Å is raksts ir veltÄ«ts tÄ«kla iekÄrtu uzraudzÄ«bas funkcijÄm, izmantojot SNMPv3 protokolu. MÄs runÄsim par SNMPv3, es dalÄ«Å”os pieredzÄ, veidojot pilnvÄrtÄ«gas veidnes Zabbix, un es parÄdÄ«Å”u, ko var sasniegt, organizÄjot izplatÄ«tus brÄ«dinÄjumus lielÄ tÄ«klÄ. SNMP protokols ir galvenais, uzraugot tÄ«kla aprÄ«kojumu, un Zabbix ir lieliski piemÄrots liela skaita objektu uzraudzÄ«bai un liela apjoma ienÄkoÅ”o metrikas apkopoÅ”anai.
Daži vÄrdi par SNMPv3
SÄksim ar SNMPv3 protokola mÄrÄ·i un tÄ lietoÅ”anas iezÄ«mÄm. SNMP uzdevumi ir tÄ«kla ierÄ«Äu uzraudzÄ«ba un pamata pÄrvaldÄ«ba, nosÅ«tot tÄm vienkÄrÅ”as komandas (piemÄram, tÄ«kla saskarÅu iespÄjoÅ”ana un atspÄjoÅ”ana vai ierÄ«ces pÄrstartÄÅ”ana).
GalvenÄ atŔķirÄ«ba starp SNMPv3 protokolu un tÄ iepriekÅ”ÄjÄm versijÄm ir klasiskÄs droŔības funkcijas [1-3], proti:
- AutentifikÄcija, kas nosaka, ka pieprasÄ«jums saÅemts no uzticama avota;
- Å”ifrÄÅ”ana (Å”ifrÄÅ”ana), lai novÄrstu pÄrsÅ«tÄ«to datu izpauÅ”anu, kad tos pÄrtver treÅ”Äs personas;
- integritÄte, tas ir, garantija, ka pÄrsÅ«tÄ«Å”anas laikÄ pakete nav bojÄta.
SNMPv3 nozÄ«mÄ droŔības modeļa izmantoÅ”anu, kurÄ autentifikÄcijas stratÄÄ£ija ir iestatÄ«ta konkrÄtam lietotÄjam un grupai, kurai viÅÅ” pieder (iepriekÅ”ÄjÄs SNMP versijÄs pieprasÄ«jums no servera uzraudzÄ«bas objektam tika salÄ«dzinÄts tikai ar ākopienuā, teksts virkne ar āparoliā, kas pÄrraidÄ«ta skaidrÄ tekstÄ (vienkÄrÅ”Ä tekstÄ)).
SNMPv3 ievieÅ” droŔības lÄ«meÅu jÄdzienu - pieÅemamus droŔības lÄ«meÅus, kas nosaka aprÄ«kojuma konfigurÄciju un uzraudzÄ«bas objekta SNMP aÄ£enta uzvedÄ«bu. DroŔības modeļa un droŔības lÄ«meÅa kombinÄcija nosaka, kurÅ” droŔības mehÄnisms tiek izmantots, apstrÄdÄjot SNMP paketi [4].
TabulÄ ir aprakstÄ«tas modeļu un SNMPv3 droŔības lÄ«meÅu kombinÄcijas (es nolÄmu atstÄt pirmÄs trÄ«s kolonnas kÄ oriÄ£inÄlÄ):
AttiecÄ«gi mÄs izmantosim SNMPv3 autentifikÄcijas režīmÄ, izmantojot Å”ifrÄÅ”anu.
SNMPv3 konfigurÄÅ”ana
TÄ«kla aprÄ«kojuma pÄrraudzÄ«bai ir nepiecieÅ”ama viena un tÄ pati SNMPv3 protokola konfigurÄcija gan pÄrraudzÄ«bas serverÄ«, gan uzraudzÄ«tajÄ objektÄ.
SÄksim ar Cisco tÄ«kla ierÄ«ces iestatÄ«Å”anu, tÄs minimÄlÄ nepiecieÅ”amÄ konfigurÄcija ir Å”Äda (konfigurÄcijai mÄs izmantojam CLI, nosaukumus un paroles es vienkÄrÅ”oju, lai izvairÄ«tos no neskaidrÄ«bÄm):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included
PirmÄ rinda snmp-server group ā definÄ SNMPv3 lietotÄju grupu (snmpv3group), lasÄ«Å”anas režīmu (lasÄ«Å”anas) un snmpv3group grupas piekļuves tiesÄ«bas, lai skatÄ«tu noteiktas pÄrraudzÄ«bas objekta MIB koka filiÄles (snmpv3name, tad konfigurÄcija norÄda, kuriem MIB koka zariem grupa var piekļūt, snmpv3group varÄs piekļūt).
OtrÄ rinda snmp-server user ā definÄ lietotÄju snmpv3user, viÅa piederÄ«bu snmpv3group grupai, kÄ arÄ« md5 autentifikÄcijas (md5 parole ir md5v3v3v3) un des Å”ifrÄÅ”anas izmantoÅ”anu (des parole ir des56v3v3v3). Protams, labÄk ir izmantot aes, nevis des; es to sniedzu tikai kÄ piemÄru. TÄpat, definÄjot lietotÄju, varat pievienot piekļuves sarakstu (ACL), kas regulÄ IP adreses pÄrraudzÄ«bas serveriem, kuriem ir tiesÄ«bas uzraudzÄ«t Å”o ierÄ«ci ā arÄ« tÄ ir labÄkÄ prakse, taÄu es nesarežģīŔu mÅ«su piemÄru.
TreÅ”Äs rindas snmp-servera skats definÄ koda nosaukumu, kas norÄda koka snmpv3name MIB filiÄles, lai snmpv3group lietotÄju grupa varÄtu tos vaicÄt. ISO tÄ vietÄ, lai stingri noteiktu vienu atzaru, ļauj snmpv3group lietotÄju grupai piekļūt visiem objektiem monitoringa objekta MIB kokÄ.
LÄ«dzÄ«ga Huawei aprÄ«kojuma iestatÄ«Å”ana (arÄ« CLI) izskatÄs Å”Ädi:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3
PÄc tÄ«kla ierÄ«Äu iestatÄ«Å”anas jums jÄpÄrbauda piekļuve no uzraudzÄ«bas servera, izmantojot SNMPv3 protokolu, es izmantoÅ”u snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
VizuÄlÄks rÄ«ks konkrÄtu OID objektu pieprasÄ«Å”anai, izmantojot MIB failus, ir snmpget:
Tagad pÄriesim pie tipiska datu elementa iestatÄ«Å”anas SNMPv3 Zabbix veidnÄ. VienkÄrŔības un MIB neatkarÄ«bas labad es izmantoju digitÄlos OID:
Es izmantoju pielÄgotus makro galvenajos laukos, jo tie bÅ«s vienÄdi visiem datu elementiem veidnÄ. Varat tos iestatÄ«t veidnÄ, ja visÄm tÄ«kla ierÄ«cÄm jÅ«su tÄ«klÄ ir vienÄdi SNMPv3 parametri, vai tÄ«kla mezglÄ, ja SNMPv3 parametri dažÄdiem uzraudzÄ«bas objektiem atŔķiras:
LÅ«dzu, Åemiet vÄrÄ, ka uzraudzÄ«bas sistÄmai ir tikai lietotÄjvÄrds un paroles autentifikÄcijai un Å”ifrÄÅ”anai. UzraudzÄ«bas objektÄ ir norÄdÄ«ta lietotÄju grupa un MIB objektu apjoms, kuriem ir atļauta piekļuve.
Tagad pÄriesim pie veidnes aizpildÄ«Å”anas.
Zabbix aptaujas veidne
VienkÄrÅ”s noteikums, veidojot aptaujas veidnes, ir padarÄ«t tÄs pÄc iespÄjas detalizÄtÄkas.
Lielu uzmanÄ«bu pievÄrÅ”u inventÄram, lai bÅ«tu vieglÄk strÄdÄt ar lielu tÄ«klu. VairÄk par to nedaudz vÄlÄk, bet pagaidÄm - trigeri:
Lai atvieglotu trigeru vizualizÄciju, sistÄmas makro {HOST.CONN} ir iekļauti to nosaukumos, lai informÄcijas paneļa brÄ«dinÄjumu sadaÄ¼Ä tiktu parÄdÄ«ti ne tikai ierÄ«Äu nosaukumi, bet arÄ« IP adreses, lai gan tas ir vairÄk ÄrtÄ«bas, nevis nepiecieÅ”amÄ«bas jautÄjums. . Lai noteiktu, vai ierÄ«ce nav pieejama, papildus parastajam atbalss pieprasÄ«jumam es izmantoju resursdatora nepieejamÄ«bas pÄrbaudi, izmantojot SNMP protokolu, kad objekts ir pieejams, izmantojot ICMP, bet nereaÄ£Ä uz SNMP pieprasÄ«jumiem - Å”Äda situÄcija ir iespÄjama, piemÄram, , kad IP adreses tiek dublÄtas dažÄdÄs ierÄ«cÄs nepareizi konfigurÄtu ugunsmÅ«ru vai nepareizu uzraudzÄ«bas objektu SNMP iestatÄ«jumu dÄļ. Ja izmantojat resursdatora pieejamÄ«bas pÄrbaudi, tikai izmantojot ICMP, tÄ«kla incidentu izmeklÄÅ”anas laikÄ uzraudzÄ«bas dati var nebÅ«t pieejami, tÄpÄc to saÅemÅ”ana ir jÄuzrauga.
PÄriesim pie tÄ«kla saskarÅu noteikÅ”anas - tÄ«kla iekÄrtÄm Ŕī ir vissvarÄ«gÄkÄ uzraudzÄ«bas funkcija. TÄ kÄ tÄ«kla ierÄ«cÄ var bÅ«t simtiem saskarÅu, ir nepiecieÅ”ams izfiltrÄt nevajadzÄ«gÄs, lai netiktu pÄrblÄ«vÄta vizualizÄcija un netiktu pÄrblÄ«vÄta datubÄze.
Es izmantoju standarta SNMP atklÄÅ”anas funkciju ar vairÄk atklÄjamiem parametriem elastÄ«gÄkai filtrÄÅ”anai:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Izmantojot Å”o atklÄjumu, varat filtrÄt tÄ«kla saskarnes pÄc to veidiem, pielÄgotajiem aprakstiem un administratÄ«vo portu statusiem. Filtri un regulÄrÄs izteiksmes filtrÄÅ”anai manÄ gadÄ«jumÄ izskatÄs Å”Ädi:
Ja tiks atklÄtas, Å”Ädas saskarnes tiks izslÄgtas:
- manuÄli atspÄjots (adminstatus<>1), pateicoties IFADMINSTATUS;
- bez teksta apraksta, pateicoties IFALIAS;
- ar simbolu * teksta aprakstÄ, pateicoties IFALIAS;
- kas ir servisa vai tehniski, pateicoties IFDESCR (manÄ gadÄ«jumÄ regulÄrajÄs izteiksmÄs IFALIAS un IFDESCR tiek pÄrbaudÄ«ts ar vienu regulÄrÄs izteiksmes aizstÄjvÄrdu).
Veidne datu vÄkÅ”anai, izmantojot SNMPv3 protokolu, ir gandrÄ«z gatava. MÄs nekavÄsimies sÄ«kÄk pie tÄ«kla saskarÅu datu elementu prototipiem; pÄriesim pie rezultÄtiem.
Monitoringa rezultÄti
Vispirms veiciet neliela tÄ«kla inventarizÄciju:
Ja sagatavojat veidnes katrai tÄ«kla ierÄ«Äu sÄrijai, varat iegÅ«t viegli analizÄjamu paÅ”reizÄjÄs programmatÅ«ras kopsavilkuma datu izkÄrtojumu, sÄrijas numurus un paziÅojumus par tÄ«rÄ«tÄja ienÄkÅ”anu serverÄ« (zemÄ darbspÄjas laika dÄļ). TÄlÄk ir sniegts mana veidÅu saraksta fragments:
Un tagad - galvenais uzraudzÄ«bas panelis ar aktivizÄtÄjiem, kas sadalÄ«ti pÄc smaguma pakÄpes:
Pateicoties integrÄtai pieejai veidnÄm katram tÄ«kla ierÄ«ces modelim, ir iespÄjams nodroÅ”inÄt, ka vienas uzraudzÄ«bas sistÄmas ietvaros tiks organizÄts rÄ«ks kļūdu un avÄriju prognozÄÅ”anai (ja ir pieejami atbilstoÅ”i sensori un metrika). Zabbix ir labi piemÄrots tÄ«klu, serveru un pakalpojumu infrastruktÅ«ras uzraudzÄ«bai, un tÄ«kla aprÄ«kojuma uzturÄÅ”anas uzdevums skaidri parÄda tÄ iespÄjas.
Izmantoto avotu saraksts:1. Hucaby D. CCNP marÅ”rutÄÅ”anas un komutÄcijas SWITCH 300-115 OficiÄlÄ sertifikÄta rokasgrÄmata. Cisco Press, 2014. lpp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP konfigurÄcijas rokasgrÄmata, Cisco IOS XE Release 3SE. Nodaļa: SNMP 3. versija.
Avots: www.habr.com