Compartilhar via


Operations Manager agents

No System Center Operations Manager, um agente é um serviço instalado em um computador que procura dados de configuração e coleta informações proativamente para análise e relatórios, mede o estado de integridade de objetos monitorados, como um banco de dados SQL ou disco lógico, e executa tarefas sob demanda por um operador ou em resposta a uma condição. Ele permite que o Operations Manager monitore os sistemas operacionais Windows, Linux e UNIX e os componentes de um serviço de TI instalado neles, como um site ou um controlador de domínio do Active Directory.

Agente do Windows

Em um computador Windows monitorado, o agente do Operations Manager está listado como serviço do MMA (Microsoft Monitoring Agent). O serviço Microsoft Monitoring Agent coleta dados de desempenho e de eventos e executa tarefas e outros fluxos de trabalho definidos em um pacote de gerenciamento. Mesmo quando o serviço é incapaz de se comunicar com o servidor de gerenciamento ao qual se reporta, o serviço continua a ser executado e coloca em fila os dados coletados e eventos no disco do computador monitorado. Quando a conexão é restaurada, o serviço Microsoft Monitoring Agent envia dados e eventos coletados para o servidor de gerenciamento.

Observação

  • O serviço Microsoft Monitoring Agent às vezes é chamado de serviço de integridade.

O serviço Microsoft Monitoring Agent também é executado em servidores de gerenciamento. Em um servidor de gerenciamento, o serviço executa fluxos de trabalho de monitoramento e gerencia credenciais. Para executar fluxos de trabalho, o serviço inicia MonitoringHost.exe processos usando credenciais especificadas. Estes processos monitoram e coletam dados de logs de eventos, dados do contador de desempenho, dados de Instrumentação de Gerenciamento do Windows (WMI), e executam ações, como scripts.

Communication between agents and management servers

O agente do Operations Manager envia dados de alerta e descoberta para seu servidor de gerenciamento primário atribuído, que grava os dados no banco de dados operacional. O agente também envia dados de eventos, desempenho e estado ao servidor de gerenciamento primário para esse agente, que sobrescrevem os dados para o banco de dados operacional e data warehouse simultaneamente.

O agente envia dados de acordo com os parâmetros de agendamento para cada regra e monitor. Para regras de coleta otimizada, os dados somente serão transmitidos se uma amostra de um contador diferir da amostra anterior por uma tolerância especificada, como 10%. Isto ajuda a reduzir o tráfego de rede e o volume de dados armazenados no banco de dados operacional.

Além disso, todos os agentes enviam um pacote de dados, chamado de uma pulsação, para o servidor de gerenciamento em um agendamento regular, por padrão a cada 60 segundos. A finalidade da pulsação é validar a disponibilidade do agente e comunicação entre o agente e o servidor de gerenciamento. Para obter mais informações sobre pulsações, consulte How Heartbeats Work in Operations Manager (Como as pulsações funcionam no Operations Manager).

Para cada agente, o Operations Manager executa um inspetor do serviço de integridade, que monitora o estado do Serviço de integridade remoto do ponto de vista do servidor de gerenciamento. O agente se comunica com um servidor de gerenciamento pela porta TCP 5723.

Ilustração da comunicação do agente com o servidor de gerenciamento.

Linux/UNIX agent

A arquitetura do agente UNIX e Linux difere significativamente de um agente Windows. O agente Windows tem um Serviço de Integridade responsável por avaliar a integridade do computador monitorado. O Agente UNIX e Linux não executa um serviço de integridade; em vez disso, ele passa informações ao Serviço de Integridade em um servidor de gerenciamento para serem avaliadas. O servidor de gerenciamento executa todos os fluxos de trabalho para monitorar a integridade do sistema operacional definida em nossa implementação dos pacotes de gerenciamento UNIX e Linux:

  • Disco
  • Processador
  • Memória
  • Adaptadores de rede
  • Sistema operacional
  • Processos
  • Arquivos de log

Os agentes UNIX e Linux para Operations Manager consistem em um Gerenciador de Objetos CIM (ou seja, Servidor CIM) e um conjunto de Provedores CIM. O Gerenciador de Objetos CIM é o componente de servidor que implementa a comunicação, a autenticação, a autorização e a expedição de solicitações de WS-Management para os provedores. Os provedores são a chave para a implementação do CIM no agente, definindo as classes e propriedades do CIM, fazendo interface com as APIs do kernel para recuperar dados brutos, formatando os dados (por exemplo, calculando deltas e médias) e atendendo às solicitações expedidas do Gerenciador de Objetos CIM. Do System Center Operations Manager 2007 R2 ao System Center 2012 SP1, o Gerenciador de Objetos CIM usado nos agentes UNIX e Linux do Operations Manager é o servidor OpenPegasus. Os provedores usados para coletar e relatar dados de monitoramento são desenvolvidos pela Microsoft e de código aberto na CodePlex.com.

Ilustração da arquitetura de software do agente UNIX/Linux do Operations Manager.

Isso mudou no System Center 2012 R2 Operations Manager, onde os agentes UNIX e Linux agora se baseiam em uma implementação totalmente consistente do OMI (Open Management Infrastructure) como seu Gerenciador de Objetos CIM. No caso dos agentes UNIX/Linux do Operations Manager, o OMI está substituindo o OpenPegasus. Como o OpenPegasus, o OMI é uma implementação de código aberto, leve e portátil do CIM Object Manager – embora seja mais leve e mais portátil que o OpenPegasus. Essa implementação continua a ser aplicada no System Center 2016 – Operations Manager e posterior.

Diagrama da arquitetura de software atualizada do agente UNIX/Linux do Operations Manager.

A comunicação entre o servidor de gerenciamento e o agente UNIX e Linux é dividida em duas categorias: manutenção do agente e monitoramento de integridade. O servidor de gerenciamento usa dois protocolos para se comunicar com o computador UNIX ou Linux:

  • SSH (Secure Shell) e SFTP (Protocolo de Transferência de Arquivos do Secure Shell)

    Usado para tarefas de manutenção de agentes, como instalação, atualização e remoção de agentes.

  • Web Services for Management (WS-Management)

    Usado para todas as operações de monitoramento e para incluir a descoberta de agentes que já foram instalados.

A comunicação entre o servidor de gerenciamento do Operations Manager e o agente UNIX e Linux usa WS-Man sobre HTTPS e a interface WinRM. Todas as tarefas de manutenção do agente são executadas por SSH na porta 22. Todo o monitoramento de integridade é executado pelo WS-MAN na porta 1270. O servidor de gerenciamento solicita dados de desempenho e configuração via WS-MAN antes de avaliar os dados para fornecer o status de integridade. Todas as ações, como manutenção, monitores, regras, tarefas e recuperações do agente, estão configuradas para usar perfis predefinidos conforme suas exigências em termos de conta privilegiada ou sem privilégios.

Observação

Todas as credenciais mencionadas neste artigo pertencem a contas que foram estabelecidas no computador UNIX ou Linux, não às contas do Operations Manager configuradas durante a instalação do Operations Manager. Entre em contato com o administrador do sistema para solicitar credenciais e informações de autenticação.

Para dar suporte às novas melhorias de escalabilidade com o número de sistemas UNIX e Linux que o System Center 2016 – Operations Manager e posterior podem monitorar por servidor de gerenciamento, as novas APIs de MI (Infraestrutura de Gerenciamento do Windows) assíncronas estão disponíveis em vez das APIs de Sincronização do WSMAN, que estão em uso por padrão. Para habilitar essa alteração, você precisa criar a nova chave do Registro UseMIAPI para permitir que o Operations Manager use as novas APIs de MI assíncrona em servidores de gerenciamento que monitoram sistemas Linux/Unix.

  1. Abra o Editor do Registro em um prompt de comando com privilégios elevados.
  2. Crie a chave de registro UseMIAPI em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Se você precisar restaurar a configuração original usando as APIs de sincronização do WSMAN, poderá excluir a chave do Registro UseMIAPI .

Segurança do agente

Autenticação em computador UNIX/Linux

No Operations Manager, o administrador do sistema não precisa mais fornecer a senha raiz do computador UNIX ou Linux para o servidor de gerenciamento. Agora, por elevação, uma conta sem privilégios pode assumir a identidade de uma conta privilegiada no computador UNIX ou Linux. O processo de elevação é realizado pelos programas su (superusuário) e sudo do UNIX que usam as credenciais fornecidas pelo servidor de gerenciamento. Para operações privilegiadas de manutenção de agente que usem SSH (como descoberta, implantação, atualização, desinstalação e recuperação de agente), oferece-se suporte a su, elevação sudo e suporte à autenticação de chave de SSH (com ou sem senha). Para operações privilegiadas de WS-Management (como exibir arquivos de log seguros), adiciona-se o suporte a elevação sudo (sem senha).

