Partilhar via


Agentes do Operations Manager

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.

No System Center Operations Manager, um agente é um serviço instalado num computador que procura dados de configuração e recolhe proativamente informações para análise e relatórios, mede o estado de funcionamento dos objetos monitorizados, como uma base de dados SQL ou um disco lógico, e executa tarefas a pedido por um operador ou em resposta a uma condição. Permite ao Operations Manager monitorizar sistemas operativos Windows, Linux e UNIX e os componentes de um serviço de TI instalados nos mesmos, como um site ou um controlador de domínio do Active Directory.

Agente do Windows

Num computador Windows monitorizado, o agente do Operations Manager está listado como o serviço Microsoft Monitoring Agent (MMA). O serviço Microsoft Monitoring Agent recolhe dados de eventos e de desempenho, executa tarefas e outros fluxos de trabalho definidos num pacote de gestão. Mesmo quando o serviço não consegue comunicar com o servidor de gestão ao qual reporta, o serviço continua a ser executado e coloca em fila os dados e eventos recolhidos no disco do computador monitorizado. Quando a ligação é restaurada, o serviço Microsoft Monitoring Agent envia os dados e eventos recolhidos para o servidor de gestão.

Nota

  • O serviço Microsoft Monitoring Agent é por vezes referido como o serviço de estado de funcionamento.

O serviço Microsoft Monitoring Agent também é executado em servidores de gestão. Num servidor de gestão, o serviço executa fluxos de trabalho de monitorização e gere credenciais. Para executar fluxos de trabalho, o serviço inicia processos de MonitoringHost.exe, utilizando as credenciais especificadas. Estes processos monitorizam e recolhem dados de registo de eventos, dados de contador de desempenho, dados de Windows Management Instrumentation (WMI) e executam ações, tal como scripts.

Comunicação entre agentes e servidores de gestão

O agente do Operations Manager envia dados de deteção e de alerta para o respetivo servidor de gestão principal atribuído, que escreve os dados na base de dados operacional. O agente também envia dados de estado, de desempenho e de eventos para o servidor de gestão primário desse agente, que escreve os dados em simultâneo na base de dado operacional e do armazém de dados.

O agente envia dados de acordo com os parâmetros de agenda para cada regra e monitor. Para regras de recolha otimizadas, os dados só são transmitidos se uma amostra de um contador for diferente do exemplo anterior por uma tolerância especificada, por exemplo 10%. Isto ajuda a reduzir o tráfego de rede e o volume de dados armazenados na base de dados operacional.

Além disso, todos os agentes enviam um pacote de dados, denominado heartbeat, para o servidor de gestão regularmente, por predefinição a cada 60 segundos. O objetivo do heartbeat é validar a disponibilidade do agente e a comunicação entre o agente e o servidor de gestão. Para obter mais informações sobre heartbeats, consulte Como Funcionam os Heartbeats no Operations Manager.

Para cada agente, o Operations Manager executa um observador do serviço de estado de funcionamento, que monitoriza o estado do Serviço de Estado de Funcionamento remoto a partir da perspetiva do servidor de gestão. O agente comunica com um servidor de gestão através da porta TCP 5723.

Ilustração da Comunicação do Agente para o Servidor de Gestão.

Agente Linux/UNIX

A arquitetura do agente UNIX e Linux difere significativamente de um agente do Windows. O agente do Windows tem um Serviço de Estado de Funcionamento, responsável pela avaliação do estado de funcionamento do computador monitorizado. O Agente UNIX e Linux não executa um serviço de estado de funcionamento; Em vez disso, transmite informações para o Serviço de Estado de Funcionamento num servidor de gestão a avaliar. O servidor de gestão executa todos os fluxos de trabalho para monitorizar o estado de funcionamento do sistema operativo definido na nossa implementação dos pacotes de gestão UNIX e Linux:

  • Disco
  • Processador
  • Memória
  • Placas de rede
  • Sistema Operativo
  • Processos
  • Ficheiros de registo

Os agentes UNIX e Linux para o Operations Manager consistem num CIM Object Manager (ou seja, servidor CIM) e num conjunto de Fornecedores de CIM. O CIM Object Manager é o componente de servidor que implementa o WS-Management comunicação, autenticação, autorização e envio de pedidos para os fornecedores. Os fornecedores são a chave para a implementação cim no agente, definir as classes e propriedades cim, interagir com as APIs de kernel para obter dados não processados, formatar os dados (por exemplo, calcular deltas e médias) e servir os pedidos enviados a partir do Gestor de Objetos CIM. Do System Center Operations Manager 2007 R2 até ao System Center 2012 SP1, o CIM Object Manager utilizado nos agentes UNIX e Linux do Operations Manager é o servidor de OpenPegasus. Os fornecedores utilizados para recolher e comunicar dados de monitorização são desenvolvidos pela Microsoft e são open source em CodePlex.com.

