process) * 1.1

Размер процесса установки

Размер процесса установки рассчитывается следующим образом:

3 * installer file size + size of the installation

Размер установщика необходимо умножить на 3, чтобы учесть:

• Загруженный файл установщика (/var/lib/astromkey/oneagent)
• Архив, который отделен от скрипта установщика (/opt/astromkey/oneagent)
• Распакованный внешний TAR (/opt/astromkey/oneagent)

С точки зрения требований к пространству, нет никакой реальной разницы между ручной установкой новой версии (когда старая версия уже установлена), автоматическим обновлением и обновлениями, которые запускаются путем перезапуска контейнера ЕдиногоАгента. Во всех этих случаях процесс установки выполняется абсолютно одинаково. Отличается лишь метод, с помощью которого запускается обновление.

Подробности сохранения

Механизм надежности обеспечивает сохранение логов Extension Execution Controller (EEC) в случае недоступности АктивногоШлюза или ЕдиногоАгента, возникновения сетевых проблем или перегрузки EEC при приеме данных. Благодаря механизму надежности мы можем минимизировать пробелы в покрытии логов.

Общая информация

• Сохранение работает по умолчанию, если соблюдено требование к объему - 2136 МБ.
  • 600 МБ свободного дискового пространства для использования механизмом надежности.
  • Дополнительно 1,5 ГБ свободного места на диске в качестве буфера (не используется механизмом обеспечения надежности).
• Требование периодически проверяется, и если оно не выполняется, сохранение будет отключено — прием логов будет передан без механизма обеспечения надежности.
• Объем используется пропорционально нагрузке.
• Если требование не может быть выполнено на хосте, можно скорректировать конфигурацию сохранения журналов — для получения дополнительной информации см. Конфигурация сохранения (ниже).

Конфигурация

Файл конфигурации Windows: C:\ProgramData\astromkey\remotepluginmodule\agent\conf\extensionsuser.conf

Файл конфигурации Linux: /var/lib/astromkey/remotepluginmodule/agent/conf/extensionsuser.conf

Переменная	Описание
persistence.reliable_mode	true- включен надежный режим; логи SFM генерируются, если требования к пространству не выполняются false- надежный режим выключен; прием логов будет передаваться без механизма надежности
persistence.total_limit_kb	Максимальный предел объема для Extensions Log Persistence в килобайтах. По умолчанию: 600 МБ Может быть изменен вручную, если требование не может быть выполнено на хосте.

Непривилегированный режим OneAgent в Linux

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.

Затем, ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.

Системные Требования

Чтобы установить ЕдиныйАгент в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:

• Файловая система должна поддерживать расширенные атрибуты.
• В системе должен быть установлен libcap2. Например, установка Red Hat Enterprise Linux 5 по умолчанию не содержит libcap2.
• Файловая система не должна быть смонтирована как noexec или nosuid.
• Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе Непривилегированный режим и Linux Filesystem Capabilities (ниже).

См. Безопасность ЕдиногоАгента в Linux (ниже), чтобы узнать о действиях по отслеживанию, выполняемых ЕдинымАгентом, для которых требуется привилегированный доступ.

Привилегии во время установки

• При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:
• Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/*.
• Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
• В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
  • systemctl <start|stop|enable|disable> oneagent.service
  • systemctl daemon-reload
• В системах с SysV выполните /sbin/chkconfig, чтобы добавить сценарий службы oneagent в автозапуск или удалить его.
• Пропешите /proc/sys/kernel/core_pattern.

Привилегии суперпользователя сбрасываются при выполнении скрипта службы Ключ-АСТРОМ ЕдиныйАгент:

• В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, daemon-systemd запускает сценарий службы ЕдиныйАгент в непривилегированном режиме.
• В системах с SysV привилегии сбрасываются в сценарии при запуске процесса ЕдиныйАгент Watchdog.

Linux Filesystem Capabilities

Ключ-АСТРОМ ЕдиныйАгент Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы ЕдиногоАгента используют следующие системные возможности Linux.

