ניטור תאריך תפוגה של אישור ב-Windows ב-NetXMS

לאחרונה עמדנו בפנינו המשימה לנטר את תקופת התוקף של אישורים בשרתי Windows. ובכן, איך קמתי אחרי שהתעודות הפכו לדלעת כמה פעמים, בדיוק בזמן שהקולגה המזוקן האחראי לחידושן היה בחופשה. אחרי זה, הוא ואני חשדנו במשהו והחלטנו לחשוב על זה. מכיוון שאנו מיישמים לאט לאט את מערכת הניטור NetXMS, היא הפכה להיות המועמדת העיקרית ובעיקרון היחידה למשימה זו.

התוצאה התקבלה לבסוף בצורה הבאה:

והתהליך עצמו ממשיך.

ללכת. אין מונה מובנה לאישורים שפג תוקפם ב-NetXMS, לכן עליך ליצור משלך ולהשתמש בסקריפטים כדי לספק לו נתונים. כמובן, ב-Powershell, זה Windows. הסקריפט צריך לקרוא את כל האישורים במערכת ההפעלה, לקחת את תאריך התפוגה שלהם בעוד ימים משם ולהעביר את המספר הזה ל-NetXMS. דרך הסוכן שלו. שם נתחיל.

אפשרות אחת, הכי פשוט. כל שעליך לעשות הוא לקבל את מספר הימים עד לתאריך התפוגה של התעודה עם התאריך הקרוב ביותר.

כדי ששרת NetXMS ידע על קיומו של הפרמטר המותאם אישית שלנו, עליו לקבל אותו מהסוכן. אחרת, לא ניתן להוסיף פרמטר זה בגלל היעדרו. לכן, בקובץ התצורה של הסוכן nxagentd.conf אנו מוסיפים מחרוזת פרמטר חיצוני בשם HTTPS.CertificateExpireDateSimple, שבו אנו רושמים את השקת התסריט:

ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "servershareNetXMS_CertExpireDateSimple.ps1"

בהתחשב בכך שהתסריט מופעל ברשת, אתה צריך לזכור בערך מדיניות הוצאה לפועל, ואל תשכח גם את ה-"-NoLogo -NoProfile -NonInteractive" האחר, אותו השמטתי למען קריאות קוד טובה יותר.

כתוצאה מכך, תצורת הסוכן נראית בערך כך:

#
# NetXMS agent configuration file
# Created by agent installer at Thu Jun 13 11:24:43 2019
#
 
MasterServers = netxms.corp.testcompany.ru
ConfigIncludeDir = C:NetXMSetcnxagentd.conf.d
LogFile = {syslog}
FileStore = C:NetXMSvar
SubAgent = ecs.nsm
SubAgent = filemgr.nsm
SubAgent = ping.nsm
SubAgent = logwatch.nsm
SubAgent = portcheck.nsm
SubAgent = winperf.nsm
SubAgent = wmi.nsm
 
ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "servershareNetXMS_CertExpireDateSimple.ps1"

לאחר מכן, עליך לשמור את התצורה ולהפעיל מחדש את הסוכן. אתה יכול לעשות זאת ממסוף NetXMS: פתח את התצורה (עריכת קובץ ההגדרות של הסוכן), ערוך אותו, הפעל את Save&Apply, וכתוצאה מכך, למעשה, אותו דבר יקרה. לאחר מכן קרא שוב את התצורה (סקר > תצורה), אם אין לך כוח לחכות בכלל. לאחר השלבים האלה, אתה אמור להיות מסוגל להוסיף את הפרמטר המותאם אישית שלנו.

במסוף NetXMS עבור אל תצורת איסוף נתונים שרת ניסיוני שעליו אנחנו הולכים לנטר תעודות וליצור שם פרמטר חדש (בעתיד, לאחר הגדרה, הגיוני להעביר אותו לתבניות). בחר HTTPS.CertificateExpireDateSimple מהרשימה, הזן תיאור עם שם ברור, הגדר את הסוג למספר שלם והגדר את מרווח הסקר. למטרות איתור באגים, הגיוני לעשות את זה קצר יותר, 30 שניות, למשל. הכל מוכן, זה מספיק בינתיים.

