Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux_nagios [2019/08/02 14:15] – [Installation de NSClient pour un hôte Windows] nekan
+++ linux_nagios [2021/03/05 18:54] (Version actuelle) – nekan
@@ Ligne 1: / Ligne 1: @@
-~~CLOSETOC~~
 ====== Nagios - Installation d'un outil de supervision ======
+<label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2019/08/02 14:15//
 La tâche principale d'un administrateur étant le MCO (Maintient en Condition Opérationnelle), la supervision des systèmes est incontournable. Nagios offre cette possibilité.
-<note important>Nagios existe en deux versions :
+<callout type="warning" title="Versions" icon="true">Nagios existe en deux versions :
   * Nagios Core : la gratuite.
   * Nagios XI : la payante.
-Ici, on utilisera Nagios Core.</note>
+Ici, on utilisera Nagios Core.</callout>
+  * Référence : [[https://www.nagios.org/|Nagios]]
 ===== Installation =====
-<note>Cette procédure a été testée sur une Debian 9.</note>
+<callout type="info" title="Mise à jour du 15/04/2020" icon="true">La procédure a été complété pour une installation sous Debian 10.3. Deux balises permettent de différencier les commandes pour Debian 9 de celle pour Debian 10 :
-<note warning>Cette procédure nécessite des droits d'administrateur (root). Attention donc à ce que vous faîtes.</note>
+  * <label type="success">Pour Debian 9</label>
+  * <label type="success">Pour Debian 10</label>
+</callout>
+<callout type="primary" title="Environnement" icon="true">Cette procédure a été testée sur une Debian 9 pour les parties serveur et client Linux, et sur un Windows 10 Pro et un Windows Server 2016 Standard pour la partie client Windows.</callout>
+<callout type="danger" title="Droits" icon="true">Cette procédure nécessite des droits d'administrateur (root). Attention donc à ce que vous faîtes.</callout>
 Comme souvent sur Linux, il nous faut d'abord mettre à jour notre machine :
-<code:bash>apt-get update
+<sxh bash>apt-get update
-apt-get upgrade</code>
+apt-get upgrade</sxh>
 Une fois le système à jour, on commence par installer les prérequis :
-<code:bash>apt-get install build-essential make apache2 apache2-utils php php-gd perl libgd2-xpm-dev libapache2-mod-php libperl-dev libssl-dev daemon wget unzip openssl</code>
+<label type="success">Pour Debian 9</label>
+<sxh bash>apt-get install build-essential make apache2 apache2-utils php php-gd perl libgd2-xpm-dev libapache2-mod-php libperl-dev libssl-dev daemon wget unzip openssl</sxh>
+<label type="success">Pour Debian 10</label>
+<sxh bash>apt-get install build-essential make apache2 apache2-utils php php-gd perl libgd-dev libapache2-mod-php libperl-dev libssl-dev daemon wget unzip openssl</sxh>
 On crée un utilisateur nagios et un groupe nagcmd auquel on ajoutera l'utilisateur nagios et www-data :
-<code:bash>useradd nagios
+<sxh bash>useradd nagios
 groupadd nagcmd
 usermod -a -G nagcmd nagios
-usermod -a -G nagcmd www-data</code>
+usermod -a -G nagcmd www-data</sxh>
-Il nous faut maintenant récupérer les sources de Nagios Core sur le site de [[https://www.nagios.org/downloads/nagios-core/thanks/?skip=1|Nagios]]. A l'heure où j'écris ces lignes, la version la plus récentes est la 4.4.4 :
+Il nous faut maintenant récupérer les sources de Nagios Core sur le site de [[https://www.nagios.org/downloads/nagios-core/thanks/?skip=1|Nagios]]. A l'heure où j'écris ces lignes, la version la plus récentes est la 4.4.5 :
-<code:bash>cd /tmp/
+<sxh bash>cd /tmp/
-wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.4.4.tar.gz
+wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.4.5.tar.gz
-tar -zxvf nagios-4.4.4.tar.gz
+tar -zxvf nagios-4.4.5.tar.gz
-cd nagios-4.4.4/</code>
+cd nagios-4.4.5/</sxh>
 On configure les sources en vue de l'installation :
-<code:bash>./configure --with-nagios-group=nagios --with-command-group=nagcmd --with-httpd_conf=/etc/apache2/sites-enabled/</code>
+<sxh bash>./configure --with-nagios-group=nagios --with-command-group=nagcmd --with-httpd_conf=/etc/apache2/sites-enabled/</sxh>
 Il nous reste plus qu'à compiler et installer Nagios :
-<code:bash>make all
+<sxh bash>make all
 make install
 make install-init
 make install-config
 make install-commandmode
-make install-webconf</code>
+make install-webconf</sxh>
 A ce stade Nagios est installé. Cependant il n'est pas encore utilisable. Il faut d'abord configurer certains points.
@@ Ligne 49: / Ligne 60: @@
 ===== Installation des plugins de base =====
-Pour monitorer les services de bases d'un système, Nagios à besoin de différents plugins. On peut obtenir ces plugins sur [[https://nagios-plugins.org/|nagios-plugin.org]]. Actuellement, la dernière version est la 2.2.1 :
+Pour monitorer les services de bases d'un système, Nagios à besoin de différents plugins. On peut obtenir ces plugins sur [[https://nagios-plugins.org/|nagios-plugin.org]]. Actuellement, la dernière version est la 2.3.3 :
-<code:bash>cd /tmp/
+<sxh bash>cd /tmp/
-wget https://nagios-plugins.org/download/nagios-plugins-2.2.1.tar.gz
+wget https://nagios-plugins.org/download/nagios-plugins-2.3.3.tar.gz
-tar -zxvf /tmp/nagios-plugins-2.2.1.tar.gz
+tar -zxvf /tmp/nagios-plugins-2.3.3.tar.gz
-cd nagios-plugins-2.2.1/</code>
+cd nagios-plugins-2.3.3/</sxh>
 Une fois de plus, on configure les sources :
-<code:bash>./configure --with-nagios-user=nagios --with-nagios-group=nagios</code>
+<sxh bash>./configure --with-nagios-user=nagios --with-nagios-group=nagios</sxh>
 Ensuite, on compile et installe :
-<code:bash>make
+<sxh bash>make
-make install</code>
+make install</sxh>
 ===== Configuration de l'interface Web =====
 Les données de la supervision étant sensible, il nous faut en contrôler l'accès. Généralement, cela est fait par une demande d'authentification sur l'interface Web. On va donc créer un utilisateur à cet effet :
-<code:bash>htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin</code>
+<sxh bash>htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin</sxh>
 Nagios utilisant le module CGI, il nous faut l'activer au niveau d'apache :
-<code:bash>a2enmod cgi</code>
+<sxh bash>a2enmod cgi</sxh>
 Ensuite, il faut redémarrer apache pour prendre en compte les modifications :
-<code:bash>systemctl restart apache2</code>
+<sxh bash>systemctl restart apache2</sxh>
 Pour permettre l'accès à Nagios depuis d'autres machines, il faut penser à paramétrer vos pare-feux. A titre d'exemple, en local avec iptables, il faudra rajouter la règle suivante :
-<code:bash>iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT</code>
+<sxh bash>iptables -I INPUT -p tcp --destination-port 80 -j ACCEPT</sxh>
-<note tip>Cette règle est basique et donnée à titre d'exemple. Je vous recommande de vous reporter aux manuels d'utilisation de vos solutions de sécurité avant de limiter l'accès à l'interface web aux seuls utilisateurs et adresses IP autorisés.</note>
+<callout type="tip" title="Astuce" icon="true">Cette règle est basique et donnée à titre d'exemple. Je vous recommande de vous reporter aux manuels d'utilisation de vos solutions de sécurité afin de limiter l'accès à l'interface web aux seuls utilisateurs et adresses IP autorisés.</callout>
 ===== Démarrage et manipulation du service =====
 A ce stade, Nagios doit pouvoir être accessible à l'adresse http://adresse_ip_de_votre_serveur/nagios. Pour cela, il faut d'abord le démarrer :
