当前位置：文档之家› AuditSys 3.0配置手册

AuditSys 3.0配置手册

AuditSys3.0配置手册

北京华夏威科软件技术有限公司

2015年2月

文档阅读说明 (3)

一、用户配置 (3)

1.创建角色 (3)

2.创建用户 (4)

3.修改默认管理员密码 (6)

二、数据库配置配置 (6)

1.启用TCP/IP协议 (6)

2.文件流配置（下面两个位置都必须启用） (7)

3.创建数据库 (9)

4.数据库连接和初始化 (10)

三、授权配置 (11)

1.控制服务器授权 (11)

2.客户端授权 (12)

3.回收客户端授权 (13)

四、域认证 (13)

1.使用“AS二次认证配置工具ADExplorer”建立域连接 (13)

2.域认证 (14)

五、身份认证管理 (15)

1.AuditSys二次登陆账户认证流程图 (16)

六、审计策略配置 (16)

1.B/S应用和上网操作 (16)

2.DBA管理员操作 (21)

3.运维应用操作 (28)

4.普通应用操作 (37)

5.数据分析 (46)

6.数据报表 (50)

文档阅读说明

1.标黄色底纹的地方，为特别需要注意的地方；

2.在AuditSys版本

3.0中，配置数据源的时候数据源名称必须为“AuditSys”

（此处在安装文档中已说明）；

3.数据库的数据流功能必须在配置管理器和数据库属性中都启用；

4.浏览器建议使用IE9及以上版本，并且启用兼容性功能；

5.Console默认端口4884，rserver接受视频默认端口7000，若有改动，请牢记。

一、用户配置

AuditSys控制服务器默认会使用Web界面进行管理。通过此Web界面，可

以完成AuditSys所有操作。默认情况下，使用TCP端口4884。使用默认TCP 4884 端口时，使用以下URL登录到AuditSys控制服务器的管理控制台：

http:// <控制服务器IP或域名>：4884

1.创建角色

选择“系统配置”-“角色管理”。系统默认超级管理员组不可见。点击“添加”按钮添加新的角色。

在“名称”处输入自定义的角色名称；“类型”处设置授权类型，如果使用LDAP 类型，则需要输入相应的LDAP组属性值；在权限中勾选改角色的权限。

点击“提交”，返回“角色管理界面”。可以看到角色已经创建完毕。

2.创建用户

选择“系统配置”-“管理员”。点击“添加”按钮添加新管理员。

在“名称”输入新管理员名称，“真实姓名”可以输入管理员的真实姓名。在角色处，只能勾选用户创建的角色，默认超级管理员角色不可选。可以为该管理员设定一个过期时。

用户创建时即设置了角色，该角色包含了一系列的权限组合，因此不再需要对

用户进行权限分配。点击“设置”返回“管理员”界面，可以看到用户创建完

毕。

3.修改默认管理员密码

默认管理员不能禁用和修改角色。请妥善使用该账户。

二、数据库配置配置

1.启用TCP/IP协议

1)依次点开：开始-所有程序，依次展开Microsoft SQL Server 2008-配

置工具，选择SQL Server配置管理器：

2)在SQL Server配置管理器中，选择左侧的SQL Server网络配置；选

择MSSQLSERVER的协议，在右侧TCP/IP选择启用：

2.文件流配置（下面两个位置都必须启用）

在现有实例中启用文件流功能有两个位置：SQL Server 配置管理器和SQL Server服务管理器。

位置一：通过SQL Server配置管理器

开始-所有程序，依次展开 Microsoft SQL Server 2008-配置工具，选择SQL Server配置管理器：

在SQL Server配置管理器中，选择左侧的SQL Server服务；然后在右侧选择数据库服务实例，右键选择“属性”，在文件流选项卡中，勾选所有。然后重启数据库服务。

位置二：通过SQL Server服务管理器

使用 SQL Server 服务管理器连接数据库服务实例(必须有

sysadmin权限)

选择数据库-右键-“属性”。在数据库实例属性中，左侧选择高级-右侧在文件流访问级别中，选择“启用完全访问”。确定之后，重启数据库服务。

3.创建数据库

创建库使用数据库管理工具，连接到数据库，执行以下代码：

CREATE DATABASE AUDITSYDB

ON PRIMARY ( NAME = AUDITSYDB,

FILENAME = 'X:\YourPath\AuditsyDB.mdf'),

LOG ON ( NAME = AUDITSYDB_log1,

FILENAME = 'X:\YourPath\AuditsyDB.ldf')

注意：请把AuditsyDB替换为符合企业规范的数据库命名,X替换为用于存储AuditSys数据库记录的分区，YourPath替换为存储AuditSys

审计记录的目录。

创建用户选择安全-登录，右键选择“新建登录名”。

在登录名中输入用户账户，选择SQL授权模式，设定密码。建议取消强制密码策略和设置默认数据库为创建的数据库。

分配权限选择安全-登录，选中创建的用于访问AuditSys数据库的用户名，右键-属性，在用户映射-选中创建的AuditSys数据库，在授权选择中授予

db_owner权限

4.数据库连接和初始化

登录到AuditSys管理控制台，选择“系统设置”-“数据库配置”。

在数据库配置中，依次输入以下信息：服务器地址：

数据库服务器IP地址

数据库名称：在AuditSys数据库中创建的数据库

账户:AuditSys数据库中具有管理上述数据库权限的账户密码：上

述帐号密码配置完成之后，即完成控制服务器对服务器的连接。新创

建的数据库不包含 AuditSys 所需要的表空间，使用之前需初始化数

据库。在“数据库配置”界面，点“初始化数据库”即完成对数据库

表空间的初始化操作。

三、授权配置

AuditSys审计系统需要进行授权才能进行记录和审计。AuditSys授权通过控

制服务器进行，授权以一串64字符长度的授权码表示。授权码中包含授权有效期、授权许可数量(即客户端数量)。每个AuditSys控制服务器只能有一个有效的授权码。授权码包含一定数量的客户端许可，需要把这些许可分配给客户端之后，AuditSys才会开始对客户端进行记录和审计。