Ilustração da Arquitetura de Software do Agente UNIX/Linux do Operations Manager.

Isto foi alterado no System Center 2012 R2 Operations Manager, em que os agentes UNIX e Linux se baseiam agora numa implementação totalmente consistente da Infraestrutura de Gestão Aberta (OMI) como o respetivo Gestor de Objetos CIM. No caso dos agentes UNIX/Linux do Operations Manager, o OMI substitui o OpenPegasus. Tal como o OpenPegasus, o OMI é uma implementação do CIM Object Manager de código aberto, leve e portátil, embora seja mais leve em peso e mais portátil do que o OpenPegasus. Esta implementação continua a ser aplicada no System Center 2016 – Operations Manager e posterior.

Diagrama da Arquitetura de Software Atualizada do Agente UNIX/Linux do Operations Manager.

A comunicação entre o servidor de gestão e o agente UNIX e Linux é dividida em duas categorias: manutenção do agente e monitorização do estado de funcionamento. O servidor de gestão utiliza dois protocolos para comunicar com o computador UNIX ou Linux:

  • Secure Shell (SSH) e Protocolo SFTP (Secure Shell File Transfer)

    Utilizado para tarefas de manutenção de agente, como instalar, atualizar e remover agentes.

  • Serviços Web para Gestão (WS-Management)

    Utilizado para todas as operações de monitorização e inclui a deteção de agentes que já foram instalados.

A comunicação entre o servidor de gestão do Operations Manager e o agente UNIX e Linux utiliza WS-Man através de HTTPS e da interface WinRM. Todas as tarefas de manutenção de agente são efetuadas através de SSH na porta 22. Toda a monitorização do estado de funcionamento é efetuada através de WS-MAN na porta 1270. O servidor de gestão solicita dados de desempenho e a configuração através de WS-MAN, antes de avaliar os dados para fornecer o estado de funcionamento. Todas as ações, como manutenção do agente, monitores, regras, tarefas e recuperações, são configuradas para utilizar perfis predefinidos de acordo com a respetiva necessidade de uma conta sem privilégios ou com privilégios.

Nota

Todas as credenciais referidas neste artigo dizem respeito a contas que foram estabelecidas no computador UNIX ou Linux e não às contas do Operations Manager configuradas durante a instalação do Operations Manager. Contacte o administrador de sistema para obter informações sobre credenciais e autenticação.

Para suportar as novas melhorias de escalabilidade com o número de sistemas UNIX e Linux System Center 2016 – Operations Manager e posteriores podem monitorizar por servidor de gestão, as novas APIs assíncronas da Infraestrutura de Gestão do Windows (MI) estão disponíveis em vez das APIs de Sincronização WSMAN, que estão a ser utilizadas por predefinição. Para ativar esta alteração, tem de criar a nova chave de registo UseMIAPI para permitir que o Operations Manager utilize as novas APIs MI Assíncronas em servidores de gestão que monitorizam sistemas Linux/Unix.

  1. Abra o Revisor registo a partir de uma linha de comandos elevada.
  2. Crie a chave de registo UseMIAPI em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Se precisar de restaurar a configuração original com as APIs de Sincronização WSMAN, pode eliminar a chave de registo UseMIAPI .

Segurança do agente

Autenticação em computador UNIX/Linux

No Operations Manager, o administrador de sistema já não é obrigado a fornecer a palavra-passe de raiz do computador UNIX ou Linux ao servidor de gestão. Agora por elevação, uma conta sem privilégios pode assumir a identidade de uma conta com privilégios no computador UNIX ou Linux. O processo de elevação é efetuado pelo UNIX su (superutilizador) e programas sudo que utilizam as credenciais que o servidor de gestão fornece. Para operações de manutenção do agente com privilégios que utilizam SSH (como por exemplo deteção, implementação, atualizações, desinstalação e recuperação de agente), é fornecido suporte para su, elevação de su e suporte para autenticação da chave SSH (sem ou com frase de acesso). Para operações de WS-Management com privilégios (como por exemplo visualização de ficheiros de registo seguro), é adicionado suporte para elevação de sudo (sem palavra-passe).