Возможности двоичной системы Linux

Двоичная	Возможности системы Linux
oneagentwatchdog	cap_sys_resource1 - для установки ограничений системных ресурсов при запуске процессов ЕдиногоАгента
oneagentos	cap_dac_override2 — для доступа к файловой системе cap_chown 2 3 — для установки владельца файлов, заменяемых в файловой системе (например,двоичных runc) cap_fowner 2 — для установки владельца файлов, заменяемых в файловой системе cap_sys_ptrace— для чтения данных изпсевдофайловой системы /proc и отслеживания процессов cap_sys_resource 3 — для чтения ограничений ресурсов процессов cap_setuid 4 — для временного повышения привилегий для выполнения определенных операций cap_kill 3 5 6 cap_setfcap 3 5 6 cap_fsetid 3 5 6
oneagentnettracer	cap_bpf (ядро >=5.8) 7 cap_perfmon (ядро >=5.8) 7 cap_sys_admin (ядро <5.8 или когда cap_bpf заблокирован) 7 cap_dac_override cap_sys_ptracecap_sys_resource
oneagentnetwork	cap_net_raw- для открытия сокетов cap_net_admin8 - для чтения информации сетевого интерфейса
oneagentloganalytics	cap_dac_read_search- для доступа ко всем логам, хранящимся на хосте cap_sys_ptrace- для чтения данных из псевдофайловой системы /proc
oneagentplugin	cap_set_gid1 - для добавления docker в список дополнительных групп процесса, что позволяет извлекать данные контейнера
oneagenthelper9	cap_sys_admin- для системных вызовов mount() cap_dac_override- для проверки и изменения файловых систем запущенных контейнеров cap_sys_ptrace- для отслеживания daemon-Docker cap_sys_chroot- для системных вызовов chroot() cap_fowner- для изменения владельца и прав доступа к файлам в файловой системе контейнера cap_fsetid- для изменения владельца и прав доступа к файлам в файловой системе контейнера
OneAgent Installer executed during auto-update	cap_dac_override- для доступа к файловой системе cap_chown- для доступа к файловой системе cap_fowner- для доступа к файловой системе cap_fsetid- для доступа к файловой системе cap_kill- для возможности сигнализировать всем запущенным процессам, например, остановленным потерянным процессам ЕдиногоАгента cap_setfcap- для настройки возможностей файловой системы Linux в двоичных файлах агента во время установки
oneagentosconfig	cap_setuid6 - для выполнения привилегированных операций в процессе установки cap_setgid 6 - для настройки группового владения файлами в процессе установки
oneagenteventstracer	cap_sys_admin- для системного вызова perf_event_open() cap_dac_override- для доступа к /sys/kernel/debug/tracing
oneagentdmidecode	cap_dac_override- для доступа к файловой системе
oneagentmntconstat	cap_dac_read_search- для получения статистики занятости диска с помощью statvfs64() cap_sys_chroot- для системного вызова setns() cap_sys_admin- для системного вызова setns() cap_sys_ptrace- для доступа к /proc/1/ns
1 Требуется только на этапе инициализации и после этого отключается.. 2 Не используется, если отключены автоматические обновления и автоматическое внедрение. 3 Содержится только в разрешенном наборе и повышается до эффективного набора при необходимости. 4 Только если возможности окружения не поддерживаются. 5 Не используется, если отключены автоматические обновления . 6 Только если поддерживаются возможности окружения. 7 Только для ядер 5.8 и новее, если использование unprivileged cap_bpf не заблокировано ОС , тогда он возвращается к cap_sys_admin. Для более старых версий ядра cap_sys_admin включен . 8 Только для ядер старше 2.6.33. 9 Не запускается, если отключена автоматическое внедрение.

Включение Linux Filesystem Capabilities

Linux Filesystem Capabilities необходимы для установки ЕдиногоАгента в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки ЕдиногоАгента выводит следующее сообщение, если возможности файловой системы Linux отключены:

Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.

Вы также можете проверить параметры загрузки ядра, чтобы увидеть, включены ли Linux Filesystem Capabilities. Выполните следующую команду, чтобы проверить параметры загрузки ядра.

cat /proc/cmdline

Если вы обнаружите, что file_caps=1 в выводе, ваша установка в порядке.

Чтобы включить Linux Filesystem Capabilities, добавьте file_caps=1 в параметры загрузки ядра. Например, в SUSE Linux Enterprise Server 11 используйте YaST, отредактируйте параметры загрузки ядра, добавьте file_caps=1 и перезагрузите машину.

Привилегии при автоматических обновлениях и работе

Объем привилегий, требуемых ЕдиномуАгенту, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.

