Configuración de la correlación de dispositivos

uimpga-ga
3
Advertencia
Las diferentes versiones de CA UIM utilizan esquemas de base de datos diferentes para la base de datos de UIM. Este documento presupone que se está utilizando CA UIM 8.5.1 o posterior. Si se está utilizando una versión diferente de CA UIM, es posible que los siguientes elementos no sean válidos tal y como se describe en el entorno de CA UIM:
  • Nombres de tablas y columnas de la base de datos de UIM.
  • Ejemplos de consultas SQL a la base de datos de UIM.
Nota: CA Technologies se reserva el derecho a realizar cambios de esquema en las versiones posteriores de CA UIM que pueden hacer que el contenido de este documento no sea válido.
Descripción general
device_correlation_configuration
La correlación de dispositivos es el proceso de asociar las propiedades del dispositivo obtenidas de una sonda con el dispositivo correcto en la base de datos de UIM.
La versión más reciente de la sonda discovery_server mejora la lógica de la correlación de dispositivos predeterminada y permite un alto grado de personalización. A continuación se muestran algunas de las mejoras en la correlación de dispositivos:
  • Reglas de correlación incorporadas mejoradas
    • Coincidencia de una combinación de propiedades para proporcionar un resultado más preciso.
    • Correlación de nombres ampliada.
    • Menor dependencia en el origen para la coincidencia.
  • Más capacidad de personalización
    • Las reglas integradas tienen más opciones de configuración.
    • Los usuarios pueden crear sus propias reglas.
    • Se puede especificar el orden de las reglas.
  • Flexibilidad para admitir diferentes entornos
    • Compatibilidad para entornos de uno o varios clientes.
    • Se puede desactivar la coincidencia en el origen cuando no hay ningún solapamiento en los nombres o direcciones IP.
    • Varios orígenes se pueden agrupar y tratar como iguales con fines de correlación.
Términos
Los siguientes términos de la correlación de dispositivos se utilizan en los siguientes apartados.
Dispositivo de perspectiva
Una perspectiva de la sonda de un dispositivo. La perspectiva de un dispositivo consta de las propiedades que la sonda recopila sobre un dispositivo.
Estos valores se almacenan en las tablas cm_device y cm_device_attribute de la base de datos.
Dispositivo de origen
El dispositivo de perspectiva de una sonda que se está correlacionando.
Dispositivo de destino
Un dispositivo de perspectiva que existe en la base de datos y que es un posible dispositivo de coincidencia durante la correlación.
Dispositivo principal
La representación combinada de un dispositivo desde una o más perspectivas.
Los valores se almacenan en las tablas cm_computer_system y cm_computer_system_attr de la base de datos.
Correlación de dispositivos
El proceso de asociar un dispositivo de origen entrante con un dispositivo de destino existente en la base de datos.
Propiedad de correlación
Una propiedad que se utiliza para hacer coincidir un dispositivo de origen con un dispositivo de destino.
Propiedad de descorrelación
Una propiedad que se utiliza para evitar que un dispositivo de origen coincida con un dispositivo de destino.
Regla de correlación
Una regla que define el conjunto de propiedades de correlación que se utilizan para hacer coincidir un dispositivo de origen con un dispositivo de destino.
Cómo funciona la correlación
Se debe comprender cómo funcionan las reglas de correlación y las propiedades antes de modificar la configuración de la correlación de dispositivos.
Las reglas de correlación de dispositivos se ejecutan tal y como se muestra en el siguiente diagrama. Si se encuentra un dispositivo coincidente, el resto de reglas no se ejecuta.
Lógica de la regla de correlación
Correlation Rule Logic
  1. Las propiedades de correlación (match_on_all) se utilizan para hacer coincidir un dispositivo de origen con un dispositivo de destino.
  2. Si se encuentra una posible coincidencia, las propiedades de descorrelación (unmatch_on_any) se evalúan con todos los dispositivos de perspectiva del dispositivo de destino principal. Si tanto el dispositivo de origen como el dispositivo de destino incluyen una propiedad de descorrelación especificada y los valores son diferentes, se descartará el dispositivo de destino.
  3. Se encuentra un dispositivo coincidente cuando todas las propiedades de correlación de una regla coinciden con un dispositivo de destino y ninguna de las propiedades de descorrelación lo descarta.
Cómo obtener los mejores resultados de la correlación
La precisión de la correlación de dispositivos depende en gran medida de la cantidad de la información de dispositivos publicada por las sondas en el servidor de detección. Es posible que no se tenga el control sobre la información de dispositivos publicada con algunas sondas, pero estos son ejemplos que le pueden ayudar:
  • Para las sondas sencillas como net_connect que solo publican la información proporcionada por el usuario, se recomienda encarecidamente que se configuren los perfiles de dispositivo con un nombre de host y una dirección IP en lugar de solo con una dirección IP. Esto activará la correlación por nombre y por dirección IP y dependerá menos del origen para la coincidencia.
  • Al utilizar el Asistente de detección para configurar agentes de detección, se obtendrán los mejores resultados si se incluyen las credenciales de WMI, SSH o SNMP para detectar detalles más completos del dispositivo.
  • Cuando se utiliza la sonda vmware, se debe instalar la versión de VMware Tools para los invitados (herramientas de invitado) en las máquinas virtuales de la sonda vmware para obtener la dirección IP y el nombre de host de las máquinas virtuales.
La otra área donde se puede ayudar es la de asignar orígenes de forma estratégica en el entorno de UIM para facilitar la correlación. Debido a que es posible que una dirección IP o un nombre de host sencillo (que no sea FQDN) no sean únicos en un entorno, se utiliza el origen como calificador al correlacionar una dirección IP o un nombre de host sencillo. Si no se asignan cuidadosamente los orígenes, se puede evitar que la correlación realice una coincidencia.
El origen predeterminado es el nombre del concentrador dentro del entorno de UIM desde el que se origina la información del dispositivo. Con varios concentradores, el aceptar este valor predeterminado puede provocar problemas si no hay ningún motivo para que cada concentrador tenga un origen diferente. Sería menos problemático asignar a todos los concentradores el mismo origen y, a continuación, anularlo en el concentrador o en el robot solo si hay un motivo específico para hacerlo. Por ejemplo, si existen direcciones IP o nombres solapados en las diferentes ubicaciones, se deberá asignar un origen diferente para cada ubicación. Para varios clientes, se debe asignar un origen diferente para cada cliente para separar los datos.
Configuración de la correlación de dispositivos
La configuración de la correlación de dispositivos se especifica en la sección <device>/<correlation> del archivo %UIMHOME%\probes\service\discovery_server\discovery_server.cfg. Los detalles se explican en las secciones siguientes.
Utilice la Configuración sin formato en la sonda discovery_server o un editor de texto para modificar discovery_server.cfg. Después de realizar cambios, reinicie la sonda discovery_server para activar los cambios.
Consideraciones antes de modificar la configuración predeterminada
  • En un entorno existente de UIM, se recomienda encarecidamente experimentar con esta función en un entorno de prueba antes de aplicarla en el entorno de producción.
  • En un entorno de red complejo, el ajuste de las reglas de correlación de dispositivos puede ser un proceso de ensayo y error. La modificación de las reglas de correlación puede producir resultados inesperados. Una nueva configuración de instalación puede producir los dispositivos duplicados (falta de correlación) o dispositivos diferentes pueden parecer uno solo (correlación excesiva). En cualquier caso, es posible que se deba realizar una limpieza para reparar los resultados de correlación inesperados.
  • Antes de empezar, identifique lo que constituye la unicidad del dispositivo en la red. Se debe tener una buena comprensión de los siguientes aspectos del entorno de UIM:
    • Diseño de la sonda, robot y concentrador de UIM
    • Diseño de la red y direcciones IP
    • Configuración del origen
    • Requisitos de la opción multicliente
    • Convenciones de denominación de los dispositivos
  • El tiempo de correlación es un componente importante del tiempo de procesamiento general para el servidor de detección. El servidor de detección realiza la correlación para cada dispositivo que recibe de la cola probeDiscovery del concentrador. La rapidez con la que el motor de correlación procesa los dispositivos a través de las reglas afecta a la velocidad a la que el servidor de detección borra esta cola. Si las reglas no se configuran con cuidado, es posible que se experimente una ralentización drástica en el procesamiento de la cola del concentrador.
  • Consulte la nota importante en la siguiente tabla de los parámetros de regla con respecto a las especificaciones de la propiedad match_on_all. Al seleccionar una primera propiedad apropiada puede producir una diferencia significativa en el rendimiento de la detección.
  • Los registros existentes no se volverán a procesar después de cambiar la configuración de la correlación.
Reglas de correlación
Las reglas de correlación se definen como una subsección en la sección <device>/<correlation>/<rules> del archivo discovery_server.cfg. Si se ha modificado la configuración de la correlación, se puede hacer referencia a la configuración predeterminada en el archivo discovery_server.cfx.
Notas sobre las reglas de correlación predeterminadas:
  • Las reglas de correlación <name_mac_ip>, <name_mac>, <name_ip> y <mac_ip> coinciden en una combinación de las propiedades para encontrar una coincidencia óptima. Mediante la coincidencia de una combinación de propiedades, la probabilidad de que se produzca una falta de coincidencia es mucho menor y, por tanto, el origen no está incluido como una propiedad de coincidencia.
  • RobotInstanceId se especifica como una propiedad de descorrelación para todas las reglas excepto para CorrelationId para evitar que dos dispositivos del robot se correlacionen. Esta propiedad no es necesaria en la mayoría de los entornos, pero protege frente a entornos donde se alojan varios robots en un sistema.
  • La regla de correlación <mac> no está calificada por origen. Las direcciones MAC que se utilizan para la correlación son generalmente únicas.
    • Debido a que no se garantiza que las direcciones MAC en vCenter en un entorno de vmware sean únicas, VM VirtualID y vCenter VirtualManagerId se utilizan como propiedades de descorrelación.
    • La combinación de CorrelationNames e IpAddresses se utiliza también como una propiedad de descorrelación. Si dos dispositivos tienen una dirección MAC en común y cada uno tiene nombres y direcciones IP conocidos, pero ninguno en común, es muy probable que sean diferentes dispositivos y que no se deban correlacionar. Esta combinación se utiliza para tener protección frente a casos de direcciones MAC no únicas.
  • En relación a las reglas de correlación <fqdn> y <name_origin>:
    • La regla <fqdn> supone que los FQDN son únicos y por esta razón no está calificada por origen.
    • La regla <name_origin> opera en los nombres que no están totalmente calificados y, por tanto, necesitan calificarse según el origen.
    • Las reglas de correlación <fqdn> y <name_origin> incluyen la combinación de MacAddresses e IpAddresses como una propiedad de descorrelación. Si dos dispositivos tienen un nombre en común y cada uno tiene direcciones IP y MAC conocidas, pero ninguno en común, es muy probable que sean diferentes dispositivos y que no se deban correlacionar. Esta combinación se utiliza para tener protección frente a los nombres duplicados que causan la correlación.
  • La regla de correlación <ip_origin> incluye MacAddresses y CorrelationNames como propiedades de descorrelación independientes para evitar falta de coincidencia en las direcciones IP cuando las direcciones IP han cambiado entre dispositivos y algunos registros de dispositivos todavía tienen una dirección IP anticuada. El nombre y la dirección MAC se consideran correlacionadores sólidos. Si se ha producido una coincidencia por nombre o MAC, ya se debe haber encontrado una coincidencia. Si dos dispositivos coinciden en la dirección IP, pero no en el nombre o MAC, es posible que sean dispositivos diferentes.
  • Se necesita la regla de correlación <CorrelationId> en las sondas UIM4z (zevent, znetwork, zops, zstorage y zvm). Estas sondas recopilan información de los sistemas z/OS de IBM y no incluyen las propiedades de correlación típicas, como direcciones IP, direcciones MAC y nombres de DNS. Cuando las sondas UIM4z tienen como objetivo el mismo sistema, publican el mismo CorrelationId para garantizar que las perspectivas del dispositivo de cada sonda UIM4z se correlacionen. CorrelationId no está limitado a las sondas UIM4z. Otras sondas lo pueden utilizar que tengan como objetivo el mismo sistema para ayudar a garantizar un resultado coherente de la correlación cuando puede que falte otra información del dispositivo.
Las reglas predeterminadas se utilizan para cubrir la mayoría de los casos, pero se pueden modificar las reglas existentes y se pueden agregar nuevas reglas, según sea necesario.
Estos son los parámetros para cada regla de correlación:
Activado
(clave necesaria)
Verdadero
para activar la regla,
falso
para desactivar la regla.
position
(clave necesaria)
El orden de la regla de correlación se controla con el valor de posición. Un valor de posición es >= 1. Todas las reglas activadas deben tener un valor de posición diferente. Las reglas se ejecutan en orden ascendente.
El servidor de detección no podrá iniciarse si se utiliza el mismo valor de posición para más de una regla activada.
Los valores de posición de dos dígitos facilitan la inserción de nuevas reglas en la secuencia de reglas.
match_on_all
(clave necesaria)
Una lista separada por comas de las propiedades utilizadas para la correlación. Todas las propiedades de coincidencia deben coincidir (AND) y se evalúan en el orden especificado. Debe especificarse al menos una propiedad de coincidencia. Los nombres de la propiedad pueden ser cualquier propiedad almacenada en la base de datos.
