SNMP begrijpen in een SIEM-omgeving en Zevenet-apparatuur bewaken

GEPOST DOOR Zevenet | 14 januari 2019

Een inleiding tot SNMP

SNMP of Simple Network Management Protocol is een toepassingslaagprotocol dat is gedefinieerd door de IETF in zijn huidige amendement RFC 1157. SNMP baseert zijn gegevensrepresentatie in een ASN.1 (presentatie laag protocol) aanpassing, ook gedefinieerd door de IETF functie in het RFC 1065 as SMI (Structuur en identificatie van managementinformatie).

SNMP biedt twee manieren van werken, synchroon (of polling) en asynchroon. De synchrone modus is de meest gebruikelijke manier van gebruiken SNMP, het werkt door te verzenden PDU's (Protocol Data Units) naar beheerde apparaten die worden geïmplementeerd SNMP in het netwerk, zou die PDU kunnen zijn voor het ophalen van gegevens (GetRequest) waarvoor een reactie van het apparaat vereist is (GetResponse) of om een ​​waarde in een specifiek object in te stellen (SetRequest).

SNMP in asynchrone modus werkt door het gebruik van vallen. Vallen zijn ongevraagde waarschuwing PDU's verzonden door het beheerde apparaat naar een centraal opvangstation, zijn die vallen de indicator dat zich een kritieke gebeurtenis heeft voorgedaan in het bewaakte apparaat, bijvoorbeeld oververhitting of te veel geheugengebruik en worden doorgestuurd naar de UDP poort 162.

MIB - Management-informatiebasis

Elk object dat kan worden beheerd door SNMP zijn hiërarchisch gegroepeerd en weergegeven in een speciaal bestand genaamd MIB-bestanden, die MIB's zijn descriptors van groepen beheerde objecten georganiseerd door onder een boom van OIDs (Object-identificaties) die elk object op een unieke manier identificeert.

We zien een voorbeeld van een MIB-inhoud in de volgende afbeelding:

Een van de meest voorkomende MIB bestanden worden gedefinieerd door de IETF functie in het MIB-II.

SNMP - Architectuur

SNMP definieert 3-typen entiteiten in de architectuur:

Network Management Stations: Beheertoepassingen uitvoeren om de netwerkelementen te beheren en te bewaken.
Netwerk elementen: Apparaten zoals een Zevenet Load Balancer die door het netwerkbeheerstation worden bewaakt.
Ontmoet het team: Software verantwoordelijk voor het uitvoeren van orders verzonden door de netwerkbeheerstations, zoals het ophalen van de waarde van een specifieke OID.

In de volgende afbeelding wordt een voorbeeld getoond van een gebruikelijke SNMP-architectuur in een netwerk:

SNMP configureren in Zevenet-apparaten

Zevenet apparaten worden geleverd met een SNMP agent geïmplementeerd zodat de Debian GNU / Linux standaard kan worden gebruikt OIDs om synchroon te worden gepolld door een netwerkbeheerstation om de status van de load balancer te regelen.

Om SNMP in Zevenet-appliances te configureren, kan dit op een eenvoudige manier via de web-GUI als volgt:

1. Navigeer naar de web-GUI van het apparaat en ga naar de sectie Systeem> Lokale services op de zijbalk:

2. Schakel het selectievakje SNMP in en configureer de interface van waaruit de inkomende verzoeken worden toegestaan. Het is aan te raden om hier de beheerinterface in te stellen.

3. We kunnen de luisterpoort en de gemeenschap naam, merk op dat de naam verplicht is bij het aanvragen van een OID en moet worden opgenomen in het verzoek.

4. Het laatste veld is het IP-adres of subnet waarvan de service binnenkomende aanvragen zal toestaan.

Met deze service kan uw applicatieaflevering worden bewaakt op een gecentraliseerd SIEM-platform om het juiste verkeersgedrag te garanderen.

Hieronder vindt u enkele nuttige informatie SNMP OID's om een ​​load-balancer correct te bewaken. Merk op dat er veel verschillende zijn OIDs te gebruiken, dus we raden aan om een ​​tool zoals te gebruiken snmptranslate om ze te vertalen naar een begrijpelijkere naam voor netwerkbeheerders.

SNMP OID's voor geheugenstatistieken

Gebruik het volgende OIDs voor Zevenet-apparaten om verschillende geheugenstatistieken te krijgen:

memTotalSwap: Totale swapruimte geconfigureerd voor de host in kB (.1.3.6.1.4.1.2021.4.3.0)
memAvailSwap: Wisselruimte die momenteel beschikbaar is in kB (.1.3.6.1.4.1.2021.4.4.0)
memAvailSwap: Echt geheugen geïnstalleerd op de host in kB (.1.3.6.1.4.1.2021.4.5.0)
memAvailReal: Echt geheugen beschikbaar in kB (.1.3.6.1.4.1.2021.4.6.0)
memTotalFree: Totaal vrij geheugen in kB (.1.3.6.1.4.1.2021.4.11.0)
memShared: Totaal van het reële of virtuele geheugen dat is toegewezen voor gebruik als gedeeld geheugen in kB (.1.3.6.1.4.1.2021.4.13.0)
memBuffer: Totaal van het reële of virtuele geheugen dat is toegewezen voor gebruik als geheugenbuffer in kB (.1.3.6.1.4.1.2021.4.14.0)
memcached: Totaal van het reële of virtuele geheugen dat is toegewezen voor gebruik als cachegeheugen in kB (.1.3.6.1.4.1.2021.4.15.0)