Ядра с поддержкой Linux ambient capabilities (версия 4.3+)

Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. ЕдиныйАгент не требует корневого доступа для выполнения автоматического обновления.

Red Hat Enterprise Linux 7 имеет слишком низкий systemd (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска systemctl <start|stop|enable|disable> oneagent.service.

Ядра без внешних возможностей (версии с 2.6.26 по 4.3)

В большинстве случаев ЕдиныйАгент будет работать под непривилегированным dtuser. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя setuid(0) в следующих случаях:

• Автоматические обновления ЕдиногоАгента
• Генерация идентификатора OSI узла на узлах Azure
• Определение свойств контейнеров Docker
• Самодиагностика

Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр DISABLE_ROOT_FALLBACK=1 в команду установки ЕдиногоАгента. Например:

sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1

В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр DISABLE_ROOT_FALLBACK=1 для ЕдиногоАгента в контейнерах Azure или Docker.

Как узнать, работает ли ЕдиныйАгент в непривилегированном режиме?

Программа установки выдает сообщение в конце установки ЕдиногоАгента. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:

• Non-privileged mode is enabled - ядро поддерживает ambient capabilities, нет необходимости использовать доступ суперпользователя для обновлений или операций.
• Enabled non-privileged mode, but ambient capabilities are not supported by kernel - ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, ЕдиномуАгенту необходимо повышать привилегии в некоторых случаях, см. выше.
• Failed to enable non-privileged mode - ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.

Безопасность ЕдиногоАгента на Linux

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, ЕдиныйАгент вносит в вашу систему следующие изменения.

ЕдиныйАгент тщательно протестирован, чтобы гарантировать минимальное влияние на производительность вашей системы и соответствие самым высоким стандартам безопасности .

Разрешения

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для инициирования процесса установки. Затем ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя полный набор функций. Подробности и системные требования см. в разделе Непривилегированный режим ЕдиныйАгент в Linux (выше)

Операция

ЕдиныйАгент выполняет следующие привилегированные операции. В зависимости от того, работает ли ЕдиныйАгент в непривилегированном или привилегированном режиме, область действия операций та же самая, отличается только базовый механизм. В привилегированном режиме ЕдиныйАгент работает как root, тогда как непривилегированный режим использует системные возможности Linux.

• Доступ к списку открытых сокетов для каждого процесса.
• Доступ к списку библиотек, загруженных для каждого процесса.
• Получает доступ к имени и пути исполняемого файла для каждого процесса.
• Доступ к параметрам командной строки для каждого процесса.
• Мониторинг сетевого трафика.
• Чтение файлов конфигурации приложения.
• Анализ исполняемых файлов для Go Discovery.
• Собирает данные мониторинга, связанные с контейнерами Docker.

Если у вас включен мониторинг логов, права root также потребуются для:

• Доступа к системным логам: /var/log/syslog и /var/log/messages.
• Доступа к списку открытых обработчиков файлов для каждого процесса (файловой системы /proc).
• Доступа к файлу логов для каждого процесса.

Изменения операционной системы

Установщик ЕдиногоАгента вносит в вашу систему следующие изменения:

• Пользователь создан dtuser. Вы можете изменить имя по умолчанию с помощью параметра установки USER.
• Служба oneagent зарегистрирована в системе init.
• Службы ABRT (Red Hat) и Apport (Debian) остановлены и отключены.
• Пользовательский модуль SELinux устанавливается в системах с включенным SELinux. Исходные коды модуля SELinux, установленного установщиком ЕдиногоАгента {install-dir}/agent/SELinuxPolicy, доступны по умолчанию в /opt/astromkey/oneagent/agent/SELinuxPolicy
• Устанавливает компоненты ЕдиногоАгента в директории системной библиотеки.
• Настраивается /etc/ld.so.preload на автоматический мониторинг процессов.

Измененные файлы

Установка

Установщик ЕдиногоАгента изменяет следующие системные файлы:

• /proc/sys/kernel/core_patternи /etc/sysctl.conf изменяются для включения обработки дампа ядра с помощью oneagentdumpproc. Исходная конфигурация core_pattern будет работать после установки и будет сохранена в /opt/astromkey/oneagent/agent/conf/original_core_pattern, где вы можете определить собственные настройки ядра, используя формат, указанный в Руководстве программиста Linux . См. Обработка дампа ядра Linux для получения дополнительной информации.
• /etc/ld.so.preload изменен для обеспечения возможности автоматического внедрения в процессы.

Операция

Во время своей работы ЕдиныйАгент изменяет следующие файлы:

• Оболочка ЕдиногоАгента перезаписывает файл /var/vcap/packages/runc/bin/runc (Garden runc), чтобы разрешить внедрение. Это происходит периодически во время выполнения. Исходный файл сохраняется как runc-original и восстанавливается скриптом удаления .
• На хостах CRI-O (реализация Kubernetes Container Runtime Interface на базе OCI) crio hook (oneagent_crio_injection-0.1.0.json) копируется по пути, указанному в hooks_dir параметре файла конфигурации CRI-O (/etc/crio/crio.conf). Если hooks_dir параметр не задан, используется один из путей по умолчанию, либо /etc/containers/oci/hooks.d/ или /usr/share/containers/oci/hooks.d/. Хук удаляется скриптом удаления.

Добавленные файлы

Установка

Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

• Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в /opt/astromkey/oneagent. Обратите внимание, что вы можете изменить местоположение с помощью параметра INSTALL_PATH.
• Скрипты запуска копируются в системы с SystemV /etc/init.d и в системы с systemd /etc/systemd/system.
• liboneagentproc.so размещается в системных библиотечных директориях, которые различаются в зависимости от дистрибутива. Например,
  • Ubuntu 14.04 (с установленными 32-битными библиотеками): /lib32 и /lib/x86_64-linux-gnu
  • Fedora 25: /lib64
  • OpenSUSE 42.2: /libи/lib64
  • CentOS 7.3 и Red Hat Enterprise Linux 6: /lib и /lib64

Операция

• Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в формате /var/lib/astromkey/oneagent/runtime.
• Постоянная конфигурация ЕдиногоАгента сохраняется в файле /var/lib/astromkey/oneagent/agent/config.
• Большие данные времени выполнения, такие как дампы памяти, сохраняются в /var/lib/astromkey/oneagent/datastorage. Обратите внимание, что вы можете изменить расположение больших данных времени выполнения с помощью параметра DATA_STORAGE.

Системные логи, загруженные ЕдинымАгентом

ЕдиныйАгент загружает определенные системные логи, чтобы Ключ-АСТРОМ мог диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

• /var/log/boot.log
• /var/log/dmesg
• /var/log/dpkg.log
• /var/log/kern.log
• /var/log/messages
• /var/log/syslog
• /var/log/yum.log
• /var/log/audit/audit.log
• /var/log/zypper.log
• /etc/nsswitch.conf
• Вывод команды /usr/sbin/apparmor_status
• Вывод команды /bin/journalctl --utc -a -n 10000

Отзыв доступа к системным логам

Чтобы отменить доступ к системным логам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным на false.

Глобально доступные для записи директории

Структура директории ЕдиногоАгента содержит глобально доступные для записи директории (1777 разрешений). Изменение этих разрешений пользователями не поддерживается.

Механизм внедрения ЕдиногоАгента

Такие разрешения на выбранный набор директорий необходимы для успешного внедрения ЕдиногоАгента в процессы на контролируемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, отвечающий за внедрение, запускается в контексте исходного внедренного процесса. Следовательно, пользователи, под которыми запускаются эти процессы, должны иметь разрешение на запись в структуру директорий ЕдиногоАгента, что является причиной глобальных разрешений на запись.

Аналогично, для некоторых файлов логов требуются глобальные разрешения на запись (666), чтобы приложения, работающие под разными пользователями, могли записывать в них данные.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в директориях ЕдиногоАгента помечаются в сканировании безопасности, но мы можем заверить вас, что они полностью защищены.

• Мы стараемся максимально ограничить количество директорий, доступных для глобальной записи.
• Все эти директории имеют установленный sticky bit (фактические разрешения — 1777). Только владелец файла, владелец директории или пользователь root может изменять файлы в директории. Это стандартная практика, которая делает разрешения более надежными. Она также используется для каталога Linux /tmp, чтобы не дать обычным пользователям удалять или перемещать файлы других пользователей.

Установка ЕдиногоАгента в Linux

На этой странице описывается процесс загрузки и установки Ключ-Астром ЕдиныйАгент в Linux.