אתה יכול לבדוק... לא, זה מוקדם מדי. עכשיו, כמובן, לא נקבל כלום. פשוט כי התסריט עדיין לא נכתב. בואו נתקן את המחדל הזה. הסקריפט פשוט יציג מספר, מספר הימים שנותרו עד לתוקף התעודה. המינימלי מכולם שיש. תסריט לדוגמה:

try {
    # Получаем все сертификаты из хранилища сертификатов
    $lmCertificates = @( Get-ChildItem -Recurse -path 'Cert:LocalMachineMy' -ErrorAction Stop )
     
    # Если сертификатов нет, вернуть "10 лет"
    if ($lmCertificates.Count -eq 0) { return 3650 }
 
    # Получаем Expiration Date всех сертификатов
    $expirationDates = @( $lmCertificates | ForEach-Object { return $_.NotAfter } )
 
    # Получаем наиболее близкий Expiration Date из всех
    $minExpirationDate = ($expirationDates | Measure-Object -Minimum -ErrorAction Stop ).Minimum
 
    # Конвертируем наиболее близкий Expiration Date в количество оставшихся дней с округлением в меньшую сторону
    $daysLeft = [Math]::Floor( ($minExpirationDate - [DateTime]::Now).TotalDays )
 
    # Возвращаем значение
    return $daysLeft
}
catch {
    return -1
}

מתברר כך:

723 ימים, נותרו כמעט שנתיים עד לפקיעת התעודה. זה הגיוני, כי הוצאתי מחדש תעודות עבור ספסל הבדיקה של Exchange לאחרונה.

זו הייתה אופציה קלה. כנראה שמישהו יהיה מרוצה מזה, אבל רצינו יותר. הצבנו לעצמנו את המשימה להשיג רשימה של כל התעודות בשרת, לפי שם, ולכל אחד לראות את מספר הימים שנותרו עד לפקיעת התעודה.

האפשרות השנייה, קצת יותר מסובך.

שוב אנו עורכים את תצורת הסוכן ושם, במקום השורה עם ExternalParameter, אנו כותבים שניים אחרים:

ExternalList = HTTPS.CertificateNames: powershell.exe -File "serversharenetxms_CertExternalNames.ps1"
ExternalParameter = HTTPS.CertificateExpireDate(*): powershell.exe -File "serversharenetxms_CertExternalParameter.ps1" -CertificateId "$1"

В רשימה חיצונית אנחנו רק מקבלים רשימה של מחרוזות. במקרה שלנו, רשימה של מחרוזות עם שמות תעודות. נקבל רשימה של שורות אלו באמצעות התסריט. רשימת שמות - HTTPS.CertificateNames.

סקריפט NetXMS_CertNames.ps1:

#Список возможных имен сертификатов
$nameTypeList = @(
        [System.Security.Cryptography.X509Certificates.X509NameType]::SimpleName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsFromAlternativeName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UrlName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::EmailName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UpnName
)
 
#Ищем все сертификаты, имеющие закрытый ключ
$certList = @( Get-ChildItem -Path 'Cert:LocalMachineMy' | Where-Object { $_.HasPrivateKey -eq $true } )
 
#Проходим по списку сертификатов, формируем строку "Имя сертификата - Дата - Thumbprint" и возвращаем её
foreach ($cert in $certList) {
    $name = '(unknown name)'
    try {
        $thumbprint = $cert.Thumbprint
        $dateExpire = $cert.NotAfter
        foreach ($nameType in $nameTypeList) {
            $name_temp = $cert.GetNameInfo( $nameType, $false)
            if ($name_temp -ne $null -and $name_temp -ne '') {
                $name = $name_temp;
                break;
            }
        }
        Write-Output "$($name) - $($dateExpire.ToString('dd.MM.yyyy')) - [T:$($thumbprint)]"
    }
    catch {
        Write-Error -Message "Error processing certificate list: $($_.Exception.Message)"
    }
}

וכבר בפנים פרמטר חיצוני אנו מזינים שורות מרשימת ExternalList, ובפלט אנו מקבלים את אותו מספר ימים עבור כל אחד. המזהה הוא טביעת האצבע של התעודה. שים לב ש-HTTPS.CertificateExpireDate מכיל כוכבית (*) בגרסה זו. זה הכרחי כדי שהוא יקבל משתנים חיצוניים, רק CertificateId שלנו.

סקריפט NetXMS_CertExpireDate.ps1:

#Определяем входящий параметр $CertificateId
param (
    [Parameter(Mandatory=$false)]
    [String]$CertificateId
)
 
#Проверка на существование
if ($CertificateId -eq $null) {
    Write-Error -Message "CertificateID parameter is required!"
    return
}
 
#По Thumbprint из строки в $CertificateId ищем сертификат и определяем его Expiration Date 
$certId = $CertificateId;
try {
    if ($certId -match '^.*[T:(?<Thumbprint>[A-Z0-9]+)]$') {
        $thumbprint = $Matches['Thumbprint']
        $certificatePath = "Cert:LocalMachineMy$($thumbprint)"
         
        if (Test-Path -PathType Leaf -Path $certificatePath ) {
            $certificate = Get-Item -Path $certificatePath;
            $certificateExpirationDate = $certificate.NotAfter
            $certificateDayToLive = [Math]::Floor( ($certificateExpirationDate - [DateTime]::Now).TotalDays )
            Write-Output "$($certificateDayToLive)";
        }
        else {
            Write-Error -Message "No certificate matching this thumbprint found on this server $($certId)"
        }
    }
    else {
        Write-Error -Message "CertificateID provided in wrong format. Must be FriendlyName [T:<thumbprint>]"
    }
}
catch {
    Write-Error -Message "Error while executing script: $($_.Exception.Message)"
}

