Forstå SNMP i et SIEM miljø og Overvågning Zevenet Appliance

SENDT AF Zevenet | 14. januar, 2019

En introduktion til SNMP

SNMP eller Simple Network Management Protocol er en applikationslagsprotokol defineret af IETF i den nuværende ændring RFC 1157. SNMP basere dens data repræsentation i en ASN.1 (præsentationslagsprotokol) modifikation, defineret også af IETF i RFC 1065 as SMI (Struktur og identifikation af ledelsesoplysninger).

SNMP tillader to måder at arbejde på, synkron (eller polling) og asynkron. Synkron tilstand er den mest almindelige måde at bruge SNMP, det virker ved at sende PDU'er (Protokoldataenheder) til administrerede enheder, der implementerer SNMP i netværket kunne disse PDU være til data hentning (GetRequest), som kræver et svar fra enheden (GetResponse) eller at angive en værdi i en bestemt objekt (SetRequest).

SNMP i asynkron tilstand virker ved brug af fælder. Fælder er uopfordrede advarsel PDU'er der sendes af den administrerede enhed til en centralfældeopsamlingsstation, er disse fælder indikatoren for, at der er sket en kritisk begivenhed i den overvågede enhed, f.eks. overophedning eller for meget hukommelsesforbrug og rettet mod UDP port 162.

MIB - Management Information Base

Hver objekt, der kunne administreres af SNMP er grupperet hierarkisk og repræsenteret i en særlig fil kaldet MIB filer, disse MIB'er er beskrivere af grupper af forvaltede objekter organiseret af under et træ af OID'er (Objektidentifikatorer), som identificerer hvert objekt på en unik måde.

Vi kan se et eksempel på et MIB-indhold på følgende billede:

En af de mest almindelige MIB filer er defineret af IETF i MIB-II.

SNMP - Arkitektur

SNMP definerer 3 typer enheder i dets arkitektur:

Netværksstyringsstationer: Udfør administrationsprogrammer til at kontrollere og overvåge netværkselementerne.
Netværkselementer: Enheder som en Zevenet Load Balancer, som overvåges af netværksstyringsstationen.
Agenter: Software ansvarlig for udførelse af ordrer, der sendes af netværksstyringsstationerne, som at hente værdien af ​​en bestemt OID.

På det følgende billede vises det et eksempel på en almindelig SNMP-arkitektur i et netværk:

Konfiguration af SNMP i Zevenet Appliances

Zevenet apparater leveres med en SNMP agent implementeret på det giver mulighed for Debian GNU / Linux standard OID'er at blive pollet synkront af en netværksstyringsstation for at styre tilstanden af ​​belastningsbalanceren.

For at konfigurere SNMP i Zevenet apparater kan det gøres på en nem måde gennem web GUI som følger:

1. Naviger til apparatets web-GUI og gå til afsnittet System> Lokale tjenester på sidepanelet:

2. Aktiver SNMP-afkrydsningsfeltet, og konfigurer grænsefladen, hvorfra de indgående anmodninger tillades. Det anbefales at oprette styringsgrænsefladen her.

3. Vi kan ændre lytteporten og samfund navn, bemærk at dette navn er påkrævet, når du anmoder om en OID og skal medtages i anmodningen.

4. Det sidste felt er den IP-adresse eller det subnet, hvorfra tjenesten vil tillade indkommende anmodninger.

Med denne service kan din ansøgningslevering overvåges i en centraliseret SIEM platform for at sikre den rigtige trafikadfærd.

Herunder finder du nogle nyttige SNMP OIDs for at overvåge korrekt en belastningsbalancer. Bemærk, at der er mange forskellige OID'er at bruge, så vi anbefaler at bruge et værktøj som snmptranslate for at oversætte dem til et mere forståeligt navn til netværksforvaltere.

SNMP OID'er til hukommelsesstatistik

Brug følgende OID'er for Zevenet Appliances for at få forskellige hukommelsesstatistikker:

memTotalSwap: Samlet swap-plads konfigureret til værten i kB (.1.3.6.1.4.1.2021.4.3.0)
memAvailSwap: Bytteplads, der i øjeblikket er tilgængelig i kB (.1.3.6.1.4.1.2021.4.4.0)
memAvailSwap: Real-hukommelse installeret på værten i kB (.1.3.6.1.4.1.2021.4.5.0)
memAvailReal: Real-hukommelse tilgængelig i kB (.1.3.6.1.4.1.2021.4.6.0)
memTotalFree: Total ledig hukommelse i kB (.1.3.6.1.4.1.2021.4.11.0)
memShared: Total reel eller virtuel hukommelse tildelt til brug som delt hukommelse i kB (.1.3.6.1.4.1.2021.4.13.0)
memBuffer: Summen af ​​reel eller virtuel hukommelse tildelt til brug som hukommelsesbuffer i kB (.1.3.6.1.4.1.2021.4.14.0)
memcached: Total reel eller virtuel hukommelse tildelt til brug som cachehukommelse i kB (.1.3.6.1.4.1.2021.4.15.0)