1.控制服务器授权

控制服务器根据安装时生成的硬件序列号进行授权。使用该硬件号生成相应的许可序列号。许可序列号包含AuditSys使用期限和客户端许可数量。在AuditSys

管理控制台-“系统配置”-“软件授权”中进行设置。

终端许可说明：

普通终端：Windows XP、Windows7等桌面操作系统客户端。

普通服务器：Windows 2003、Windows 2008等服务器操作系统客户端。

高级服务器：部署AD、DNS等Windows服务器操作系统客户端。

控制端授权中包含的客户端授权为允许进行记录的客户端授权上限。

2.客户端授权

完成控制服务器授权之后，还需要对客户端进行授权，才会对该客户端进行记录和审计。授权在“审计终端管理”-“终端列表”中进行。

选中需要授权的客户端，点击“激活”。客户端“状态”变为“启用”时，即可对该客户端进行记录和审计。

3.回收客户端授权

当客户端不再被使用，可以将对该客户端的授权回收，然后分配到其它客户端。授权回收在“审计终端管理”-“终端列表”中进行。

选中需不再使用的客户端，点击“停用”。客户端“状态”变为“禁用”时，该客户端将不再进行记录和审计。

四、域认证

域认证主要是提供AuditSys系统与域之间的帐户信任关系，用户在使用本机

管理员登录客户端时，使用域账号认证具体的使用人员；在用户使用域管理账号登录客户端时，使用其他域账号进行认证具体的使用人员。建议客户在域上单独为AuditSys建立一个组织单位，用来配置二次身份认证帐户来源和对AuditSys的管理。

1.使用“AS二次认证配置工具ADExplorer”建立域连接

1)默认位置： X:\Program Files (x86)\AuditSys\Console\system

2)连接配置：

2.域认证

域服务器认证步骤：

1)在AuditSys 管理后台系统中【系统配置】—【域认证】栏目，注册可以

供使用的认证域：

2)添写域信息（域名、使用范围等）：

五、身份认证管理

“身份认证管理”功能是终端用户在共用域账号或共同使用本地管理员账号时登录windows 客户端系统时，会存在不能分辨具体是哪个人登录的。身份认证管理要求用户进行二次登录认证，通过二次登录的方式，具体识别登录用户的身份，保证审计用户的唯一性。

二次登录认证提供3 种认证方式：本地认证，域服务器认证，本地和域服务器认证。

1.AuditSys二次登陆账户认证流程图

六、审计策略配置

在实际生产环境中，会有各种各样的应用场景：普通应用操作、运维应用操作、DBA管理员操作、B/S程序或上网操作等，针对不同的场景会需要不同的策略来满

足生产环境的需求，AuditSys有非常灵活的策略模块来满足实际生产环境的各种

应用

1.B/S应用和上网操作

B/S应用敏感操作规则配置

在“违规规则配置”-“B/S应用敏感操作规则”界面下点击添加按扭：

进入网址规则添加页面，该页面主要添加网址规则和标题规则。输入相关信息，向网址规则列表中添加违规网址，标题规则列表中添加违规标题内容，点击设置保存，如下图所显示：

注：上网操作违反网址相关规则或者标题规则中的任何一个，数据将被记录

上网审计策略配置

在“B/S程序或上网操作”-“上网审计策略”界面下点击添加按扭：

进入用户策略配置页面。输入用户名称，名称要符合计算机名/用户名的格式，选择添加规则。其中勾选图像，记录上网操作的界面图像；勾选元数据，记录相关的网址以及上网标题信息。如下图：

如以上的配置，PC201408211413/Administrator登陆https://www.doczj.com/doc/c014156824.html,可触发违规规则，在上网活动检索页面可以查询到相关数据；而登陆https://www.doczj.com/doc/c014156824.html,则无法触发违规规则。上网活动检索

