Установка ЕдиногоАгента на Linux

Требования к файлам и дисковому пространству ЕдиногоАгента в Linux

На этой странице представлена ​​информация о структуре директории ЕдиногоАгента и требованиях к дисковому пространству для установки ЕдиногоАгента full-stack и обновлений. Обратите внимание, что точные значения могут различаться в зависимости от версии ЕдиногоАгента.

Режим полного стека и мониторинга инфраструктуры

Требования к дисковому пространству одинаковы для режимов мониторинга Full-stack и Infrastructure.

Директории ЕдиногоАгента и их размеры

	Linux (x86)	Linux (ppcle)	Linux (s390)	Директория по умолчанию	Возможность замены
Размер установки	~1,3 ГБ	~500 МБ	~480 МБ	/opt/astromkey/oneagent	Да 1
Постоянная конфигурация	~5 МБ	~5 МБ	~5 МБ	/var/lib/astromkey/oneagent/agent/config	Нет
Временные файлы, конфигурация времени выполнения	200 МБ	200 МБ	200 МБ	/var/lib/astromkey/oneagent/agent/runtime	Нет
Логи	1 ГБ	1 ГБ	1 ГБ	/var/log/astromkey/oneagent 2	Да 3
Отчеты о сбоях, дампы памяти	3 ГБ	3 ГБ	3 ГБ	/var/lib/astromkey/oneagent/datastorage	Да 4
Файл сохранения повторной передачи логов EEC	600 МБ + 1,5 ГБ	600 МБ + 1,5 ГБ	600 МБ + 1,5 ГБ	/var/lib/astromkey/oneagent/agent/runtime/extensions/persistence	Да 5 6
Дополнительное место для обновлений	~2,6 ГБ	~950 МБ	~880 МБ	См. Требуемое пространство для обновлений (ниже)
Всего	~10,2 ГБ	~7,8 ГБ	~7,7 ГБ

¹ Используйте параметр установки INSTALL_PATH.

² Для ЕдиногоАгента версии 1.201 и более ранних версий местоположением файлов логов по умолчанию является /opt/astromkey/oneagent/log.

³ Используйте параметр установки LOG_PATH.

⁴ Используйте параметр установки DATA_STORAGE.

⁵ Применимо только если вы используете расширения Ключ-АСТРОМ, которые определяют метрики логов, события или добавляют собственные правила обработки логов. Можно изменить с помощью запроса в службу поддержки.

⁶ Механизм надежности не работает, если требование не выполняется. Для получения дополнительной информации см. Подробности сохранения (ниже).

Полный список файлов и каталогов, добавленных в вашу систему ЕдинымАгентом, см. в разделе Безопасность ЕдиногоАгента в Linux (ниже).

Механизм устаревания файлов ЕдиногоАгента

ЕдиныйАгент в режиме мониторинга полного стека использует встроенный механизм устаревания, чтобы гарантировать, что файлы ЕдиногоАгента, включая файлы логов и данные времени выполнения, поддерживаются в разумных пределах. Для получения дополнительной информации см. Механизм устаревания файлов ЕдиногоАгента.

Необходимое пространство для обновлений

При расчете необходимого для обновлений пространства мы учитываем размер файла установщика и размер процесса установки, то есть пространство, необходимое для развертывания файлов ЕдиногоАгента.

Приведенные ниже цифры являются примерами и должны использоваться в качестве общего руководства. Для точного размера установки см. раздел Размер установки в директориях ЕдиногоАгента и их размеры (выше).

	Linux (x86)	Linux (ppcle)	Linux (s390)
Размер файла установщика	~260 МБ	~90 МБ	~80 МБ
Размер процесса установки	~2,1 ГБ	~770 МБ	~720 МБ

Дополнительное пространство, необходимое для обновлений, рассчитывается с учетом 10%-го запаса прочности:

(installer file size + size of the installation process) * 1.1

Размер процесса установки

Размер процесса установки рассчитывается следующим образом:

3 * installer file size + size of the installation

Размер установщика необходимо умножить на 3, чтобы учесть:

• Загруженный файл установщика (/var/lib/astromkey/oneagent)
• Архив, который отделен от скрипта установщика (/opt/astromkey/oneagent)
• Распакованный внешний TAR (/opt/astromkey/oneagent)

С точки зрения требований к пространству, нет никакой реальной разницы между ручной установкой новой версии (когда старая версия уже установлена), автоматическим обновлением и обновлениями, которые запускаются путем перезапуска контейнера ЕдиногоАгента. Во всех этих случаях процесс установки выполняется абсолютно одинаково. Отличается лишь метод, с помощью которого запускается обновление.

Подробности сохранения

Механизм надежности обеспечивает сохранение логов Extension Execution Controller (EEC) в случае недоступности АктивногоШлюза или ЕдиногоАгента, возникновения сетевых проблем или перегрузки EEC при приеме данных. Благодаря механизму надежности мы можем минимизировать пробелы в покрытии логов.

Общая информация

• Сохранение работает по умолчанию, если соблюдено требование к объему - 2136 МБ.
  • 600 МБ свободного дискового пространства для использования механизмом надежности.
  • Дополнительно 1,5 ГБ свободного места на диске в качестве буфера (не используется механизмом обеспечения надежности).
• Требование периодически проверяется, и если оно не выполняется, сохранение будет отключено — прием логов будет передан без механизма обеспечения надежности.
• Объем используется пропорционально нагрузке.
• Если требование не может быть выполнено на хосте, можно скорректировать конфигурацию сохранения журналов — для получения дополнительной информации см. Конфигурация сохранения (ниже).

Конфигурация

Файл конфигурации Windows: C:\ProgramData\astromkey\remotepluginmodule\agent\conf\extensionsuser.conf

Файл конфигурации Linux: /var/lib/astromkey/remotepluginmodule/agent/conf/extensionsuser.conf

Переменная	Описание
persistence.reliable_mode	true- включен надежный режим; логи SFM генерируются, если требования к пространству не выполняются false- надежный режим выключен; прием логов будет передаваться без механизма надежности
persistence.total_limit_kb	Максимальный предел объема для Extensions Log Persistence в килобайтах. По умолчанию: 600 МБ Может быть изменен вручную, если требование не может быть выполнено на хосте.

Непривилегированный режим OneAgent в Linux

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки.

Затем, ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя при этом полный набор функций.

Системные Требования

Чтобы установить ЕдиныйАгент в непривилегированном режиме, ваша система должна соответствовать следующим требованиям:

• Файловая система должна поддерживать расширенные атрибуты.
• В системе должен быть установлен libcap2. Например, установка Red Hat Enterprise Linux 5 по умолчанию не содержит libcap2.
• Файловая система не должна быть смонтирована как noexec или nosuid.
• Linux Filesystem Capabilities должны быть включены. Например, в SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Дополнительные сведения см. в разделе Непривилегированный режим и Linux Filesystem Capabilities (ниже).

См. Безопасность ЕдиногоАгента в Linux (ниже), чтобы узнать о действиях по отслеживанию, выполняемых ЕдинымАгентом, для которых требуется привилегированный доступ.

Привилегии во время установки

• При запуске в непривилегированном режиме программе установки ЕдиногоАгента требуются права суперпользователя, чтобы:
• Установите возможности файлов для двоичных файлов ЕдиногоАгента, расположенных в /opt/{server-name}/oneagent/agent/lib[64]/*.
• Вызовите сценарий службы oneagent, чтобы запустить oneagentwatchdog.
• В системах с systemd свяжитесь с демоном systemd через d-bus, чтобы выполнить следующие команды:
  • systemctl <start|stop|enable|disable> oneagent.service
  • systemctl daemon-reload
• В системах с SysV выполните /sbin/chkconfig, чтобы добавить сценарий службы oneagent в автозапуск или удалить его.
• Пропешите /proc/sys/kernel/core_pattern.

Привилегии суперпользователя сбрасываются при выполнении скрипта службы Ключ-АСТРОМ ЕдиныйАгент:

• В системах с systemd непривилегированный пользователь включается в определение службы (файл модуля). Таким образом, daemon-systemd запускает сценарий службы ЕдиныйАгент в непривилегированном режиме.
• В системах с SysV привилегии сбрасываются в сценарии при запуске процесса ЕдиныйАгент Watchdog.

Linux Filesystem Capabilities

Ключ-АСТРОМ ЕдиныйАгент Watchdog создаёт и запускает все остальные процессы под непривилегированным пользователем без прав суперпользователя. Двоичные файлы ЕдиногоАгента используют следующие системные возможности Linux.

Возможности двоичной системы Linux

Двоичная	Возможности системы Linux
oneagentwatchdog	cap_sys_resource1 - для установки ограничений системных ресурсов при запуске процессов ЕдиногоАгента
oneagentos	cap_dac_override2 — для доступа к файловой системе cap_chown 2 3 — для установки владельца файлов, заменяемых в файловой системе (например,двоичных runc) cap_fowner 2 — для установки владельца файлов, заменяемых в файловой системе cap_sys_ptrace— для чтения данных изпсевдофайловой системы /proc и отслеживания процессов cap_sys_resource 3 — для чтения ограничений ресурсов процессов cap_setuid 4 — для временного повышения привилегий для выполнения определенных операций cap_kill 3 5 6 cap_setfcap 3 5 6 cap_fsetid 3 5 6
oneagentnettracer	cap_bpf (ядро >=5.8) 7 cap_perfmon (ядро >=5.8) 7 cap_sys_admin (ядро <5.8 или когда cap_bpf заблокирован) 7 cap_dac_override cap_sys_ptracecap_sys_resource
oneagentnetwork	cap_net_raw- для открытия сокетов cap_net_admin8 - для чтения информации сетевого интерфейса
oneagentloganalytics	cap_dac_read_search- для доступа ко всем логам, хранящимся на хосте cap_sys_ptrace- для чтения данных из псевдофайловой системы /proc
oneagentplugin	cap_set_gid1 - для добавления docker в список дополнительных групп процесса, что позволяет извлекать данные контейнера
oneagenthelper9	cap_sys_admin- для системных вызовов mount() cap_dac_override- для проверки и изменения файловых систем запущенных контейнеров cap_sys_ptrace- для отслеживания daemon-Docker cap_sys_chroot- для системных вызовов chroot() cap_fowner- для изменения владельца и прав доступа к файлам в файловой системе контейнера cap_fsetid- для изменения владельца и прав доступа к файлам в файловой системе контейнера
OneAgent Installer executed during auto-update	cap_dac_override- для доступа к файловой системе cap_chown- для доступа к файловой системе cap_fowner- для доступа к файловой системе cap_fsetid- для доступа к файловой системе cap_kill- для возможности сигнализировать всем запущенным процессам, например, остановленным потерянным процессам ЕдиногоАгента cap_setfcap- для настройки возможностей файловой системы Linux в двоичных файлах агента во время установки
oneagentosconfig	cap_setuid6 - для выполнения привилегированных операций в процессе установки cap_setgid 6 - для настройки группового владения файлами в процессе установки
oneagenteventstracer	cap_sys_admin- для системного вызова perf_event_open() cap_dac_override- для доступа к /sys/kernel/debug/tracing
oneagentdmidecode	cap_dac_override- для доступа к файловой системе
oneagentmntconstat	cap_dac_read_search- для получения статистики занятости диска с помощью statvfs64() cap_sys_chroot- для системного вызова setns() cap_sys_admin- для системного вызова setns() cap_sys_ptrace- для доступа к /proc/1/ns
1 Требуется только на этапе инициализации и после этого отключается.. 2 Не используется, если отключены автоматические обновления и автоматическое внедрение. 3 Содержится только в разрешенном наборе и повышается до эффективного набора при необходимости. 4 Только если возможности окружения не поддерживаются. 5 Не используется, если отключены автоматические обновления . 6 Только если поддерживаются возможности окружения. 7 Только для ядер 5.8 и новее, если использование unprivileged cap_bpf не заблокировано ОС , тогда он возвращается к cap_sys_admin. Для более старых версий ядра cap_sys_admin включен . 8 Только для ядер старше 2.6.33. 9 Не запускается, если отключена автоматическое внедрение.

Включение Linux Filesystem Capabilities

Linux Filesystem Capabilities необходимы для установки ЕдиногоАгента в непривилегированном режиме. В SUSE Linux Enterprise Server 11 Linux Filesystem Capabilities отключены по умолчанию. Эти возможности также могут быть отключены в других поддерживаемых дистрибутивах Linux или в результате пользовательской конфигурации. Программа установки ЕдиногоАгента выводит следующее сообщение, если возможности файловой системы Linux отключены:

Warning: Failed to enable non-privileged mode, kernel does not support file capabilities.

Вы также можете проверить параметры загрузки ядра, чтобы увидеть, включены ли Linux Filesystem Capabilities. Выполните следующую команду, чтобы проверить параметры загрузки ядра.

cat /proc/cmdline

Если вы обнаружите, что file_caps=1 в выводе, ваша установка в порядке.

Чтобы включить Linux Filesystem Capabilities, добавьте file_caps=1 в параметры загрузки ядра. Например, в SUSE Linux Enterprise Server 11 используйте YaST, отредактируйте параметры загрузки ядра, добавьте file_caps=1 и перезагрузите машину.

Привилегии при автоматических обновлениях и работе

Объем привилегий, требуемых ЕдиномуАгенту, зависит от того, поддерживает ли ядро Linux ambient capabilities. Как правило, ядро версии 4.3+ поддерживает Linux ambient capabilities. Однако в случае с Red Hat Enterprise Linux они могут поддерживаться в более старых версиях ядра из-за политики Red Hat по резервному переносу исправлений. Это означает, что Linux ambient capabilities поддерживается версиями ядра, начиная с 3.10.x.

Ядра с поддержкой Linux ambient capabilities (версия 4.3+)

Во время автоматического обновления установщик запускается под непривилегированным пользователем dtuser с установленными надлежащими возможностями окружения. ЕдиныйАгент не требует корневого доступа для выполнения автоматического обновления.

Red Hat Enterprise Linux 7 имеет слишком низкий systemd (v219 вместо необходимого v221), и чтобы иметь возможность запускать автоматические обновления в непривилегированном режиме, мы временно повышаем привилегии для запуска systemctl <start|stop|enable|disable> oneagent.service.

Ядра без внешних возможностей (версии с 2.6.26 по 4.3)

В большинстве случаев ЕдиныйАгент будет работать под непривилегированным dtuser. Когда ядро не предоставляет ambient capabilities, оно автоматически повышает свои привилегии до уровня суперпользователя, используя setuid(0) в следующих случаях:

• Автоматические обновления ЕдиногоАгента
• Генерация идентификатора OSI узла на узлах Azure
• Определение свойств контейнеров Docker
• Самодиагностика

Если вы не хотите предоставлять ЕдиномуАгенту уровень разрешений суперпользователя, вы можете отключить его, добавив параметр DISABLE_ROOT_FALLBACK=1 в команду установки ЕдиногоАгента. Например:

sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1

В таких случаях вы должны выполнять обновления вручную на отдельных хостах. Мы не рекомендуем использовать параметр DISABLE_ROOT_FALLBACK=1 для ЕдиногоАгента в контейнерах Azure или Docker.

Как узнать, работает ли ЕдиныйАгент в непривилегированном режиме?

Программа установки выдает сообщение в конце установки ЕдиногоАгента. В зависимости от версии ядра и его поддержки внешних возможностей вы увидите одно из следующих сообщений:

• Non-privileged mode is enabled - ядро поддерживает ambient capabilities, нет необходимости использовать доступ суперпользователя для обновлений или операций.
• Enabled non-privileged mode, but ambient capabilities are not supported by kernel - ядро находится в пределах минимальной поддерживаемой версии, но из-за неподдерживаемых ambient capabilities, ЕдиномуАгенту необходимо повышать привилегии в некоторых случаях, см. выше.
• Failed to enable non-privileged mode - ядро не соответствует минимальным требованиям к версии для включения непривилегированного режима.

Безопасность ЕдиногоАгента на Linux

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, ЕдиныйАгент вносит в вашу систему следующие изменения.

ЕдиныйАгент тщательно протестирован, чтобы гарантировать минимальное влияние на производительность вашей системы и соответствие самым высоким стандартам безопасности .

Разрешения

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для инициирования процесса установки. Затем ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя полный набор функций. Подробности и системные требования см. в разделе Непривилегированный режим ЕдиныйАгент в Linux (выше)

Операция

ЕдиныйАгент выполняет следующие привилегированные операции. В зависимости от того, работает ли ЕдиныйАгент в непривилегированном или привилегированном режиме, область действия операций та же самая, отличается только базовый механизм. В привилегированном режиме ЕдиныйАгент работает как root, тогда как непривилегированный режим использует системные возможности Linux.

• Доступ к списку открытых сокетов для каждого процесса.
• Доступ к списку библиотек, загруженных для каждого процесса.
• Получает доступ к имени и пути исполняемого файла для каждого процесса.
• Доступ к параметрам командной строки для каждого процесса.
• Мониторинг сетевого трафика.
• Чтение файлов конфигурации приложения.
• Анализ исполняемых файлов для Go Discovery.
• Собирает данные мониторинга, связанные с контейнерами Docker.

Если у вас включен мониторинг логов, права root также потребуются для:

• Доступа к системным логам: /var/log/syslog и /var/log/messages.
• Доступа к списку открытых обработчиков файлов для каждого процесса (файловой системы /proc).
• Доступа к файлу логов для каждого процесса.

Изменения операционной системы

Установщик ЕдиногоАгента вносит в вашу систему следующие изменения:

• Пользователь создан dtuser. Вы можете изменить имя по умолчанию с помощью параметра установки USER.
• Служба oneagent зарегистрирована в системе init.
• Службы ABRT (Red Hat) и Apport (Debian) остановлены и отключены.
• Пользовательский модуль SELinux устанавливается в системах с включенным SELinux. Исходные коды модуля SELinux, установленного установщиком ЕдиногоАгента {install-dir}/agent/SELinuxPolicy, доступны по умолчанию в /opt/astromkey/oneagent/agent/SELinuxPolicy
• Устанавливает компоненты ЕдиногоАгента в директории системной библиотеки.
• Настраивается /etc/ld.so.preload на автоматический мониторинг процессов.