SNMP OID'er til CPU Load Statistics

Brug følgende OID'er for Zevenet apparater for at få CPU belastningsværdier:

1 minut CPU Load (.1.3.6.1.4.1.2021.10.1.3.1)
5 minut CPU Load (.1.3.6.1.4.1.2021.10.1.3.2)
15 minut CPU Load (.1.3.6.1.4.1.2021.10.1.3.3)

SNMP OID'er til CPU Statistik

Brug følgende OID'er for Zevenet Appliances for at få CPU-statistikken:

SsCpuSystem: Procenter af system-CPU-behandlingstid på systemniveau (.1.3.6.1.4.1.2021.11.10.0)
ssCpuRawSystem: Flåter brugt i systemniveau kode (.1.3.6.1.4.1.2021.11.52.0)
ssCpuIdle: Procentdel af processortid i tomgangstilstand (.1.3.6.1.4.1.2021.11.11.0)
ssCpuRawIdle: Flåter brugt idly af cpu (.1.3.6.1.4.1.2021.11.53.0)

SNMP OID'er for netværkets interfacesstatistik

Brug følgende OID'er for Zevenet Appliances for at få netværksgrænsefladen statistik:

ifNumber: Antal grænseflader i systemet (1.3.6.1.2.1.2.1)
grænseflader: tabel for grænsefladestatistik (1.3.6.1.2.1.2.2)

Denne OID svarer til et bord i MIB2. Bemærk, at tabellerne er forskellige i deres repræsentation end skalarobjekter. Forestil dig et bord med en OID xTable, med kolonner Coli og indeks i, for at få adgang til kolonnen Col1 og indeks 1, bør vi anmode om en snmpget forum xTable.xEntry.Col1.1Hvor xEntry har kun en begrebsmæssig betydning, vi kan også få alle poster i en kolonne Col1 med en snmpwalk til xTable.xEntry.Col1 eller få den fulde bord med a snmpwalk til dens OID (xTable.xEntry). Lad os få hvad vi får som kolonner:

ifDescr: Interfaces navne (1.3.6.1.2.1.2.2.1.2)
ifType: Interfaces type, for eksempel ethernet (1.3.6.1.2.1.2.2.1.3)
ifMtu: Maksimal overførselsenhed (1.3.6.1.2.1.2.2.1.4)
ifSpeed: Aktuel estimeret eller nominel båndbredde i b / s (1.3.6.1.2.1.2.2.1.5)
ifPhysAddress: lavere protokol lag adresse, for eksempel MAC adresse (1.3.6.1.2.1.2.2.1.6)
ifOperStatus: Nuværende status (1.3.6.1.2.1.2.2.1.8)
ifInOctets: Antal indkommende oktetter (1.3.6.1.2.1.2.2.1.10)
ifInUcastPkts: Antal indkommende unicast-pakker (1.3.6.1.2.1.2.2.1.11)
ifInDiscards: Antal indgående pakker kasseret (1.3.6.1.2.1.2.2.1.13)
ifInErrors: Antal indgående pakker med fejl, der forhindrer dem i at blive leveret (1.3.6.1.2.1.2.2.1.14)
ifOutOctets: Antal overførte oktetter (1.3.6.1.2.1.2.2.1.16)
ifOutUcastPkts: Antal overførte unicast-pakker (1.3.6.1.2.1.2.2.1.17)
ifOutDiscards: Antal overførte pakker kasseret (1.3.6.1.2.1.2.2.1.19)
ifOutErrors: Antal udgående pakker med fejl, som ikke kunne overføres (1.3.6.1.2.1.2.2.1.20)

Backends SNMP overvågning fra belastningsbalanceren

På den anden side er SNMP meget nyttigt i en belastningsbalancer synspunkt, da det kunne bruges til at samle backends metrics og bruge dem til at ændre scheduleradfærd eller for at automatisere aktivering og deaktivering af backends. Henvise til dette link for at få flere oplysninger om, hvordan man bruger en brugerdefineret gårdsbekæmpelsessjek med SNMP.

Yderligere anvendelse af leveringsovervågning

Der er brugstilfælde, hvor det er nødvendigt for at få specifikke overvågningsværdier som gårde, backends eller klyngestatistikker og stater. For at samle disse specifikke værdier skal du følge denne artikel det kan også gøres gennem REST api.

Yderligere overvågningsressourcer

Se artiklerne om hvordan man overvåger Zevenet Appliances med Nagios eller Zabbix gennem følgende links:

https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-nagios/
https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-zabbix/

Håber, at du finder denne artikel nyttig, og at det tager dig til det næste niveau af brug SNMP at overvåge Zevenet apparater!

Referencer

UCD-SNMP-MIB http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt
SNMP-protokollet RFC: https://tools.ietf.org/html/rfc1157
SIM RFC: https://tools.ietf.org/html/rfc1065
netto-snmp: http://www.net-snmp.org/wiki/
Debian wiki snmp: https://wiki.debian.org/SNMP
UCD-SNMP-MIB: http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler