Es war einmal… vor ein paar Jahren sagten wir “agentless monitoring”. Mittlerweile hat Solarwinds dreieinhalb Agents!

Orion (NPM/SAM), Patch, LEM und die Player-Komponente vom Web Performance Monitor.

 

Schauen wir uns mal die Details an.

Zuerst ein Foto vom Orion Agent, aufgenommen aus einem Versteck mitten in der Nacht:

1.png

Dann habe ich ihn um die Mittagszeit auf Windows erwischt, man beachte den Hut:

2.png

 

Grundsätzlich stimmt die Aussage von „agentless monitoring“ immer noch, keine Sorge!

Man kann bei jedem einzelnen System auswählen, ob ich die native Methode bevorzuge (WMI/SNMP) oder eben den Agenten. Beide haben durchaus valide Einsatzszenarien.

In den meisten Fällen wird nach wie vor WMI das Mittel der Wahl sein – ich muss nichts installieren, nicht konfigurieren und es läuft ohne Probleme meistens problemlos.

In der Praxis gibt es jedoch zwei Situationen die hier Kopfschmerzen bereiten können.

 

Zum einen das Netzwerk! ES IST IMMER DAS NETZWERK! (sorry, den konnte ich mir nicht verkneifen).
WMI nutzt dynamische Ports und unter Umständen nicht wenige davon. Kann in manchen Umgebungen ein Alptraum sein. Mehr Info hier:

https://thwack.solarwinds.com/community/solarwinds-community/product-blog/blog/2013/01/08/wmi-portapocalypse

 

Wenn wir uns dagegen den Agenten anschauen:

3.png

 

 

Darüber hinaus: Steht irgendwo ein Proxy im Weg, habe ich vielleicht überlappende IP Bereiche? All das legt noch eine weitere Schicht Komplexität oben drauf, die ich mit dem Agenten umgehen bzw vereinfachen kann.

 

Die andere Situation die ich hin und wieder erlebe ist eher politischer Natur.

Zum Überwachen einer Windowsbox benötigt Orion normalerweise einen lokalen Admin. Ja, wir haben irgendwo die Schritte um ein solches Konto zu beschränken, aber trotzdem ist es in manchen Umgebungen einfach nicht tragbar.

Hier läuft der Agent als Dienst und ich habe keine administrativen Credentials irgendwo im Solarwinds-System.

Ebenso ist sämtliche Kommunikation zwischen Orion <> Agent verschlüsselt.

 

Bestimmte Dinge werden auch erst durch den Agent ermöglicht:

4.png

 

 

Es gibt verschiedene Deployment Methoden, die simpelste einfach beim Anlegen einer einzelnen Node:

5.png

Weitere Details hier:

http://www.solarwinds.com/documentation/en/flarehelp/sam/content/samagorionagentdeployagentorion.htm

Der Agent dient jedoch ebenso zwei speziellen Szenarien und in diesen wird er zwingend benötigt; Quality of Experience sowie NetPath. Glücklicherweise ist das das gleiche Stück Software und es müssen nicht drei verschiedene Pakete bereitgestellt werden.

Ich kann zum Beispiel den Agent direkt aus einer frischen NetPath Operation remote installieren:

 

6.png

 

 

Weitere Informationen zu dem Thema findet hier:
http://www.solarwinds.com/documentation/en/flarehelp/sam/content/core-agent-requirements-sw476.htm

 

Der nächste bitte! Ahja, der Patch Manager Agent.

 

Tatsächlich braucht man hier gar nicht so viele Worte verlieren da der Ansatz sowie Einsatz ähnlich ist.

Unser Patch Manager nutzt normalerweise WUAU (tolle Abkürzung, oder?) sowie WMI zur Kommunikation.

In komplexeren Umgebungen oder auch nur einer einzelnen DMZ kann es schwierig werden und der Agent hilft.

 

Aufgepasst: Der Agent ist hier kein Ersatz wie oben bei Orion. Der Agent dient dem Aufbau der Kommunikation.

Sämtliche Aktionen werden lokal auf der Maschine wieder an den WUAU abgegeben.

 

Deployment? Folgt mir unauffällig hierhin:

https://support.solarwinds.com/Success_Center/Patch_Manager/Patch_Manager_2.1.3_Administrator_Guide/0B0/020

 

Interessanter ist der LEM Agent.

Log & Event Manager bezieht Daten aus dem Netzwerk mittels Syslogs und von Servern/Workstations mittels Agents und hier gibt es diesmal keine Alternative.

Primär sorgt der Agent dafür, dass jegliche Logs vom Zielsystem zur LEM Appliance transportiert werden.

Das ist eine Aufgabe mit mehreren Schritten – z.B. dem Auslesen einer spezifischen Logdatei auf dem entfernten Dateisystem, dem Komprimieren und Verschlüsseln der Daten und schliesslich dem Versenden.

7.jpg

 

Der Agent erlaubt auch weitere Features wie z.B. File Integrity Monitoring a.k.a. „Wer hat schon wieder die Excel Tabelle vom Share verschoben?“ und bringt Aktionen wie dem virtuellen Auswerfen von unerwünschten USB Geräten oder dem Verschieben von Benutzern in weniger privilegierte AD Gruppen, oder dem Herunterfahren des Rechners.

 

Ich könnte an dieser Stelle sagen wieviel Spass es macht die Workstation eines Kollegen herunterzufahren, aber sowas würde ich natürlich nie tun!

 

Die Agents gibt es für viele Betriebssysteme und das Deployment ist wie gehabt recht simpel:

8.png

Der letzte im Bunde – der halbe Agent!

Web Performance Monitor nutzt drei verschiedene Komponenten zum Aufnehmen, Kontrollieren und Abspielen von Schritten. Die Abspielkomponente („Player“ - wer hätte das gedacht) wird irgendwo hingesetzt um Schritte auf Webapplikationen durchzuführen.

9.png

Der Player ist etwas grösser sowohl als Datei als auch in den Anforderungen als die obigen Agents und wird üblicherweise manuell an einzelnen strategischen Standorten abgesetzt wie entfernten Niederlassungen oder vielleicht in der Cloud.

 

10.png

 

Wie schön wäre es jetzt, wenn man die Funktionen des Players in den Orion Agent integrieren könnte?

Das wäre doch einmal eine tolle Idee. Ich muss plötzlich weg, das Vorschlagsforum ruft!