Измененные файлы

Установка

Установщик ЕдиногоАгента изменяет следующие системные файлы:

• /proc/sys/kernel/core_patternи /etc/sysctl.conf изменяются для включения обработки дампа ядра с помощью oneagentdumpproc. Исходная конфигурация core_pattern будет работать после установки и будет сохранена в /opt/astromkey/oneagent/agent/conf/original_core_pattern, где вы можете определить собственные настройки ядра, используя формат, указанный в Руководстве программиста Linux . См. Обработка дампа ядра Linux для получения дополнительной информации.
• /etc/ld.so.preload изменен для обеспечения возможности автоматического внедрения в процессы.

Операция

Во время своей работы ЕдиныйАгент изменяет следующие файлы:

• Оболочка ЕдиногоАгента перезаписывает файл /var/vcap/packages/runc/bin/runc (Garden runc), чтобы разрешить внедрение. Это происходит периодически во время выполнения. Исходный файл сохраняется как runc-original и восстанавливается скриптом удаления .
• На хостах CRI-O (реализация Kubernetes Container Runtime Interface на базе OCI) crio hook (oneagent_crio_injection-0.1.0.json) копируется по пути, указанному в hooks_dir параметре файла конфигурации CRI-O (/etc/crio/crio.conf). Если hooks_dir параметр не задан, используется один из путей по умолчанию, либо /etc/containers/oci/hooks.d/ или /usr/share/containers/oci/hooks.d/. Хук удаляется скриптом удаления.

Добавленные файлы

Установка

Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

• Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в /opt/astromkey/oneagent. Обратите внимание, что вы можете изменить местоположение с помощью параметра INSTALL_PATH.
• Скрипты запуска копируются в системы с SystemV /etc/init.d и в системы с systemd /etc/systemd/system.
• liboneagentproc.so размещается в системных библиотечных директориях, которые различаются в зависимости от дистрибутива. Например,
  • Ubuntu 14.04 (с установленными 32-битными библиотеками): /lib32 и /lib/x86_64-linux-gnu
  • Fedora 25: /lib64
  • OpenSUSE 42.2: /libи/lib64
  • CentOS 7.3 и Red Hat Enterprise Linux 6: /lib и /lib64

Операция

• Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в формате /var/lib/astromkey/oneagent/runtime.
• Постоянная конфигурация ЕдиногоАгента сохраняется в файле /var/lib/astromkey/oneagent/agent/config.
• Большие данные времени выполнения, такие как дампы памяти, сохраняются в /var/lib/astromkey/oneagent/datastorage. Обратите внимание, что вы можете изменить расположение больших данных времени выполнения с помощью параметра DATA_STORAGE.

Системные логи, загруженные ЕдинымАгентом

ЕдиныйАгент загружает определенные системные логи, чтобы Ключ-АСТРОМ мог диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

• /var/log/boot.log
• /var/log/dmesg
• /var/log/dpkg.log
• /var/log/kern.log
• /var/log/messages
• /var/log/syslog
• /var/log/yum.log
• /var/log/audit/audit.log
• /var/log/zypper.log
• /etc/nsswitch.conf
• Вывод команды /usr/sbin/apparmor_status
• Вывод команды /bin/journalctl --utc -a -n 10000

Отзыв доступа к системным логам

Чтобы отменить доступ к системным логам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным на false.

Глобально доступные для записи директории

Структура директории ЕдиногоАгента содержит глобально доступные для записи директории (1777 разрешений). Изменение этих разрешений пользователями не поддерживается.

Механизм внедрения ЕдиногоАгента

Такие разрешения на выбранный набор директорий необходимы для успешного внедрения ЕдиногоАгента в процессы на контролируемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, отвечающий за внедрение, запускается в контексте исходного внедренного процесса. Следовательно, пользователи, под которыми запускаются эти процессы, должны иметь разрешение на запись в структуру директорий ЕдиногоАгента, что является причиной глобальных разрешений на запись.

Аналогично, для некоторых файлов логов требуются глобальные разрешения на запись (666), чтобы приложения, работающие под разными пользователями, могли записывать в них данные.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в директориях ЕдиногоАгента помечаются в сканировании безопасности, но мы можем заверить вас, что они полностью защищены.

• Мы стараемся максимально ограничить количество директорий, доступных для глобальной записи.
• Все эти директории имеют установленный sticky bit (фактические разрешения — 1777). Только владелец файла, владелец директории или пользователь root может изменять файлы в директории. Это стандартная практика, которая делает разрешения более надежными. Она также используется для каталога Linux /tmp, чтобы не дать обычным пользователям удалять или перемещать файлы других пользователей.

Установка ЕдиногоАгента в Linux

На этой странице описывается процесс загрузки и установки Ключ-Астром ЕдиныйАгент в Linux.

• Если вы являетесь клиентом Ключ-Астром SaaS, перейдите на сайт ruscomtech.ru, щелкните «Вход в SaaS» и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации.
• Если вы являетесь клиентом Ключ-Астром Managed, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать.

Затем продолжите установку, описанную ниже.

Требования

Вы можете установить ЕдиныйАгент в любой системе Linux, поддерживаемой Ключ-Астром, независимо от пакетного менеджера, с которым работает ваш дистрибутив.

Разрешения

• Для загрузки и установки ЕдиногоАгента вам необходимы разрешения на загрузку/установку ЕдиногоАгента.
• Вам нужны только root-права, чтобы начать установку ЕдиногоАгента. Для этого необходимо, чтобы ваша система соответствовала определенным требованиям. В противном случае добавьте параметр NON_ROOT_MODE=0 в команду установки, чтобы отключить непривилегированный режим работы ЕдиногоАгента.
• Вам нужны разрешения и учетные данные для перезапуска всех ваших служб приложений.

Ресурсы

• Проверьте требования к дисковому пространству.
• Вашему хосту требуется 200 МБ свободной памяти для запуска установки и обновления ЕдиногоАгента.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваша среда Ключ-Астром развертыванием SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Ограничения

Существуют определенные ограничения при развертывании ЕдиногоАгента на хосте Linux с подключенными дисками NFS.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Предоставьте токен PaaS. Этот токен необходим для загрузки установщика ЕдиногоАгента из вашей среды. Если у вас нет токена PaaS, вы можете создать его прямо в пользовательском интерфейсе. Маркер автоматически добавляется к командам загрузки и установки, которые вы будете использовать позже.
3. Выберите Начать установку и выберите Linux.
4. Выберите тип установщика ЕдиногоАгента, поддерживает следующие архитектуры ЦП:
   • x86-64 — 64-битный Intel/AMD
   • IBM Z — 64-разрядный мейнфрейм IBM Z (s390x) Узнать больше
   • PowerPC (LE) — 64-битный PowerPC (ppc64le)
   • PowerPC (BE) — 64-разрядная версия PowerPC (ppc64be) Узнать больше
   • Linux ARM — ARM64 (AARch64), включая процессоры AWS Graviton
5. Скачать установщик. Вставьте предоставленную команду в окно терминала и выполните ее.
6. Подтвердить подпись. После завершения загрузки вставьте предоставленную команду в окно терминала и выполните ее. Убедитесь, что ваша система обновлена, особенно SSL и связанные библиотеки сертификатов.
7. Необязательно: Настройте свою установку
   • Установите сетевую зону для этого хоста.
   • Если ваша среда сегментирована (например, на разработку и производство), рассмотрите возможность организации хостов в группы хостов.
   • Вы можете переопределить автоматически обнаруженное имя хоста. Это полезно в больших и динамичных средах, где определенные имена хостов могут быть неинтуитивными или могут часто меняться.
   • Вы также можете применить теги к хосту, чтобы упорядочить отслеживаемые среды осмысленным образом.
   • Включите мониторинг инфраструктуры вместо мониторинга всего стека.
   • Отключить мониторинг логов.
   • Примечание. Программа установки ЕдиногоАгента из командной строки предоставляет дополнительные параметры для настройки установки.
8. Запустите программу установки. Вставьте команду в окно терминала и выполните ее. Вам потребуется root-доступ только для запуска установки ЕдиногоАгента. Повышенные привилегии сбрасываются, как только развертывается Ключ-Астром ЕдиныйАгент.
   • Если вы находитесь на сервере Ubuntu. sudo /bin/sh <script-name>.sh
   • Если вы используете Red Hat Enterprise Linux. su -c '/bin/sh <script-name>.sh'
   • Если вы запускаете корневую сессию. /bin/sh <script-name>.sh

Примечания:

Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика.

Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.

Что происходит во время установки?

Ключ-Астром ЕдиныйАгент — это набор специализированных служб, настроенных специально для вашей среды мониторинга. Роль этих служб заключается в мониторинге различных аспектов ваших хостов, включая оборудование, операционную систему и процессы приложений.