进入B/S程序或上网操作/上网活动检索页面，如下图所显示

从下拉菜单中选择的数据会随着起始时间和截止时间的变化而变化，请看如下两图

选择相关条件，查询后如下图显示

时间轴显示存在数据的日期，点击时间轴上的日期，该日期突出显示，并可以查询该天的数据，查询效果如下图

再次点击该日期，取消日期的突出显示，并显示所有日期的查询结果

违规记录详细如下图

Amanda安装配置

Amanda安装配置一关于amanda Amanda本身并不是备份程序，它其实只是管理其他备份软件的封装软件。它使用系统上的dump和restore命令作为底层的备份软件，同时也能够使用tar命令，针对于windows计算机，Amanda还能够使用smbtar命令来实现备份。 Amanda 的整体策略是：在每次周期中完成一次数据的完全备份，并且确保在两次完全转储之间备份所有更改的数据。传统的做法是先执行完全备份，然后在此期间执行增量备份。而Amanda 的工作方式不同的是，每次运行Amanda 都对部分数据进行完全备份，确切地说，就是在一个完整的备份周期内备份全部数据所需备份的其中一部分。例如，如果周期为7 天，且一个周期内进行7次备份，则每天必须备份1/7 的数据，以便在7 天之内完成一次完全备份。除了这个“部分”完全备份外，Amanda 还对自最近一次完全备份后更改的数据进行增量备份。Amanda这种特有的备份策略，可以减少每次备份的数据量 amanda组件 Amanda系统包含如下组件： 1、客户端程序，是amandad 其中最重要的。此后台程序在备份运行时和Amanda 服务器进行通信。在/usr/lib/amanda目录下，还有其它的一些客户端程序：amandad 处理客户机和中央服务器之间的所有通信；运行所有其它的客户端程序；selfcheck 验证本地Amanda 配置；sendsize 估计备份大小；sendbackup 执行备份操作；这些程序是Amanda 客户端系统的一部分。但是并不能通过手工去执行他们，是由客户端包的其他辅助程序来调用这些程序。 2、执行各阶段实际备份操作的服务器程序。amdump 程序启动Amanda ，并且常常使用cron 定期运行。它控制一些其他程序，包括：planner 决定备份哪些内容；driver 设备接口；dumper 与客户端amandad 进程进行通信；taper 把数据写入媒介；amreport 准备Amanda 运行的报告； 3、执行相关任务的管理工具，包括：amcheck 验证Amanda 配置的有效性以及此工具是否准备运行；amlabel 在磁带上写入Amanda卷标，用于避免覆盖错磁带；amcleanup 在

开源自动化配置管理工具Puppet入门教程

开源自动化配置管理工具P u p p e t入门教程系统管理员经常陷入一系列的重复任务中：如升级软件包、管理配置文件、系统服务、cron任务以及添加新的配置、修复错误等。这些任务通常是重复低效的，解决这类任务的第一反应是让他们自动化，于是出现了定制脚本。由于环境复杂，定制脚本和应用程序一再被重复开发，并且很难适合多种平台，灵活性和功能也很难保证，于是像Puppet这样的自动化配置管理工具便出现了。在开源世界里，有很多配置工具可供选择，这个领域一些关键的产品有： Puppet(): Ruby写成的配置管理工具，使用C/S架构，使用declarative language配置客户端。 Cfengine(): 最先发布的开源配置工具之一，1993年发布，同样是C/S架构，通常应用于教育机构。 LCFG(): C/S架构的配置管理工具，使用XML定义配置。 Bcfg2 Python编写的C/S架构的配置管理工具，使用规格书和客户机响应配置目标主机。本文档致力于描述使用Puppet管理你的主机、应用程序、后台程序和各种服务。 Puppet简介： 1. Puppet的用途 Puppet是开源的基于Ruby的系统配置管理工具，依赖于C/S的部署架构。主要开发者是Luke Kanies，遵循GPLv2版权协议。从1997年开始Kanies参与UNIX的系统管理工作，Puppet的开发源于这些经验。因为对已有的配置工具不甚满意，从2001年到2005年间，Kanies开始在Reductive实验室从事工具的开发。很快，Reductive实验室发布了他们的旗舰产品——Puppet。 2. Pupput的特性许多系统配置管理工具工作的方式非常类似，如cfengine。是什么让Puppet与众不同Puppet的语法允许你创建一个单独脚本，用来在你所有的目标主机上建立一个用户。所有的目标主机会依次使用适用于本地系统的语法解释和执行这个模块。举例：如果这个配置是在Red Hat服务器上执行，建立用户使用useradd命令;如果这个配置是在FreeBSD 主机上执行，使用的是adduser命令。 Puppet另一个卓越的地方是它的灵活性。源于开源软件的天性，你可以自由的获得Puppet的源码，如果你遇到问题并且有能力的话，你可以修改或者加强Puppet的代码去适用于你的环境。另外，社区开发者和捐献者还在不断增强Puppet的功能。一个大的开发者和用户社区也致力于提供Puppet的文档和技术支持。 Puppet也是易于扩展的。定制软件包的支持功能和特殊的系统环境配置能够快速简单的添加进Puppet的安装程序中。

Puppet利用Nginx多端口实现负载均衡

随着公司应用需求的增加，需要不断的扩展，服务器数量也随之增加，当服务器数量不断增加，我们会发现一台puppetmaster压力大，解析缓慢，而且时不时出现“time out”之类的报错，那这时有什么优化的办法吗？我们在Puppet官网上找寻解决方案，发现puppetmaster可以配置多端口，结合WEB代理（推荐Nginx），这样puppetmaster承受能力至少可以提升数倍以上，相当于在很大程度上优化了puppet的处理能力。 1.遵循前面的环境设定，我们这里的服务器环境及软件版本分别为: 服务器系统：CentOS5.8 x86_64 Ruby版本：ruby-1.8.5 Puppet版本：puppet-2.7.9 Nginx版本：nginx-0.8.46 2.Mongrel安装要使用puppet多端口配置，需要指定mongrel类型，默认没有安装，需要安装： yum install -y rubygem-mongrel 3.配置puppetmaster 在/etc/sysconfig/puppetmaster文件末尾添加如下两行，分别代表多端口、mongrel类型，内容如下所示： PUPPETMASTER_PORTS=(8141 8142 8143 8144 8145) PUPPETMASTER_EXTRA_OPTS="--servertype=mongrel --ssl_client_header=HTTP _X_SSL_SUBJECT" 4.安装Nginx服务安装之前请确保系统已经安装pcre-devel正则库，然后再编译安装Nginx，需要添加SSL 模块参数支持，Nginx的安装过程如下所示： yum -y install pcre-devel cd /usr/local/src wget https://www.doczj.com/doc/c014156824.html,/download/nginx-0.8.46.tar.gz tar zxvf nginx-0.8.46.tar.gz cd nginx-0.8.46 ./configure --prefix=/usr/local/nginx --with-http_ssl_module make && make install && cd ../ 添加www用户组及用户，命令如下所示： groupadd www useradd -g www www 5.我们依据puppet需求来修改配置文件nginx.conf，内容如下所示： user www;

