Verificações e políticas

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura
  • Uma verificação é uma combinação de um comando e sua configuração. A verificação é executada no Agent Client Collectorpara coletar dados desses dispositivos.

    Verificações

    As verificações são fornecidas com o sistema base e seus comandos executam scripts que fornecem dados de monitoramento para seus sistemas operacionais e aplicações. O nome padrão de uma verificação indica o que está sendo monitorado e medido, a entidade e os dados de monitoramento. Por exemplo, uma verificação chamada os.linux.check-system-cpuVerifica os dados da CPU em um Linuxsistema. O comando identificado na verificação é executado no dispositivo monitorado, fornecendo uma saída e um status. Cada verificação individual é chamada de verifique a definição . Depois de serem associadas a políticas, as definições de verificação são referidas como verificar instâncias .

    Você pode personalizar instâncias de verificação para atender às suas necessidades. Por exemplo, personalize o intervalo de execução ou os parâmetros específicos da política, como as credenciais de login para acessar um banco de dados MySQL. A personalização de uma instância de verificação entra em vigor somente na instância de verificação associada à política, o que não afeta a definição de verificação original ou as instâncias de verificação já criadas em outras políticas.

    Os seguintes tipos de verificação são fornecidos com o. Gestão de eventossistema de base:

    • Evento : O resultado da verificação é transformado em um Gestão de eventosevento.
    • Métrica : Os valores do resultado da verificação são transformados em métricas.

    Para obter detalhes sobre Estrutura do Agent Client Collectorverificações padrão, consulte Agent Client Collector Verificações padrão da estrutura.

    Para obter detalhes sobre Monitoramento do Agent Client Collectorverificações e políticas padrão, consulte Monitoramento do Agent Client Collector verificações e políticas padrão.

    Para obter detalhes sobre Agent Client Collector para Visibilidade - Conteúdoverificações e políticas padrão, consulte Agent Client Collector para Visibilidade - Conteúdo verificações e políticas padrão.

    Se as verificações não estiverem em execução nos dispositivos do agente, seu agente pode estar no modo de proteção da CPU. O modo de proteção da CPU é ativado automaticamente quando a CPU de um dispositivo está muito alta. Quando isso acontece, o status de coleta de dados do agente é Desligado (automático) . Verifique os logs do agente para determinar as verificações problemáticas. Você pode desabilitar manualmente verificações problemáticas ou modificar os limites do modo de proteção da CPU no agente acc.yml arquivo e retomar manualmente a coleta de dados para o agente. Para obter detalhes sobre os limites do modo de proteção da CPU, consulte Agent Client Collector Limites de proteção da CPU. Para obter detalhes sobre como desativar manualmente a coleta de dados, consulte Pausa Agent Client Collectorcoleta de dados.

    No sistema base, o status de saída do evento indica sua gravidade, da seguinte forma:
    • 0: OK
    • 1: AVISO
    • 2: CRÍTICO
    Você pode adicionar gravidades adicionais (como PRINCIPAIS e SECUNDÁRIAS) executando um script personalizado. As seguintes estátuas de saída indicam estas gravidades:
    • 13: GRAVE
    • 14: MENOR

    Privilégios para executar comandos de verificação

    Se o usuário do sistema base da serviceNow não tiver privilégios para executar comandos de verificação específicos, faça o seguinte para os sistemas operacionais relevantes:

    • Em um sistema Linux: Habilite o usuário da ServiceNow para executar o comando com sudo permissões. Certifique-se de que os seguintes requisitos de configuração do sudo sejam atendidos:
      • Desabilite os requisitos de tty e senha
      • Preserve todas as variáveis de ambiente
      • CAMINHO dinâmico de suporte para executar comandos
      Configuração de exemplo no /etc/sudoers arquivo:
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
      servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
      Defaults:servicenow !requiretty
      Defaults exempt_group += servicenow
      
      Nota:
      Os caminhos de comando podem variar. Consulte o manual de sudoers para considerações especiais.
      • . SETENV: a cadeia de caracteres permite que o usuário da servicenow preserve variáveis de ambiente.
      • . obrigatório a cadeia de caracteres desabilita tty.
      • Adicionando o usuário ServiceNow ao isent_group Ignora os requisitos de senha e habilita O CAMINHO dinâmico para executar comandos sudo.

      Certifique-se de configurar o. must_sudoverifique o parâmetro com um valor de verdadeiro na seção de parâmetros do comando de verificação da definição de verificação.

    • Em A. macOSSistema: Certifique-se de que o usuário que executa o serviço do agente pertença a um grupo de usuários com privilégios para consultar todas as conexões tcp no host.
    • Em A. WindowsSistema: Usando WindowsGestão de usuários, adicione o usuário ServiceNow aos grupos com os privilégios relevantes, permitindo que o usuário execute os comandos necessários.

    Políticas

    R política É uma combinação dos ICs que estão sendo monitorados pelo Agent Client CollectorE as definições de verificação que são executadas nesses ICs.

    Para habilitar uma única política para oferecer suporte a várias credenciais, atribua um alias de credencial à política. Por exemplo, se você tiver servidores MySQL para ambos Linuxe. Windowscom credenciais diferentes, você deve criar políticas separadas para cada tipo de credencial. No entanto, se você usar um alias de credencial, poderá atribuir uma única política ao alias. Em seguida, o agente corresponde a credencial relevante à aplicação que está sendo monitorada. Para obter detalhes sobre aliases de credencial, consulte Crie um alias de conexão e credencial .

    Os alertas gerados por políticas com uma verificação de tipo de evento são encerrados automaticamente quando o monitoramento de IC é interrompido devido a qualquer um dos seguintes motivos:
    • Desativando a política
    • Desativando a verificação que causou o alerta
    • Excluindo a verificação da política
    • Excluindo a política
    • Modificando o filtro de política que determina os ICs monitorados