Installer Agent Client Collector sur un Linux système

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Installez Agent Client Collector à l’aide d’un outil de distribution de packages. Avant l’installation, vous pouvez l’installer Agent Client Collector manuellement sur quelques ordinateurs afin de vous assurer que vos agents contiennent les politiques et les vérifications correctes avant d’installer un grand nombre d’agents.

    Avant de commencer

    • Assurez-vous que l’écouteur Agent Client Collector est configuré sur votre Serveurs MIDet que le service est disponible à partir de vos hôtes cibles.
    • Vérifiez que le système d’exploitation et la version de votre serveur sont pris en charge. Pour obtenir la liste des systèmes d’exploitation et des versions pris en charge, reportez-vous à la section Installation d'Agent Client Collector.
    • Vérifiez s’il existe des restrictions ou des exigences à prendre en compte pendant le déploiement, comme la spécification d’un compte autre que le compte ServiceNow par défaut. Pour plus d’informations sur l’incorporation de l’agent dans votre propre système automatisé, consultez la documentation ITOM Agent Client Collector [KB1122613].
    • Assurez-vous que les extensions de point de Serveur MID terminaison et Its Serveur Web MID et ACC Websocket sont opérationnelles.
    • Récupérez les informations de l’écouteur Serveur MID ACC à spécifier dans le paramètre de l’agent backend-url .
      1. Accédez à la Tout > Agent Client Collector > Déploiement > MID Servers.
      2. Sélectionnez un Serveur MID.
      3. Sélectionnez l’onglet Points de terminaison Websocket ACC .
      4. Sélectionnez un point de terminaison websocket.
      5. Copiez la valeur dans le champ URL du point de terminaison .
    • Récupérer la Serveur MID clé API spécifiée dans le paramètre de l’agent api-key .
      1. Accédez à la Tout > Agent Client Collector > Déploiement > Clé API du serveur Web MID.
      2. Sélectionnez la clé API que vous souhaitez utiliser.
      3. Dans la section Liens connexes , sélectionnez Afficher la clé API.
      4. Copiez la valeur de clé API et fermez la fenêtre contextuelle.

    Rôle requis : agent_client_collector_admin

    Pourquoi et quand exécuter cette tâche

    Lors Linux de l’installation (et de la mise à niveau), le fichier exécutable de l’agent est activé avec Linux des options (CAP_SETFCAP, CAP_SETPCAP) par défaut. Les applications de stockage telles que Analyse des journaux d'Agent Client Collector (ACC-L) peuvent l’utiliser pour accorder des capacités de lecture de l’intégralité du système de fichiers (CAP_DAC_READ_SEARCH). Le système est soumis à diverses mesures de sécurité, telles que la double vérification de l’origine du contenu, l’exploitation du processus de vérification des modules d’extension, etc., afin de s’assurer que l’octroi d’aptitudes ne pose pas de risque de sécurité. Cette procédure suppose que vous connaissez les commandes des Linux options.

    Pour désactiver ces options améliorées, exécutez les commandes suivantes, en fonction de votre Linux système d’exploitation/d’emballage :

    Tableau 1. Commandes de désactivation des options améliorées Linux
    Système d’exploitation/d’emballage Commandes
    Tr / min

    ACC_SKIP_CAPS=vrai yum / dnf localinstall

    ACC_SKIP_CAPS=vrai rpm -vi agent-client-collector-<numéro de version>-x86_64.rpm
    Debian

    ACC_SKIP_CAPS=true apt-get install

    ACC_SKIP_CAPS=true dpkg -i agent-client-collector-<numéro de version>-<distro>_amd64.deb
    SLES

    ACC_SKIP_CAPS= vrai Installation de Zypper

    Procédure

    1. Téléchargez les packages d’installation appropriés.
      • Pour une installation manuelle :
        1. Accédez à la > Agent Client Collector > Déploiement > Téléchargements de l'agent.
        2. Téléchargez le fichier d’installation .rpm ou .deb pertinent.
        3. Téléchargez les fichiers de signature pertinents pour valider les fichiers d’installation.
      • Pour l’installation sur ligne de commande, exécutez les commandes suivantes pour télécharger les fichiers de signature et d’installation sur votre ordinateur local :
        curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64.rpm
curl -LO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-<version_number>-x86_64-rpm-rpm.zip
        Remarque :
        Chaque commande curl doit apparaître sur une seule ligne.
    2. Facultatif : Vérifiez la signature du package.
      1. Extrayez le fichier d’installation (s’il est compressé) en exécutant la commande suivante :
        unzip agent_client-collector-<numéro_version>-x86_64-rpm-rpm.zip
      2. Validez la signature du fichier d’installation en exécutant les commandes indiquées.
        • Sur un système RPM :
          openssl dgst -sha256 -verify {<ServiceNow DGST pem key>} -signature {<signature file>} agent-client-collector-<version number>-x86_64.rpm

          < clé PEM DGST ServiceNow > est le fichier .pem extrait du fichier .zip et < fichier de signature > correspond au fichier .bin extrait du fichier .zip .

          Par exemple : 
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64.rpm
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
$ unzip agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
Archive: agent-client-collector-3.0.0-x86_64-rpm-rpm.zip
inflating: ServiceNow_Digicert_DGST.pem
extracting: agent-client-collector-3.0.0-x86_64.bin
$ openssl dgst -sha256 -verify ServiceNow_Digicert_DGST.pem -signature agent-client-collector-3.0.0-x86_64.bin agent-client-collector-3.0.0-x86_64.rpm
Verified OK
          Remarque :
          Chaque commande doit apparaître sur une seule ligne.
        • Sur un système basé sur Debian :

          gpg --import ServiceNow_Digicert_Public.gpg

          • Sur les machines Debian 12 : dpkg-sig --verify agent-client-collector-<numéro de version>-<distro>_amd64.deb
          • Sur d’autres machines Debian : sudo gpg --verify agent-client-collector-<numéro de version>-<distro>_amd64.deb
          Par exemple :
          $ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64.deb
$ curl -sLO https://install.service-now.com/glide/distribution/builds/package/app-signed/agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
$ unzip agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
Archive: agent-client-collector-3.0.0-debian-9_amd64-deb-deb.zip
extracting: ServiceNow_Digicert_Public.gpg
$ gpg --import ServiceNow_Digicert_Public.gpg
gpg: /home/admin/.gnupg/trustdb.gpg: trustdb created
gpg: key 985DD52C6A0ABB45: public key "ServiceNow, Inc. (Signing) <seceng@servicenow.com>"
imported
gpg: Total number processed: 1
gpg: imported: 1
$ dpkg-sig --verify agent-client-collector-3.0.0-debian-9_amd64.deb
Processing agent-client-collector-3.0.0-debian-9_amd64.deb...
GOODSIG _gpgbuilder 9B928FB49771DF6C047430DD985DD52C6A0ABB45 1665054068
          Remarque :
          Chaque commande doit apparaître sur une seule ligne.
    3. Installez le Agent Client Collector package à l’aide du gestionnaire de packages associé à la distribution Linux.
      Systèmes d'exploitation Commande
      Basé sur RHEL yum / dnf localinstall
      SLES Installation de Zypper
      Basé sur Debian apt-get install

      Sinon, si ces commandes ne sont pas configurées correctement, vous pouvez utiliser les commandes de base configurées pour s’exécuter avec les commandes du gestionnaire de packages.

      • Système basé sur RPM : # rpm -vi agent-client-collector-<numéro de version>-x86_64.rpm
      • Système basé sur Debian : # dpkg -i agent-client-collector-<numéro de version>-<distro>_amd64.deb

      Vérifiez si les commandes du package sont correctement configurées avec votre administrateur système.

      Remarque :
      Certains systèmes de fichiers peuvent avoir des restrictions activées ; Par exemple, /var/ peut être monté avec un noexec drapeau. Étant donné que l’agent doit exécuter Agent Client Collector les modules d’extension normalement stockés dans le répertoire /var/cache , vous devez déployer l’application dans des dossiers spécifiques en personnalisant les chemins d’installation à l’aide de l’option --relocate comme paramètre .rpm .

