Активация лицензионной Windows.

Всем привет.

Лицензия на ОС Windows 10 - это последовательность состоящая из чисел и букв. Виды лицензий бывают разные:

• ESD (Electronic Software Distribution) – электронная версия – приобретение лицензионного ключа в интернет-магазине и скачивание образа с официального сайта.
• FPP (Full Packaged Product) или Retail – коробочная версия – это установочная флешка системы и наклейкой с кодом доступа, которая приобретается в розничном магазине. Лицензии не именные, перенос лицензии на другой компьютер разрешен. Для подтверждения лицензии необходимо хранить коробку.
• OEM (Original Equipment Manufacturer) – лицензионный ключ идет в комплекте с компьютером (уже «вшит» в материнскую плату) и присвоить его другому компьютеру нельзя, а также нельзя повысить редакцию операционной системы. Лицензии не именные, их можно передавать другой организации или частному лицу вместе с оборудованием.
• Корпоративная – предоставляется только юридическим лицам. Лицензии привязываются к имени покупателя и принадлежат только ему без права передачи другим лицам. Один ключ может быть использован на множестве компьютеров. Тут имеются еще программы лицензирования Open Value, Open Value Subscription, Open License, Enterprise Agreement, Enterprise Agreement Subscription.
• GGK (Get Genuine Kit) и GGWA (Get Genuine Windows Agreement) – используются для лицензирования существующих нелицензионных ОС.
• Evaluation – пробная лицензия, выданная бесплатно на определенный срок.
• Upgrade – задействуется, когда нужно обновить уже имеющуюся операционную систему до последней версии, например, Windows 7 до Windows 10.
• Подписка VDA (Virtual Desktop Access) – лицензия выдается на пользователя или на устройство для подключения к виртуальным экземплярам Windows предприятия.

Если у вас честно купленная Windows то проще всего выполнить активацию лицензии вручную. Если возникнет необходимость посмотреть/предоставить ключ OEM, то можно в CMD выполнить команду:

wmic path softwarelicensingservice get OA3xOriginalProductKey

или в PowerShell:

(Get-WmiObject -query "SELECT * FROM SoftwareLicensingService").OA3xOriginalProductKey

Полигон ELK.

Всем привет.

Использование rsyslog для хранения log-сообщений сетевого оборудования, и loganalyzer для их отображения, обозначило необходимость поиска, соответствующей современным требованиям, альтернативы. В результате анализа различных решений был сделан выбор в пользу open-source компонентов стека ELK. Был ли этот выбор полностью осознанным - скорее нет, ибо популярность ELK стека бьет все рекорды. Поэтому не пощупать его своими руками было бы неразумно. Тем более у меня была давняя задача разобраться с IDS SELKS изнутри, где ELK, как вы заметили, является основой.

Итак, основными элементами ELK являются: Elasticsearch (search engine – для хранения и быстрого поиска структурированных данных), Logstash (collector – для приема в различном формате данных, их фильтрации и преобразования, и последующей отправки в различные базы данных) и Kibana (инструмент для визуализации), которые и составляют акроним ELK. Это в классическом варианте исходя из названия, но в последнее время сюда активно подмешивают Filebeat, который идет как в в паре с Logstash, так и вместо него.

Подробное описание работы этих компонентов не планировалось в рамках данной статьи. Интересующая информация по стеку очень хорошо представлена на официальном сайте, в т.ч. в виде подробной документации, а также в огромном количестве статей и публикаций. Именно по ним я поднимал весь стек пошагово. За основу была взята подробная инструкция здесь, ему помагал материал отсюда и отсюда. Каждый автор решал свою практичечкую задачу поэтому мне пришлось компилировать нужное по ходу. Обычно ELK разворачивают на одном сервере  (как с SELKS), но я решил что это будет слишком просто, поэтому  в моем полигоне Elasticsearch один хост, Kibana второй хост, и Logstash+FileBeat третий. До кластера руки не дошли, но я уверен, что это будет создать не так уж и трудно.

В ходе работ было проведено: 

• установка Elasticsearch
• установка Kibana
• установка Logstash
• установка Filebeat для отправки логов в Logstash
• установка и настройка Winlogbeat
• установка плагина Filebeat для отправки netflow Cisco
• настройка безопасности и авторизация в Kibana (несколько вариантов)
• проксирование подключений к Kibana через Nginx
• автоматическая очистка индексов в elasticsearch.

А теперь мои шаги:

1) Проверить для всех хостов стека с Ubuntu 

sudo timedatectl set-timezone Europe/Kiev

sudo apt-get install --reinstall systemd

2) Установить для всех хостов ELK стека

sudo apt-get install apt-transport-https

sudo wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a  /etc/apt/sources.list.d/elastic-7.x.list

# Также ставим JDK for Elasticsearch (Host0) & Logstash (Host1)

sudo apt install default-jdk -y

java -version

3) Настройка Elasticsearch (Host0, IP 192.168.1.11, port 9200,9300) 

- /etc/elasticsearch/elasticsearch.yml:

network.host: 0.0.0.0 (or 192.168.1.11)

http.port: 9200

transport.host: localhost

transport.tcp.port: 9300

Варианты мониторинга температуры в серверной.