• Если вы являетесь клиентом Ключ-Астром SaaS, перейдите на сайт ruscomtech.ru, щелкните «Вход в SaaS» и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации.
• Если вы являетесь клиентом Ключ-Астром Managed, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать.

Затем продолжите установку, описанную ниже.

Требования

Вы можете установить ЕдиныйАгент в любой системе Linux, поддерживаемой Ключ-Астром, независимо от пакетного менеджера, с которым работает ваш дистрибутив.

Разрешения

• Для загрузки и установки ЕдиногоАгента вам необходимы разрешения на загрузку/установку ЕдиногоАгента.
• Вам нужны только root-права, чтобы начать установку ЕдиногоАгента. Для этого необходимо, чтобы ваша система соответствовала определенным требованиям. В противном случае добавьте параметр NON_ROOT_MODE=0 в команду установки, чтобы отключить непривилегированный режим работы ЕдиногоАгента.
• Вам нужны разрешения и учетные данные для перезапуска всех ваших служб приложений.

Ресурсы

• Проверьте требования к дисковому пространству.
• Вашему хосту требуется 200 МБ свободной памяти для запуска установки и обновления ЕдиногоАгента.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваша среда Ключ-Астром развертыванием SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Ограничения

Существуют определенные ограничения при развертывании ЕдиногоАгента на хосте Linux с подключенными дисками NFS.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Предоставьте токен PaaS. Этот токен необходим для загрузки установщика ЕдиногоАгента из вашей среды. Если у вас нет токена PaaS, вы можете создать его прямо в пользовательском интерфейсе. Маркер автоматически добавляется к командам загрузки и установки, которые вы будете использовать позже.
3. Выберите Начать установку и выберите Linux.
4. Выберите тип установщика ЕдиногоАгента, поддерживает следующие архитектуры ЦП:
   • x86-64 — 64-битный Intel/AMD
   • IBM Z — 64-разрядный мейнфрейм IBM Z (s390x) Узнать больше
   • PowerPC (LE) — 64-битный PowerPC (ppc64le)
   • PowerPC (BE) — 64-разрядная версия PowerPC (ppc64be) Узнать больше
   • Linux ARM — ARM64 (AARch64), включая процессоры AWS Graviton
5. Скачать установщик. Вставьте предоставленную команду в окно терминала и выполните ее.
6. Подтвердить подпись. После завершения загрузки вставьте предоставленную команду в окно терминала и выполните ее. Убедитесь, что ваша система обновлена, особенно SSL и связанные библиотеки сертификатов.
7. Необязательно: Настройте свою установку
   • Установите сетевую зону для этого хоста.
   • Если ваша среда сегментирована (например, на разработку и производство), рассмотрите возможность организации хостов в группы хостов.
   • Вы можете переопределить автоматически обнаруженное имя хоста. Это полезно в больших и динамичных средах, где определенные имена хостов могут быть неинтуитивными или могут часто меняться.
   • Вы также можете применить теги к хосту, чтобы упорядочить отслеживаемые среды осмысленным образом.
   • Включите мониторинг инфраструктуры вместо мониторинга всего стека.
   • Отключить мониторинг логов.
   • Примечание. Программа установки ЕдиногоАгента из командной строки предоставляет дополнительные параметры для настройки установки.
8. Запустите программу установки. Вставьте команду в окно терминала и выполните ее. Вам потребуется root-доступ только для запуска установки ЕдиногоАгента. Повышенные привилегии сбрасываются, как только развертывается Ключ-Астром ЕдиныйАгент.
   • Если вы находитесь на сервере Ubuntu. sudo /bin/sh <script-name>.sh
   • Если вы используете Red Hat Enterprise Linux. su -c '/bin/sh <script-name>.sh'
   • Если вы запускаете корневую сессию. /bin/sh <script-name>.sh

Примечания:

Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика.

Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.

Что происходит во время установки?

Ключ-Астром ЕдиныйАгент — это набор специализированных служб, настроенных специально для вашей среды мониторинга. Роль этих служб заключается в мониторинге различных аспектов ваших хостов, включая оборудование, операционную систему и процессы приложений.

