הבנת SNMP בסביבת SIEM וניטור Zevenet Appliance

פורסם על ידי זאבנט | 14 בינואר, 2019

מבוא ל- SNMP

SNMP או פשוט Network Management Protocol הוא פרוטוקול שכבת יישומים שהוגדר על ידי IETF בתיקונה הנוכחי RFC 1157. SNMP לבסס את ייצוג הנתונים שלה ב ASN.1 (פרוטוקול שכבת הצגה) שינוי, המוגדר גם על ידי IETF ב RFC 1065 as SMI (מבנה וזיהוי מידע ניהולי).

SNMP מאפשר שתי דרכים לעבוד, סינכרוני (או סקרים) ו אסינכרוני. מצב סינכרוני הוא הדרך הנפוצה ביותר של שימוש SNMP, זה עובד על ידי שליחת PDUs (יחידות נתונים של פרוטוקול) למכשירים מנוהלים המיישמים SNMP ברשת, אלה PDU יכול להיות לאחזור נתונים (GetRequest) המחייבת תגובה מהמכשיר (GetResponse) או כדי להגדיר ערך באובייקט מסוים (SetRequest).

SNMP במצב אסינכרוני עובד על ידי שימוש מלכודות. מלכודות הם התראה לא רצוי PDUs שנשלחו על ידי המכשיר המנוהל לתחנת איסוף אספנות מרכזית, מלכודות אלה הן האינדיקטור שאירע אירוע קריטי במכשיר הניטור, לדוגמה, התחממות יתר או שימוש רב מדי בזיכרון, והן מופנות אל UDP יציאה 162.

MIB - מאגר מידע לניהול

כל אובייקט אשר יכול להיות מנוהל על ידי SNMP מקובצים באופן היררכי ומיוצגים בקובץ מיוחד הנקרא MIB קבצים, MIBs אלה הם מתארים של קבוצות של אובייקטים מנוהלים המאורגנים תחת עץ של OIDs (מזהי אובייקטים) אשר מזהה כל אובייקט באופן ייחודי.

אנו יכולים לראות דוגמה לתוכן MIB בתמונה הבאה:

אחד הנפוצים ביותר MIB קבצים מוגדר על ידי IETF ב MIB-II.

SNMP - אדריכלות

SNMP מגדיר 3 סוגי ישויות בארכיטקטורה שלה:

תחנות ניהול רשת: בצע יישומי ניהול כדי לשלוט ולנטר את רכיבי הרשת.
אלמנטים ברשת: התקנים כגון איזון עומס Zevenet אשר יהיה פיקוח על ידי תחנת ניהול הרשת.
סוכנים: תוכנה האחראית על ביצוע הזמנות שנשלחו על ידי תחנות ניהול הרשת, כמו אחזור הערך של OID מסוים.

בתמונה הבאה מוצגת דוגמה לארכיטקטורת SNMP רגילה ברשת:

הגדרת SNMP ב Zevenet מכשירי

מכשירי Zevenet מגיעים עם SNMP סוכן מיושם על זה המאפשר את ברירת המחדל של Debian GNU / Linux OIDs להיבדק באופן סנכרוני על ידי תחנת ניהול רשת כדי לשלוט במצב של איזון העומס.

כדי להגדיר את SNMP במכשירי Zevenet, ניתן לעשות זאת בצורה קלה באמצעות ממשק האינטרנט כך:

1. נווט אל ממשק האינטרנט של Google Appliance ועבור אל הקטע מערכת <שירותים מקומיים בסרגל הצד:

2. הפעל את תיבת הסימון SNMP והגדר את הממשק שממנו תתאפשר בקשות נכנסות. מומלץ להגדיר כאן את ממשק הניהול.

3. אנחנו יכולים לשנות את יציאת ההאזנה ואת קהילה שם, שים לב כי שם כזה נדרש בעת בקשת OID ויש לכלול את הבקשה.

