Как провести инвентаризацию оборудования и программного обеспечения малой кровью
Сергей «grinder» Яремчук (grinder@synack.ru)
IT-парк любой организации часто насчитывает не один десяток систем самой разной конфигурации. И всегда найдется парочка вольнодумцев, которые захотят развести начальство на внеочередной апгрейд или установить ПО для личных целей. Без системы учета и контроля админ рискует, как минимум, своей премией. Рассмотрим решения, позволяющие упростить эту задачу.
Содержание:
- WMI и PowerShell
- Готовые утилиты и приложения
- Минусы использования скриптов
- Система инвентаризации MyZCI
- Система OCS Inventory NG
- Установка OCSNG
- Работа с интерфейсом OCSNG
- Заключение
- Мини-статья: Проект GLPI
- Врезка: Локализация OCSNG/GLPI
- Боковые выносы
В WinNT 4.0SP4 администраторы получили новый инструмент для централизованного управления и слежения за работой различных частей операционной системы — WMI (Windows Management Instrumentation, Инструментарий для Управления Windows). Правда, в первых версиях заложенных компонентов было не много, всего 15, в последующих Win2k и выше их количество увеличивалось вместе с возможностями. Сегодня WMI доступен для всех версий ОС Windows, включая Se7en. Опрашивая различные WMI классы локальной и удаленных систем, мы можем получить всю необходимую информацию по имеющемуся в компании программному обеспечению и оборудованию.
В примерах предлагаю не использовать VBScript, JScript или другие скриптовые языки, уж слишком они громоздки и неудобны, тем более что у нас уже есть роскошный PowerShell, способный выполнить за нас львиную долю работы (подробнее о PS читай в ][ 09.2009 и 05.2010).
Для начала получим список BIOS на подчиненных компьютерах:
PS> Get-WMIObject Win32_BIOS -computerName synack.ru
Как ты понимаешь, после '-computerName' указывается имя хоста. Хотя при опросе локальной системы этот параметр можно опускать, что мы и будем делать в дальнейшем для краткости. Написав простенький скрипт, легко передать Get-WMIObject список систем, с которых будет собираться информация. Результат при необходимости сохраняем в текстовый файл для дальнейшего анализа.
Аналогично проводим опрос остальных параметров. Например, запрашиваем информацию о CPU:
PS> Get-WMIObject Win32_Processor
Полный список данных, как правило, не нужен, поэтому отбираем только необходимые параметры:
PS> Get-WmiObject Win32_ComputerSystem | Select Manufacturer, Model
Посмотрим, что у нас за материнская плата:
PS> Win32_Baseboard | Select Manufacturer, Name, Product | ft -a
Классы Win32_ComputerSystem, Win32_ComputerSystemProduct и Win32_OperatingSystem позволят собрать общие данные по компьютеру и системе:
PS> "127.0.0.1", "synack.ru", "pc-01" | Check-Online |
Foreach-Object { Get-WMIObject Win32_ComputerSystem -computerName $_ }
Запрашиваем версию ОС:
PS> Get-WmiObject Win32_OperatingSystem | Select \ CSName,BuildNumber,ServicePackMajorVersion
При желании результат можно сохранить в файл, например «Export-CliXML C:\check.xml», а затем отфильтровать или обработать:
PS> Import-CliXML C:\check.xml | Out-GridView
Полный список Win32_* классов и свойств доступен в документации MSDN "". Альтернативный вариант - воспользоваться функцией поиска. К примеру, просмотрим список объектов, в именах которых присутствует слово disk:
PS> Get-WmiObject -List | where {$_.name -match "disk"}
Рис. 2. Смотрим список установленных программ с использованием Out-GridView
Если хорошо поискать в интернете, можно найти не один десяток готовых WMI скриптов на самых разных языках программирования, которые легко адаптируются под свои нужды. Мое внимание привлекло HTA-приложение с веб-оболочкой. Просто вводим имя компьютера и получаем данные об установленном оборудовании. При необходимости можно отредактировать сырец в текстовом редакторе, дополнив его нужными параметрами (опрос WMI объектов реализован на VBScript).
Сторонними разработчиками создан ряд специальных командлетов, упрощающих написание скриптов. Скрипт Computer Inventory Script (CompInv), который доступен на сайте , позволяет получить информацию о железе, ОС и сохранить все собранные данные в Excel’евский файл для дальнейшего анализа. После запуска скрипт задаст несколько вопросов, отвечая на которые, админ выбирает режим сбора данных. Список компьютеров для проверки определяется при помощи специального текстового файла, также скрипт может автоматически проверить все системы или серверы, входящие в домен. Как вариант, имя компьютера задается вручную. По умолчанию используется текущая учетная запись, но ответив Yes на вопрос «Would you like to use an alternative credential?», можно указать требуемую учетную запись.
Чтобы затем не запускать созданный скрипт самостоятельно, поручим это SchTasks. Например:
> SchTasks /CREATE /TN CheckScript /TR "powershell.exe ` -noprofile -executionpolicy Unrestricted ` -file check.ps1" /IT /RL HIGHEST /SC DAILY
В результате создается задание с названием CheckScript, которое будет ежедневно выполнять PS скрипт check.ps1, причем с наивысшим приоритетом.
Вместе с системой инвентаризации оборудования и установленных приложений предлагается набор PS скриптов (Get-Net*), как раз и предназначенных для сбора определенного типа данных о подчиненных системах. Например, просмотрим наличие свободного места на харде:
PS> Get-NetLogicalDisk -DriveType "Local Disk" | where { \
$_.FreeSpace / $_.Size -lt .10 } | % { $_.ComputerSystemName }
Теперь попробуем собрать информацию по установленным программам:
PS> Get-NetProgram -System synack.ru -Uninstalled $False | % \
{ $_.DisplayName } | sort -unique
Всего в поставку входит 20 командлетов.
Доступна бесплатная версия NetPoint Express Edition, которая работает в 32/64 битных WinXP/2k3/2k8/Vista/Se7en, ее можно применять в сетях любого размера. Для установки NetPoint понадобится наличие PS 2.0, IIS и SQL сервера (достаточно Express Edition).
Кстати, список установленных программ можно получить, просто прочитав нужную ветку реестра:
PS> Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\* \ | Format-Table DisplayName,Publisher | Out-GridView
Командлет Out-GridView выводит данные в отдельном окне с возможностью поиска и сортировки.
Рис. 1. Получаем список WMI объектов
Рис. 3. Приложение Hardware Inventory
Если сбор данных при помощи WMI/PowerShell довольно прост, то все отчеты и изменения в конфигурациях приходится контролировать вручную. Конечно, можно усложнять свои скрипты, пытаясь автоматизировать процесс, но не каждый захочет тратить на это время. Здесь стоит напомнить, что Microsoft предлагает необходимую функциональность в SCCM (System Center Configuration Manager), о котором мы уже писали в номерах 08.2009, 09.2009 и 01-02.2010. Но в тех случаях, когда в распоряжении админа находятся также *nix системы, всевозможные роутеры и прочее оборудование, которое необходимо учитывать, WMI уже не помощник. Кроме этого, остается проблема визуального представления данных и отчетов. Здесь придется прибегнуть к сторонним программам (в том числе распространяемым под свободными лицензиями), благо, есть из чего выбирать.
Многие, кто пробовал систему инвентаризации , находили ее довольно удачным решением, но ей не хватало возможности заносить данные вручную и локализованного интерфейса. Конечно, это не критичные моменты, но есть и другие мелочи. Например, нельзя удалить устройство через веб-интерфейс, необходимо вручную составить SQL запрос на очистку данных из таблиц. Система инвентаризации является форком zCI. Разработкой занимается Юрий Винник, он довел zCI до нужных кондиций — интерфейс переведен на русский и украинский языки, добавлены новые поля в таблицы (например, размещение компьютера) и упрощено управление. Для работы MyZCI потребуется любой веб-сервер с поддержкой PHP (с PECL, PHP Extension Community Library) и MySQL.
Распаковываем архив myzci-1.2.1.zip в корневой каталог веб-сервера и в файле zciconfig.php указываем параметры доступа к MySQL:
$ sudo nano zciconfig.php return dbx_connect(DBX_MYSQL,"localhost","zci","zci","passwd");
Чтобы создать таблицы в БД, используем скрипт mysqlscript.sql, находящийся в каталоге engine. Записи внутри нужно привести в соответствие с данными:
$ sudo nano mysqlscript.sql create database zci; ... grant all on zci.* to 'zci'@'localhost' identified by 'passwd'; # Если не планируется доступ к БД с других систем, последнюю строку комментируем # grant select,delete,insert,update on zci.* to 'zci'@'%' identified by 'zci';
Локализация интерфейса производится установкой переменной «$Lang» в значение «ru» в файле langconfig.php.