      Par exemple : rpm -i --relocate /var/cache=/opt/cache agent-client-collector-<version_number>-x86_64.rpm

      Les chemins d’accès suivants peuvent être déplacés :
      Chemin d'accès Notes
      /etc Lors de la mise à jour, vous devez également mettre à jour le allow-list paramètre du fichier acc.yml avec le nouveau chemin.
      /usr/share N/A
      /var/cache La mise à jour du répertoire /var conserve tous les sous-répertoires /var , imbriqués dans le nouveau répertoire.
      /var/log
      /var/run
      /var
      Examinez les chemins d’accès dans /usr/lib/systemd/system/acc.service pour vous assurer qu’ils s’affichent comme prévu.
    4. Lors de l’installation d’un package .deb, configurez le fichier de configuration acc.yml de l’agent.
      1. Copiez l’exemple de fichier de configuration en exécutant la commande suivante.

        # cp -p /etc/servicenow/agent-client-collector/acc.yml.example /etc/servicenow/agent-client-collector/acc.yml

      2. Renommez le fichier de liste d’autorisation.

        # cp -p /etc/servicenow/agent-client-collector/check-allow-list.json.default /etc/servicenow/agent-client-collector/check-allow-list.json

      Remarque :
      Cette étape n’est pas pertinente pour les packages .rpm, qui sont fournis avec des fichiers acc.yml et check-allow-list.json inclus dans le système de base.
    5. Lors de l’installation d’un package .deb ou .rpm, mettez à jour le fichier de configuration, ajoutez-le check-allow-list.json à /etc/servicenow/agent-client-collector et copiez l’URL back-end et la clé API de l’instance.
      Par exemple :
      ---
# Agent Client Collector configuration
backend-url:
 - "wss://YOUR_MID_ENDPOINT_HERE:YOUR_MID_PORT_HERE/ws/events"
api-key: "YOUR_API_KEY_HERE"
log-level: "info"
insecure-skip-tls-verify: false
allow-list: /etc/servicenow/agent-client-collector/check-allow-list.json
verify-plugin-signature: true
max-running-checks: 10
disable-sockets: true
disable-api: true
statsd-disable: true
enable-auto-mid-selection: false
agent_cpu_threshold:
 cpu_percentage_limit: 25
 repeated_high_cpu_num: 3 
 monitor_interval_sec: 60
 agent_cpu_threshold_disabled: false

      La allow-list fonctionnalité indiquant les commandes autorisées à être exécutées par l’agent est activée.

    6. Configurez sudoers.

      La configuration est généralement automatisée par votre Linux administrateur système. Pour effectuer une configuration manuelle si vous voulez vous assurer de l’exactitude avant la configuration complète, exécutez ce qui suit.

      # visudo -f /etc/sudoers.d/01_servicenow
User_Alias ACC_USERS = servicenow
Cmnd_Alias ACC_CMD = /usr/sbin/dmidecode -s baseboard-serial-number,/usr/sbin/dmidecode -s chassis-serial-number,/usr/sbin/dmidecode -s system-serial-number,/usr/sbin/dmidecode -s system-uuid,/usr/sbin/ss -tanp
ACC_USERS ALL = (root) NOPASSWD:ACC_CMD
Defaults:ACC_USERS !requiretty
    7. Configurez l'agent pour qu'il s'exécute en tant que service.
      1. Protégez la consommation de ressources en ajoutant les valeurs indiquées au fichier /usr/lib/systemd/system/acc.service .
        • CPUShares = 128
        • CPUQuota=10 %
        • MemoryLimit=192M
        • BlockIOWeight=10
        • LimitNICE=15

        Par exemple :

        # vi /usr/lib/systemd/system/acc.service
[Unit]
Description=Agent-Now acc
After=network-online.target
[Service]
Environment=AGENT_ROOT=/usr/share
Environment=AGENT_CACHE_ROOT=/var/cache
Environment=AGENT_CONFIG_ROOT=/etc
Environment=AGENT_LOG_ROOT=/var/log
Environment=AGENT_RUN_ROOT=/var/run
Environment=RUBYOPT=-Eutf-8
User=servicenow
Group=servicenow
ExecStart=/usr/share/servicenow/agent-client-collector/bin/acc-service start acc
KillMode=process
Restart=on-failure
RestartSec=1min
CPUShares=128
CPUQuota=10%
MemoryLimit=192M
BlockIOWeight=10
LimitNICE=+15
[Install]
WantedBy=network-online.target
      2. Exécuter la commande recharger le démon Si vous avez modifié le fichier de service après avoir activé le service ACC.

        # rechargement démon systemctl

      3. Activez et démarrez le service en exécutant les commandes suivantes.

        # systemctl activer ACC

        # systemctl démarrer ACC