В процессе установки установщик:

Устанавливает исполняемый код и библиотеки, используемые Ключ-Астром ЕдиныйАгент. Двоичные файлы ЕдиногоАгента устанавливаются в директорию /opt/<name>/oneagent, а сценарий запуска создаются в /etc/init.d (в системах с поддержкой systemd сценарии запуска создаются в /etc/systemd/system/). Один из компонентов Linux ЕдиныйАгент, liboneagentproc.so, находится в директории системной библиотеки (/lib или /lib64 в зависимости от вашей архитектуры) и включается в /etc/ld.so.preload.

Создает своего пользователя (dtuser). Этот пользователь создан без пароля. Невозможно войти под этим пользователем. В целях безопасности службы, не требующие привилегий root, будут работать под этим пользователем. Однако для установки по-прежнему требуется root-доступ.

Проверяет глобальные настройки прокси системы.

Проверяет наличие соединения с Ключ-Астром Server или АктивнымШлюзом (если вы установили АктивныйШлюз и загрузили установщик ЕдиногоАгента после того, как АктивныйШлюз был подключен к Ключ-Астром).

Обнаруживает все приложения, поддерживающие SELinux, и соответствующим образом корректирует политику безопасности SELinux.

Позволяет Ключ-Астром ЕдиныйАгент внедрять собственные библиотеки в отслеживаемые процессы.

Изменяет конфигурацию основного шаблона, чтобы ЕдиныйАгент мог обнаруживать сбои процессов и сообщать о них. Первоначальная конфигурация core_pattern по-прежнему будет работать после установки и будет сохранена в /opt/<name>/oneagent/agent/conf/original_core_pattern, где вы можете определить свои собственные основные настройки, используя формат, указанный в Руководстве программиста Linux.

Сводку изменений, внесенных в вашу систему при установке ЕдиногоАгента, см. в разделе Безопасность ЕдиногоАгента в Linux (выше).

Установка ЕдиногоАгента на PPC BE Linux

Чтобы установить Ключ-Астром ЕдиныйАгент при развертывании Ключ-Астром SaaS, перейдите на ruscomtech.ru и войдите в систему, используя имя пользователя и пароль, которые вы получили от Ключ-Астром в электронном письме с подтверждением регистрации. Если у вас есть управляемое развертывание Ключ-Астром, войдите в консоль управления кластером и выберите среду, которую вы хотите отслеживать. Затем продолжите установку, описанную ниже.

Требования

• Вам нужны разрешения для следующих действий:
  • Чтобы создать директорию, в который вы хотите установить ЕдиныйАгент
  • Чтобы изменить настройки брандмауэра (необходимо только в том случае, если ваша внутренняя политика маршрутизации может препятствовать доступу программного обеспечения Ключ-Астром в Интернет).
  • Чтобы перезапустить службы приложений
• Также необходимо проверить требования к дисковому пространству.
• Все хосты, которые необходимо отслеживать, должны иметь возможность отправлять данные в кластер Ключ-Астром. В зависимости от того, является ли ваше развертывание Ключ-Астром SaaS или управляемым, а также в зависимости от схемы вашей сети и настроек безопасности, вы можете либо предоставить прямой доступ к кластеру Ключ-Астром, либо настроить АктивныйШлюз.

Примечания:

• В PPC BE Linux ЕдиныйАгент поддерживает только Java и Apache/IHS.
• Вам не нужен root-доступ для установки ЕдиногоАгента на PPC BE Linux.
• Вы можете установить ЕдиныйАгент в любую директорию.

Установка

1. В меню Ключ-Астром выберите Развернуть Ключ-Астром.
2. Нажмите кнопку Начать установку и выберите Linux.
3. Выберите тип установщика PowerPC (BE) из списка. Скопируйте команду из текстового поля Использовать эту команду на целевом хосте для загрузки ЕдиногоАгента для Linux PowerPC (BE)
4. Войдите на свой хост PPC BE Linux и выполните команду, которую вы скопировали из Ключ-Астром.
   • Примечания:
     Если вы планируете загружать Ключ-Астром ЕдиныйАгент непосредственно на сервер, обратите внимание, что устаревшие или отсутствующие библиотеки (например, сертификаты CA или OpenSSL) препятствуют загрузке установщика.
     Ключ-Астром использует зашифрованные соединения. OpenSSL требуется для того, чтобы wget мог получить доступ к серверу. Вы также можете загрузить установщик, щелкнув Загрузить установщик ЕдиногоАгнета в нижнем колонтитуле страницы и сохранив сценарий установщика в любом месте, которое вы хотите, что полностью обходит команду wget.
5. В вашей файловой системе создайте папку для установки ЕдиногоАгента.
6. Разархивируйте ZIP-архив ЕдиногоАгента во вновь созданную папку.
   • Все отслеживаемые приложения должны иметь возможность читать библиотеку ЕдиногоАгента. Убедитесь, что разрешения позволяют это.
7. Теперь у вас есть два варианта: либо отслеживать каждое приложение на вашем хосте, либо только одно приложение.
   • Все приложения.
     • Чтобы автоматически отслеживать каждое приложение на вашем хосте, включите компонент liboneagentproc.so ЕдиногоАгента. Он находится в каталоге системной библиотеке (/lib или /lib64 в зависимости от вашей архитектуры), в /etc/ld.so.preload.
   • Одно приложение.
     • Для мониторинга одного приложения его необходимо сначала перезапустить. Предварите команду запуска приложения следующими командами:
       KA_HOME=<installation directory>
export KA_HOME
LD_PRELOAD=$KA_HOME/agent/<system library>/liboneagentproc.so
export LD_PRELOAD
       Где:
       <installation directory> — эта директория, в котором установлен ЕдиныйАгент.
       <system library> — это /lib или /lib64 в зависимости от вашей архитектуры.

Настройка установки ЕдиногоАгента на Linux

Установщик для дистрибутивов Linux можно использовать с параметрами командной строки, если вы не можете использовать параметры по умолчанию. Обратите внимание, что все параметры, перечисленные ниже, являются необязательными.

Передача параметров установки

Чтобы передать параметры, добавьте их к команде установщика и разделите пробелами.

Например:

OneAgent-Linux.sh --set-host-group=my_host_group --set-infra-only=true

Удаленные параметры установки

Преобразуйте в более новые параметры --set-param=<value>. Эквивалентные параметры PARAM=<value> не поддерживаются программой установки ЕдиногоАгента, начиная с версии 1.213.

Удален параметр PARAM=<value>

Новый параметр --set-param=<value>

Удаленные PARAM=<value> параметры	Новые --set-param=<value> параметры
SERVER	--set-server
TENANT	--set-tenant
TENANT_TOKEN	--set-tenant-token
PROXY	--set-proxy
HOST_GROUP	--set-host-group
APP_LOG_CONTENT_ACCESS	--set-app-log-content-access
DISABLE_SYSTEM_LOGS_ACCESS	--set-system-logs-access-enabled
INFRA_ONLY	--set-infra-only

Если вы смешиваете эквивалентные параметры PARAM=<value> и --set-param=<value>, параметр --set-param=<value> переопределяет параметр PARAM=<value>.

Конечная точка связи

Значение по умолчанию: зависит от среды

Адрес конечной точки связи ЕдиногоАгента, которая является компонентом Ключ-Астром, на который ЕдиныйАгент отправляет данные. В зависимости от вашего развертывания это может быть кластер Ключ-Астром или АктивныйШлюз. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-Астром, для него уже установлено правильное значение. Чтобы изменить его, используйте IP-адрес или имя. Добавьте номер порта после двоеточия.

Чтобы установить конечную точку связи, передайте ее как значение параметра:

--set-server=https://100.20.10.1:443

ЕдиныйАгент и Ключ-Астром автоматически поддерживают рабочее соединение. Если детали конечной точки изменяются, кластер уведомляет ЕдиныйАгент об изменении, и ЕдиныйАгент автоматически обновляет конечную точку, которую вы установили с помощью --set-server, до нового рабочего значения.

Если вам нужно изменить конечную точку после установки, используйте --set-server в интерфейсе командной строки ЕдиныйАгент.

Идентификатор среды

Значение по умолчанию: зависит от среды

Идентификатор среды Ключ-Астром, который вы получили по электронной почте с активацией. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-астром, для него уже установлено правильное значение. Если вы продаете услуги на основе Ключ-Астром, используйте этот параметр, чтобы установить идентификаторы ваших клиентов из пула идентификаторов, приобретенных вами у Ключ-Астром.

Чтобы установить идентификатор среды, передайте его в качестве значения параметра:

--set-tenant=mySampleEnv

Если вам нужно изменить арендатора после установки, используйте --set-tenant в интерфейсе командной строки ЕдиногоАгента.

Токен

Значение по умолчанию: зависит от среды

Маркер клиента, который используется для проверки подлинности, когда ЕдиныйАгента подключается к конечной точке связи для отправки данных. Если вы устанавливаете ЕдиныйАгент с помощью страницы развертывания Ключ-Астром, для него уже установлено правильное значение.

Чтобы установить токен, передайте его как значение параметра:

--set-tenant-token=abcdefghij123456

См. Токены доступа, чтобы узнать, как получить токен.

Если вам нужно изменить токен клиента после установки, используйте --set-tenant-token в интерфейсе командной строки ЕдиногоАгента.

Сетевые зоны

Значение по умолчанию: не установлено

Чтобы узнать о правилах именования сетевых зон и другую справочную информацию, см. раздел Сетевые зоны.

Используйте параметр --set-network-zone, чтобы указать ЕдиномуАгенту обмениваться данными через указанную сетевую зону:

--set-network-zone=your.network.zone

Если вам нужно изменить назначение сетевой зоны после установки, используйте --set-network-zone в интерфейсе командной строки ЕдиногоАгента.

Прокси

Значение по умолчанию: не установлено

Адрес прокси-сервера. Используйте IP-адрес или имя и добавьте номер порта после двоеточия. Для прокси-сервера с проверкой подлинности вы можете указать имя пользователя и пароль, например username:password@172.1.1.128:8080, где имя пользователя и пароль должны быть указаны в URL-адресе.

Чтобы установить прокси, передайте его как значение параметра:

--set-proxy=172.1.1.128:8080

Ключ-Астром также поддерживает адреса IPv6.

Если вам нужно изменить адрес прокси-сервера после установки, используйте --set-proxy в интерфейсе командной строки ЕдиногоАгента.

Диапазон портов

Значение по умолчанию: 50000:50100

Используйте параметр --set-watchdog-portrange=<arg>, чтобы изменить диапазон портов прослушивания на <arg>. <arg> должен содержать два номера порта, разделенных двоеточием (:). Например 50000:50100. Максимальный поддерживаемый диапазон портов — от 1024 до 65535. Диапазон портов должен охватывать не менее 4 портов. Номер порта, начиная с диапазона, должен быть меньше. Например:

--set-watchdog-portrange=50000:50100

Если вам нужно изменить диапазон портов после установки, используйте --set-watchdog-portrange в интерфейсе командной строки ЕдиногоАгента.

Группа хостов

Значение по умолчанию: не установлено

Имя группы, к которой вы хотите привязать хост. Дополнительные сведения см. в разделе Организация среды с помощью групп хостов. Требования к строке группы хостов:

• Может содержать только буквенно-цифровые символы, дефисы, символы подчеркивания и точки.
• Не должен начинаться с dt.
• Максимальная длина – 100 символов.

Чтобы назначить хост группе хостов, передайте имя группы хостов в качестве значения параметра:

--set-host-group=My.HostGroup_123-456

Чтобы удалить узел из группы, необходимо удалить ЕдиныйАгент или передать пустое значение --set-host-group="" при запуске обновления ЕдиногоАгента. Вы не можете удалить хост из группы с помощью параметра HOST_GROUP при обновлении ЕдиногоАгента. Дополнительные сведения см. в разделе Настройка ЕдиногоАгента через интерфейс командной строки.

Режим мониторинга инфраструктуры

Значение по умолчанию: false

Активирует режим мониторинга инфраструктуры вместо режима мониторинга полного стека. При таком подходе вы получаете данные о работоспособности только инфраструктуры, без данных о производительности приложений или пользователей.

Чтобы включить режим мониторинга инфраструктуры, установите для параметра значение:

--set-infra-only=true

Чтобы отключить режим мониторинга инфраструктуры, установите для параметра значение:

--set-infra-only=false

Если вам нужно изменить, включить или отключить режим мониторинга инфраструктуры после установки, используйте

--set-infra-only в интерфейсе командной строки ЕдиногоАгента или задайте его на странице настроек хоста.

Пользовательское имя хоста

Значение по умолчанию: не установлено

Используйте --set-host-name, чтобы переопределить автоматически обнаруженное имя хоста. Значение имени хоста не должно содержать символы <, >, &, CR (возврат каретки) и LF (перевод строки), а максимальная длина — 256 символов.

Чтобы установить имя хоста:

--set-host-name=myhostname

Если вам нужно изменить имя хоста после установки, используйте --set-host-name в интерфейсе командной строки ЕдиногоАгента.

Пользовательские метаданные хоста

Значение по умолчанию: не установлено

После настройки пользовательские метаданные отображаются в виде набора свойств в нижней части раздела Свойства и теги на странице обзора хоста. Значения свойств не должны содержать символы = (кроме разделителя "ключ-значение") и пробелы. Максимальная длина — 256 символов, включая разделитель «ключ-значение».

Чтобы добавить или изменить свойства хоста:

--set-host-property=AppName --set-host-property=Environment=Dev

Вы можете добавить или изменить более одного свойства в одной команде.

Если вам нужно изменить метаданные хоста после установки, используйте команду --set-host-property в интерфейсе командной строки ЕдиногоАгента .

Пользовательские теги хоста

Значение по умолчанию: не установлено

После настройки теги отображаются в верхней части раздела Свойства и теги на странице обзора хоста. Значения свойств не должны содержать символы = (кроме разделителя "ключ-значение") и пробелы. Максимальная длина — 256 символов, включая разделитель «ключ-значение».

Чтобы добавить или изменить теги хоста:

--set-host-tag=TestHost --set-host-tag=role=fallback --set-host-tag=Gdansk

Вы можете добавить или изменить более одного тега в одной команде. Допускается определение тегов с одним и тем же ключом, но разными значениями.

Если вам нужно изменить теги хоста после установки, используйте --set-host-tag в интерфейсе командной строки ЕдиногоАгента.

Источник идентификатора хоста

Значение по умолчанию: auto

Доступно на всех поддерживаемых платформах для ЕдиногоАгента версии 1.223+. Для ЕдиногоАгента версии 1.221 и более ранних эта функция поддерживается только для Citrix Virtual Apps and Desktops.

Особенно важно сохранять статический идентификатор хоста в динамических виртуальных средах, где хосты воссоздаются ежедневно.

Чтобы определить источник для генерации идентификатора хоста, используйте --set-host-id-source и установите для него одно из предопределенных значений:

• auto — разрешить Ключ-Астром автоматически генерировать идентификатор хоста.
• ip-addresses — Генерировать идентификатор хоста на основе IP-адреса хоста
• mac-address — Генерировать идентификатор хоста на основе MAC-адреса сетевой карты хоста.
• fqdn — Генерировать идентификатор узла на основе полного доменного имени узла (FQDN) в формате host.domain. Если полное доменное имя не содержит символа точки, вместо него используется MAC-адрес сетевой карты.
• Если вы отслеживаете несколько сред, вы можете разделить узлы с одинаковыми IP-адресами, MAC-адресами или полными доменными именами, используя разные пространства имен для каждой среды. Пространство имен может содержать только буквенно-цифровые символы, дефисы, символы подчеркивания и точки; максимальная длина 256 символов:
• ip-addresses;namespace=<namespace>
• mac-addresses;namespace=<namespace>
• fqdn;namespace=<namespace>

Например, чтобы задать в качестве источника идентификатора узла IP-адреса и назначить его пространству имен с именем test, запустите программу установки ЕдиногоАгента со следующим параметром:

--set-host-id-source="ip-addresses;namespace=test"

Мониторинг логов

Значение по умолчанию: true

Если установлено значение true, ЕдиныйАгент получает доступ к файлам логов для мониторинга логов. Допустимые значения: (true, false) или (1, 0). В качестве альтернативы эту опцию можно включить/отключить через веб-интерфейс.

Например:

--set-app-log-content-access=true

Если вам нужно включить или отключить мониторинг логов после установки, используйте -set-app-log-content-access в интерфейсе командной строки ЕдиногоАгента.

Прием локальных метрик

ЕдиныйАгент версии 1.201

Значение по умолчанию: 14449

Вы можете использовать параметр --set-extensions-ingest-port=<arg>, чтобы изменить порт связи по умолчанию, используемый для локального приема метрик. Порт используется следующими модулями: ЕдиныйАгент REST API, интеграции сценариев и Telegraf.

Дополнительные сведения см. в разделе Прием метрик.

Загрузка показателей StatsD

ЕдиныйАгент версии 1.201

Значение по умолчанию: 18125

Вы можете использовать параметр --set-extensions-statsd-port=<arg>, чтобы изменить порт прослушивания UDP Ключ-АстромStatsD по умолчанию.

Дополнительные сведения см. в разделе Прием метрик.

Непривилегированный режим

NON_ROOT_MODE

Значение по умолчанию: 1 (версия ЕдиногоАгента 1.193+. Для более ранних версий 0).

При установке ЕдиногоАгента для работы в непривилегированном режиме, вам нужно один раз предоставить повышенные привилегии ЕдиномуАгенту во время установки. Повышенные привилегии сбрасываются сразу после установки ЕдиногоАгента.

Начиная с версии 1.193, ЕдиныйАгент по умолчанию устанавливается в непривилегированном режиме. Существующие установки не переключаются в непривилегированный режим.

Чтобы переключить установленный ЕдиныйАгент в непривилегированный режим, вам необходимо вручную добавить параметр NON_ROOT_MODE=1 к команде установки. Пример: sudo /bin/sh Agent-Linux-1.0.0.sh NON_ROOT_MODE=1

Чтобы переключить установщик обратно в режим по умолчанию для последовательных обновлений, запустите его с NON_ROOT_MODE=0.

Обратите внимание, что для непривилегированного режима требуются возможности ядра Linux, доступные в следующих версиях:

• Ядро Linux версии 2.6.26+ для установки ЕдиногоАгента без привилегий root.
• Ядро Linux версии 4.3+ (рекомендуется версия systemd 221+) для автоматических обновлений ЕдиногоАгента и полноценной работы без привилегий root. Для получения дополнительной информации см. непривилегированный режим Linux (выше).

DISABLE_ROOT_FALLBACK

Значение по умолчанию: 0

Используется вместе с параметром NON_ROOT_MODE для блокировки уровня разрешений суперпользователя для запуска ЕдиногоАгента в непривилегированном режиме. Привилегии суперпользователя требуются для автоматических обновлений и отдельных операций с версиями ядра между 2.6.26 и 4.3, то есть версиями без поддержки Linux ambient capabilities.

sudo /bin/sh OneAgent-Linux-1.0.0.sh NON_ROOT_MODE=1 DISABLE_ROOT_FALLBACK=1

Чтобы переключить установщик обратно на использование уровня разрешений суперпользователя для последующих обновлений, запустите его с параметром DISABLE_ROOT_FALLBACK=0.

Дополнительные сведения см. в требованиях к разрешениям для установки и работы ЕдиногоАгента в Linux (выше).

Примечания:

• Процесс удаления не удаляет непривилегированного пользователя из системы (независимо от того, является ли он dtuser или задан при помощи USER parameter).
• Непривилегированное имя пользователя сохраняется во время обновления, если во время обновления не указано новое имя пользователя.

Изменение непривилегированного пользователя и группы

USER

Значение по умолчанию: dtuser

Данный параметр определяет имя непривилегированного пользователя, которое используется непривилегированными процессами ЕдиногоАгента. Непривилегированные процессы — это процессы, которым не нужны привилегии root. Эти процессы в Linux называются Network ЕдиныйАгент и Plugin ЕдиныйАгент.

• По умолчанию программа установки Ключ-Астром использует dtuser в качестве имени непривилегированного пользователя.
• Если указан параметр USER=<username>, программа установки использует <username> в качестве имени непривилегированного пользователя.

В любом случае программа установки Ключ-Астром проверяет, существует ли уже в системе требуемый пользователь (dtuser или пользователь, указанный в параметре USER).

• Если пользователь и группа с одинаковым именем существуют, и эта группа установлена ​​для этого пользователя в качестве основной, пользователь используется для запуска сетевых и подключаемых модулей ЕдиногоАгента.
• Если пользователь не существует, программа установки Ключ-Астром создает этого пользователя и группу, а затем запускает непривилегированные процессы с этим новым пользователем.
• Если пользователь существует в системе, но не имеет группы с тем же именем, что и основная, установка прерывается — чтобы использовать группу с другим именем, необходимо использовать параметр GROUP.

Требования к строке USER:

• Может содержать только буквенно-цифровые символы, дефис -, подчеркивание _ и точку .
• Минимальная длина 3 символа
• Максимальная длина – 32 символа
• Не может быть строкой идентификатора пользователя

GROUP

Значение по умолчанию: dtuser

Может использоваться только в сочетании с параметром USER и используется для указания основной группы для пользователя, переданного через параметр USER. Если вы не укажете параметр GROUP, программа установки предполагает, что он такой же, как и USER, как для существующих, так и для несуществующих пользователей. Если вы указываете группу с помощью параметра GROUP, а пользователя не существует, программа установки создает пользователя и назначает его в указанную группу. Вы также используете параметр GROUP, чтобы указать непривилегированного пользователя, принадлежащего к определенной группе, с именем, отличным от имени пользователя. Чтобы усилить безопасность вашей системы, мы настоятельно рекомендуем использовать выделенную группу пользователей для запуска процессов ЕдиногоАгента.

Требования к строке GROUP:

• Может содержать только буквенно-цифровые символы, дефис -, подчеркивание _ и точку .
• Минимальная длина 3 символа
• Максимальная длина – 32 символа.
• Не может быть строкой идентификатора группы

Как передать адрес прокси-сервера при установке ЕдиногоАгента на Linux

Установщик ЕдиногоАгента распознает параметры --set-proxy (рекомендуется с версии 1.185) или PROXY. Значением этих параметров является адрес прокси-сервера. Добавьте номер порта после двоеточия, например 172.1.1.128:8080. Для аутентифицирующего прокси-сервера вы можете указать имя пользователя и пароль следующим образом, username:password@172.1.1.128:8080 где и имя пользователя, и пароль должны быть закодированы в URL. Мы также поддерживаем адреса IPv6.

Имена параметров чувствительны к регистру, поэтому для имен параметров используйте ALL CAPS.

Передача адреса прокси-сервера установщику

Допустим, вы используете сервер openSUSE, вы загрузили установщик ЕдиногоАгента в каталог /tmp, а ваш IP-адрес прокси-сервера — 10.1.1.5. В таком случае вы начнете установку следующим образом:

cd /tmp chmod +x astromkey-OneAgent-Linux-0.5.0-20140217-175809.sh su -c 'astromkey-OneAgent-Linux-0.5.0-20140217-175809.sh --set-proxy=10.1.1.5'

Изменить прокси после установки

Если вам необходимо изменить адрес прокси-сервера после установки, используйте --set-proxy в интерфейсе командной строки ЕдиногоАгента.

Обновление ЕдиногАгента на Linux

ЕдиныйАгент, установленный в фулл-стек режиме, имеет встроенный настраиваемый механизм автоматического обновления.

Обзор обновления ЕдиногоАгента, включая информацию о том, как отслеживать обновления и создавать окна обновления, см. в разделе Обновление ЕдиногоАгента.

Настройте обновления ЕдиногоАгентаправитьправить код

Вы можете настроить обновление ЕдиногоАгента глобально, для каждой группы хостов и для каждого хоста.

Настройте обновление ЕдиногоАгента глобальноправитьправить код

Если автоматические обновления включены глобально, то всякий раз, когда становится доступна новая версия ЕдиногоАгента, все установленные вами экземпляры ЕдиногоАгента (за исключением тех, где вы отключили автоматические обновления на уровне группы хостов или хоста) автоматически загрузят обновление и обновят свои двоичные файлы и файлы конфигурации.

Настройки обновления ЕдиногоАгента на уровне группы хостов и хоста переопределяют эти глобальные настройки.

1. Перейдите в Настройки > Обновления > Обновления ЕдиногоАгента.
2. Выберите один из вариантов обновления:
   • Автоматические обновления при первой возможностиОбновляйте все ЕдиныеАгенты автоматически, независимо от периодов обновления.
   • Автоматические обновления во время окон обслуживанияАвтоматически обновлять все ЕдиныеАгенты во время выбранного окна обслуживания.
     • При выборе этого параметра отображается список доступных окон обслуживания. Выберите одно.
     • Чтобы настроить новое окно обслуживания для обновлений ЕдиногоАгента, перейдите в раздел Настройки > Обновления > Окна обслуживания для обновлений ЕдиногоАгента.
   • Без автоматических обновлений.Не обновляет ЕдиныеАгенты автоматически.

Настройте обновление ЕдиногоАгента для группы хостовправитьправить код

Настройки обновления ЕдиногоАгента на уровне группы хостов переопределяют глобальные настройки и переопределяются настройками на уровне хоста.

1. Откройте страницу настроек группы хостов. Альтернативы доступа:
   • Перейдите в раздел Настройки > Мониторинг > Обзор мониторинга , найдите любой хост, входящий в группу хостов, которую вы хотите настроить, и выберите имя группы хостов (не имя хоста).
   • Перейдите в раздел Хосты , откройте страницу хоста и разверните раздел Свойства и теги . Если хост принадлежит к группе, ссылка на него есть в разделе Группа хостов .
   • Перейдите в Deployment Status > ЕдиныеАгенты. Если хост принадлежит к группе хостов, под именем хоста отображается ссылка на страницу настроек группы хостов.
2. На странице настроек группы хостов выберите обновления ЕдиногоАгента в левой части страницы.
3. Выберите один из вариантов обновления:
   • Наследовать глобальные параметры обновленияСледуйте глобальным параметрам обновления для обновления ЕдиныхАгентов в этой группе хостов.
     • Текущая глобальная настройка отображается в скобках в этой строке.
     • Чтобы перейти на страницу глобальной конфигурации, выберите ссылку global.
   • Автоматические обновления при первой возможностиОбновлять все ЕдиныеАгенты в этой группе хостов автоматически, независимо от окон обновления. Игнорировать глобальные настройки обновления.
   • Автоматические обновления во время окон обслуживанияОбновлять все ЕдиныеАгенты в этой группе хостов автоматически во время выбранного окна обслуживания. Игнорировать глобальные настройки обновления.
     • При выборе этого параметра отображается список доступных окон обслуживания. Выберите одно.
     • Чтобы настроить новое окно обновления для обновлений ЕдиногоАгента, перейдите в раздел Настройки > Обновления > Окна обслуживания для обновлений ЕдиногоАгента.
   • Без автоматических обновлений.Не обновлять ЕдиныеАгенты в этой группе хостов автоматически. Игнорировать глобальные настройки обновления.

Настройте обновление ЕдиногоАгента на уровне хостаправитьправить код

Настройки обновления ЕдиногоАгента на уровне хоста переопределяют настройки обновления ЕдиногоАгента на глобальном уровне и уровне группы хостов.

1. Откройте страницу Хосты для хоста, который вы хотите настроить. Параметры доступа:
   • Перейдите в раздел Хосты и выберите хост.
   • Перейдите в Настройки > Мониторинг > Обзор мониторинга , выберите вкладку Хосты , а затем выберите хост.
2. На странице Хост откройте меню обзора Дополнительно ( … ) и выберите Настройки.
3. Выберите обновления ЕдиногоАгента в левой части страницы.
4. Выберите один из вариантов обновления:
   • Наследовать…Следуйте настройкам группы хостов или глобальным настройкам обновления для обновления этого ЕдиногоАгента.
     • Если выбранный хост принадлежит к группе хостов, текущая настройка группы хостов отображается в скобках в этой строке, а имя группы представляет собой ссылку на страницу конфигурации группы хостов.
     • Если выбранный хост не принадлежит ни к одной группе хостов, в этой строке в скобках отображается глобальная настройка, а глобальная — это ссылка на страницу глобальной конфигурации (Настройки > Обновления > Обновления ЕдиногоАгента).
   • Автоматические обновления при первой возможностиОбновлять этот ЕдиныйАгент автоматически, независимо от окон обслуживания. Игнорировать настройки обновления группы хостов.
   • Автоматические обновления во время окон обслуживанияОбновлять этот ЕдиныйАгент автоматически в выбранном окне обслуживания. Игнорировать глобальные настройки обновления.
     • При выборе этого параметра отображается список доступных окон обслуживания. Выберите одно.
     • Чтобы настроить новое окно обновления для обслуживания ЕдиногоАгента, перейдите в раздел Настройки > Обновления > Окна обслуживания для обновлений ЕдиногоАгента.
   • Без автоматических обновлений.Не обновлять этот ЕдиныйАгент автоматически. Игнорировать глобальные настройки обновления.

Обновите ЕдиныйАгент вручную на отдельных хостахправитьправить код

Чтобы вручную обновить ЕдиныйАгент, работающий на отдельном хосте:

1. Перейдите в Настройки > Мониторинг > Обзор мониторинга.
2. Выберите вкладку Хосты .
3. Чтобы обновить ЕдиныйАгент или загрузить последнюю версию, выберите Обновить рядом с именем интересующего вас хоста. Кнопка Обновить появляется только в том случае, если установленная версия ЕдиногоАгента на определенном хосте устарела и если это ЕдиныйАгент полного стека. Эта кнопка не появляется с PaaS и автономными ЕдинымиАгентами.
4. Выберите Обновить сейчас . Если кнопка Обновить сейчас неактивна, у вас нет прав на загрузку установщика.

Кроме того, вы можете загрузить последнюю версию установщика ЕдиныйАгент, скопировать ее вручную на целевой хост и выполнить установку непосредственно на целевом хосте.

Выбрать версию ЕдиногоАгента для установки на новые хостыправитьправить код

Чтобы контролировать, какая версия ЕдиногоАгента будет автоматически установлена ​​на всех новых хостах:

1. Перейдите в Настройки > Обновления > Обновления ЕдиногоАгента.
2. В режиме обновления выберите Без автоматических обновлений , чтобы отключить автоматические обновления ЕдиногоАгента. Для развертываний PaaS и Kubernetes пропустите этот шаг.
3. В поле Target version выберите версию ЕдиногоАгента для установки на все новые хосты.

Выбранная версия ЕдиногоАгента также используется для интеграции PaaS.

Выберать версию ЕдиногоАгента для обновленияправитьправить код

Чтобы выбрать версию ЕдиногоАгента для обновления

1. Перейдите в Настройки > Обновления > Обновления ЕдиногоАгента.
2. В списке целевых версий вы можете указать конкретную версию по номеру версии ЕдиногоАгента или выбрать относительную целевую версию:
   • Последняя стабильная версияСамая последняя стабильная версия ЕдиногоАгента, доступная в вашей среде. Фактический номер версии отображается в скобках.
   • Предыдущая стабильная версияСтабильная версия до Последняя стабильная версия. Текущий соответствующий номер версии отображается в скобках. Номер версии ЕдиногоАгента увеличивается на два для каждого выпуска, поэтому это число будет на два меньше, чем номер последней версии.
   • Более старая стабильная версияСтабильная версия до предыдущей стабильной версии. Текущий соответствующий номер версии отображается в скобках. Номер версии ЕдиногоАгента увеличивается на два для каждого выпуска, поэтому это число будет на четыре меньше, чем номер последней версии.

• Конкретная версия ЕдиногоАгента

Целевая версия используется для:

• Автоматического обновления
• Автоматического обновления во время периодов технического обслуживания
• Ручных обновлений при выборе версии, до которой вы хотите обновиться

Вы можете установить целевую версию и режим обновления здесь:

• Уровень среды. Влияет на все ЕдиныеАгенты среды. Также используется для API развертывания.
• Группа хостов. Влияет на все ЕдиныеАгенты группы хостов. Переопределяет уровень среды. Не влияет на API развертывания.
• Хост. Влияет на ЕдиныйАгент на этом хосте. Переопределяет группу хостов и конфигурацию уровня среды. Не влияет на API развертывания.

Если вы выберете более старую версию, чем текущая развернутая версия, вы не сможете понизить версию ЕдиногоАгента. Вам нужно будет установить более новую версию поверх существующей версии ЕдиногоАгента.

Системные требованияправитьправить код

Место на дискеправитьправить код

Подробную информацию см. в разделе Требования к файлам и дисковому пространству ЕдиногоАгента (выше).

Свободная памятьправитьправить код

Для запуска обновления ЕдиногоАгента вашему хосту требуется 200 МБ свободной памяти.

Проверка установленной версии ЕдиногоАгентаправитьправить код

Используйте один из этих методов, чтобы проверить, какая версия ЕдиногоАгента у вас установлена.

Интерфейс командной строки ЕдиногоАгентаправитьправить код

Запустите oneagentctl с параметром --version. Для получения дополнительной информации см. Конфигурация ЕдиногоАгента через интерфейс командной строки .

Обзор хостаправитьправить код

1. Перейдите в раздел Хосты .
2. Нажмите на интересующий вас хост.
3. Разверните Свойства под именем хоста. Установленная версия ЕдиногоАгента включена в перечисленные свойства.

Статус развертыванияправитьправить код

1. Перейти к статусу развертывания .
2. Нажмите вкладку Все хосты или Недавно подключенные хосты .
3. Разверните интересующую вас запись хоста. Установленная версия ЕдиногоАгента включена в отображаемую информацию.

Обновление ЕдиногоАгента на PPC BE Linux

Чтобы обновить установленный экземпляр ЕдиногоАгента на PPC BE, следуйте инструкциям ниже:

1. Повторите все шаги первоначальной установки , но установите ЕдиныйАгент в новую директорию.
2. Остановите все контролируемые процессы.
3. Переименуйте текущую директорию установки ЕдиногоАгента (например, /opt/astromkey/oneagent в /opt/astromkey/oneagent-old) и используйте следующую команду:
   mv /opt/astromkey/oneagent /opt/astromkey/oneagent-old Эту папку можно удалить после обновления OneAgent.
4. Переименуйте обновленную папку ЕдиногоАгента так, чтобы она указывала на исходную директорию установки (например, из /opt/astromkey/oneagent-update в /opt/astromkey/oneagent), используя следующую команду:
   mv /opt/astromkey/oneagent-update /opt/astromkey/oneagent
5. Перезапустите все процессы, которые необходимо отслеживать.

Проверка установленной версии ЕдиногоАгента

Используйте один из этих методов, чтобы проверить, какая версия ЕдиногоАгента у вас установлена.

Интерфейс командной строки ЕдиногоАгента

Запустите oneagentctl с параметром --version. Для получения дополнительной информации см. Конфигурация ЕдиногоАгента через интерфейс командной строки.

Обзор хоста

1. Перейдите в раздел Хосты .
2. Нажмите на интересующий вас хост.
3. Разверните Свойства под именем хоста. Установленная версия ЕдиногоАгента включена в перечисленные свойства.

Статус развертывания

1. Перейти к статусу развертывания .
2. Нажмите вкладку Все хосты или Недавно подключенные хосты .
3. Разверните интересующую вас запись хоста. Установленная версия ЕдиногоАгента включена в отображаемую информацию.

