Self‑hosted • On‑prem • Без передачи конфигураций наружу

Контроль дрейфа конфигураций для инфраструктуры и продуктов

Снимайте состояния (snapshots), сравнивайте изменения (diff), получайте уведомления и фиксируйте аудит. Подходит для AD, сетевого оборудования, сервисов, БД и любых систем, где конфигурации можно получить командами.

Снимки и версии
История изменений
Diff по правилам
Нормализация вывода
Уведомления
Email, webhook, Zabbix
Drift event preview
Target: AD / Domain Controllers
GPO changed
severity: medium
policy: Default Domain Policy
changed: 2026-01-24 10:15

--- before
+++ after
@@
- MinimumPasswordLength = 10
+ MinimumPasswordLength = 12
notify ack audit
Collectors
SSH • PowerShell • SQL
Profiles
YAML‑описания

Зачем это нужно

Конфигурации меняются. Иногда — случайно. Иногда — без согласования. ConfigDriftMonitor помогает видеть изменения и быстро понимать, что именно поменялось.

Меньше инцидентов

Находите изменения до того, как они станут проблемой.

Быстрее расследования

Diff показывает точные отличия без ручного сравнения.

Комплаенс и аудит

История событий, подтверждения (ack) и журнал действий.

Единый подход

Профили на YAML: добавляйте новые типы систем без переписывания всего продукта.

Ключевые функции

Все, что нужно для контроля конфигураций в реальной инфраструктуре.

Планирование запусков

Расписания, окна, таймауты, ретраи и контроль больших выводов.

Нормализация вывода

Очищайте "шум" (даты, счетчики, динамика) перед сравнением.

Уведомления и интеграции

Email, Telegram, Webhook, Zabbix.

Секреты и доступы

Шифрование секретов в БД, либо хранение во внешних хранилищах (опционально).

Расширяемость

Новые системы добавляются профилями и коллекторами: SSH, PowerShell, API, SQL, файлы.

Отчеты и экспорт

Подробный журнал аудита. Специальный профиль для контроля изменений конфига самой системы. Экспорт и импорт конфигураций CDM.

Подробное описание возможностей

Загрузка…

Коллекторы

Коллектор — это способ получить конфигурацию из системы. Ниже — полный список направлений, которые CDM может поддержать.

SSH / CLI

Команды на сетевых устройствах, Linux/Unix, security‑appliances. Поддержка интерактивных CLI, больших выводов, paging.

Статус: есть
PowerShell

Windows/AD: команды и модули (например, ActiveDirectory), сбор объектов и нормализация JSON/таблиц.

Статус: есть
SQL Snapshots

Снимки настроек и метаданных запросами. MS SQL, MySQL, PostgreSQL.

Статус: есть, расширяемо на другие СУБД
Files / SMB / SFTP

Контроль конфиг‑файлов и каталогов: хэши, канонизация JSON/YAML, исключения шума. Доступ: локально, SMB/CIFS, SFTP.

Статус: есть
HTTP / HTTPS

Запросы к API и web‑endpoint’ам: JSON/XML/текст, auth (token/basic), TLS‑проверки, сравнение конфигураций через REST.

Статус: есть
Agent (универсальный)

Агент в контуре, который выполняет команды локально и отдает снапшоты порциями. Удобно для изолированных сегментов.

Статус: планируется
API‑коннекторы платформ

Специализированные коннекторы (по необходимости): Kubernetes, VMware vCenter, Microsoft Graph/Azure, GitLab, Zabbix и т.п.

Статус: планируется
SNMP / Telemetry

Не для «конфигов», а для контрольных параметров/фактов. Может дополнять профили, если нужно фиксировать состояние.

Статус: планируется
Импорт из Git

Снапшот из репозитория (IaC/конфиги): контролировать изменения в конфиг‑репо как отдельный target.

Статус: планируется
Примечание: коллектор — это «как забрать данные». Профиль — «что именно забираем и как нормализуем перед diff».

Профили под конкретные системы

Ниже — каталог «что обычно мониторят» и под какие системы можно сделать готовые профили в CDM.