-<code:bash>systemctl start nagios</code>
+<sxh bash>systemctl start nagios</sxh>
 Pour l'arrêter :
-<code:bash>systemctl stop nagios</code>
+<sxh bash>systemctl stop nagios</sxh>
 Pour connaître son état :
-<code:bash>systemctl status nagios</code>
+<sxh bash>systemctl status nagios</sxh>
 Pour activer son démarrage automatique lors du démarrage du système :
-<code:bash>systemctl enable nagios</code>
+<sxh bash>systemctl enable nagios</sxh>
 ===== Paramétrages =====
 Avoir un outil de supervision, c'est bien, qu'il sache ce qu'il doit monitorer, c'est mieux. Pour cela, Nagios récupère le contenu des fichiers ''.cfg'' situés dan ''/usr/local/nagios/etc/objects/'' (chemin par défaut) et y recherche les définitions des hôtes, services, contacts... Par défaut, le dossier contient déjà des définitions regroupées par type :
-<code:bash>[11:06:39] nekan@srv-nagios-1:/usr/local/nagios/etc/objects# ls -l
+<sxh bash>[11:06:39] nekan@srv-nagios-1:/usr/local/nagios/etc/objects# ls -l
 total 52
 -rw-rw-r-- 1 nagios nagios  6755 août   2 10:12 commands.cfg
@@ Ligne 104: / Ligne 115: @@
 -rw-rw-r-- 1 nagios nagios 12533 août   2 10:12 templates.cfg
 -rw-rw-r-- 1 nagios nagios  3512 août   2 10:12 timeperiods.cfg
--rw-rw-r-- 1 nagios nagios  4074 août   2 10:12 windows.cfg</code>
+-rw-rw-r-- 1 nagios nagios  4074 août   2 10:12 windows.cfg</sxh>
 Chaque fichier contient les définitions de base que l'on peut prendre pour exemple afin de déclarer les différents définitions dont on aura besoins (nos machines, nos services...).
@@ Ligne 111: / Ligne 122: @@
 Le plus important dans tout ça, c'est de bien vérifier les définitions que nous avons déclarées avant de relancer le service Nagios et ce, afin d'éviter les plantages. Pour cela, Nagios est livré avec une routine de vérification :
-<code:bash>/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg</code>
+<sxh bash>/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg</sxh>
 Ce qui nous renvoie quelque chose de ce style :
-<code:bash>Nagios Core 4.4.4
+<sxh bash>Nagios Core 4.4.4
 Copyright (c) 2009-present Nagios Core Development Team and Community Contributors
 Copyright (c) 1999-2009 Ethan Galstad
@@ Ligne 150: / Ligne 161: @@
 Total Errors:   0
-Things look okay - No serious problems were detected during the pre-flight check</code>
+Things look okay - No serious problems were detected during the pre-flight check</sxh>
 On notera sur le retour de la console le nombre total d'avertissement et d'erreur. Si les avertissements ne sont pas bloquant, les erreurs entraîneront l'impossibilité de démarrer le service.
@@ Ligne 158: / Ligne 169: @@
 A ce stade, Nagios peut se monitorer. Mais le but de la manœuvre est plus souvent de monitorer un ensemble de machines. Pour cela, Nagios communiquera avec des agents pour récupérer les informations en provenance des autres hôtes :
   * NRPE pour les hôtes Linux.
-  * NSClient pour les hôtes Windows.
+  * NSClient++ pour les hôtes Windows.
