Komponenten
SKOOR Engine
Die SKOOR Engine Architektur besteht aus den folgenden Komponenten:
SKOOR Engine Server
Konfigurations- und Verlaufsdatenbank ( PostgreSQL)
Server (Apache)
SKOOR Engine Kollektor
Dies ist die Komponente, die aktiv Messungen anhand der verwalteten Geräte durchführt.
Standardmäßig verfügt die SKOOR Engine über einen eigenen
collector-local
Kollektor , der ausgeführt wird.Es können zusätzliche externe Kollektoren angeschlossen werden, die Überwachungsaufgaben in entfernten Netzwerksegmenten durchführen und ihre Messergebnisse über einen einzigen TCP-Port an die SKOOR Engine Server Komponente übermitteln. Diese externen Kollektoren laufen in einem separaten, unabhängigen Betriebssystem.
Jeder Kollektor erhält Messanweisungen vom Server .
Jeder Kollektor führt verschiedene Unterprozesse für jeden Plugin-Typ aus (z. B. ICMP, HTTP usw.).
SKOOR Engine Agent
Kann auf überwachten Servern installiert werden.
Dieser Agent überwacht CPU, Speicher, Netzwerkschnittstellenkarte, Prozesse usw.).
Agents sind für verschiedene Betriebssysteme (Windows, Linux, FreeBSD, Solaris...) verfügbar.
Der Kollektor gibt Messungen an Agents über einen einzelnen TCP-Port aus und ruft die Ergebnisse ab.
Für Agents unter Windows kann die verschlüsselte Kommunikation aktiviert werden
SKOOR Engine EEM (Enduser Experience Monitor), das synthetische Benutzertransaktionen auf Windows-PCs ausführt
Tools von Drittanbietern können ihre Daten auf verschiedene Weise in den Kollektor einspeisen.
Daten können von einem Kollektor über ein Drittanbietertool über HTTP, FTP, SCP oder andere Netzwerkprotokolle abgerufen werden.
Um Abfragen an Remote-Datenbanken auszuführen, kann auf dem Kollektor ein Datenbank-Client verwendet/installiert werden.
Die Daten werden dem Kollektor beispielsweise über Parsefile-, Execute- oder Fetchfile-Jobs zugeführt.
SKOOR Auth
SKOOR Auth bietet einen Authentifizierungsmechanismus für andere SKOOR-Komponenten.
Es kann authentifizieren:
Lokale SKOOR-Benutzer, verwaltet von der SKOOR Engine
Externe Benutzer, die von einem Active Directory mithilfe von LDAP verwaltet werden.
Externe Benutzer, die von einem Authentifizierungsanbieter mithilfe von OpenID Connect verwaltet werden
SKOOR Webservice
Der SKOOR Webservice verbindet die Dashboards mit dem SKOOR oder anderen Datenquellen. Dazu konsolidiert er Datensätze aus verschiedenen Adaptern und stellt sie den Dashboards gemäß einer wohldefinierten REST-API zur Verfügung.
SKOOR Dashboard
Dies ist der Kern der SKOOR Dashboard Anwendung. Neben seiner Funktion als Editor für Dashboards kann es auch als interaktiver Dashboard- Viewer verwendet werden.
Bestimmte Funktionen (z. B. das Bearbeiten von Dashboards) sind nur im Dashboard-Editor verfügbar, da die Anwendung direkt mit dem SKOOR Webservice kommunizieren muss.
Der Dashboard-Editor benötigt eine direkte Verbindung zum SKOOR Webservice .
Um den Dashboard-Editor zu verwenden, ist ein gültiger SKOOR-Benutzer erforderlich.
SKOOR Dashboard Viewer
Der Dashboard Viewer kann eingesetzt werden, wenn Dashboards auch für externe Personen zugänglich sein müssen. Der Dashboard Viewer benötigt keine direkte Verbindung zum SKOOR Webservice . Stattdessen bezieht der Dashboard Viewer seine Daten vom Viewer Service , der wiederum seine Daten vom Viewer Provider bezieht. Durch diesen unidirektionalen Datenfluss werden folgende, teilweise sicherheitsrelevante Aspekte abgedeckt:
Eine Verbindung von der DMZ zum internen Netzwerk ist nicht erforderlich. Die Verbindung muss lediglich vom Viewer Provider zum SKOOR Web Service (HTTP/s), vom Viewer Provider zum Viewer Service (HTTP/s) und natürlich von der Dashboard Viewer Web Application zum Viewer Service (HTTP/s) möglich sein.
Zur Verwendung des Dashboard Viewer ist kein SKOOR-Benutzer erforderlich.
Es ist nicht möglich, Manipulationen an SKOOR-Objekten vorzunehmen. Der Datenfluss ist konstruktionsbedingt auf Leseoperationen beschränkt. Die einzigen möglichen Datenmanipulationen sind das Setzen des eigenen Benutzerpassworts und das Senden von Zugriffs- und Fehlerprotokollmeldungen.
Der Viewer Service kann innerhalb einer DMZ oder sogar innerhalb des Netzwerks eines Kunden platziert werden.
Die Datenintegrität zwischen Viewer Provider und Viewer Service wird durch eine HMAC-basierte Signatur des Inhalts sichergestellt.