Para mayor comodidad, se pueden definir propiedades relacionadas como un conjunto en la sección <defined_correlation_property>. Una propiedad de correlación definida debe tener defined: como prefijo en match_on_all para especificar que se refiere a una propiedad definida en <defined_correlation_property> y no a un nombre de propiedad individual.
Para las propiedades multivalor, tales como las direcciones IP y MAC, solamente se necesita un valor coincidente para satisfacer una coincidencia.
Una propiedad del dispositivo distintiva como nombre, IP, MAC o cualquier otro tipo de identificador distintivo debe especificarse en primer lugar en la lista match_on_all. No se debe especificar en primer lugar una propiedad general como Origin que es común a muchos dispositivos. La primera propiedad se utiliza en la consulta de la base de datos. Utilice una primera propiedad distintiva para ayudar a limitar el número de resultados que se evalúan.
unmatch_on_any
(clave opcional)
Una lista separada por comas de las propiedades utilizadas para la descorrelación. Dos dispositivos se consideran diferentes y no se correlacionan si ambos dispositivos contienen una de las propiedades unmatch_on_any pero tienen valores diferentes para esa propiedad. Al igual que match_on_all, las propiedades especificadas pueden hacer referencia a nombres de propiedad individuales o a propiedades definidas.
Se puede especificar una combinación de propiedades como una propiedad de descorrelación utilizando '&&'. Por ejemplo: defined:MacAddresses && defined:IpAddresses. Cuando se utiliza una combinación de propiedades, ambos dispositivos deben incluir todas las propiedades especificadas en la combinación con el fin de evaluarla. En el ejemplo defined:MacAddresses && defined:IpAddresses, se consideran dos dispositivos diferentes si ambos tienen direcciones IP y MAC AND no hay direcciones MAC en común AND no hay direcciones IP en común.
Nombres de correlación
Se ha agregado una nueva propiedad CorrelationNames para agregar las diferentes propiedades de nombre utilizadas en la correlación de nombres. La sección <device>/<correlation>/<correlation_names> controla qué nombres se incluyen como valores de la propiedad CorrelationNames.
Las propiedades tienen como prefijo un nombre de sonda con el fin de proporcionar un control exhaustivo sobre las propiedades de la sonda que se incluyen o excluyen. "cualquiera" significa cualquier sonda.
La clave excluded_probe_properties permite que las propiedades de sondas específicas se excluyan de la correlación de nombres. Por ejemplo, si se desea excluir VMName de la sonda vmware, establezca excluded_probe_properties como se muestra a continuación:
excluded_probe_properties = “vmware.VMName”
Las propiedades excluidas anulan las propiedades incluidas. Si dispone de la misma propiedad especificada tanto en los parámetros de las propiedades incluidas como en los parámetros de las propiedades excluidas, se excluirá la propiedad.
Tenga en cuenta que la etiqueta solo está incluida para los dispositivos de niscache. Para los dispositivos que no son de niscache, se supone que la sonda establece como mínimo una de las propiedades de nombre (por ejemplo: PrimaryDnsName, SysName o ComputerName). La etiqueta es redundante con una de estas propiedades.
Propiedades de la correlación definidas
Una propiedad de la correlación definida es una pseudo propiedad que especifica el conjunto de propiedades de agregado. Se define una propiedad de correlación definida en la sección <device>/<correlation>/<defined_correlation_property> del archivo discovery_server.cfg.
Estos son los parámetros para cada propiedad de correlación definida:
Tipo
(clave necesaria)
Uno de los siguientes:
  • Fqdn
  • IpAddress
  • Otro
Fqdn 
limita el conjunto de valores a solo los nombres de dominio totalmente cualificados.
IpAddress
 permite que se especifiquen subredes de direcciones IP e intervalos de direcciones IP en included_values y excluded_values, tal y como se describe a continuación.
Otros
se debe utilizar cuando no se necesita un tipo más específico.
included_source_properties
(clave necesaria)
Una lista separada por comas de las propiedades de una sonda que se utilizan para los valores de la correlación de origen. El formato de la propiedad es
{nombre_sonda}.{nombre_propiedad}
.
"cualquiera"
significa cualquier sonda.
Consulte la configuración predeterminada mencionada anteriormente para obtener ejemplos.
excluded_source_properties
(clave opcional)
Una lista separada por comas de propiedades de una sonda que se omiten como valores de la correlación de origen. Las propiedades siguen el mismo formato que en included_source_properties.
Las propiedades excluidas anulan las propiedades incluidas. Si dispone de la misma propiedad especificada tanto en los parámetros de las propiedades incluidas como en los parámetros de las propiedades excluidas, se excluirá la propiedad.
included_target_properties
(clave necesaria)
Una lista separada por comas de propiedades de la base de datos que se utilizan para los valores de la correlación de destino. Las propiedades siguen el mismo formato que en included_source_properties.
excluded_target_properties
(clave opcional)
Una lista separada por comas de propiedades en la base de datos que se omiten como valores de la correlación de destino. Las propiedades siguen el mismo formato que en included_source_properties.
Las propiedades excluidas anulan las propiedades incluidas. Si dispone de la misma propiedad especificada tanto en los parámetros de las propiedades incluidas como en los parámetros de las propiedades excluidas, se excluirá la propiedad.
included_values
(sección opcional)
Limita la regla de correlación a la lista especificada de valores. Si <included_values> no está presente o está vacío, se incluyen todos los valores.
Para todos los tipos que no sean IpAddress:
Los valores se especifican utilizando una clave separada por valor. Se puede utilizar cualquier nombre de clave. El valor puede ser un solo valor independiente o un valor con comodines. Los comodines pueden representar un patrón de "empieza por" (foo *), un patrón de "contiene" (*foo*) o un patrón de "termina con" (*bar).
IpAddress:
Los valores se especifican utilizando una clave separada por valor. Se puede utilizar cualquier nombre de clave. Los valores pueden ser direcciones IP individuales, subredes de direcciones IP en notación CIDR (por ejemplo: 1.2.3.0/24) o un intervalo de direcciones IP (por ejemplo: 1.2.3.1-50).
excluded_values
(sección opcional)
Especifica los valores que se deben omitir al evaluar la regla. Si <excluded_values> no está presente o está vacío, no se excluirá ningún valor. Un valor debe cumplir ambas condiciones de inclusión y exclusión. Si un valor está cubierto por included_values y excluded_values, se excluye.
Los mismos tipos de valores pueden especificarse como ocurre con included_values.
treat_as_equal_values
(sección opcional)
Las secciones definidas por el usuario se pueden agregar dentro de <treat_as_equal_values> para especificar el conjunto de valores que se deben tratar como iguales. Consulte las secciones siguientes sobre cómo utilizar <treat_as_equal_values>.
Tratamiento del origen utilizando treat_as_equal_values
Para las reglas de correlación que se califican por origen, se necesita un origen coincidente (ya sea de la propiedad Origin o de la propiedad EnrichedOrigins) para que dos dispositivos se correlacionen. Esto significa que los orígenes del concentrador o robot deben asignarse de forma estratégica para facilitar la correlación o que se deben configurar orígenes mejorados para ayudar a enlazar los dispositivos.
Puede resultar difícil configurar un origen común para la correlación. A veces, se necesitan orígenes más específicos para realizar tareas de seguimiento, por lo que agregar un origen común es un paso añadido no deseado. La función <treat_as_equal_values> es una forma de compensar estas dificultades.
Se puede agregar una sección <treat_as_equal_values> a la propiedad de correlación definida <Origins> para definir el conjunto de orígenes que se pueden tratar como iguales para fines de correlación. Se realizará una coincidencia para dos orígenes diferentes si ambos se definen en una subsección de <treat_as_equal_values>.
A continuación se muestran algunos ejemplos que utilizan <treat_as_equal_values> dentro de <Origins>.
<treat_as_equal_values>
<CustomerA_origins>
origin = CustomerA*
</CustomerA_origins>
<CustomerB_origins>
origin1 = red
origin2 = green
origin3 = blue
</CustomerB_origins>
<ChicagoOffice_origins>
origin = "*Chicago*"
</ChicagoOffice_origins>
</treat_as_equal_values >
CustomerA_origins es un ejemplo que puede funcionar bien cuando hay un patrón de denominación coherente para los orígenes. Por ejemplo, Device A con la dirección IP 1.2.3.4 y el origen CustomerAHub1 y Device B con la dirección IP 1.2.3.4 y el origen CustomerAHub2 deben correlacionarse porque ambos orígenes comenzar con CustomerA.
CustomerB_origins es un ejemplo cuando no hay ningún patrón de denominación coherente para los orígenes y deben especificarse orígenes discretos como parte de un conjunto de "tratar como valores iguales". Por ejemplo, tal y como ha definido CustomerB_origins, Device A con la dirección IP 1.2.3.4 y el origen "red" y Device B con la dirección IP 1.2.3.4 y el origen "blue" se correlacionan.
ChicagoOffice_origins es otro ejemplo que puede funcionar bien cuando hay un patrón de denominación coherente para los orígenes. En este caso, el patrón coincidente está en medio de la cadena de origen.
Para cada subsección definida por el usuario en <treat_as_equal_values> (por ejemplo: CustomerB_origins), se pueden especificar uno o más valores utilizando una clave separada por valor. Se puede utilizar cualquier nombre de clave. El valor puede ser un solo valor independiente o un valor con comodines. Los caracteres comodín pueden representar un patrón de "empieza por" (foo *), un patrón de "contiene" (*foo*) o un patrón de "termina con" (*bar).
Uso de treat_as_equal_values en general
La función <treat_as_equal_values> no se limita a los orígenes. Se puede utilizar con otras propiedades de la correlación definidas como, por ejemplo, nombres y direcciones IP. Por ejemplo, si dos sondas diferentes están monitorizando un servidor con varios nombres que devuelven nombres diferentes, es probable que el servidor aparezca como dispositivos distintos debido a la diferencia en los nombres. Se puede agregar una subsección <treat_as_equals> a AllCorrelationNames y a FqdnCorrelationNames para especificar los nombres diferentes que deben coincidir.
Escenarios de correlación
Cambio de la dirección IP
Si la dirección IP de un dispositivo cambia, pero el dispositivo incluye un nombre o una dirección MAC, una de las reglas de correlación <name_mac>, <mac>, <fqdn> y <name_origin> puede encontrar una coincidencia.
Cambio del nombre
Si un dispositivo incluye una dirección MAC y el nombre de un dispositivo cambia, una de las reglas de correlación <mac_ip> o <mac> puede encontrar una coincidencia. De forma predeterminada, no se correlacionan dos dispositivos con la misma dirección IP si los nombres son diferentes. El valor predeterminado controla los entornos en los que las direcciones IP cambian con frecuencia. Si las direcciones IP son estáticas, se puede eliminar “defined:AllCorrelationNames” como propiedad de descorrelación en la regla <ip_origin>.
Cambio de la dirección MAC
Si se sustituye un dispositivo con un hardware nuevo y se conservan el nombre y la dirección IP antiguos, una de las reglas de correlación <name_ip>, <fqdn>, <name_origin> o <ip_origin> debe encontrar una coincidencia.
Cambio de la dirección MAC y de la dirección IP
Si se sustituye un dispositivo con un hardware nuevo y se conserva el nombre antiguo pero tanto la dirección IP como la dirección MAC son diferentes, de forma predeterminada el dispositivo nuevo no se correlacionará con el dispositivo anterior debido a que los dispositivos se consideran diferentes dispositivos. Consulte el caso siguiente para obtener un ejemplo en el que se necesita la combinación de direcciones IP y MAC para la descorrelación. Se pueden modificar las reglas de correlación <fqdn> o <name_origin> para controlar este caso, pero los cambios pueden afectar el caso siguiente.
Nombre de host duplicado a través de las máquinas virtuales
Cuando las máquinas virtuales se crean desde una plantilla, normalmente tienen diferentes nombres de máquina virtual, pero pueden tener el mismo nombre de host hasta que se cambia el nombre de host en el sistema operativo. Si se instalan las herramientas de invitado de vmware en las máquinas virtuales, la sonda vmware puede informar sobre varias máquinas virtuales con el mismo nombre de host. Por ejemplo:
VM1:
  • VMName: abc
  • ComputerName: abc (ComputerName es la propiedad para el nombre de host)
  • IP: 10.20.30.1
  • MAC: 11:22:33:00:00:01
  • VirtualID: 282a7ffa-2178-4e4d-b85d-66940ce8c7af
VM2:
  • VMName: def
  • ComputerName: abc
  • IP: 10.20.30.2
  • MAC: 11:22:33:00:00:02
  • VirtualID: d8710ff4-b4f3-446a-be27-9c791069c986
VM3:
  • VMName: ghi
  • ComputerName: abc
  • IP: 10.20.30.3
  • MAC: 11:22:33:00:00:03
  • VirtualID: 24945572-a358-4c68-a71c-85de1ca94130
Dispositivo del controlador:
  • RobotName: abc (el nombre predeterminado del robot es el nombre de host)
  • IP: 10.20.30.1
  • MAC: 11:22:33:00:00:01
Todos los dispositivos tienen en común el nombre "abc". Las máquinas virtuales no se correlacionan entre ellas porque tienen ID virtuales diferentes. Solo VM1 se debe correlacionar con el controlador en función del nombre, IP y dirección MAC. VM2 y VM3 no se deben correlacionar con el controlador porque tienen distintas direcciones IP y MAC.
Falta de coincidencia en el nombre
Si no se instalan las herramientas del invitado de vmware en una máquina virtual, la sonda vmware puede obtener el nombre de la máquina virtual pero no el nombre de host o la dirección IP de la máquina virtual. En el pasado, la sonda vmware solo recopilaba las direcciones MAC de la máquina virtual si las herramientas del invitado estaban instaladas. VMware v.6.72 y posterior recopila la dirección MAC sin necesidad de utilizar las herramientas del invitado. En este escenario, el nombre de la máquina virtual no coincide con el nombre de host, pero todavía se debe correlacionar en función de las direcciones MAC.
Dispositivo de la máquina virtual:
  • VMName: abcVM
  • MAC: 11:22:33:44:55:66
Dispositivo del controlador:
  • RobotName: abc (el nombre predeterminado del robot es el nombre de host)
  • MAC: 11:22:33:44:55:66
Estas dos perspectivas diferentes se correlacionan en la dirección MAC.
No hay direcciones IP solapadas
Si no hay ninguna dirección IP solapada en el entorno de UIM, desactive el origen en la correlación de direcciones IP para evitar errores de coincidencia según el origen.
Existen dos alternativas para realizar esto:
  1. Eliminar el origen de la regla <ip_origin>.
  2. Crear una nueva regla <ip> y desactivar la regla <ip_origin>.
Para eliminar el origen de la regla <ip_origin>, elimine defined:Origins de match_on_all, tal y como aparece resaltado a continuación:
ip_cod_block_Paint.jpg
Para crear una nueva regla <ip> y desactivar la regla <ip_origin>:
<ip_origin>
enabled =
false
position = 90
match_on_all = "defined:IpAddresses, defined:Origins"
unmatch_on_any = "RobotInstanceId, SysName, VirtualID, VirtualManagerId, defined:AllCorrelationNames, defined:MacAddresses"
</ip_origin>
<ip>
enabled = true
position = 90
match_on_all = "
defined:IpAddresses
"
unmatch_on_any = "RobotInstanceId, SysName, VirtualID, VirtualManagerId, defined:AllCorrelationNames, defined:MacAddresses"
</ip>
No hay nombres solapados
Si no hay ningún nombre solapado en el entorno de UIM, desactive el origen en la correlación de nombres para evitar errores de coincidencia por origen utilizando la misma estrategia "No hay direcciones IP solapadas":
  1. Eliminar el origen de la regla <name_origin>.
  2. Crear una nueva regla <name> y desactivar la regla <name_origin>.
Con ambas alternativas, se puede desactivar la regla <fqdn>. La regla <name_origin> con el origen eliminado o la nueva regla <name> controlará todos los nombres (FQDN y no FQDN).
Regla personalizada para direcciones IP únicas
Si un subconjunto de direcciones IP es único en el entorno y las direcciones no necesitan calificarse según el origen para la correlación, se puede crear una regla personalizada para gestionarlas. Por ejemplo, si las direcciones IP de la subred 10.20.32.0/20 son únicas, se puede crear una propiedad de correlación UniqueIpAddresses para incluir la subred y, a continuación, crear una nueva regla para utilizar UniqueIpAddresses.
En la sección <defined_correlation_property>, cree UniqueIpAddresses copiando la propiedad IpAddresses. Cambie el nombre a UniqueIpAddresses. Agregue la subred 10.20.32.0/20 a la propiedad included_values. Por ejemplo:
<UniqueIpAddresses>
type = IpAddress
included_source_properties = "any.PrimaryIPV4Address,discovery_agent.TargetIpAddresses"
excluded_source_properties =
included_target_properties = "any.PrimaryIPV4Address,any.OtherIPAddresses"
excluded_target_properties =
<included_values>
subnet1 =
10.20.32.0/20
</included_values>
</UniqueIpAddresses>
Cree una regla de correlación <unique_ip>:
<unique_ip>
enabled = true
position = 71
match_on_all = "defined:UniqueIpAddresses"
unmatch_on_any = "RobotInstanceId, VirtualID, VirtualManagerId, defined:AllCorrelationNames, defined:MacAddresses"
</unique_ip>
Asigne una posición a la regla que sea diferente de cualquiera de las reglas existentes.