Остановка/перезапуск ЕдиногоАгента в Linux

Если вы не хотите использовать ЕдиныйАгент внутри определенного процесса Java (или другого), вы можете легко отключить мониторинг Ключ-АСТРОМ для отдельных хостов, групп процессов или приложений:

1. Перейдите в Настройки > Обзор мониторинга .
2. Нажмите вкладку Хосты , Группы процессов или Приложения , чтобы получить доступ к переключателям мониторинга для отдельных объектов.
3. Переведите переключатель мониторинга в положение Выкл.
4. Перезапустите все процессы, для которых был отключен мониторинг.

Hot cloning Hot cloning обычно не поддерживается ЕдинымАгентом из-за требований к генерации идентификатора хоста. При hot cloning хоста с установленным ЕдинымАгентом выполните следующие действия, чтобы обеспечить надлежащую функциональность: Остановите ЕдиныйАгент на исходном хосте. Клонируйте хост. Запустите ЕдиныйАгент. Выполните перезапуск процессов на новом хосте.

Перезапуск с помощью интерфейса командной строки ЕдиногоАгента.

При использовании параметров set необходимо перезапустить службу ЕдиногоАгента, чтобы изменения вступили в силу. Вы можете использовать параметр --restart-service с командой, которая автоматически запускает перезапуск. В некоторых случаях вам также потребуется перезапустить отслеживаемые приложения. Вы также можете использовать параметр перезапуска сам по себе, без других параметров. См. пример команды ниже.

./oneagentctl --set-proxy=my-proxy.com --restart-service

Для получения дополнительной информации см. раздел Настройка ЕдиногоАгента через интерфейс командной строки .

Остановка ЕдиногоАгента с помощью командной строки

Если вы используете инструменты управления конфигурацией, такие как Puppet или Ansible, вы также можете остановить службу ЕдиногоАгента с помощью следующей команды:

• для систем с SystemV: service oneagent stop
• для систем с systemd: systemctl stop oneagent

oneagent где находится скрипт init.d для ЕдиногоАгента.

Если остановить службу ЕдиногоАгента, мониторинг будет отключен до перезапуска службы.

Запуск ЕдиногоАгента с помощью командной строки.

Чтобы снова запустить Ключ-АСТРОМ ЕдиныйАгент, используйте следующую команду:

• для систем с SystemV: service oneagent start
• для систем с systemd: systemctl start oneagent

oneagent где находится скрипт init.d для OneAgent.

Поддержка Flatcar в SELinux

ЕдиныйАгент теперь можно развернуть на Flatcar. Однако из-за определенных ограничений в работе SELinux в этой операционной системе вам необходимо учесть следующие ограничения конфигурации:

• Flatcar работает на файловой системе только для чтения. В результате, если вы собираетесь использовать SELinux с ЕдинымАгентом, требуется определенная конфигурация. Для получения дополнительной информации о совместимости контейнера с политикой SELinux см. следующую документацию Flatcar: Проверка совместимости контейнера с политикой SELinux .
• Используйте путь по умолчанию для установки ЕдиногоАгента с включенным SELinux.

• По умолчанию Flatcar использует политику Multi-Category Security (MCS). Чтобы обеспечить совместимость, вам нужно изменить этот параметр на политику targeted в файле /etc/selinux/config.

SELINUXTYPE=targeted

Удаление ЕдиногоАгента на Linux

ЕдиныйАгент имеет специальную программу удаления. Вам нужно будет запустить ее, чтобы удалить ЕдиныйАгент из вашей системы.

Перейдите в директорию /opt/astromkey/oneagent/agent и, используя права root, запустите скрипт uninstall.sh.

После удаления

После удаления файлы логов, пользователь, запускающий ЕдиныйАгент , и часть конфигурации сохраняются в установочной диретории ЕдиногоАгента. Их можно удалить вручную. Однако обратите внимание, что если файлы конфигурации были удалены, а ЕдиныйАгент переустановлен, хост будет отображаться как новый хост с другим внутренним идентификатором.

Для полной деинсталляции ЕдиногоАгента удалите следующее:

• Файлы логов расположены по адресу:
  • OneAgent версии 1.203+ /var/log/astromkey/oneagent
  • OneAgent версии 1.201 и более ранних /opt/astromkey/oneagent/log
• Файлы конфигурации, расположенные по адресу /var/lib/astromkey/oneagent/agent/config.
• Пользователь dtuser, запустивший ЕдиныйАгент.

Включить глубокий мониторинг приложений, ограниченных AppArmor

AppArmor — это обязательная система контроля доступа, которая ограничивает приложения ограниченным набором ресурсов. Для каждого ограниченного приложения существует профиль, который определяет, какие операции разрешено выполнять приложению, а также пути в файловой системе, к которым приложению разрешен доступ. Чтобы включить глубокий мониторинг приложений, ограниченных AppArmor, в профили этих приложений необходимо включить набор пользовательских правил для ЕдиногоАгента.

Определение набора правил, а также пошаговое руководство по добавлению набора правил в существующий профиль представлены в примере ниже. В этом примере мы включаем глубокий мониторинг веб-сервера Apache Tomcat, для которого скрипт загрузчика находится в /usr/sbin/tomcat-sysd.

Мы предполагаем, что структура каталогов AppArmor следующая:

/etc/apparmor.d/ |--- usr.sbin.tomcat-sysd

Где usr.sbin.tomcat-sysd файл, определяющий профиль AppArmor для Tomcat.

1. Создайте новую директорию и новый набор правил для ЕдиногоАгента в этой директории с именем agentinjection.

/etc/apparmor.d/ |--- usr.sbin.tomcat-sysd |--- astromkey-oneagent      |--- agentinjection

2. Содержание /etc/apparmor.d/astromkey-oneagent/agentinjection должно быть следующим:

#include <abstractions/base>   #include <abstractions/nameservice> # Process Agent injection   /etc/ld.so.preload r, # Host identifier calculation   /sys/class/net/ r,   /sys/devices/virtual/net/** r,   /sys/devices/*/*{,/*}/net/** r, # OneAgent directories   /opt/astromkey/oneagent/agent/** mr,   /var/lib/astromkey/oneagent/** r,   /var/lib/astromkey/oneagent/agent/runtime/** w,   /var/lib/astromkey/oneagent/agent/config/{discovery_entry_point,ruxit_shm_v*} w,   /var/lib/astromkey/enrichment/** r, # This path must be adjusted if LOG_PATH installation parameter was used   /var/log/astromkey/oneagent/** rkw, # This path must be adjusted if DATA_STORAGE installation parameter was used   /var/lib/astromkey/oneagent/datastorage/** rkw, # Needed for Process Agent to determine whether specialized agent should be loaded and to calculate PGI ID   /proc/[0-9]*/{cgroup,cmdline,environ,maps,mem,mountinfo,stat,statm,task/*/maps,task/*/mem} r, # Miscellaneous   /dev/random rw,   /etc/os-release r,   /proc/sys/fs/file-nr r,   /proc/sys/kernel/hostname r,   /proc/{uptime,vmstat} r,   /sys/devices/system/cpu/ r,   /sys/fs/cgroup{,/,/**} r,   /tmp/** rw,   /var/tmp/ r,   /var/tmp/** rw,   /{,var/}run/utmp rk,   /proc/cgroups r,

• Если вы использовали параметр установки DATA_STORAGE для определения пользовательской директории, предназначенной для хранения больших объемов данных во время выполнения, отредактируйте следующую строку и добавьте свою пользовательскую директорию

# This path must be adjusted if DATA_STORAGE installation parameter was used   /var/lib/astromkey/oneagent/datastorage/** rkw,

3. Включите набор правил в профиль Tomcat (/etc/apparmor.d/usr.sbin.tomcat-sysd).

/usr/sbin/tomcat-sysd {   #include <astromkey-oneagent/agentinjection> ... (rest of the rules that were already present in the profile) }

4. Убедитесь, что определенный профиль работает правильно:

1. Перезагрузите службу AppArmor.
2. Перезапустите Tomcat.
3. Проверьте в веб-интерфейсе, работает ли глубокий мониторинг для процесса Tomcat.
4. Проверьте логи аудита, чтобы убедиться в отсутствии отклонений AppArmor.

Пожалуйста, имейте в виду, что хотя набор правил, представленный в этом примере, был тщательно протестирован, его может потребоваться расширить или изменить из-за различий в среде, а пользовательский путь установки для ЕдиногоАгента не поддерживается.

Предупреждения об отказах в доступе в логах аудита

В случае возникновения отклонений, связанных с ЕдинымАгентом, для других процессов в системе, добавьте следующий подмножество правил в профили этих процессов.

# Process injection   /etc/ld.so.preload r,   /etc/oneagentproc/ld.so.preload r,   /var/log/astromkey/oneagent/process/* rkw,

Хотя этот шаг необязателен, поскольку неудачные внедрения ЕдиногоАгента в другие процессы не повлияют на функциональность ваших приложений. Тем не менее, он может потребоваться, если вы используете IDS или другую автоматизированную систему, которая сообщает предупреждения об отказах в доступе, обнаруженных в логах аудита.