Для сбора информации в Windows системе используется Windows Script Host, в Linux — lshwclient на Java. Все компоненты находятся в подкаталоге add-ons и engine. Здесь же лежат MS Windows Scripting Host 5.6 и MS WMI Core 1.5, которые необходимы для работы клиентской части в Win95/98/NT4. Перед развертыванием в файлах takedata.js и lshwclient.java следует изменить значение переменной MyZCIpath и MyZCIserver, чтобы она указывала URL сервера.
Процесс настройки клиентской части на конечных системах упрощен. Так скрипт install.sh, используемый при установке в Linux, проверяет наличие пакетов lshw, jdk и read-edid (инфа о мониторе) и при их отсутствии выдает пояснительное сообщение. Далее происходит сборка Java клиента и установка задания cron. После развертывания MyZCI нужно подключиться к серверу с удаленной системы и зарегистрировать компьютер, нажав соответствующую ссылку на главной странице. Информация о новой системе должна появиться в базе MyZCI. Скачиваем с главной страницы архив с клиентской частью и запускаем установщик. После чего скрипты начнут отсылать данные на сервер.
Интерфейс предельно прост и позволяет выводить детальную информацию о железе, вносить и редактировать данные о компьютерах, группировать, искать системы по определенному критерию (например, тип видеокарты и монитор), отслеживать изменения. Меню администратора позволяет определять статус (закреплен, аренда) и местонахождение системы.
Решение (OCSNG, Open Computers and Software Inventory New Generation) позволяет произвести инвентаризацию комплектующих и программного обеспечения, установленных на компьютерах в локальной сети, и отслеживать их изменения, периодически получая данные о конфигурации систем. Еще одной полезной функцией является возможность удаленной установки программ и выполнения команд. Для сбора информации на клиентские компьютеры устанавливается программа-агент. Агент доступен практически для всех версий Windows от 95 до 2k8R2, Linux, Mac OS X, *BSD, Solaris, IBM AIX и HP-UX. Все собранные данные агенты отправляют на сервер управления (management server) в виде XML потока, сжатого при помощи библиотеки Zlib. Для передачи используется стандартный протокол HTTP/HTTPS, поэтому проблем с firewall’ом обычно не возникает. При помощи агентов реализована функция «IP discovery», которая помогает находить все сетевые и периферийные устройства, работающие в локалке, в том числе, на которые нельзя установить агента (свитчи, принтеры, web-камеры и т.д.) Агенты сканируют сеть в поисках подобных устройств и отправляют сведения о них на сервер для анализа.
Версия для Windows написана на C++, *nix вариант — на Perl и С.
Серверная часть OCSNG включает четыре компонента, которые не обязательно должны быть установлены на одном сервере. Это СУБД (MySQL) для сбора данных, а также веб-сервер, который может играть одну из трех ролей:
-
Служба связи — обеспечивает связь по протоколу HTTP между сервером базы данных и программами-агентами (Apache 1.3.X/2.X с интегрированным Perl, в Debian/Ubuntu пакет libapache-dbi-perl);
-
Служба развертывания – хранение установочных файлов программ-агентов (любой веб-сервер с поддержкой SSL);
-
Консоль управления – просмотр собранных данных в браузере (веб-сервер с поддержкой PHP с ZIP и GD).
Серверная часть OCSNG может быть установлена на компьютер, работающий под управлением Win2k/XP/2k3, Linux, *BSD, Solaris, IBM AIX и MacOS X.
Нужный пакет имеется в репозитариях большинства дистрибутивов, хотя обычно это не самая актуальная версия. Самостоятельная сборка из исходных текстов при внимательном подходе не должна вызвать трудностей. Установочный скрипт setup.sh, находящийся внутри архива, проверит наличие требуемых компонентов и выдаст рекомендации по устранению проблем, если в этом будет необходимость.
В Debian/Ubuntu для ручной сборки нужно накатить пакеты:
$ sudo apt-get install libapache2-mod-perl2 libdbi-perl \ libapache-dbi-perl libdbd-mysql-perl libsoap-lite-perl \ libxml-simple-perl libnet-ip-perl libcompress-zlib-perl php5-gd
И XML::Entities из хранилища CPAN:
$ sudo cpan -i XML::Entities
В процессе установки будут созданы все необходимые конфигурационные файлы и алиасы для веб-сервера.
Так как файлы, которые могут распространяться при помощи OCSNG, часто имеют большой размер, следует установить нужные значения переменных post_max_size и upload_max_filesize в файлах /etc/php5/apache2/php.ini (по умолчанию — 8 и 2 Мб) и ocsinventory-reports.conf.
После всех настроек вызываем браузер и запускаем установочный скрипт http://localhost/ocsreports/install.php, где указываем параметры доступа к БД. В процессе установки для доступа к базе ocsweb будет создана учетная запись «ocs» с паролем «ocs». Если доступ к базе не ограничен локальной системой, в целях безопасности дефолтный пароль следует изменить.
Для установки агента в Linux потребуется наличие некоторых модулей Perl (XML и Zlib) и dmidecode.
$ sudo apt-get install libcompress-zlib-perl libnet-ip-perl libnet-ssleay-perl \ libwww-perl libxml-simple-perl po-debconf ucf dmidecode pciutils
После чего агент устанавливается стандартным для Perl’овых приложений способом:
$ tar xzvf Ocsinventory-Agent-1.1.2.tar.gz $ cd Ocsinventory-Agent-1.1.2 $ perl Makefile.PL $ make $ sudo make install
Далее скрипт начнет задавать ряд вопросов по размещению конфигурационных файлов. Вводим данные сервера, создаем тэг (для группировки систем), активируем задачу для cron. По окончании настройки собранные данные о конфигурации компьютера отправляются на сервер. Если связь установлена и получаем ответ «Success!», установку агента можно считать законченной, его данные появятся в веб-консоли, в разделе «Все компьютеры». В каталоге /var/lib/ocsinventory-agent будет создан XML-файл, содержащий текущую конфигурацию компьютера. Если же соединения не произошло, запусти агента в режиме отладки:
$ ocsinventory-agent -l /tmp –debug --server http://ocsng-server/ocsinventory
Полученной информации обычно хватает для диагностики ошибок.
Агент для Windows может быть установлен несколькими способами. Самый простой — вручную или через прилагающийся logon скрипт. После установки сервера установочный файл агента можно импортировать в базу OCSNG. Просто выбираем вкладку Агент и указываем на месторасположение файла, после чего он будет доступен с любого компьютера сети. Установка стандартна, на последнем этапе сообщаем имя или IP-адрес OCSNG сервера, и чтобы сразу же сформировать и отправить отчет, устанавливаем флажок «Immediately launch inventory». Далее агент прописывается в автозагрузку и стартует в качестве сервиса.
Интерфейс локализован, поэтому чтобы разобраться с его использованием, много времени не понадобится. По умолчанию на вкладке «Все компьютеры» показаны 7 основных характеристик клиентских машин. Список «Add column» позволяет легко добавить еще до 23 полей. Очень удобно, что данные поддаются ручному редактированию. Также следует отметить легкий поиск и удаление дубликатов систем.
Как уже говорилось ранее, в OCSNG заложена возможность установки приложений и запуска скриптов (bat, vbs и т.п.) Такая функциональность сильно выручает. Создаем пакет в Deployment — Build и заполняем поля New package building — название, Priority (порядок установки) и указываем действие в Action. Предусмотрено три варианта:
- Store — копировать на целевую систему;
- Execute — копировать и выполнить с командой;
- Launch — копировать и запустить.
Параметры в User notifications позволяют вывести предупреждение пользователю и разрешить ему отменять задачу.
После создания пакета его следует активировать в Deployment — Activate. Вводим URL сервера и нажимаем Отправить. Выбираем компьютер, на который будем устанавливать пакет, переходим в меню Customization и нажимаем ссылку «Add package». Указываем пакет и запускаем процесс нажатием на Affect. Состояние задачи выводится в Customization, общая статистика доступна в таблице Activate.
В OCSNG инициатором соединения выступает агент, который подключается к серверу раз в сутки, отправляет информацию о состоянии и получает задания. Если созданный пакет необходимо установить раньше, на клиенте следует принудительно запустить команду ocsinventory-agent.
Рис. 4. Информация об оборудовании, собранная OCSNG
Рис. 5. Список установленных пакетов в OCSNG
Рис. 6. Связываем GLPI с OCSNG
После настройки и заполнения базы данных в системе инвентаризации ты будешь постоянно иметь под рукой актуальную информацию о текущем состоянии компов и сможешь отслеживать изменения. Отчеты, которые она генерирует, дают возможность быстро определить конфигурацию типового компьютера, используемого в организации, что сослужит хорошую службу при планируемом апгрейде или смене ОС.
(Gestion Libre de Parc Informatique) — еще один проект, который пользуется заслуженной популярностью у админов. Кроме задач по учету компьютеров и комплектующих, позволяет хранить данные по остальному «хозяйству», включая расходные материалы. В отличие от OCSNG, администратор самостоятельно наполняет базу устройств, используя локализованный веб-интерфейс. Но проблема эта решается за счет использования плагина, интегрирующего GLPI с OCSNG. Поэтому часто их устанавливают вместе. Для включения поддержки необходимо перейти в «Установки — Общие» и переключить «Активировать режим OCSNG» в «Да». После этого в меню появится новая вкладка «Режим OCSNG», в которой можно синхронизировать данные.
На основе GLPI легко организовать службу технической поддержки пользователей, что очень удобно, ведь вместо звонка юзер оставляет заявку, которая регистрируется системой. IT-подразделение затем ее обрабатывает. Это дисциплинирует пользователей, которые перестают звонить по мелочам, а у админов появляется база обращений для отчета о проделанной работе. Но возможности GLPI этим не ограничиваются. Он позволяет создать базу знаний, состоящую из статей, вести учет поставщиков, договоров. Система снабжена большим количеством самых разных отчетов с возможностью экспорта результата в файл формата PDF, CSV или SLK. Поддерживается синхронизация календаря по протоколам iCal, Webcal. Функциональность легко расширяется за счет плагинов, доступных на . Кроме OCSNG, можно импортировать данные с сервера Cacti или Nagios.
Пакет GLPI имеется в репозитариях основных *nix дистрибутивов. Установка при помощи исходных текстов стандартна для приложений, написанных на PHP и требующих наличия веб-сервера и MySQL.
Врезка: Локализация OCSNG/GLPI
Интерфейс OCSNG локализован, но все же есть небольшие проблемы, приводящие к тому, что русскоязычные названия программ, установленных в Windows, отображаются не корректно. Дело в том, что в OCSNG изначально используется кодировка ISO-8859-1 (для отображения CP-1251), в GLPI — UTF8. При импорте данных OCSNG -> GLPI также возникают проблемы с кодировками. Известно два пути решения.
1. На лету менять данные при экспорте и используемые шрифты. Чтобы сделать это, нужно поправить файл export.function.php и при помощи пакета ttf2pt1 создать новые шрифты, поддерживающие UTF8.
2. Изначально научить OCSNG работать с UTF8. Для чего предложены патчи и пересобранные установочные файлы для Windows. Скачать их можно на . Здесь же находятся готовые deb-пакеты для Ubuntu/Debian.
Кроме того, в файле inc/ocsng.class.php следует изменить строку «$this->dbenc=»latin1″;» на «$this->dbenc=»utf8″;» и в /etc/php5/apache2/php.ini проверить установку «default_charset = «utf-8″».
INFO
-
Многие утилиты, выпускаемые под коммерческими лицензиями, используют для сбора данных именно WMI, это удобно, так как не требуется установка агентов на удаленные системы.
VIDEO
-
На прилагаемом к журналу диске ты найдешь видеоролик, в котором показано, как установить и настроить связку OCSNG + GLPI.
WWW
- Полный список Win32_* классов можно найти в документации MSDN «Win32_Classes» —
- Сайт проекта NetPoint —
- Сайт проекта MyZCI —
- Сайт проекта zCI —
- Сайт проекта OCSNG —
Статья опубликована в июньском номере журнала «Xakep» за 2010 год.