Всем привет.

Показатели температуры в серверной комнате являются критически важными. Поэтому важно их постоянно мониторить, а саму панель мониторинга вывести дежурному для оперативного реагирования.

Где же взять сами датчики темпратуры? Можно закупить специализированное оборудование типа NetPing-a, и мониторить его через Zabbix. А можно пойти по более простому пути.

У вас наверняка есть оборудование которое расположено в серверной и которое имеет в своем арсенале линейку датчиков, в том числе и датчик окружающей температуры.

Я например, обратил свое внимание на HP iLO, которая имеет целую матрицу тепературных датчиков по всей основной плате. И что логически оказалось - есть среди них и датчик Ambient Temperature. Получить его OID для мониторинга по SNMP в Zabbix оказалось не трудно.

После создаем график на созданную метрику.

Обновление Zabbix 4.4 до 5.0.

Всем привет. 

Историческая необходимость заставила нас пойти на апгрейд Zabbix-а до версии 5.  Но я вам настоятельно рекомендую ознакомиться со статьей одного автора прежде чем обновляться самим. Обязательно сначала прочитайте всю статью до конца, более того, загляните в комментарии к той статье, там много полезного, важные замечания, шишки и боль.

В 5-й версии очень много изменений, как в настройках, так и в интерфейсе. Обновлять без подготовки не рекомендую. Если у вас несколько серверов, начните с самого простого и незанятого.

Еще один момент  - в новых версиях часто обновляются стандартные шаблоны, но вы их не увидите при обновлении. У вас останутся работать старые версии. Новые нужно вручную переносить из свежих установок и подключать к хостам. С одной стороны это плюс, так как шаблоны зачастую меняются очень сильно. Нужен ручной контроль. А с другой стороны неудобно вручную обновлять все шаблоны, которые еще и зависимости свои имеют. 

Последний нюанс - минимальные системные требования к версии PHP для Zabbix 5 - 7.2 Так что прежде чем обновлять сам сервер мониторинга, убедитесь, что у вас стоит подходящая версия php. Обращаю ваше внимание на это ибо у меня один сервер уперся именно в версию PHP и хотя сам zabbix продолжал работать доступ к фронтенду был утерян. 

Приступаем к обновлению сервера мониторинг Zabbix версии 4.4 до 5.0. Итак имеем Centos 8 и zabbix 4.4.7.

Подключаем репозиторий версии zabbix 5.0:

# rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/8/x86_64/zabbix-release-5.0-1.el8.noarch.rpm

Старый репозиторий от версии 4.4 будет автоматически удален.

Очищаем и пересоздаем кэш yum:

# yum clean all

# yum makecache

Устанавливаем само обновление zabbix на сервер Centos следующей командой:

# yum upgrade zabbix-server-mysql zabbix-web-mysql zabbix-web zabbix-agent

Аудит DNS запросов.

Добрый  день.

Работа всех сетевых устройств зависит от  службы DNS. Поэтому полезно уметь включить логирование DNS запросов, которые обрабатывает DNS сервис на Windows Server, и суметь после выполнить их анализ. 

По умолчанию в Windows Server отключено логирование DNS всех пакетов. Чтобы его включить:

• запустите консоль DNS Manager (dnsmgmt.msc) и подключитесь к нужному DNS серверу;
• откройте его свойства и перейдите на вкладку Debug Logging;
• включите опцию Log packets for debugging.

Далее можно настроить параметры логирования: выбрать направление DNS пакетов, протокол (UDP и/или TCP), типы пакетов (простые dns запросы, запросы на обновление записей, уведомления). С помощью опцию Filter packets by IP address можно указать IP адреса, для которых нужно логировать отправленные или полученные пакеты (поможет существенно уменьшить размер лога). В поле Log file path and name укажите имя текстового файла, в который нужно записывать все события. По умолчанию размер DNS лога ограничен 500Мб. После достижения этого лимита старые события начнут перезатираться новыми.

Теперь выполните с любого компьютера DNS запрос к DNS-серверу, например:

nslookup winitpro.ru 192.168.13.10

Или выполните DNS запрос с помощью PowerShell:

Resolve-DnsName -Name winitpro.ru -Server 192.168.13.10

Данный запрос вернет клиенту IP адрес запрошенного сервера.

Фреймворки Scapy, Scrapli и Scrapy.

Всем привет.

Однажды мне удалось перепутать фреймворк Scapy со Scrapli. Оказалось этого мало - ведь есть еще один фреймворк под именем Scrapy. Что было с фантазией авторов на имена, но все фреймворки существуют по сей день, и служат совершенно разным целям. Поэтому пройдемся кавалерийским шагом по каждому.

Фреймворк Scapy.

Scapy является мощной программой интерактивной манипуляции пакетами на основе Python. Я на это ней уже пару раз останавливался.

Фреймворк Scrapli.

Scrapli это модуль, который позволяет подключаться к сетевому оборудованию используя Telnet, SSH или NETCONF. Также как и netmiko, Scrapli может использовать paramiko или telnetlib (и другие модули) для самого подключения, но при этом предоставляет одинаковый интерфейс работы для разных типов подключения и разного оборудования.

Установка scrapli:

pip install scrapli

Три основные составляющие части Scrapli:

• transport - это конкретный способ подключения к оборудованию

• channel - следующий уровень над транспортом, который отвечает за отправку команд, получение вывода и другими взаимодействиями с оборудованием

• driver - это интерфейс, который предоставляется пользователю для работы со scrapli.

Тут есть как специфические драйверы типа IOSXEDriver, который понимает как взаимодействовать с оборудованием конкретного типа, так и базовый драйвер Driver, который предоставляет минимальный интерфейс для работы через SSH/Telnet.

Cisco Packet Tracer - новый взгляд.

Всем привет.

Выполняя обзор эмуляторов и симуляторов оборудования Cisco семь лет тому я, разумеется, упоминал и Cisco Packet Tracer. Ну как же было без него, ведь его каждая академия Cisco считает за основу основ для студента. Я уже и в онлайн академии начал выполнять лабораторные работы, как тут мое внимание обратили повторно на ветерана. За первоисточнком обращайтесь к Сергею Болдину в журнале "Системный администратор", первый номер за прошлый год.

Итак, суть не изменилась: Cisco Packet Tracer - это программное обеспечение для моделирования сетей, предназначенное для моделирования сетевых устройств Cisco. Вы можете использовать Cisco Packet Tracer для проектирования простых и довольно сложных сетевых топологий. Вы также можете настроить виртуальные машины, маршрутизаторы, коммутаторы и другие устройства в Packet Tracer для проверки топологии сети. Cisco Packet Tracer также можно использовать для моделирования беспроводных сетей, сетей IP-телефонии (VoIP) и многих других.

Все как обычно? Все да не все. Да, вполне логично, что количество активных Cisco-устройств было расширено, также было расширен список сервисов которые можно из коробки запускать на хосте или сервере.

Однако сейчас очень популярны устройства, которыми можно управлять по сети. Одни идут уже готовые, другие можно собрать из мелких деталей как конструктор Arduino. Стоп, причем здесь Arduino? А при том что Cisco Packet Tracer поместил симуляторы устройств типа IoT во вкладки Home, Smart City, Industrial раздела End Devices. Компоненты – в Boards, Actuators, Sensors раздела Components. В них доступны платы MCU и SBC (микроконтроллеры и однопроцессорные платы), к которым можно подключать массу готовых элементов: форсунки, охладитель воздуха, мотор, сервопривод, светодиод, динамик, нагревательный элемент, экран, сенсоры движения, металла, влажности, дыма, звука, ветра, воды, кнопки и прочие.

Вот так вот! Теперь это все доступно в Cisco Packet Tracer! И виноват в этом Cisco Нome Gateway DLC100. Наш герой в центре.

Syslog-сервер на Powershell.

Всем привет. 

Для организации своего Syslog-сервера достаточно Powershell. И все? В принципе да. Вам понадобиться небольшой скрипт который я привожу ниже. Автора  я не помню, поэтому фильтрацию по файлам или Facility добавите сами. Это работает!

$day = Get-Date -Format "dd"

$month = Get-Date -Format "MM"

$year = Get-Date -Format "yyyy"

$today = "$day-$month-$year"

$SysLogPort = 514                  # Default SysLog Port

$Buffer = New-Object Byte[] 1024   # Maximum SysLog message size

$EnableMessageValidation = $True   # Enable check of the PRI and Header

$EnableLocalLogging = $True        # Enable local logging of received messages

$EnableConsoleLogging = $True     # Enable logging to the console

$EnableHostNameLookup = $false      # Lookup hostname for connecting IP

$EnableHostNamesOnly = $true       # Uses Host Name only instead of FQDNs

$LogFolder = "C:\scripts\log\"

$CriticalSound = new-Object System.Media.SoundPlayer;

$CriticalSound.SoundLocation="c:\WINDOWS\Media\Windows Critical Stop.wav";

$GoodSound = new-Object System.Media.SoundPlayer;

$GoodSound.SoundLocation="c:\WINDOWS\Media\tada.wav";

Магический квадрат.

Всем привет.

У художника Стивена Гарднера завидное хобби - он любит путать своего зрителя. На небольшом холсте кроме очевидных пары-тройки персонажей он любит прятать еще столько же. Стивен Гарднер - истинный мастер своего дела. Его картины - это не только произведение искусства, потрясающее мастерство кисти, но и увлекательнейший ребус. Его картины используются как тест человеческой наблюдательности.

Обычно под каждой его картиной указывается четкая задача - найти столько то зверюшек. Но я вам хочу предложить его мега-творение чуть ниже. Скажу лишь что тут есть и мишки, и волки и орлы.

А вот сколько их и кого именно вам подскажет магический квадрат. Проведете аналогию между фигурами и зверями и все станет на свои места.

Успехов!

iLO Amplifier Pack.

Всем привет.

Изучая iLO от НР нашел для себя iLO Amplifier Pack - по настоящему хороший инструмент когда ваш парк серверов HPE более 20 единиц. В случае когда физических НР-серверов меньше, будет достаточно и HP Smart Update Manager. Хотя удобства iLO Amplifier Pack вряд ли можно сравнить с HP Smart Update Manager, у последнего только одно солидное преимущество - он в свободном доступе.

iLO Amplifier Pack дает возможность быстро обнаруживать, инвентаризировать и обновлять сервера Gen8, Gen9 и Gen10 HPE с быстрой скоростью и масштабированием.

Основные характеристики:

• быстрое обнаружение и инвентаризация до 10 000 серверов Gen8, Gen9 и Gen10 в среде вашего центра данных
• доступ к подробным отчетам о прошивке и инвентаризации оборудования
• управление обновлениями с использованием простого графического интерфейса пользователя на основе браузера для сокращения времени простоя и повышения эффективности
• восстановление серверной системы (только для HPE ProLiant Gen10 или более поздней версии)
• автоматическое или ручное восстановление необходимой прошивки, настроек конфигурации микропрограммы и упрощение процедур для инициирования пользовательского восстановления
• необходима лицензия iLO Advanced Premium Security Edition на управляемых серверах.

iLO Amplifier Pack поставляется в виде zip архива, который содержит шаблон виртуальной машины для VMware ESXi server, Hyper-V или  KVM appliance. Для его скачивания вы должны иметь HPE Passport.

Подготовка виртуальной машины Hyper-V.

Требования: 4 vCPUs, 8 GB RAM, 100 GB of free HDD space, 2 Network Ports 1.0 Gbps.

В параметрах виртуальной машины Hyper-V нужно добавить два сетевых адаптера и отключить динамическую память. 

Ранее писали что на всех НР-серверах которые должны попадать в мониторинг iLO Amplifier Pack должен быть установлен SUT.  SUT - набор утилит операционной системы от компании HPE, которые предоставляют возможность выполнять онлайн прошивку или обновления драйверов через HPE iLO не требуя учетных данных ОС и включен режим autodeploy: hpsut -set mode=autodeploy. С версии iLO Amplifier Pack 2.00 применение SUT не требуется.

Меняем max_connections для MySQL.

Всем привет.

При экспериментах с буфером в Zabbix получил неожиданно ошибку "...too many connections". При этом фронтенд Zabbix-а был доступен, но сам сервис благополучно отдыхал от своей работы. Оказалось что текущие настройки pooler-a Zabbix требуют себе больше количество разрешенных коннектов при доступе к базе данных MySQL. Как известно, за это отвечает параметр MySQL max_connections, который по умолчанию равен 200.

Вроде все просто - идем в файл /etc/mysql.cnf и меняем лимит подключения:

[mysqld]

max_connections = 1000

Перезапускаем сервис MySQL

systemctl restart mysql

и проверяем SQL-запросом show variables like "max_connections"; текущее значение max_connections и... понимаем что ничего не изменилось.

А дело в том что в связи с переходом Ubuntu с Upstart на Systemd с версии 15.04 и выше, не соблюдаются ограничения выставленные в /etc/security/limits.conf для системных служб. Эти ограничения теперь применяются только к пользовательским сеансам. Пределы для службы MySQL определены в файле конфигурации Systemd, который мы должны скопировать из своего местоположения по умолчанию в /etc/systemd, а затем отредактировать копию:

sudo cp /lib/systemd/system/mysql.service /etc/systemd/system/

sudo nano /etc/systemd/system/mysql.service

Добавляем следующие строки в конец файла:

LimitNOFILE=infinity

LimitMEMLOCK=infinity

И перегружаем конфигурацию Systemd с помощью:

sudo systemctl daemon-reload

Перезапускаем еще раз MySQL

systemctl restart mysql

и вот только теперь он будет подчиняться нашей директиве max_connections.

Также советуют указать большие значения параметров для max_user_connections  и max_connect_error.

Успехов.