Para obter instruções detalhadas sobre a especificação de credenciais e configurar contas, veja Como Definir Credenciais para Aceder a Computadores UNIX e Linux.

Autenticação com servidor de gateway

Os servidores de gateway são utilizados para ativar a gestão de agentes de computadores que estão fora do limite de fidedignidade kerberos de um grupo de gestão. Uma vez que o servidor de gateway reside num domínio que não é considerado fidedigno pelo domínio em que o grupo de gestão se encontra, os certificados têm de ser utilizados para estabelecer a identidade, o agente, o servidor de gateway e o servidor de gestão de cada computador. Esta disposição satisfaz o requisito de autenticação mútua do Operations Manager.

Isto requer que peça certificados para cada agente que reporte a um servidor de gateway e importe esses certificados para o computador de destino com a ferramenta MOMCertImport.exe, que está localizada no diretório supportTools\ (amd64 ou x86) de instalação. Tem de ter acesso a uma autoridade de certificação (AC), que pode ser uma AC pública, como a VeriSign, ou pode utilizar os Serviços de Certificados da Microsoft.

Implementação de agente

Os Agentes do System Center Operations Manager podem ser instalados através de um dos três métodos seguintes. A maioria das instalações utiliza uma combinação dos seguintes métodos para instalar diferentes conjuntos de computadores, conforme adequado.

Nota

  • Não pode instalar o MMA num computador, onde o servidor de gestão do Operations Manager, o servidor de gateway, a consola de operações, a base de dados operacional, a consola Web, o System Center Essentials ou System Center Service Manager estão instalados, uma vez que já têm a versão incorporada do MMA instalada.
  • Só pode utilizar o MMA ou o agente de análise de registos (versão da Extensão da VM).
  • A deteção e instalação de um ou mais agentes a partir da consola de Operações. Esta é a forma mais comum de instalação. Um servidor de gestão tem de conseguir ligar o computador com RPC, e uma Conta de Ação do servidor de gestão ou outras credenciais fornecidas têm de ter acesso administrativo ao computador de destino.
  • Inclusão na imagem de instalação. Esta é uma instalação manual para uma imagem base que é utilizada para a preparação de outros computadores. Neste caso, a integração do Active Directory pode ser utilizada para atribuir automaticamente o computador a um servidor de gestão após o arranque inicial.
  • Instalação manual. Este método é utilizado quando o agente não pode ser instalado por um dos outros métodos, por exemplo, quando a chamada de procedimento remoto (RPC) está indisponível devido a uma firewall. A configuração é executada manualmente no agente ou implementada através de uma ferramenta de distribuição de software existente.

Os agentes instalados com o Assistente de Deteção podem ser geridos a partir da Consola de operações, como atualizar versões do agente, aplicar patches e configurar o servidor de gestão ao qual o agente comunica.

Quando instala o agente utilizando um método manual, as atualizações do agente também deverão ser efetuadas manualmente. Poderá utilizar a integração do Active Directory para atribuir agentes a grupos de gestão. Para obter mais informações, veja Integrar o Active Directory e o Operations Manager.

Selecione o separador necessário para saber mais sobre a implementação de agentes em sistemas Windows e UNIX e LINUX:

A deteção de um sistema Windows necessita que as portas TCP 135 (RPC), intervalo RPC e TCP 445 (SMB) permaneçam abertas e que o serviço SMB esteja ativado no computador agente.

  • Depois de um dispositivo de destino ser detetado, é possível implementar um agente no dispositivo. A instalação do agente requer:
  • Abrir portas RPC que começam com o mapeador de ponto final TCP 135 e a porta TCP/UDP 445 do Bloco de Mensagem de Servidor (SMB).
  • Ativar a Partilha de Ficheiros e Impressoras para o Microsoft Networks e o Cliente para os serviços do Microsoft Networks. (Isto garante que a porta SMB está ativa.)
  • Se ativas, as definições da Política de Grupo da Firewall do Windows para Permitir exceção de administração remota e Permitir exceção de partilha de ficheiros e impressoras têm de ser definidas para Permitir mensagens a receber não solicitadas de para o endereço IP e sub-redes para os servidores de gestão primário e secundário do agente.
  • Uma conta com direitos de administrador local no computador de destino.
  • Windows Installer 3.1. Para instalar, consulte o artigo 893803 na Base de Dados de Conhecimento da Microsoft https://go.microsoft.com/fwlink/?LinkId=86322
  • Os Serviços do Microsoft Core XML (MSXML) 6 no suporte de dados de instalação do produto do Operations Manager no subdiretório \msxml. A instalação do agente push instala o MSXML 6 no dispositivo de destino se ainda não estiver instalado.

Atribuição de agentes do Active Directory

O System Center Operations Manager permite-lhe tirar partido do seu investimento em Active Directory Domain Services (AD DS), permitindo-lhe utilizá-lo para atribuir computadores geridos por agentes a grupos de gestão. Esta funcionalidade é frequentemente utilizada com o agente implementado como parte de um processo de compilação de implementação do servidor. Quando o computador está online pela primeira vez, o agente do Operations Manager consulta o Active Directory de modo a localizar a atribuição principal e de ativação pós-falha de servidores de gestão, e começa automaticamente a monitorizar o computador.

Para atribuir computadores a grupos de gestão utilizando o AD DS:

  • O nível de funcionalidade dos domínios de AD DS tem de ser Windows 2008 nativo ou superior
  • Os computadores geridos por agente e todos os servidores de gestão devem estar no mesmo domínio ou em domínios fidedignos bidirecionais.

Nota

Um agente que determine que está instalado num controlador de domínio não irá consultar o Active Directory para obter informações de configuração. Isto deve-se a motivos de segurança. A integração do Active Directory está desativada por predefinição em controladores de domínio, porque o agente é executado na conta do Sistema Local. A conta do Sistema Local num controlador de domínio tem direitos de Administrador de Domínio; Por conseguinte, deteta todos os Pontos de Ligação do Serviço do Servidor de Gestão que estão registados no Active Directory, independentemente da associação ao grupo de segurança do controlador de domínio. Como resultado, o agente tenta ligar-se a todos os servidores de gestão em todos os grupos de gestão. Os resultados podem ser imprevisíveis, constituindo portanto um risco de segurança.

A atribuição do agente é feita através de um Ponto de Ligação de Serviço (SCP), que é um objeto do Active Directory para publicação de informações que pode ser utilizado pelas aplicações cliente para ligar a um serviço. Isto é criado por um administrador de domínio que executa o MOMADAdmin.exe ferramenta de linha de comandos para criar um contentor do AD DS para um grupo de gestão do Operations Manager nos domínios dos computadores que gere. O grupo de segurança do AD DS especificado ao executar MOMADAdmin.exe recebe permissões de Leitura e Eliminação de Menores ao contentor. O SCP contém informações de ligação ao servidor de gestão, incluindo o FQDN do servidor e o número da porta. Os agentes do Operations Manager podem detetar automaticamente os servidores de gestão através da consulta de SCPs. A herança não está desativada e, como um agente pode ler as informações de integração registadas no AD, se forçar a herança para que o grupo Todos leia todos os objetos ao nível da raiz no Active Directory, isso afetará gravemente e interromperá essencialmente a funcionalidade de Integração do AD. Se forçar explicitamente a herança em todo o diretório ao conceder ao grupo Todos permissões de leitura, tem de bloquear esta herança no contentor de integração do AD de nível superior, denominado OperationsManager, e todos os objetos subordinados.  Se não o fizer, a Integração do AD não funcionará conforme concebido e não terá uma atribuição primária e de ativação pós-falha fiável e consistente para agentes implementados. Além disso, se tiver mais do que um grupo de gestão, todos os agentes contidos nesses grupos também serão multihomed. 

Esta funcionalidade funciona bem para controlar a atribuição de agentes numa implementação de grupo de gestão distribuído, para impedir os agentes de comunicarem com servidores de gestão dedicados a agrupamentos de recursos ou servidores de gestão num centro de dados secundário numa configuração de reserva semiativa, para impedir a ativação pós-falha de agentes durante o funcionamento normal.

A configuração da atribuição de agentes é gerida por um administrador do Operations Manager através do Assistente de Atribuição e Ativação Pós-falha de Agentes, para atribuir computadores a um servidor de gestão principal e um servidor de gestão secundário.

Nota

A Integração com o Active Directory está desativada para os agentes que tiverem sido instalados a partir da Consola de operações. Por predefinição, a Integração do Active Directory é ativada para os agentes instalados manualmente através do MOMAgent.msi.

Passos seguintes