Снимайте состояния (snapshots), сравнивайте изменения (diff), получайте уведомления и фиксируйте аудит. Подходит для AD, сетевого оборудования, сервисов, БД и любых систем, где конфигурации можно получить командами.
- MinimumPasswordLength = 10
+ MinimumPasswordLength = 12
Конфигурации меняются. Иногда — случайно. Иногда — без согласования. ConfigDriftMonitor помогает видеть изменения и быстро понимать, что именно поменялось.
Находите изменения до того, как они станут проблемой.
Diff показывает точные отличия без ручного сравнения.
История событий, подтверждения (ack) и журнал действий.
Профили на YAML: добавляйте новые типы систем без переписывания всего продукта.
Мониторинг отвечает на вопросы «система жива?», «как себя ведёт?». CDM дополняет: даёт контроль изменений и доказательную базу — что именно поменялось, кто установил эталон, история. Мониторинг видит симптом, CDM — причину (дрейф конфигурации).
Мы продаём раннее обнаружение скрытых проблем, за которые обычно платят репутацией, нервами и бессонными ночами.
«Я хочу знать, что важные настройки не менялись без моего ведома»
Мы продаём гарантию, что важные настройки не менялись без вашего ведома. Наш продукт про ответственность, а не про конфигурации.
Целевая аудитория, для которой CDM закрывает реальную боль.
Компании 10–300 человек, 5–50 сетевых устройств или сервисов, без полноценного SRE/NetOps.
CDM — это способ держать инфраструктуру под контролем без сложных процессов, дорогих внедрений и лишней бюрократии.
Сопровождение услуг, систем, сетей, серверов, поддержка по договору.
CDM — это инструмент снижения конфликтов, повышения прозрачности и защиты договорных отношений.
Что реально происходит в инфраструктуре.
CDM — это инструмент управляемости, снижения операционного риска и повышения предсказуемости ИТ.
Ключ к пониманию, зачем нужен отдельный продукт.
CDM закрывает пустоту между решениями на скриптах и промышленными решениями: без дисциплины и бюджета на тяжёлые платформы, но с контролем изменений и доказательной базой.
Все, что нужно для контроля конфигураций в реальной инфраструктуре.
Не заменяет Zabbix/Nagios/Prometheus: мониторинг видит симптом (сервис упал), CDM — причину (что изменилось, diff, история, эталон).
Расписания, окна, таймауты, ретраи и контроль больших выводов.
Очищайте "шум" (даты, счетчики, динамика) перед сравнением.
Email, Telegram, Webhook, Zabbix.
Шифрование секретов в БД, либо хранение во внешних хранилищах (опционально).
Новые системы добавляются профилями и коллекторами: SSH, PowerShell, API, SQL, файлы.
Подробный журнал аудита. Специальный профиль для контроля изменений конфига самой системы. Экспорт и импорт конфигураций CDM.
Коллектор — это способ получить конфигурацию из системы. Ниже — полный список направлений, которые CDM может поддержать.
Команды на сетевых устройствах, Linux/Unix, security‑appliances. Поддержка интерактивных CLI, больших выводов, paging.
Windows/AD: команды и модули (например, ActiveDirectory), сбор объектов и нормализация JSON/таблиц.
Снимки настроек и метаданных запросами. MS SQL, MySQL, PostgreSQL.
Контроль конфиг‑файлов и каталогов: хэши, канонизация JSON/YAML, исключения шума. Доступ: локально, SMB/CIFS, SFTP.
Запросы к API и web‑endpoint’ам: JSON/XML/текст, auth (token/basic), TLS‑проверки, сравнение конфигураций через REST.
Агент в контуре, который выполняет команды локально и отдает снапшоты порциями. Удобно для изолированных сегментов.
Специализированные коннекторы (по необходимости): Kubernetes, VMware vCenter, Microsoft Graph/Azure, GitLab, Zabbix и т.п.
Не для «конфигов», а для контрольных параметров/фактов. Может дополнять профили, если нужно фиксировать состояние.
Снапшот из репозитория (IaC/конфиги): контролировать изменения в конфиг‑репо как отдельный target.
Ниже — каталог «что обычно мониторят» и под какие системы можно сделать готовые профили в CDM.
Простой пайплайн, который можно объяснить аудитору и внедрить за неделю.
Определяете целевой объект: сервер, роутер, домен, сервис, БД.
Описываете, какие команды выполнить и что считать конфигурацией.
Сохраняете снапшот, нормализуете, сравниваете с прошлым.
Если есть дрейф — создается событие и отправляются уведомления.
version: 1
target_type: windows_powershell
parameters:
watched_groups:
- "Domain Admins"
- "Enterprise Admins"
- "Schema Admins"
- "Administrators"
- "Protected Users"
- "NyTestSecGroup"
watched_users:
- "Administrator"
- "Test2"
collector:
transport: powershell
commands:
- name: domain_password_policy
timeout_sec: 60
requires_modules: ["ActiveDirectory"]
script: |
Import-Module ActiveDirectory
Get-ADDefaultDomainPasswordPolicy |
Select-Object `
MinPasswordLength, PasswordHistoryCount, ComplexityEnabled, ReversibleEncryptionEnabled, `
LockoutThreshold, LockoutDuration, LockoutObservationWindow |
ForEach-Object { $_ } # вернуть объект
- name: privileged_groups_membership
timeout_sec: 180
requires_modules: ["ActiveDirectory"]
script: |
Import-Module ActiveDirectory
$groups = @("Domain Admins","Enterprise Admins","Schema Admins","Administrators","Protected Users")
foreach ($g in $groups) {
Get-ADGroupMember -Identity $g -Recursive |
Select-Object @{n="Group";e={$g}}, ObjectClass, SamAccountName, Name, DistinguishedName |
Sort-Object Group, ObjectClass, SamAccountName, DistinguishedName
}
См. разделы выше — Коллекторы (SSH, PowerShell, SQL, Files, HTTP(S), Agent) и Профили (AD, Keenetic, ViPNet, Linux, Cisco, БД и др.).
Пользователь открывает веб-интерфейс → «Add target» (Добавить таргет). Выбирает тип: Cisco (SSH), Keenetic (SSH), и т.д. Вводит адрес/порт, учётку или ключ, расписание (например, раз в час). Нажимает «Run now».
Результат: Система формирует снимок конфигурации и считает его базовым (первый снимок считается baseline). Ценность: есть база, от которой далее будут обнаруживаться изменения.
Через час или день новый снимок отличается. Система создаёт событие изменения конфигурации (DriftEvent) и шлёт уведомление (например, по почте): [CRITICAL] Keenetic: изменён проброс портов / DNS. Сравнение: baseline → текущий снимок. Изменено: NAT rule added, DNS changed. Link: …
Инженер переходит по ссылке, видит краткое описание изменения и детали изменения (diff). Если изменение плановое — нажимает Ack и пишет комментарий («плановая смена провайдера»). Если нет — быстро выясняет «кто/почему». Ценность: вместо «почему вчера работало» сразу видно «что изменилось».
В первые дни может быть много событий. Инженер подтверждает плановые, при необходимости корректирует профиль (устанавливая ignore/mask-правила) одним правилом. Через какое-то время остаются только значимые изменения — система перестаёт «шуметь» по несущественным отличиям.
Подберите вариант под масштаб и требования безопасности. Лицензии предоставляются на год.
Zabbix, Prometheus, Nagios — это мониторинг доступности и метрик, плюс алерты. Они отвечают на вопросы: «система жива?», «как себя ведёт?».
CDM — контроль дрейфа конфигураций и доказательная база: что изменилось, соответствует ли эталону. CDM не заменяет мониторинг, а дополняет: мониторинг видит симптом (сервис упал), CDM — причину (за 20 минут до падения на узле изменили параметр или конфиг; вот diff и история).
Можно. Но CDM — это готовый продукт: профили, нормализация вывода, версии и эталон, история, diff, аудит, уведомления, роли. Скрипты без продукта не дают воспроизводимости и управляемости в масштабе.
Нет. ConfigDriftMonitor — инструмент наблюдения и фиксации дрейфа. Он дополняет CMDB/IaC, помогает быстро увидеть незапланированные изменения и ускорить расследования.
Нет. Система разворачивается в вашем контуре. Передача наружу не требуется.
Через профили (YAML) и коллекторы: SSH/PowerShell/SQL/HTTP/Files. Добавляете команды и правила нормализации — и система начинает контролировать новый объект.
Редакция Home поставляется бесплатно, Pro/Enterprise — коммерческие редакции. Редакции различаются доступными коллекторами, дополниетльными функциями и лимитами на количество наблюдаемых таргетов, длительность хранения истории.