SNMP-OID's voor CPU-laadstatistieken

Gebruik het volgende OIDs voor Zevenet-apparaten om de CPU-belastingswaarden te krijgen:

1 minuut CPU-belasting (.1.3.6.1.4.1.2021.10.1.3.1)
5 minuut CPU-belasting (.1.3.6.1.4.1.2021.10.1.3.2)
15 minuut CPU-belasting (.1.3.6.1.4.1.2021.10.1.3.3)

SNMP-OID's voor CPU-statistieken

Gebruik het volgende OIDs voor Zevenet Appliances om de CPU-statistieken te krijgen:

SsCpuSystem: percentages van systeem CPU-verwerkingsniveau systeemtijd (.1.3.6.1.4.1.2021.11.10.0)
ssCpuRawSystem: Tekens uitgegeven op systeemniveau-code (.1.3.6.1.4.1.2021.11.52.0)
ssCpuIdle: Percentage processor-tijd in rusttoestand (.1.3.6.1.4.1.2021.11.11.0)
ssCpuRawIdle: Teken besteed werkeloos door cpu (.1.3.6.1.4.1.2021.11.53.0)

SNMP OID's voor statistieken over netwerkinterfaces

Gebruik het volgende OIDs voor Zevenet Appliances om de netwerkinterfaces te krijgen:

ifNumber: Aantal interfaces in het systeem (1.3.6.1.2.1.2.1)
interfaces: tabel voor interfacesstatistieken (1.3.6.1.2.1.2.2)

Deze OID komt overeen met een tabel in de MIB2. Merk op dat tabellen qua weergave anders zijn dan scalaire objecten. Stel je een tafel voor met een OID xTable, met kolommen Coli en index i, om toegang te krijgen tot de kolom Col1 en index 1, we moeten een verzoek indienen snmpget heeft gewacht xTable.xEntry.Col1.1, Waar Xentry heeft alleen een conceptuele betekenis, we kunnen ook alle ingangen van een kolom krijgen Col1 een snmpwalk naar xTable.xEntry.Col1 of krijg de volle tafel met een snmpwalk zijn OID (xTable.xEntry). Laten we wat we krijgen als kolommen:

ifDescr: Interfaces namen (1.3.6.1.2.1.2.2.1.2)
ifType: Interfaces type, bijvoorbeeld ethernet (1.3.6.1.2.1.2.2.1.3)
ifMtu: Maximale overdrachteenheid (1.3.6.1.2.1.2.2.1.4)
ifSpeed: Huidige geschatte of nominale bandbreedte in b / s (1.3.6.1.2.1.2.2.1.5)
ifPhysAddress: lager protocollaagadres, bijvoorbeeld MAC-adres (1.3.6.1.2.1.2.2.1.6)
ifOperStatus: Huidige status (1.3.6.1.2.1.2.2.1.8)
ifInOctets: Aantal binnenkomende octetten (1.3.6.1.2.1.2.2.1.10)
ifInUcastPkts: Aantal inkomende unicast-pakketten (1.3.6.1.2.1.2.2.1.11)
ifInDiscards: Aantal inkomende pakketten dat is verwijderd (1.3.6.1.2.1.2.2.1.13)
ifInErrors: Aantal inkomende pakketten met fouten waardoor ze niet kunnen worden bezorgd (1.3.6.1.2.1.2.2.1.14)
ifOutOctets: Aantal verzonden octetten (1.3.6.1.2.1.2.2.1.16)
ifOutUcastPkts: Aantal verzonden unicast-pakketten (1.3.6.1.2.1.2.2.1.17)
ifOutDiscards: Aantal verzonden pakketten dat is verwijderd (1.3.6.1.2.1.2.2.1.19)
ifOutErrors: Aantal uitgaande pakketten met fouten die niet konden worden verzonden (1.3.6.1.2.1.2.2.1.20)

Backends SNMP-monitoring van de load-balancer

Aan de andere kant is SNMP erg handig in het oogpunt van de load balancer, omdat het kan worden gebruikt voor het verzamelen van backends-metrieken en deze kan gebruiken om het gedrag van de planner te wijzigen of om de activering en deactivering van backends te automatiseren. Verwijzen naar deze link voor meer informatie over het gebruik van een aangepaste boerderijbewaking met SNMP.

Verdere monitoring van applicatietoevoer

Er zijn use-cases waarbij het nodig is om specifieke monitoringwaarden te krijgen, zoals de farms, backends of clusterstatistieken en statussen. Volg om deze specifieke waarden te verzamelen dit artikel het kan ook worden gedaan via de REST api.

Verdere monitoringbronnen

Raadpleeg de artikelen over het bewaken van Zevenet-apparaten met Nagios of Zabbix via de volgende links:

https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-nagios/
https://www.zevenet.com/knowledge-base/howtos/monitoring-zevenet-zabbix/

Ik hoop dat je dit artikel nuttig vindt en dat het je naar het volgende niveau van gebruik brengt SNMP toezicht houden op Zevenet-apparaten!

Referenties

UCD-SNMP-MIB http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt
SNMP-protocol RFC: https://tools.ietf.org/html/rfc1157
SIM RFC: https://tools.ietf.org/html/rfc1065
net-snmp: http://www.net-snmp.org/wiki/
Debian wiki snmp: https://wiki.debian.org/SNMP
UCD-SNMP-MIB: http://www.net-snmp.org/docs/mibs/UCD-SNMP-MIB.txt

Delen op:

Documentatie onder de voorwaarden van de GNU-licentie voor vrije documentatie.

Was dit artikel behulpzaam?

Gerelateerde artikelen