openstack部署与管理-fuel介绍

OpenStack部署与管理之 Fuel介绍成胜汉柏科技有限公司

内容 Fuel简介 Fuel架构 Fuel功能 Fuel扩展 2

OpenStack部署 OpenStack发展很猛，很多朋友都很认同，为了解决OpenStack部署的问题，让安装，配置变得更加简单易用，很多公司都投入人力去做这个。说到部署，肯定和OS有关，对于OpenStack来说，无非就是Ubuntu还是CentOS，当然也会和OpenStack版本有关。其实部署工具，最麻烦的地方，不是软件的配置和安装，而是网络。用户的网络情况太多，还有OpenStack本身的网络也很复杂。

部署工具： RDO： REDHAT出品，支持Redhat、CentOS等系统。RDO基于puppet部署各个组件，支持单节点或多节点部署，在Redhat系操作系统上使用非常方便。 devstack：这个应该是最老的Fuel简介了，可以用来快速部署一个OpenStack测试环境，基于git最新代码部署服务，并将所有服务都起在screen中，不适合生产环境直接使用。 Fuel： Mirantis出品，支持在ubuntu和centos上通过web界面配置并部署OpenStack，应该是目前最为直观的Fuel简介。支持自动发现部署节点，并部署 OpenStackHA，对OpenStack作健康检查等。

Mirantis 一家很牛逼的OpenStack服务集成商，他是社区贡献排名前5名中唯一一个靠软件和服务吃饭的公司（其他分别是Red Hat, HP, IBM, Rackspace）。相对于其他几个社区发行版，Fuel的版本节奏很快，平均每两个月就能提供一个相对稳定的社区版。

puppet安装以及遇到的问题

Puppet安装以及遇到的问题主机名需要能够解析，相互之间能够解析。 1、puppet master的安装puppet 1)通过源代码安装 2)通过二进制的安装（yum apt-get...） # wget -r ftp://192.168.0.254/notes/softwares/puppet # tar xf puppet-2.7.23.tar.bz2 # cd puppet-2.7.23 # yum -y localinstall puppet-server-2.7.23-1.el6.noarch.rpm puppet-2.7.23-1.el6.noarch.rpm facter-1.6.18-3.el6.x86_64.rpm ruby-augeas-0.4.1-1.el6.x86_64.rpm ruby-shadow-1.4.1-13.el6.x86_64.rpm 2、在两个agnet上安装agent # cd /root/puppet-2.7.23/ # yum -y localinstall puppet-2.7.23-1.el6.noarch.rpm facter-1.6.18-3.el6.x86_64.rpm ruby-augeas-0.4.1-1.el6.x86_64.rpm ruby-shadow-1.4.1-13.el6.x86_64.rpm 3、配置puppet master端 # rpm -ql puppet-server /etc/puppet/fileserver.conf －－puppet内置的文件服务器 /etc/puppet/manifests －－全局的资源清单所在的目录 /etc/puppet/puppetmasterd.conf －－主配置文件

NOVA安装手册

NOV A安装手册目录 chapter1 System Requirements chapter2 NOV A手动安装步骤 2.1安装nova 相关软件包 2.2 安装MySQL数据库 2.3 进行网络环境配置 2.4 创建工程并配置环境 2.5 上传镜像并运行一个实例 chapter3 配置Glance镜像服务器chapter4 安装Dashboard远程操作界面chapter5 使用Puppet部署OpenStack环境chapter6 FAQ 常见问题及解决办法

chapter1 System Requirements y硬件： x86系列机器，AMD处理器 y操作系统:：安装Ubuntu 10.04（LTS）版本 y网络：官网推荐1000 Mbps，提供nova-network服务的节点需要配置两块网卡。 OpenStack支持以下三种网络架构：flat，DHCP，VLAN&DHCP y数据库：采用MySQL数据库 y权限：需要使用root权限进行安装

chapter2 NOV A手动安装步骤 2.1安装nova 相关软件包 y下载python软件包，完成后需要run update： sudo apt-get install python-software-properties sudo add-apt-repository ppa:nova-core/release sudo apt-get update y安装Message Queue Server，Rabbit MQ及python dependencies： sudo apt-get install -y rabbitmq-server sudo apt-get install –y python-greenlet python-mysqldb y根据节点的不同类型，选择安装所需要的nova-packages和dependencies：sudo apt-get install -y nova-common nova-doc python-nova nova-api nova- network nova-objectstore nova-scheduler nova-compute y安装euca2ools 工具包： sudo apt-get install –y euca2ools unzip 2.2 安装MySQL数据库 OpenStack Nova的数据库有多种选择如MySQL 和 PostgreSQL，参照官方手册这里选用 MySQL。另外，数据库需要安装在controller节点上。 y安装mysql-server ： bash MYSQL_PASS=nova NOV A_PASS=notnova cat <

Cisco Nexus 9000系列交换机入门级部署

指南Cisco Nexus 9000 系列交换机在中小型商业数据中心的入门级部署 Carly Stoughton 2014 年 11 月

目录简介 (4) 概述 (4) 免责声明 (4) 为什么选择 Cisco Nexus 9000 系列交换机 (4) 关于 Cisco Nexus 9000 系列交换机 (5) 思科 ACI 就绪性 (6) 思科 ACI 是什么？ (6) 将 Cisco Nexus 9000 NX-OS 模式转换为 ACI 模式 (7) 数据中心设计演进 (8) 传统数据中心设计 (8) 生成树支持 (9) 商业紧缩设计 (9) 第 2 层与第 3 层影响比较 (10) 思科第 2 层设计演进：虚拟 PortChannel (12) 虚拟重叠 (13) 主干-枝叶数据中心设计 (14) 重叠设计 (15) 其他 Cisco Nexus 9000 功能支持 (17) 服务质量 (17) 组播 (19) SNMP 和支持的 MIB (19) 商业拓扑示例 (20) Cisco Nexus 9500 平台产品系列 (20) Cisco Nexus 9300 平台产品系列 (21) 设计 A：两台交换机 (22) 设计 B：两台汇聚交换机和两台接入交换机 (23) 设计 C：两台汇聚交换机和四台接入交换机 (25) 设计 D：四台汇聚交换机和四台接入交换机（采用主干-枝叶架构） (25) 与现有网络集成 (26) 接入层设备连接 (26) 设计 A 集成 (26) 设计 B 集成 (27) 设计 C 和 D 集成 (28) 交换矩阵扩展器支持 (30) 存储设计 (32) 最终状态拓扑 (35) 示例：Cisco Nexus 9000 系列设计和配置 (36) 硬件和软件规格 (36) 基本网络设置 (37) ECMP 路由设计 (39) 服务器 NIC 组合设计和配置 (40) 重叠设计和配置 (44) 为什么实施 VXLAN？ (44) VXLAN 如何工作？ (45) 组播考虑事项 (45) 主干（汇聚）组播配置 (46) 枝叶（接入）组播配置 (47) 在商业拓扑中使用 VXLAN (48) 服务设计和配置 (50) 交换矩阵管理和自动化 (52) Cisco UCS Director (52) Cisco Prime 数据中心网络管理器 (53)

puppet自定义facter说明

Puppet之ruby模块说明 1 说明使用自定义facter分别获取客户端ip地址和网卡名称，不需要在客户端安装脚本 2 配置管理服务器和被管理服务器都要配置 #vim /etc/puppet/puppet.conf [main] factpath=$vardir/lib/facter pluginsync=true 新建目录以nrpe模块为例 mkdir -p /etc/puppet/modules/nrpe/lib/facter 3 脚本 #cd /etc/puppet/modules/nrpe/lib/facter 获取外网网卡脚本 vim wannetcard.rb Facter.add(:wanname) do setcode do %x{ /sbin/ifconfig|egrep -v "127\.0\.0\.1\|192\.168\.7\."|grep -B 1 "inet addr:"|grep "eth"|/usr/bin/awk '{print $1}'|grep -v ":" }.chomp end end 获取内网网卡脚本 vim lannetcard.rb Facter.add(:lanname) do setcode do %x{/sbin/ifconfig|grep -B 1 "192\.168\.7\."|grep "eth"|awk '{print $1}'|grep -v ":"}.chomp end end 获取客户端外网IP Facter.add(:getip) do confine :kernel => :linux setcode do ip = nil output = %x{/sbin/ifconfig|egrep -v 'eth0[::]|eth1[:space:]'|grep -A1 "eth"|grep "inet addr:"} # a=output.split(/^\S/) # a.each { |str| print str} output.split(/^\S/).each { |str| if str =~ /inet addr:([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/

Cobbler安装配置手册

目录 1.Cobbler的安装 (2) 2.Cobbler的配置 (2) 3.配置Cobbler_web (4) 4.导入光盘及建立Profile (5) 5.配置Kickstart的启动文件 (5) 6.安装系统 (7)

1.Cobbler的安装 1.下载rpmforge的repository RPM # wget https://www.doczj.com/doc/c014156824.html,/rpmforge-release/rpmforge-release-0.5.2-\ 2.el6.rf.i686.rpm 2.安装rpmforge-release-0.5.2-2.el6.rf.i686.rpm # rpm -ivh rpmforge-release-0.5.2-2.el6.rf.i686.rpm 3.安装semanage命令的包policycoreutils-python # yum -y install policycoreutils-python 4.安装pykickstart #yum -y install pykickstart 5.执行cobbler check # cobbler check 6.如果报下面错误，则先择selinux关闭 # cobbler check httpd does not appear to be running and proxying cobbler # setenforce 0 7.再执行cobbler check，并按照提示下的项进行配置 # cobbler check 2.Cobbler的配置执行cobbler check，并按照提示下的项进行配置，通常的配置项如下： # cobbler check 1.启动cobbler，httpd，xinetd，dhcpd服务 # service httpd start # service xinetd start # service cobblerd start 2.执行cobbler check并按照提示下的项进行配置，通常的配置项如下从第3项开始： # cobbler check 1 : The 'server' field in /etc/cobbler/settings must be set to something other than localhost, or kickstarting features will not work. This should be a resolvable hostname or IP for the boot server as reachable by all machines that will use it. 2 : For PXE to be functional, the 'next_server' field in /etc/cobbler/settings must be set to something other than 127.0.0.1, and should match the IP of the boot server on the PXE network. 3 : Must enable a selinux boolean to enable vital web services components, run: setsebool -P httpd_can_network_connect true 4 : you need to set some SELinux content rules to ensure cobbler serves content correctly in your SELinux environment, run the following: /usr/sbin/semanage fcontext -a -t public_content_t "/var/lib/tftpboot/.*" && /usr/sbin/semanage fcontext -a -t public_content_t "/var/www/cobbler"/images/.* 5 : you need to set some SELinux rules if you want to use cobbler-web (an optional

vm虚拟机使用kickstart自动安装linux教程

在vm虚拟机中用kickstart自动安装linux教程学习完kickstart，想尝试下在VM虚拟机中实现无人值守安装linux系统。通过U盘来引导。 1 准备kickstart文件下面是kickstart文件：

# System timezone timezone Asia/Shanghai ignoredisk --drives=sdb1 bootloader --driveorder=sda bootloader --location=mbr --driveorder=sda,sdb --append="nomodesetcrashkernel=auto rhgb quiet" # Network information设置IP、网关等 network --bootproto=static --device=eth0 --gateway=192.168.4.1 --ip=192.168.4.199 --hostname=https://www.doczj.com/doc/c014156824.html, --nameserver=219.141.136.10 --netmask=255.255.255.0 --onboot=on --noipv6 #network --bootproto=static --device=eth1 --ip=10.12.1.240 --netmask=255.255.255.0 --onboot=on --noipv6 # System bootloader configuration # Clear the Master Boot Record zerombr # Partition clearing information clearpart --all --initlabel # Disk partitioning information part /boot --fstype="ext4" --size=200 part swap --fstype="swap" --size=8192 part / --fstype="ext4" --grow --size=1 user --name=javadev %packages @base @basic-desktop @chinese-support @compat-libraries @console-internet @debugging @fonts

自动化部署管理工具Puppet的工作流程

自动化部署管理工具Puppet 大数据时代高伸缩性、容错性、分布式的特点给系统运维提出了更高的要求，系统管理员不再是疲于安装操作系统、对系统参数进行逐一配置与优化、打补丁、安装软件、配置软件、添加某个服务的时代。为了提高效率、避免重复劳动、减少错误、积累知识，系统管理员都已开始做一些局部的自动化工作。但这些还远不够，为了满足运维需求，需要更彻底地应用自动化运维工具。运维工作流程常见的运维工作流程包括：安装系统→优化系统与配置→安装软件→配置软件→添加监控→检查，等网站或系统正式上线后，后续可能还会有添加服务→配置变更→打补丁修复漏洞等。是不是觉得很繁琐？尤其当我们负责大量服务器，无法凭借一己之力完成时，便需要一些自动化工具来帮忙了。系统运维工作面临的各种不确定性更让人头疼，在10台机器上变更应用还是很简单的事，但如果上升到100、1000台或者更多时就会变得非常复杂。重复性的劳动还会让人觉得疲惫和乏味，久而久之可能还会产生厌倦工作的情绪，而使用自动化部署管理工具puppet则能将这些问题迎刃而解。一、下面介绍下puppet的基本概念及工作流程等。 1.puppet的服务器-客户端模型介绍。在使用任何软件前我们都需要了解其工作原理，否则会给后续使用带来诸多不便。puppet采用了非常简单的服务器-客户端（即常用的C/S）架构，所有数据的交互都通过SSL进行，以保证安全，它的工作模型示意图如图3-1所示：

3-1 puppetr的C/S模型图如上图所示，puppet通常使用简单的C/S模型进行，服务端被称之为“puppet master”，安装在客户端的软件被称之为agent，客户端主机本身被定义为一个节点，如上图中的 https://www.doczj.com/doc/c014156824.html,、https://www.doczj.com/doc/c014156824.html,及https://www.doczj.com/doc/c014156824.html,。 2.其工作流程如图3-2所示：

puppet 入门

puppet入门huangmingyou@https://www.doczj.com/doc/c014156824.html, September30,2010

目录 1puppet简介3 1.1puppet是什么 (3) 1.2Hello world (4) 2puppet安装5 2.1debian系发行版安装puppet (5) 2.2redhat系发行版安装puppet (5) 2.3源代码安装puppet (6) 2.4配置c/s模式的puppet试验环境 (6) 3puppet语法8 3.1资源 (8) 3.2类和函数 (10) 3.3节点 (11) 3.4变量和数组 (12) 3.5模块 (13) 4几个常用的资源14 4.1file资源 (14) 4.2package资源 (15) 4.3service资源 (15) 4.4exec资源 (16) 5puppet高级内容17 6FAQ18

第0章2 前言随着数据中心服务器的增加，传统的系统维护方法有点捉襟见肘，于是出现了配置管理软件，利用配置管理，可以把整个数据中心的服务器的所有配置内容管理起来，方便大规模的管理以及快速的部署。配置管理软件有很多，最出名的是cfengine,但是cfengine的语法比较晦涩，于是出现了puppet。puppet 的语法简单，对管理内容的抽象很好，很容易理解代码，因此最近正迅速的流行开来。puppet是免费开源软件。可以自由使用，现在google正使用puppet管理超过6000台的mac桌面电脑。这还是07年的数据。另外很多世界知名的it企业也在使用puppet,开源社区的fedora也使用puppet。国内的大公司也在准备从cfengine转移到puppet上面。撰写本文的目的是让初学者对puppet有一个简单的认识能快速的入门，因为是利用空余时间完成，时间和精力有限，因此只讲解了最基本的内容，高级的内容都没讲解，如果你需要深入学习可以参考国内的中文wiki以及官方的文档。本文欢迎转载，但是请保留作者信息。