 ===== NRPE (Nagios Remote Plugin Executor) =====
@@ Ligne 165: / Ligne 176: @@
 On commence d'abord par mettre à jour la machine :
-<code:bash>apt-get update
+<sxh bash>apt-get update
-apt-get upgrade</code>
+apt-get upgrade</sxh>
 On peut maintenant installer les paquets nécessaires :
-<code:bash>apt-get install nagios-nrpe-server nagios-plugins</code>
+<sxh bash>apt-get install nagios-nrpe-server nagios-plugins</sxh>
 Une fois les paquets installés, il faut autoriser NRPE à dialoguer avec le serveur Nagios. On commence par éditer le fichier ''/etc/nagios/nrpe.cfg'', dans lequel on modifiera la ligne ''allowed_hosts=127.0.0.1'' en y ajoutant l'adresse du ou des serveurs Nagios. Par exemple ''allowed_hosts=127.0.0.1,192.168.1.200,10.10.10.250''.
 On oublie pas bien sûr de redémarrer le service pour prendre en compte les modifications
-<code:bash>systemctl restart nagios-nrpe-server.service</code>
+<sxh bash>systemctl restart nagios-nrpe-server.service</sxh>
 Il faut aussi penser à autoriser les flux à travers le pare-feu. Nagios et NRPE communique sur le port 5666, il faut donc ouvrir ce port sur votre solution de sécurité. Par exemple, pour iptables, on utilisera la règle suivante :
-<code:bash>iptables -A INPUT -p tcp -s adresse_ip_du_serveur_nagios --dport 5666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</code>
+<sxh bash>iptables -A INPUT -p tcp -s adresse_ip_du_serveur_nagios --dport 5666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT</sxh>
 On peut personnaliser les vérifications que pourra exécuter NRPE en ajoutant une commande dans ''/etc/nagios/nrpe.cfg'' dans dans un fichier ''.cfg'' situé dans le dossier ''/etc/nagios/nrpe.d/''. Cette commande devra avoir pour syntaxe :
@@ Ligne 200: / Ligne 211: @@
 De retour sur le serveur Nagios, il faut d'abord installer le plugin :
-<code:bash>apt install nagios-nrpe-plugin</code>
+<sxh bash>apt install nagios-nrpe-plugin</sxh>
 Puis, ajouter la commande générale dans votre fichier de définitions des commandes (''/usr/local/nagios/etc/objects/commands.cfg'' par défaut) :
-<code:bash>nano /usr/local/nagios/etc/objects/commands.cfg</code>
+<sxh bash>nano /usr/local/nagios/etc/objects/commands.cfg</sxh>
 Code à rajouter :
-<code:bash># Définition de commande pour l'utilisation de NRPE
+<sxh bash># Définition de commande pour l'utilisation de NRPE
 define command {
      command_name     check_nrpe
      command_line     /usr/lib/nagios/plugins/check_nrpe -H $HOSTADDRESS$ -t 30 -c $ARG1$
-}</code>
+}</sxh>
 Ainsi pour que Nagios appelle la commande ''check_users'' vu précédemment, il faudra définir un service pour un l'hôte en question du style :
-<code:bash>define service {
+<sxh bash>define service {
-     use                     service-local
+     use                     generic-service
-     host_name               client.shyrka.sys
+     host_name               client-linux.shyrka.sys
      service_description     Current Users
      check_command           check_nrpe!check_users
-}</code>
+}</sxh>
-===== Installation de NSClient pour un hôte Windows =====
+===== Installation de NSClient++ pour un hôte Windows =====
-NSClient++ et le pendant de NRPE sous Windows.
+==== Installation sur le client ====
+On commence par aller chercher le programme sur [[https://sourceforge.net/projects/nscplus/files/nscplus/|SourceForge]]. Actuellement la dernière version est la 0.4.1.73.