В процессе установки установщик:

Устанавливает исполняемый код и библиотеки, используемые Ключ-Астром ЕдиныйАгент. Двоичные файлы ЕдиногоАгента устанавливаются в директорию /opt/<name>/oneagent, а сценарий запуска создаются в /etc/init.d (в системах с поддержкой systemd сценарии запуска создаются в /etc/systemd/system/). Один из компонентов Linux ЕдиныйАгент, liboneagentproc.so, находится в директории системной библиотеки (/lib или /lib64 в зависимости от вашей архитектуры) и включается в /etc/ld.so.preload.

Создает своего пользователя (dtuser). Этот пользователь создан без пароля. Невозможно войти под этим пользователем. В целях безопасности службы, не требующие привилегий root, будут работать под этим пользователем. Однако для установки по-прежнему требуется root-доступ.

Проверяет глобальные настройки прокси системы.

Проверяет наличие соединения с Ключ-Астром Server или АктивнымШлюзом (если вы установили АктивныйШлюз и загрузили установщик ЕдиногоАгента после того, как АктивныйШлюз был подключен к Ключ-Астром).

Обнаруживает все приложения, поддерживающие SELinux, и соответствующим образом корректирует политику безопасности SELinux.

Позволяет Ключ-Астром ЕдиныйАгент внедрять собственные библиотеки в отслеживаемые процессы.

Изменяет конфигурацию основного шаблона, чтобы ЕдиныйАгент мог обнаруживать сбои процессов и сообщать о них. Первоначальная конфигурация core_pattern по-прежнему будет работать после установки и будет сохранена в /opt/<name>/oneagent/agent/conf/original_core_pattern, где вы можете определить свои собственные основные настройки, используя формат, указанный в Руководстве программиста Linux.

Сводку изменений, внесенных в вашу систему при установке ЕдиногоАгента, см. в разделе Безопасность ЕдиногоАгента в Linux (выше).

Установка ЕдиногоАгента на PPC BE Linux

Чтобы установить Ключ-Астром ЕдиныйАгент при развертывании Ключ-Астром SaaS, перейдите на ruscomtech.ru и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации. Если у вас есть управляемое развертывание Ключ-Астром, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать. Затем продолжите установку, описанную ниже.

Требования

• Вам нужны разрешения для следующих действий:
  • Чтобы создать директорию, в который вы хотите установить ЕдиныйАгент
  • Чтобы изменить настройки брандмауэра (необходимо только в том случае, если ваша внутренняя политика маршрутизации может препятствовать доступу программного обеспечения Ключ-Астром в Интернет).
  • Чтобы перезапустить службы приложений
• Также необходимо проверить требования к дисковому пространству.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваше развертывание Ключ-Астром SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Примечания:

• В PPC BE Linux ЕдиныйАгент поддерживает только Java и Apache/IHS.
• Вам не нужен root-доступ для установки ЕдиногоАгента на PPC BE Linux.
• Вы можете установить ЕдиныйАгент в любую директорию.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Нажмите кнопку Начать установку и выберите Linux.
3. Выберите тип установщика PowerPC (BE) из списка. Скопируйте команду из текстового поля Использовать эту команду на целевом хосте для загрузки ЕдиногоАгента для Linux PowerPC (BE)
4. Войдите на свой хост PPC BE Linux и выполните команду, которую вы скопировали из Ключ-Астром.
   • Примечания: Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика. Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.
5. В вашей файловой системе создайте папку для установки ЕдиногоАгента.
6. Разархивируйте ZIP-архив ЕдиногоАгента во вновь созданную папку.
   • Все отслеживаемые приложения должны иметь возможность читать библиотеку ЕдиногоАгента. Убедитесь, что разрешения позволяют это.
7. Теперь у вас есть два варианта: либо отслеживать каждое приложение на вашем хосте, либо только одно приложение.
   • Все приложения.
     • Чтобы автоматически отслеживать каждое приложение на вашем хосте, включите компонент liboneagentproc.so ЕдиногоАгента. Он находится в каталоге системной библиотеке (/lib или /lib64 в зависимости от вашей архитектуры), в /etc/ld.so.preload.
   • Одно приложение.
     • Для мониторинга одного приложения его необходимо сначала перезапустить. Предварите команду запуска приложения следующими командами: KA_HOME=<installation directory> export KA_HOME LD_PRELOAD=$KA_HOME/agent/<system library>/liboneagentproc.so export LD_PRELOAD Где: <installation directory> — эта директория, в котором установлен ЕдиныйАгент. <system library> — это /lib или /lib64 в зависимости от вашей архитектуры.