运维核心之三运维工具

运维核心之三运维工具问：先有IT运维工具，还是先有流程呢？答：听到这个问题，很多人的回答是“当然是先有流程，然后有工具了。”想一想管理有多少年了，管理工具有多少年。IT有多少年，IT管理工具多少年。当然是先有的管理，然后有的管理工具。所以是先有流程，然后有流程的管理工具。十年前，ITIL和老外一起进入中国的时候，我和他们在一起讨论这个问题的时候，18摸的大专家很鄙夷的对我说：我们做了这么多年流程。先有流程再有工具，你们怎么老向我要工具，流程都没有要什么工具。当时年轻，被人一凶就很安静的认了。那个时候，中国的IT管理方面也没有什么经验。感觉老外说的很有道理。现在想，也对也不对。如果你们公司已经有了流程，那么就应该按现在的流程，然后找到相适应的工具。如果公司发展了，流程已经不适合现在公司的情况了，目前一筹莫展，你也不知道怎么办了。我推荐就先上运维工具吧。因为现在不少工具都是上百家公司，上千家运维人测试过的。他们已经不只是一个工具了，有的时候带着别的公司的经验来的。所以，就直接上工具。当然有一个前提，在工具成本不高（比如开源的软件，不花钱，可改可调）。不过，现在好IT运维工具，上来就几千万，真的是吓死本宝宝了。问：如果选择一款适合自己的运维工具呢？答：工具的选择原则：follow u heart. 你们公司什么样子，只有你最明白，最清楚。如果你真的不明白也不清楚，你找一个第三方IT咨询公司给你看一下。很多时候是，不知庐山真面目，只因身在此山中。无论怎么选，要记住软件一定要可以定制化的。因为公司和公司是不同的，意见是可以听的，做事情的还是自己，如果软件不可控。或者是软件很便宜，变更费用过高。我以为一定要三思而后行。东西不在自己手里，真的很恐怖。问：你说这么多，你能不能推荐几个答：我不是软文，所以，我推荐产品大部分为开源，个别我用了感觉很爽的。只作为科普。监控类：从基础到应用 openDCIM PHP语言开源可以记录机房温湿度，可以记录机柜拜访情况，最大特点可以通过MIB文件导入信息。也就是可以自动导入设备名称，厂家，端口状态 Racktables PHP语言开源简单的记录，直观清晰。 Zabbix 开源WEB网页好处不用说了，虽然界面不好看，但是太实用了，非常全面，易用性非常好。目前能想到监控的都能监控，如果不能，可以自己写出来，也能可以了。监控之后可以发邮件，发短信，发微信。多么符合中国国情，不是因为多符合中国国情而是支持各种脚本。如果有很好的俄文基础，俄国人做到了端口。真想对毛子兄说，你咋不上天呢。凡是好用的开源软件，俄国人，都会很认真的研究。 Zabbix各个发展的Zabbix变种软件 Zabbix->zatree Zabbix – weathermap Zabbix-kafka外衣流程管理类： ITOP PHP开源CMDB+ITIL OTRS ITIL

puppet实战经验

构树参考/

Ansible部署手册

Ansible安装部署一：安装环境 OS：CentOS release 6.6 (Final) X64 Python: 版本不低于2.6 Ansible: ansible-2.0.0.2.tar.gz 二：安装根目录下新建文件夹ansible 并将Ansible安装包上传到此处Cd / && mkdir ansible cd /ansible && tar -xzvf ansible-2.0.0.2.tar.gz cd ansible-2.0.0.2 && Python setup.py install 三：配置ansible mkdir -p /etc/ansible cp /ansible/ansible-2.0.0.2/examples/* /etc/ansible ###copy 默认配置文件并且修改ansible.cfg下列选项####### inventory = /etc/ansible/hosts remote_user = root private_key_file = /root/.ssh/id_rsa

#############修改/etc/hosts文件添加如下主机群############## [test] #集群名称 192.168.3.13 #主机地址 192.168.3.14 #主机地址四：配置所有主机的免秘钥登录 ssh-keygen -t rsa 然后两次回车 ssh-copy-id -i root/.ssh/id_rsa.pub root@192.168.3.13 ssh-copy-id -i root/.ssh/id_rsa.pub root@192.168.3.14 ......... 每一台服务器都需要配置ssh免秘钥登录配合shell脚本提高效率ip.txt 文件格式（服务器密码）一行一个服务器例如： 192.168.3.13 Haibo2015 192.168.3.14 Haibo2015 #!/bin/bash #Made By Qin 2016-2-01 for auto ssh login cat ip.txt| while read line

数据中心CMDB配置管理指南

数据中心CMDB配置管理指南 IT行业标准组织分布式管理任务组（DMTF）在2009年7月21日创建了配置管理数据库联盟（CMDBf）工作组规范，CMDBf规范可以帮助企业更轻松地集成多源CMDB数据，使CMDB工具集和厂商拥有更多特性。对于数据中心而言，CMDB显得更为重要。通过CMDB的使用，数据中心管理人员可以对数据中心基础设施进行备案。在有设备发生故障时，也可以通过CMDB对其进行准确而又及时的定位，从而提高运营效率。但是，CMDB的实施并不是一件容易的事。本技术手册就带领大家去认识CMDM的概念和意义，以及如何利用CMDB 来对数据中心进行配置和变更管理。 CMDB概念每个企业和公司都需要一个配置管理数据库（CMDB）。当前架构配置的精确记录对每步IT操作和过程来说都是至关重要的。如今，故障排查速度越来越快了、资源分配的分析也比以前容易了、基础设施的更改给服务带来的影响也越来越小。 CMDB联盟工作组规范加速配置管理系统集成如何判断企业需要CMDB项目决策？ CMDB的意义和应用领域如今，所有IT机构都在尽力降低自己的运营成本，试图实现绿色运营。在追求绿色运营目标的过程中，他们会采取数据中心整合、降低能耗、部署虚拟化或云计算等等策略。通常，IT都会一窝蜂似地去购买解决方案，迫不及待地点击“安装”，殊不知等待他们的却是另一次危机。

数据中心绿化配置管理至关重要将IT变更管理作为灾难恢复的一部分如何实施CMDB 对于专家来说，确保一个管理数据库（CMDB）的成功配置意味着要经历一个缓慢而渐进的过程，并确保在IT部门中的每个人都能够在项目的成果中受益。IT配置始终处于变化之中，管理人员们需要一种方法来在任何指定的时间跟踪每一个IT资产的当前状态，以及它与其他资产之间的关系。决定一个新CMDB项目成功与否的五大要素 Puppet配置管理工具概念及其工作原理 ITSM基础：执行变更管理过程

TCE对象存储CSP运维手册

一、CSP 产品简介 1.1 概述腾讯云对象存储CSP（Cloud Storage on Private）是面向企业客户提供可扩展、高可靠、强安全、低成本的PB级海量数据存储能力，同时保证核心敏感数据私密性。CSP 提供客户机房私有部署、腾讯云机房专区部署两种方式，满足客户多种场景需求，并保障客户对系统100%可控。主要针对于敏感数据、监管要求不能上云的企业客户。CSP 提供对象存储能力，接口完全兼容AWS S3协议，通信基于HTTP/HTTPS网络协议，并使用REST风格，协议简单清晰无状态，易于访问。提供了用户隔离与权限控制机制。 1.2 名词解释 Bucket：存储桶，在CSP 中用于存储对象。一个存储桶中可以存储多个对象。存储桶名由用户自定义的字符串和系统自动生成的数字串用中划线链接而成，以保证该存储桶全球唯一； Object：对象，CSP 中存储的基本单元，可以是一份文件或一张图片等等，存放于存储桶中，通过控制台、API、SDK等多种方式访问； Region：地域，表示CSP 的数据中心所在的地域。地域在创建存储桶时指定，不允许更改。该存储桶下所有的对象都存储在对应的数据中心，目前不支持对象级别的地域设置；默认访问域名：默认访问域名由存储桶名、CSP 所属地标识和对象名组成，通过默认访问域名可寻址COS 中唯一对应的对象。在用户上传对象后，腾讯云会自动为对象创建

默认访问域名。 1.3 产品优势扩展性：分布式架构，根据负载和存储要求平滑扩容。持久性：支持多节点、机柜、机房的分布式管理，实现了数据多副本或纠删码冗余。经济性：兼容性软硬件平台，避免专用设备开销，显著降低每GB 的部署和管理成本。安全性：可部署硬件独占集群，实现网络层面的软件安全隔离，数据支持SSL 传输加密和SSE 服务端加密。整合性：与虚拟化平台、容器、大数据等服务紧密集成，提供友好的S3API 兼容性。多租户：支持多租户模式，丰富的权限管理方式。 1.4 应用场景视频监控视频监控场景要求具有高IO吞吐带宽，能够实时在线扩容，且数据一般不需要长期存储，但要求数据能到期自动删除，同时对于敏感数据要进行保护。

puppet的安装和配置

Puppet学习之puppet的安装和配置一、Puppet简介 Puppet基于ruby语言开发的自动化系统配置工具，可以C/S模式或独立运行，支持对所有UNIX及类UNIX系统的配置管理，最新版本也开始支持对Windows 操作系统有限的一些管理。Puppet适用于服务器管的整个过程，比如初始安装、配置更新以及系统下线。二、Puppet的安装 Puppet的安装方式支持源码安装、yum安装以及ruby的gem安装。官网推荐使用yum来安装puppet，方面以后的升级、管理、维护。Centos可以采用yum 来安装，但是Centos的默认源中没有puppet包，因此需要先安装epel包。Epel 是企业版Linux附加软件包(Extra Packages for Enterprise Linux)的缩写，是一个由特别兴趣小组创建、维护并管理的，针对红帽企业版Linux(RHEL)及其衍生发行版(比如CentOS、Scientific Linux)的一个高质量附加软件包项目。 1. Master的安装 yum -y install ruby ruby-libs ruby-shadow wget ftp://ftp.sunet.se/pub/Linux/distributions/yellowdog/yum/ 6.2/extras/RPMS/epel-release-5-3.noarch.rpm rpm -Uvh epel-release-5-3.noarch.rpm yum -y install puppet puppet-server facter 2. Agent的安装 yum install ruby ruby-libs ruby-shadow wget ftp://ftp.sunet.se/pub/Linux/distributions/yellowdog/yum/ 6.2/extras/RPMS/epel-release-5-3.noarch.rpm rpm -Uvh epel-release-5-3.noarch.rpm yum -y install puppet facter

文档之家