+Une fois téléchargé, on lance l'installation et on clique sur ''Next'':
+<image shape="thumbnail">{{ :linux:nagios:nagios_001.png |}}</image>
+On accepte les termes de la licence et on clique sur ''Next'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_002.png |}}</image>
+On choisira le mode d'installation ''Typical'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_003.png |}}</image>
+On passe à la suite en cliquant sur ''Next''. Pour des raisons de sécurité, on évitera de cocher la case ''Allow all users to write config file'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_004.png |}}</image>
+Dans la fenêtre suivante :
+  - On indique la ou les adresses des serveurs Nagios.
+  - On cochera tous les modules
+  - On cliquera sur ''Next''
+<image shape="thumbnail">{{ :linux:nagios:nagios_005.png |}}</image>
+<callout type="info" title="Sécurité" icon="true">On a aussi la possibilité d'indiquer un mot de passe pour permettre l'accès au service. Je n'utilise pas cette option car cela implique que le mot de passe sera indiqué en clair dans les commandes qui seront déclarées sur le serveur Nagios. Je préfère placer ma sécurité dans les droits de modifications des fichiers de configurations et dans les règles de pare-feu n'authorisant l'accès au port qu'en provenance de machines spécifiques.</callout>
+Finalement, on peut lancer l'installation en cliquant sur ''Install'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_006.png |}}</image>
+On laisse le processus aller à son terme :
+<image shape="thumbnail">{{ :linux:nagios:nagios_007.png |}}</image>
+On finit l'installation en cliquant sur ''Finish'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_008.png |}}</image>
+Pour permettre une meilleure efficacité du service et notamment permettre certaines vérification, on va ouvrir les propriétés du service ''NSClient++ (x64)'' dans ''services.msc'' puis dans l'onglet ''Connexion'', on va cocher ''Autoriser le service à interagir avec le Bureau'' :
+<image shape="thumbnail">{{ :linux:nagios:nagios_009.png |}}</image>
+Tout comme le NRPE sous linux, NSClient++ est livrée avec des commandes locales préconfigurées. Les paramètres et les commandes de NSClient++ sont dans le fichier ''C:\Program Files\NSClient++\nsclient.ini''. Le manuel de référence est aussi disponible dans le même dossier (''C:\Program Files\NSClient++\NSClient++ Reference Manual.pdf''). Pour permettre l'ajout de scripts externes, enregistrés dans le dossier ''C:\Program Files\NSClient++\scripts'', nous allons éditer le fichier ''nsclient.ini'', ajouter (si elle n'existe pas encore) la section ''[/settings/external scripts/scripts]'' et indiquer les nouvelles commandes sous la forme :
+<color #ed1c24>nom</color>=<color #22b14c>chemin</color> <color #ffc90e>argument</color>
+  * <color #ed1c24>nom</color> : le nom de la commande telle qu'elle sera appelée par le serveur Nagios.
+  * <color #22b14c>chemin</color> : le chemin relatif (par rapport à nscp.exe, soit ''scripts\nom_du_script.extension'') de la commande qui sera exécuté localement par NSClient++.
+  * <color #ffc90e>argument</color> : les arguments pour la commande locale.
+Par exemple : check_users=scripts\check-users.bat -w 5 -c 10.
+Pour activer toutes les commandes préconfigurées et tous les modules :
+<sxh powershell>"C:\Program Files\NSClient++\nscp.exe" settings --generate --add-defaults --load-all</sxh>
+Une fois le fichier ''nsclient.ini'' modifié, il ne faut pas oublier de redémarrer le service pour prendre en compte les modifications.
+==== Paramétrage sur le serveur Nagios ====
+Pour bénéficier de la commande ''check_nt'', il nous faut installer le paquet qui le contient :
+<sxh bash>apt-get install nagios-nrpe-server</sxh>
+On a plus qu'à définir les services de la même manière que pour ''check_nrpe'', par exemple :
+<sxh bash>define service {
+     use                     generic-service
+     host_name               client-windows.shyrka.sys
+     service_description     Current Users
+     check_command           check_nt!check_users
+}</sxh>
+Bien sûr, on oublie pas de vérifier la configuration de Nagios et de redémarrer le service.
 ~~DISCUSSION~~