4. השדה האחרון הוא כתובת ה- IP או רשת המשנה שממנו השירות יאפשר בקשות נכנסות.

עם שירות זה המסירה היישום שלך ניתן לפקח על פלטפורמת SIEM מרכזי על מנת להבטיח את התנהגות התנועה הנכונה.

ראה להלן כמה שימושי SNMP OIDs על מנת לפקח כראוי איזון עומס. שים לב שיש הרבה שונה OIDs כדי להשתמש, ולכן אנו ממליצים להשתמש בכלי כמו סנמפרנסלאט על מנת לתרגם אותם לשם מובנה יותר למנהלי הרשת.

SNMP OIDs עבור סטטיסטיקה זיכרון

השתמש באפשרויות הבאות OIDs עבור מכשירי Zevenet כדי לקבל נתונים סטטיסטיים שונים של זיכרון:

memTotalSwap: שטח החלפה כולל שהוגדר עבור המארח ב- kB (. 1.3.6.1.4.1.2021.4.3.0)
תזכורות: החלף שטח זמין כרגע kB (. 1.3.6.1.4.1.2021.4.4.0)
תזכורות: זיכרון אמיתי מותקן על המארח ב kB (. 1.3.6.1.4.1.2021.4.5.0)
memAvailReal: זיכרון אמיתי זמין kB (. 1.3.6.1.4.1.2021.4.6.0)
memTotalFree: סה"כ זיכרון פנוי ב- kB (. 1.3.6.1.4.1.2021.4.11.0)
memShared: סה"כ זיכרון אמיתי או וירטואלי שהוקצה לשימוש כזיכרון משותף ב- kB (. 1.3.6.1.4.1.2021.4.13.0)
memBuffer: סה"כ זיכרון אמיתי או וירטואלי שהוקצו לשימוש כמאגר זיכרון ב- kB (. 1.3.6.1.4.1.2021.4.14.0)
Memcached: סה"כ זיכרון אמיתי או וירטואלי שהוקצה לשימוש כזיכרון מטמון ב- kB (. 1.3.6.1.4.1.2021.4.15.0)

SNMP OIDs עבור CPU Load Statistics

השתמש באפשרויות הבאות OIDs עבור Zevenet מכשירי חשמל כדי לקבל את ערכי עומס CPU:

1 דקה לטעון CPU (. 1.3.6.1.4.1.2021.10.1.3.1)
5 דקה לטעון CPU (. 1.3.6.1.4.1.2021.10.1.3.2)
15 דקה לטעון CPU (. 1.3.6.1.4.1.2021.10.1.3.3)

SNMP OIDs עבור סטטיסטיקה CPU

השתמש באפשרויות הבאות OIDs עבור Zevenet מכשירי חשמל כדי לקבל את הנתונים הסטטיסטיים CPU:

SsCpuSystem: אחוזי מערכת עיבוד CPU זמן ברמת המערכת (. 1.3.6.1.4.1.2021.11.10.0)
ssCpuRawSystem: טיקים שהושקעו בקוד ברמת המערכת (. 1.3.6.1.4.1.2021.11.52.0)
ssCpuIdle: אחוז זמן המעבד במצב המתנה (. 1.3.6.1.4.1.2021.11.11.0)
ssCpuRaw: Ticks בילה באופן לא חוקי על ידי מעבד (. 1.3.6.1.4.1.2021.11.53.0)

SNMP OIDs עבור ממשקי רשת סטטיסטיקה

השתמש באפשרויות הבאות OIDs עבור מכשירי Zevenet כדי לקבל את הנתונים הסטטיסטיים ממשקי הרשת:

אם המספר: מספר ממשקים במערכת (1.3.6.1.2.1.2.1)
ממשקים: טבלה עבור סטטיסטיקות ממשק (1.3.6.1.2.1.2.2)