Para obter instruções detalhadas sobre como especificar credenciais e configurar contas, consulte Como definir credenciais para acessar computadores UNIX e Linux.

Autenticação com servidor de gateway

Os servidores de gateway são usados para habilitar o gerenciamento de agentes de computadores que estão fora do limite de confiança Kerberos de um grupo de gerenciamento. Como o servidor gateway reside em um domínio que não é confiável para o domínio em que o grupo de gerenciamento está, os certificados devem ser usados para estabelecer a identidade, o agente, o servidor de gateway e o servidor de gerenciamento de cada computador. Este procedimento satisfaz o requisito do Operations Manager de autenticação mútua.

Isso requer que você solicite certificados para cada agente que se reportará a um servidor de gateway e importe esses certificados para o computador de destino usando a ferramenta MOMCertImport.exe, localizada no diretório SupportTools\ (amd64 ou x86) da mídia de instalação. Você precisa ter acesso a uma autoridade de certificação (CA), que pode ser uma AC pública, como a VeriSign, ou pode usar os Serviços de Certificados da Microsoft.

Implantação de agente

Os Agentes do System Center Operations Manager podem ser instalados ao usar um dos três métodos apresentados a seguir. A maioria das instalações usa uma combinação desses métodos para instalar diferentes conjuntos de computadores, conforme apropriado.

Observação

  • Não é possível instalar o MMA em um computador no qual o servidor de gerenciamento do Operations Manager, o servidor de gateway, o console de operações, o banco de dados operacional, o console Web, o System Center Essentials ou o System Center Service Manager estejam instalados, pois eles têm sua versão interna do MMA já instalada.
  • Só é possível usar o MMA ou o agente do Log Analytics (versão de extensão da VM).
  • A descoberta e a instalação de um ou mais agentes do console de Operações. Esta é a forma mais comum de instalação. Um servidor de gerenciamento deve poder efetuar a conexão do computador com a RPC, e a conta de ação do servidor de gerenciamento ou outras credenciais fornecidas devem ter acesso administrativo ao computador de destino.
  • Inclusão na imagem de instalação. Esta é uma instalação manual para uma imagem base que é utilizada para a preparação de outros computadores. Neste caso, a integração do Active Directory pode ser usada para atribuir automaticamente o computador a um servidor de gerenciamento na inicialização.
  • Instalação manual. Este método é usado quando o agente não pode ser instalado por um dos outros métodos, por exemplo, quando uma chamada de procedimento remoto (RPC) não está disponível devido a um firewall. A configuração é executada de forma manual no agente ou implantada por meio de uma ferramenta de distribuição de software existente.

Os agentes instalados usando o Assistente de Descoberta podem ser gerenciados no Console de operações, como atualizar versões do agente, aplicar patches e configurar o servidor de gerenciamento ao qual o agente está subordinado.

Quando você instalar o agente usando um método manual, as atualizações para o agente deverão também ser realizadas manualmente. Você poderá usar a integração do Active Directory para atribuir agentes a grupos de gerenciamento. Para obter mais informações, consulte Integrar o Active Directory e o Operations Manager.

Faça a seleção da guia necessária para saber mais sobre a implantação de agentes em sistemas Windows e UNIX e LINUX:

A descoberta de um sistema Windows requer que as portas TCP 135 (RPC), intervalo RPC e TCP 445 (SMB) permaneçam abertas e que o serviço SMB esteja habilitado no computador do agente.

  • Após a descoberta de um dispositivo de destino, é possível implantar um agente nele. A instalação do agente requer:
  • Abrindo portas RPC começando com o mapeador de ponto de extremidade TCP 135 e a porta SMB (Server Message Block) TCP/UDP 445.
  • Habilitando os serviços de Compartilhamento de Arquivos e Impressoras para Redes da Microsoft e do Cliente para Redes da Microsoft. (Isso garante que a porta SMB esteja ativa.)
  • Se habilitadas, as configurações de Política de Grupo do Firewall do Windows para Permitir exceção de administração remota e Permitir exceção de compartilhamento de arquivos e impressoras devem ser definidas como Permitir mensagens de entrada não solicitadas para o endereço IP e sub-redes para os servidores de gerenciamento primário e secundário do agente.
  • Uma conta que tenha direitos de administrador local no computador de destino.
  • Windows Installer 3.1. Para instalar, consulte o artigo 893803 na Base de Dados de Conhecimento https://go.microsoft.com/fwlink/?LinkId=86322 Microsoft
  • Microsoft Core XML Services (MSXML) 6 na mídia de instalação do produto Operations Manager no subdiretório \msxml. A instalação do agente de push instala o MSXML 6 no dispositivo de destino se ele ainda não estiver instalado.