בתצורת איסוף הנתונים של השרת, אנו יוצרים פרמטר חדש. בפרמטר אנו בוחרים את שלנו HTTPS.CertificateExpireDate(*) מהרשימה, ו(שים לב!) שנה את הכוכבית ל {למשל}. נקודה חשובה זו תאפשר לכם ליצור מונה נפרד לכל מופע (תעודה). השאר ממולאים כמו בגרסה הקודמת:

כדי שיהיה לך ממה ליצור מונים, בלשונית גילוי מופעים אתה צריך לבחור רשימת סוכן מהרשימה ובשדה שם רשימה להזין את השם של ExternalList שלנו מהסקריפט - HTTPS.CertificateNames.

כמעט מוכן, המתן מעט או כפה סקר > תצורה וסקר > גילוי מופע אם זה בלתי אפשרי לחלוטין לחכות. כתוצאה מכך, אנו מקבלים את כל התעודות שלנו עם תקופות תוקף:

מה אתה צריך? ובכן, כן, רק תולעת הפרפקציוניזם מביטה בטביעת האגודל המיותרת הזו בשם הדלפק בעיניים עצובות ולא נותנת לי לסיים את הכתבה. כדי להזין אותו, פתח שוב את מאפייני המונה ובכרטיסייה גילוי מופעים, בשדה "סקריפט מסנן גילוי מופע", הוסף את זה שנכתב ב NXSL (שפה פנימית של NetXMS) סקריפט:

instance = $1;
 if (instance ~= "^(.*)s-s[T:[a-zA-Z0-9]+]$")
 {
 return %(true, instance, $1);
 }
 return true;

שיסנן טביעת אצבע:

וכדי להציג אותו מסונן, בכרטיסייה כללי בשדה תיאור, שנה את CertificateExpireDate: {instance} ל- CertificateExpireDate: {instance-name}:

זהו, סוף סוף קו הסיום מ-KDPV:

האם זה יופי?

כל מה שנותר הוא להגדיר התראות כך שיגיעו במייל כשיפוג האישור.

1. ראשית עלינו ליצור תבנית אירוע כדי להפעיל אותה כאשר ערך המונה יורד לסף כלשהו שהגדרנו. IN תצורת אירוע בואו ניצור שתי תבניות חדשות עם שמות כמו CertificateExpireDate_Threshold_Activate עם סטטוס אזהרה:

ודומה CertificateExpireDate_Threshold_Deactivate עם מצב רגיל.

2. לאחר מכן, עבור אל מאפייני המונה והגדר את הסף בלשונית טרסholds:

כאשר אנו בוחרים את האירועים שנוצרו CertificateExpireDate_Threshold_Activate ו-CertificateExpireDate_Threshold_Deactivate, מגדירים את מספר הדגימות (Samples) ל-1 (במיוחד עבור המונה הזה אין טעם להגדיר יותר), הערך הוא 30 (ימים), למשל, וחשוב להגדיר זמן החזרה של האירוע. לתעודות בייצור, אני מגדיר את זה פעם ביום (86400 שניות), אחרת אתה יכול לטבוע בהתראות (מה, אגב, קרה פעם אחת, עד כדי כך שתיבת הדואר הייתה מלאה בסוף השבוע). עבור זמן איתור באגים, הגיוני להגדיר אותו נמוך יותר, 60 שניות, למשל.

3. בתוך תצורת פעולה צור תבנית מכתב התראה, כך:

כל אלה %m, %S וכו'. - פקודות מאקרו שבהן יוחלפו ערכים מהפרמטר שלנו. הם מתוארים ביתר פירוט ב מדריך ל NetXMS.

4. ולבסוף, שילוב הנקודות הקודמות, לתוך מדיניות עיבוד אירועים צור כלל לפיו תיווצר אזעקה ויישלח מכתב:

אנחנו שומרים את הפוליסה, הכל ניתן לבדיקה. בואו נגדיר את הסף גבוה יותר כדי לבדוק. האישור הקרוב ביותר שלי יפוג בעוד 723 ימים, הגדרתי אותו ל-724 כדי לבדוק. כתוצאה מכך, אנו מקבלים את האזעקה הבאה:

והתראת האימייל הזו:

זה הכל בטוח עכשיו. אפשר, כמובן, להקים לוח מחוונים ולבנות גרפים, אבל עבור תעודות אלה יהיו קווים ישרים קצת חסרי משמעות ומשעממים, בניגוד לגרפים של עומס מעבד או זיכרון, למשל. אבל, עוד על זה בפעם אחרת.

מקור: www.habr.com