Varias reglas pueden tener el mismo valor de posición si solo se activa una de dichas reglas.
Monitorización de dispositivos para varios clientes desde una única sonda/robot
Tenga en cuenta este escenario para un proveedor de servicios gestionados (MSP) utilizando un robot de sondeo único para monitorizar los dispositivos para varios clientes:
  • Robot ABC / 1.2.3.4 con el origen CustomerA ejecutándose en local en la sonda CDM.
  • Robot de sondeo de varios clientes XYZ con el proveedor de servicio gestionados de origen.
  • El robot de sondeo XYZ monitoriza ABC / 1.2.3.4 con net_connect
Dispositivo del robot ABC:
  • RobotName: ABC
  • IP: 1.2.3.4
  • Origen: CustomerA
Dispositivo Net_connect configurado con el nombre:
  • Label: ABC
  • IP: 1.2.3.4
  • Origen: MSP
Los dispositivos deben correlacionarse por <name_ip> incluso si los orígenes no coinciden.
Si net_connect se configura solamente con la dirección IP de destino, los dispositivos no se correlacionarán por <ip_origin> debido a que los orígenes son diferentes. Existen dos formas de solucionar esta condición:
  1. Si las direcciones IP de los robots de cliente que son el destino de net_connect son únicas, siga la solución descrita en la sección Regla personalizada para direcciones IP únicas.
  2. Se puede agregar una subsección <treat_as_equal_values> a <Origins> para enlazar los orígenes de CustomerA y MSP:
<defined_correlation_property>
<Origins>
Other required parameters are omitted in this example
<treat_as_equal_values>
<CustomerA_origins>
origin1 = CustomerA
origin2 = MSP
</CustomerA_origins>
</treat_as_equal_values >
</Origins>
</defined_correlation_property>
Revisión del historial de la correlación
Para ver los resultados de la correlación por dispositivo, consulte la tabla CM_DEVICE_CORRELATION_HISTORY en la base de datos de UIM. Las columnas representan los temas siguientes.
  • source_dev_id: dev_id de perspectiva del dispositivo entrante
  • target_dev_id: dev_id de perspectiva del dispositivo existente si se encuentra una coincidencia. De lo contrario: nulo.
  • cs_id: Identifica el dispositivo principal CM_COMPUTER_SYSTEM
  • time_processed: Cuando el dispositivo se ha procesado
  • Motivo:
    • 0 indica una importación de la sonda
    • 1 indica que se volverá a importar
    • 2 indica que se volverá a correlacionar.
  • match_type: Si se encuentra una coincidencia, se introduce el nombre de la regla que ha encontrado la coincidencia. De lo contrario, se establece en "ninguno".
  • match_key[1-3]/match_value[1-3]: Si se encuentra una coincidencia, estas columnas contienen los primeros tres nombres y valores de la lista match_on_all definidos por la regla.
Las entradas siguientes son un ejemplo de la tabla.
source_dev_id
target_dev_id
cs_id
time_processed
motivo
match_type
match_key1
match_value1
match_key2
match_value2
match_key3
match_value3
De3a9a071ef9d604c77b20cb3472f014b
NO VÁLIDO
77476
25:48.3
0
ninguno
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
Dff18e70a40a97603f432cff9cead607f
NO VÁLIDO
77478
25:48.8
0
ninguno
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
D14be8e1fc25e1d5bed8fae9df8d74b24
NO VÁLIDO
77484
25:51.1
0
ninguno
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
NO VÁLIDO
Df3a884f885e03129e8ff4e81e1b05bee
Dff18e70a40a97603f432cff9cead607f
77478
25:53.0
0
name_ip
defined:AllCorrelationNames
howeu01-u159980
defined:IpAddresses
172.19.255.19
NO VÁLIDO
NO VÁLIDO
D3adeafb5d2f00b69e9b43329a424c816
De3a9a071ef9d604c77b20cb3472f014b
77476
25:54.2
0
name_mac_ip
defined:AllCorrelationNames
wvaud1opt5
defined:MacAddresses
00-1a-E3-6C-84-40
defined:IpAddresses
172.19.255.76
Dcd1e6873020967dab879533d969f57b8
D14be8e1fc25e1d5bed8fae9df8d74b24
77484
25:58.4
0
name_origin
defined:AllCorrelationNames
netapp-sim-admin
defined:Origins
origin-b
NO VÁLIDO
NO VÁLIDO
Solución de problemas de la correlación
Si, tras cambiar la configuración de la correlación, obtiene resultados inesperados, consulte la documentación sobre la solución de problemas de la correlación.