Active Directory agent assignment

O System Center Operations Manager permite que você aproveite seu investimento nos Serviços de Domínio Active Directory (AD DS), permitindo que você o use para atribuir computadores gerenciados por agente a grupos de gerenciamento. Esse recurso é comumente usado com o agente implantado como parte de um processo de compilação de implantação de servidor. Quando o computador fica online pela primeira vez, o agente do Operations Manager consulta o Active Directory para obter sua atribuição de servidor de gerenciamento primário e de failover e começa a monitorar automaticamente o computador.

Para atribuir computadores a grupos de gerenciamento usando o AD DS:

  • O nível funcional dos domínios do AD DS deve ser nativo do Windows 2008 ou superior
  • Os computadores gerenciados por agente e todos os servidores de gerenciamento devem estar no mesmo domínio ou em domínios confiáveis bidirecionais.

Observação

Um agente que determina que está instalado em um controlador de domínio não consultará o Active Directory para obter informações de configuração. Isso é por razões de segurança. A integração do Active Directory é desabilitada por padrão em controladores de domínio porque o agente é executado na conta do Sistema Local. A conta do Sistema Local em um controlador de domínio tem direitos de Administrador de Domínio; portanto, ele detecta todos os Pontos de Conexão de Serviço do Servidor de Gerenciamento registrados no Active Directory, independentemente da associação ao grupo de segurança do controlador de domínio. Como resultado, o agente tenta se conectar a todos os servidores de gerenciamento em todos os grupos de gerenciamento. Os resultados podem ser imprevisíveis, apresentando assim um risco de segurança.

A atribuição do agente é realizada usando um SCP (Ponto de Conexão de Serviço), que é um objeto do Active Directory para publicar informações que os aplicativos cliente podem usar para associar a um serviço. Isso é criado por um administrador de domínio que executa a ferramenta de linha de comando MOMADAdmin.exe para criar um contêiner do AD DS para um grupo de gerenciamento do Operations Manager nos domínios dos computadores que ele gerencia. O grupo de segurança do AD DS especificado ao executar MOMADAdmin.exe recebe permissões de Leitura e Exclusão Filho para o contêiner. O SCP contém informações de conexão com o servidor de gerenciamento, incluindo o FQDN e o número da porta do servidor. Os agentes do Operations Manager podem descobrir automaticamente servidores de gerenciamento consultando SCPs. A herança não está desabilitada e, como um agente pode ler as informações de integração registradas no AD, se você forçar a herança para o grupo Todos ler todos os objetos no nível raiz no Active Directory, isso afetará gravemente e interromperá essencialmente a funcionalidade de integração do AD. Se você forçar explicitamente a herança por todo o diretório concedendo ao grupo Todos as permissões de leitura, precisará bloquear essa herança no contêiner superior da Integração do AD, chamada OperationsManager e todos os objetos filho.  Se você não fizer isso, a Integração do AD não funcionará conforme projetado e você não terá uma atribuição primária e de failover confiável e consistente para os agentes implantados. Além disso, se você tiver mais de um grupo de gerenciamento, todos os agentes em ambos os grupos de gerenciamento também serão hospedados em várias casas. 

Esse recurso funciona bem para controlar a atribuição de agentes em uma implantação de grupo de gerenciamento distribuído, para impedir que os agentes se reportem a servidores de gerenciamento dedicados a pools de recursos ou servidores de gerenciamento em um data center secundário em uma configuração de espera passiva para evitar o failover do agente durante a operação normal.

A configuração da atribuição de agente é gerenciada por um administrador do Operations Manager usando o Assistente de Atribuição e Failover de Agente para atribuir computadores a um servidor de gerenciamento primário e secundário.

Observação

A integração com o Active Directory fica desabilitada para agentes que foram instalados do console de Operações. Por padrão, a integração do Active Directory é habilitada para agentes instalados manualmente usando MOMAgent.msi.

Próximas etapas