Active Directory / Windows
  • • Политика паролей домена
  • • Привилегированные группы и членство
  • • Локальные группы/пользователи
  • • Службы, задачи планировщика
  • • GPO/RSOP (опционально)
Транспорт: PowerShell
Keenetic
  • • running-config
  • • пользователи/доступы
  • • маршруты, VPN, firewall
  • • (опционально) ping/traceroute как «факты»
Транспорт: SSH
ViPNet Coordinator
  • • firewall / rulesets
  • • VPN/туннели/соседи
  • • системные параметры
Транспорт: SSH/CLI
Сетевое оборудование
  • • Cisco IOS/IOS‑XE/NX‑OS
  • • Juniper JunOS
  • • MikroTik RouterOS
  • • Huawei/Aruba/Arista/Ubiquiti (по профилям)
Транспорт: SSH/CLI
FW / Security appliances
  • • FortiGate (FortiOS)
  • • Palo Alto (PAN‑OS)
  • • Check Point Gaia
  • • pfSense/OPNsense
Транспорт: SSH / API (опционально)
MS SQL Server
  • • конфиги экземпляра (DMV/queries)
  • • логины/права/роли
  • • джобы/расписания (SQL Agent)
Транспорт: SQL snapshots
Linux / сервисы
  • • /etc (nginx, sshd, sysctl…)
  • • systemd units
  • • iptables/nftables (если нужно)
Транспорт: SSH / Files
DevOps / платформы
  • • Kubernetes (манифесты/ресурсы)
  • • Docker daemon / compose
  • • GitLab/Jenkins (через API)
Транспорт: API / Agent / SSH
Monitoring / ITSM
  • • Zabbix (template/host config через API)
  • • CMDB/инвентаризация (экспорт/сравнение)
Транспорт: API / SQL
Home automation
  • • Home Assistant
Транспорт: API / Files

Как это работает

Простой пайплайн, который можно объяснить аудитору и внедрить за неделю.

Шаг 1
Target

Определяете целевой объект: сервер, роутер, домен, сервис, БД.

Шаг 2
Profile (YAML)

Описываете, какие команды выполнить и что считать конфигурацией.

Шаг 3
Snapshot + Diff

Сохраняете снапшот, нормализуете, сравниваете с прошлым.

Шаг 4
Notify + Audit

Если есть дрейф — создается событие и отправляются уведомления.

Пример профиля (фрагмент)
version: 1
target_type: windows_powershell

parameters:
  watched_groups:
    - "Domain Admins"
    - "Enterprise Admins"
    - "Schema Admins"
    - "Administrators"
    - "Protected Users"
    - "NyTestSecGroup"
  watched_users:
    - "Administrator"
    - "Test2"

collector:
  transport: powershell
  commands:
    - name: domain_password_policy
      timeout_sec: 60
      requires_modules: ["ActiveDirectory"]
      script: |
        Import-Module ActiveDirectory
        Get-ADDefaultDomainPasswordPolicy |
          Select-Object `
            MinPasswordLength, PasswordHistoryCount, ComplexityEnabled, ReversibleEncryptionEnabled, `
            LockoutThreshold, LockoutDuration, LockoutObservationWindow |
          ForEach-Object { $_ }  # вернуть объект

    - name: privileged_groups_membership
      timeout_sec: 180
      requires_modules: ["ActiveDirectory"]
      script: |
        Import-Module ActiveDirectory
        $groups = @("Domain Admins","Enterprise Admins","Schema Admins","Administrators","Protected Users")
        foreach ($g in $groups) {
          Get-ADGroupMember -Identity $g -Recursive |
            Select-Object @{n="Group";e={$g}}, ObjectClass, SamAccountName, Name, DistinguishedName |
            Sort-Object Group, ObjectClass, SamAccountName, DistinguishedName
        }
Коллекторы и профили

См. отдельные разделы выше — там полный список того, что уже есть и что можно добавить.

  • Коллекторы: SSH, PowerShell, SQL, Files, HTTP(S), Agent и др.
  • Профили: AD, Keenetic, ViPNet, Linux, Cisco, MS SQL, MySQL, PostgreSQL и др.
В продукте поддерживаются готовые профили и различные транспорты.

Редакции и лицензирование

Подберите вариант под масштаб и требования безопасности. Лицензии предоставляются на год.

Загрузка тарифов…

FAQ

Это замена RANCID/Ansible/Git?

Нет. ConfigDriftMonitor — инструмент наблюдения и фиксации дрейфа. Он дополняет CMDB/IaC, помогает быстро увидеть незапланированные изменения и ускорить расследования.

Вы передаете конфиги в облако?

Нет. Система разворачивается в вашем контуре. Передача наружу не требуется.

Как подключаются новые типы систем?

Через профили (YAML) и коллекторы: SSH/PowerShell/SQL/HTTP/Files. Добавляете команды и правила нормализации — и система начинает контролировать новый объект.

Как устроены лицензии?

Шаблон: Community бесплатно, Pro/Enterprise — коммерческие. Модель может быть по количеству targets/агентов или по подписке. Здесь оставлены примерные значения.