זֶה OID מתאים לטבלה ב MIB2. שים לב כי השולחנות שונים בייצוג שלהם מאשר אובייקטים סקלריים. תארו לעצמכם טבלה עם OID xTable, עם עמודות coli ואת המדד i, כדי לקבל גישה לעמודה Col1 ואת המדד 1, אנחנו צריכים לבקש snmpget ל xTable.xEntry.Col1.1, שם xEntry יש רק משמעות מושגית, אנחנו יכולים גם לקבל את כל הערכים של טור Col1 עם snmpwalk ל xTable.xEntry.Col1 או לקבל את הטבלה המלאה עם snmpwalk לה OID (xTable.xEntry). מאפשר את מה שאנחנו מקבלים כמו עמודות:

iDescr: שמות ממשקים (1.3.6.1.2.1.2.2.1.2)
ifType: ממשקים סוג, למשל, Ethernet (1.3.6.1.2.1.2.2.1.3)
אם: יחידת ההעברה המקסימלית (1.3.6.1.2.1.2.2.1.4)
אם: רוחב פס נומינלי נוכחי או נומינלי ב- b / s (1.3.6.1.2.1.2.2.1.5)
ifPhysAdress: כתובת שכבת פרוטוקול נמוכה יותר, לדוגמה, כתובת MAC (1.3.6.1.2.1.2.2.1.6)
אם: מצב נוכחי (1.3.6.1.2.1.2.2.1.8)
ifInOctets: מספר octets נכנסות (1.3.6.1.2.1.2.2.1.10)
ifIncast: מספר מנות שידור נכנסות (1.3.6.1.2.1.2.2.1.11)
ifInisciscards: מספר מנות נכנסות שנמחקו (1.3.6.1.2.1.2.2.1.13)
ifInErrors: מספר מנות נכנסות עם שגיאות המונעות את שליחתן (1.3.6.1.2.1.2.2.1.14)
אם OOOOctets: מספר האוקטטים המועברים (1.3.6.1.2.1.2.2.1.16)
אם: מספר מנות שידור ליעד בודד (1.3.6.1.2.1.2.2.1.17)
אם: מספר מנות המועברות שהושלכו (1.3.6.1.2.1.2.2.1.19)
אם: מספר החבילות היוצאות עם שגיאות שלא ניתן היה להעביר (1.3.6.1.2.1.2.2.1.20)

Backends ניטור SNMP מ איזון עומס

מצד שני, SNMP הוא מאוד שימושי נקודת איזון עומס של תצוגה כפי שהוא יכול לשמש כדי לאסוף מדדים backends ולהשתמש בהם כדי לשנות את התנהגות מתזמן או כדי להפוך את ההפעלה ואת השבתה של backends. מתייחס קישור זה כדי לקבל מידע נוסף על אופן השימוש לבדוק שומר החווה מותאם אישית עם SNMP.

ניטור נוסף של מסירת יישומים

ישנם מקרי שימוש בהם יש צורך לקבל ערכי ניטור ספציפיים כמו חוות, backends או נתונים סטטיסטיים מקבצים ומדינות. כדי לאסוף ערכים ספציפיים אלה, אנא עקוב אחר את המאמר הזה זה יכול להיעשות גם באמצעות REST API.

משאבי ניטור נוספים

עיין במאמרים על איך לפקח על מכשירי Zevenet עם Nagios או Zabbix דרך הקישורים הבאים:

https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-nagios/
https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-zabbix/

מקווה שאתה מוצא מאמר זה שימושי וזה לוקח אותך לשלב הבא של שימוש SNMP כדי לפקח מכשירי זבנט!

הפניות

UCD-SNMP-MIB http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt
פרוטוקול SNMP RFC: https://tools.ietf.org/html/rfc1157
SIM RFC: https://tools.ietf.org/html/rfc1065
net-snmp: http://www.net-snmp.org/wiki/
ויקיפדיה: https://wiki.debian.org/SNMP
UCD-SNMP-MIB: http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים