BPD: Verkon palvelujen ja järjestelmien valvontatyökaluja

BPD: Verkon palvelujen ja järjestelmien
valvontatyökaluja
Sisältö:

BPD: Verkon palvelujen ja järjestelmien valvontatyökaluja
o Johdanto
o Valvonnan suunnittelu
o Valvonnan eri tekniset menetelmät
 Eri menetelmien hyviä ja huonoja puolia:
o Valvontajärjestelmien ylläpito
o Valvontatyökaluja
 Itsetehdyt skriptit
 Langattomat verkot
 Airwave
 Cisco WCS
 7signal Sapphire
 Big Sister
 Tiedonkeruu ja esittäminen kuvaajina
 Cacti
 Cricket
 MRTG
 RRDTool
 Lokien keruu ja käsittely
 Kiwisyslog
 Splunk
 Palvelujen/palvelinten valvonta
 Nagios (myös Icinga)
 Munin
 Zabbix
 ManageEngine, OpManager
 ManageEngine, DeviceExpert
 MetaNav
 Netdisco
 Tietoturva
 Nfsen/Nfdump
 Snort
 Rancid
 Smokeping
 What's UP
 Zino
o Funetin tarjoamia työkaluja
 Funet-tutkain
 Palvelujen tila
Johdanto
Valvonnan tavoitteet:




Havaitaan viat omilla valvontavälineillä eikä asiakaspalautteen kautta ja ennen kuin
varajärjestelykin vikaantuu.
Saadaan tietoa pidemmän aikavälin seurannan ja raportoinnin raaka-aineeksi (tilastointi).
Ongelmatilanteiden jälkeen pystytään kerätyn materiaalin avulla analysoimaan ongelman
syitä ja välttämään vastaavat tilanteet tulevaisuudessa.
Väärinkäytösten havaitseminen vaikutusten lieventämiseksi.
Mitä valvotaan:


verkkopalvelujen ja
järjestelmien toimivuutta, käyttömääriä ja ympäristöparametreja.
Edellytykset:


Ymmärretään mitä ja miten palvelusta kannattaa valvoa ja erityisesti mitä ei.
Selkeä tilaus valvonnalle on olemassa; Jos palvelu ei kiinnosta johtoa, sen ylläpitoa ei ole
organisoitu eikä loppukäyttäjistä tarvitse välittää, on valvontakin turhaa.
Valvonnan suunnittelu
Valvontaa suunnitellessa täytyy olla eri osapuolten (valvonnan asiakkaan/käyttäjän ja ylläpitäjän)
kesken selkeä käsitys siitä mitä pitäisi valvoa ja miten, varsinkin silloin kun palveluja ja järjestelmiä
on paljon (kymmeniä - satoja - tuhansia). Muuten valvonnan käyttöönotto jää helposti puolitiehen
tai ei pysy muutosten perässä, ja hyödyt panostuksesta jäävät saavuttamatta. Epäselvyydet näissä
asioissa ovat johtaneet ainakin seuraavanlaisiin ongelmiin:

Palvelua tai järjestelmää ei valvota lainkaan, koska se on esim. toiminut liian hyvin (tai
huonosti) ja siksi (aktiivisesti) unohtunut. Esimerkiksi ei valvota vmwarevirtuaalipalvelimien kellonaikaa, koska sen tahdissa pitäminen vaatisi muutoksia
oletuskonfiguraatioon.

Valvotaan väärää asiaa, koska ei ollut joko valvonnan tilaajan tai toteuttajan tai
kummankaan puolella ymmärretty mistä on kyse ja mitä voisi tai pitäisi valvoa. Esimerkiksi
valvotaan vain palvelun yhtä järjestelmäkomponenttia mutta ei koko palvelua.
Tärkeät hälytykset hukkuvat väärien hälytysten tulvaan. Esimerkiksi hälytysrajoja ei ole
laitettu oikein tai esim. hälytykset levytilan vähenemisestä menevät palvelinylläpidolle,
vaikka palvelua ylläpitää joku muu taho jolle hälytykset kuuluisivat.

Valvonnan toteutusta suunnitellessa kannattaa yrittää huomioida muutkin näkökulmat kuin
ylläpidon, joka palvelunsa tai järjestelmänsä valvonnankin joutuu ainakin speksaamaan.
Huomioitavia eri näkökulmia ovat ainakin seuraavat:

Ylläpitoa kiinnostaa lähinnä selkeiden vikojen ja redundanssin vähenemisen yms.
havaitseminen ja rajaaminen kaikista omalla vastuullaan olevista palveluista ja
järjestelmistä.


Loppukäyttäjää kiinnostaa yleensä vain toimiiko palvelu oikein vai ei. Kannattaa siis
toteuttaa yksittäisten komponenttien valvonnan lisäksi myös sellainen valvontamenetelmä,
joka kertoo loppukäyttäjän näkökulmasta toimiiko palvelu vai ei.
Johtoa pitäisi kiinnostaa palvelujen toimivuuden kehittäminen, käytön seuranta
(tarpeellisuuden harkinta) yms. Toimivuuden valvomiseksi hankitut mittaustiedot
järjestelmistä voivat olla hyödyllisiä tässä seurannassa, joten ne kannattaa ehkä vähintäänkin
kerätä talteen raportointityökaluja varten.
Valvonnan suunnittelu ja jatkuvuuden turvaaminen on vaativaa ja erityisesti silloin, kun valvontaa
toteutetaan keskitetysti isolle joukolle palveluja ja järjestelmiä. Kaikilla valvotuilla järjestelmillä ja
palveluilla pitää olla ylläpitoprosessi, jotta valvonnasta on hyötyä. Toimiva menetelmä valvonnan
suunnitteluun on liittää se tiukasti osaksi ylläpitoprosesseja.
Valvonnan eri tekniset menetelmät
Palveluja ja järjestelmiä voi valvoa:


valvontajärjestelmä testaa toimiiko palvelu (esim. vastaako www-palvelu http-kyselyihin)
tai kyselee järjestelmältä sen tilan (onko tiedostojärjestelmä täyttynyt) jne.
järjestelmien ja palvelujen itsestään antamia tietoja seuraamalla (lokimerkinnät, snmp trapit
yms. viestit).
Eri menetelmien hyviä ja huonoja puolia:
Valvontajärjestelmällä tehtävillä tarkastuksilla on yleensä helpompi saada luotettavaa tietoa
valvontakohteen tilasta tarkastushetkellä. Tarkastuksen onnistumiseen ja erityisesti
epäonnistumiseen voidaan reagoida valvontajärjestelmässä välittömästi, esimerkiksi tekemällä N
kpl varmentavia tarkastuksia ennen hälytyksen antamista.
Valvottavan järjestelmän itsensä antamat tiedot (lokiviestit ym.) saattavat olla vähemmän
luotettavia, koska viestejä voi hukkua ennen kuin ne saavuttavat valvontajärjestelmän.
Valvontajärjestelmässä voi myös olla sellainen vikatilanne, että järjestelmä ei lähetä
vikailmoituksia.
Huonoja puolia valvontajärjestelmällä tehtävissä tarkastuksissa verrattuna valvontakohteiden
itsensä lähettämiin viesteihin on viive vian havaitsemisessa ja tarkastusten aiheuttama kuormitus.
Pelkkä vikailmoitusten käsittely vaatii yleensä vähemmän resursseja kuin jatkuva toimivuuden
aktiivinen tarkastaminen. Valvottava järjestelmä itse voi myös havaita vian ja lähettää ilmoituksen
siitä nopeammin kuin silloin tällöin ulkopuolelta tehtävä tarkastus.
Järjestelmiä kannattaa välttää ylikuormittamasta tarpeettomalla valvonnalla.
Valvontajärjestelmien ylläpito
Unohdusten ja virheiden välttämiseksi tulisi pyrkiä siihen, että uudet laitteet riittää lisätä yhteen
paikkaan, josta kaikki valvontajärjestelmät hakevat tietonsa. Laitteiden poistaminen muistuu
yleensä mieleen viimeistään siinä vaiheessa, kun laitteen tavoittamattomuudesta tulee hälytys.
Valvontatyökaluja
Alla on lueteltu vuonna 2010 Funet-jäsenille tehdystä verkonvalvontakyselyn tuloksia. Työkalusta
on kerrottu ensin lyhyt kuvaus ja käyttökokemuskommentteja mitä kyselyn vastaajat ovat kertoneet.
Kyselyn kysymykset ja raportti tuloksista on saatavilla AccessFunetin wiki-sivuilta. Koska kyselyn
vastaajamäärä oli melko pieni, tuloksista ei voida nähdä miten suosittuja eri työkalut ovat.
Itsetehdyt skriptit
Monet Funet-jäsenet käyttävät itsetehtyjä skriptejä tai työkaluja.
Koska on useita erilaisia verkkoympäristöjä, markkinoilla olevilla työkaluilla ei välttämättä saada
valvontaan juuri niitä tietoja mitä tarvitaan tai halutaan. Tällaisiin tilanteisiin itsetehdyt skriptit
voivat olla oikea työkalu tai apuväline. Lisäksi niitä voidaan käyttää apuna jos kaksi eri järjestelmää
tai ohjelmistoa eivät keskustele keskenään suoraan. Skriptien avulla pystytään automatisoimaan
joitain toimintoja, kuten esimerkiksi tiedon poiminta tai tulosten muokkaaminen sellaiseen
muotoon, että se on luettavissa jollain toisella työkalulla.
Käytettäessä itsetehtyjä skriptejä, on niiden suunnitteluun varattava aikaa ja otettava huomioon
erilaisia asioita, kuten:








mitä tietoja ja miten skripteillä halutaan tuottaa
skriptien kirjoitushetkellä tehdään helposti oletuksia, jotka eivät myöhemmin olekaan enää
voimassa.
skriptien käytettävyys, laajennettavuus ja tietoturva ympäristön muuttuessa
ketkä kaikki pystyvät ja osaavat käyttää skriptejä
ketkä pystyvät korjaamaan mahdolliset myöhemmin havaitut tietoturva-aukot
miten hallitaan tieto kaikista käytössä olevista skripteistä
mitkä skripteistä ovat tarpeellisia ja mitkä niiden riippuvuudet keskenään sekä ympäristöön
ovat
millä skriptikielillä skriptejä tehdään, löytyykö myöhemminkin osaamista ja tukea
Langattomat verkot
Airwave




Langattoman verkon tukiasemien ja kontrollerien valvonta sekä käyttäjästatistiikka.
Kaupallinen ohjelmisto.
Toimii standalone-tukiasemien kanssa paremmin, kuin WLAN-kontrollerien kanssa.
Kontrollerien kanssa näyttää satunnaisesti virheellisiä tietoja tai ei tietoja ollenkaan.
Airwave
Cisco WCS

Kaupallinen laitevalmistajakohtainen ohjelmisto
7signal Sapphire

Langattoman verkon päästä päähän valvontaan





Erilliset aktiiviset sensorit mittaavat radiotietä
Laitevalmistajariippumaton
Ei tietoa toteutuksista Funet-organisaatioissa
Kaupallinen ohjelmisto
7signal
Big Sister



Verkon monitorointityökalu, mistä on mahdollista saada hälytyksiä vikatilanteista.
Avoin lähdekoodi.
BigSister
Tiedonkeruu ja esittäminen kuvaajina
Cacti






Työkalu pakettilaskureiden, muistin määrän ym. numeeristen arvojen keräämiseen ja
esittämiseen kuvaajina, joiden vaaka-akselina on aika.
Avoin lähdekoodi.
Esimerkkikohteita ovat esimerkiksi UPSin ja laitetilojen lämpötilan seuranta.
Joitakin asioita voi olla vaikea konffata
Käyttökelpoinen weathermap-plugin http://www.network-weathermap.com/
Cacti
Cricket





Monitorointityökalu, tiedonkeruu sekä tulosten esittäminen kuvaajina.
Avoin lähdekoodi.
Käyttöönotto on helppoa ja MRTG:hen verrattuna löytyy parannuksia.
Huonona puolena
o Ei ole hälytystoimintoja, vaan ainoastaan monitorointi.
o Joissain tapauksissa on havaittu suorituskykyongelmia.
o Kehitys hyytynyt vuonna 2004.
Cricket
MRTG




Työkalulla saa tuotettuja kuvaajia mm. liikennemääristä.
Avoin lähdekoodi.
Monet muut työkalut käyttävät MRTG:tä
MRTG
RRDTool




Työkalulla voi tuottaa kuvaajia mm. liikennemääristä.
Avoin lähdekoodi.
Suosittu työkalu
RRDTool
Lokien keruu ja käsittely
Kiwisyslog





Lokitietojen keräystyökalu.
Avoin lähdekoodi.
Hyvä työkalu lokitietojen keräämiseen, joita voi analysoida esimerkiksi UNIXkomentoriviltä.
Server-versio on kaupallinen.
Kiwisyslog
Splunk







Lokitietojen keräys laitteista.
Kaupallinen ohjelmisto.
Hyvä lokipalvelin, jota pystyy muokkaamaan tarpeiden mukaiseksi. Ohjelma osaa lähettää
hälytyksiä.
Monien eri lokien selaaminen samanaikaisesti
Lokien indeksointi ja haut
Muokattavissa: voi tehdä omia hakuja valmiiksi regexp:eillä
Splunk
Palvelujen/palvelinten valvonta
Nagios (myös Icinga)











Soveltuu erityisesti palvelinjärjestelmien ja niillä toimivien palveluiden valvontaan.
Avoin lähdekoodi.
Monipuolinen, skaalautuva ja muokattava; ei kaikkein helpoin käyttää ja ylläpitää
Tekee itse ajastettuja tarkastuksia tai vastaanottaa pelkästään tuloksia.
Saatavilla laaja kokoelma valmiita tarkastus-plugineja erilaisten palvelujen ja järjestelmien
valvontaan
Yksinkertainen rajapinta Nagios-ytimen ja tarkastus-pluginien välillä; helppo toteuttaa omia
tarkastus-plugineja
Käytettävyys- ym. raportointitoimintoja on, mutta ne ovat hankalia käyttää; esim. CSC:llä
on siksi toteutettu raporttien tuottaminen säännöllisinä eräajoina Nagioksen CGI-ohjelmia
hyödyntäen.
Ei suoraan tukea tarkastuksissa kertyneiden mittaustulosten (esim. /var-tiedostojärjestelmän
käyttöaste 19%) tilastointiin ja esittämiseksi kuvaajina; esim. CSC:llä käytetään tähän
erillistä kylkiäistä (pnp4nagios).
Laaja käyttäjäkunta, tukisopimuksia ostettavissa (Suomestakin)
Nagios
Icinga on haarautuma Nagioksesta, Nagios-yhteensopiva ja siinä on parempi raportointi ja
GUI.
Munin



Palvelinten valvontaan
Avoin lähdekoodi
Munin
Zabbix





Palvelinten ja sovellusten valvontatyökalu.
Avoin lähdekoodi.
Havaitsee ongelmat nopeasti
Saatavilla myös kaupallinen tukisopimus
Zabbix
ManageEngine, OpManager



Verkon, palvelimien ja palveluiden valvontatyökalu.
Kaupallinen ohjelmisto.
OpManager
ManageEngine, DeviceExpert



Aktiivilaitteiden konfiguraatiohallinta- ja seurantatyökalu.
Kaupallinen ohjelmisto
DeviceExpert
MetaNav





UNINETTin kehittämä työkalu laajojen kampusverkkojen valvontaan.
Avoin lähdekoodi.
Työläs ottaa käyttöön.
Uninettin lähes kaikki asiakkaat käyttävät tätä. Muutamat Funet-jäsenet ovat tutustuneet,
mutta ei ole otettu käyttöön.
MetaNAV
Netdisco





Työkalulla pystyy mm. selvittämään verkossa olevien laitteiden sijainnin IP/MAC:n avulla.
Avoin lähdekoodi.
Osaa piirtää esimerkiksi verkkotopologian.
Näyttää monipuoliset inventaariotiedot laitteista
Netdisco
Tietoturva
Nfsen/Nfdump







Netflow:n käsittelyyn tarkoitettuja työkaluja.
Avoin lähdekoodi.
Komentorivityökalu Nfdump kerää ja prosessoi Netflow-dataa.
Nfsen on web-pohjainen käyttöliittymä Nfdump-työkalulle.
Käyttötarkoituksia liikennemäärien seuranta. väärinkäytösten selvittäminen, matojen
tunnistaminen, porttiskannaukset, protokollajakaumat
Nfsen
Nfdump
Snort




IDS/IPS-työkalu, joka analysoi liikennettä.
Avoin lähdekoodi.
Käyttöönotto on helppoa, mutta ylläpito on työlästä.
Snort
Rancid


Verkkolaitteiden konfiguraatioiden varmuuskopiointi ja muutosten vertailu
Avoin lähdekoodi
Smokeping




Palveluiden ja laitteiden saatavuuden ja vasteaikojen mittaus.
Avoin lähdekoodi.
Kätevä työkalu, joka visualisoi hyvin viivetilanteet ja osaa lähettää sähköpostiin hälytyksiä.
Smokeping
What's UP






Verkon yhteyksien valvonta.
Kaupallinen ohjelmisto.
Edullinen ja helppokäyttöinen.
Osaa piirtää verkkotopologian sekä kerätä erilaisia lokitietoja.
Työkaluun on saatavilla laajennuosia ja niitä voi myös itse tehdä.
What's UP
Zino











Työkalu mm. verkkolaitteiden liitäntöjen laskuritietojen keräämiseen ja esittämiseen
kuvaajina, joiden vaaka-akselina on aika.
Avoin lähdekoodi.
Eri tasojen topologiakartat ja yksittäisten liitäntöjen laskurikuvaajat linkitettävissä toisiinsa.
Topologiakuvissa linkkien väritys kuormituksen mukaan.
Verkkoyhteyksien virheilyn raportointi sähköpostitse koosteina.
Osittain viime vuosituhannelta periytyvää (avointa) koodia, käyttää mm. scottya ja Just:ia (
TCL-kirjasto), minkä takia työläs virittää toimimaan.
Muokattavissa Perl-, TCL- ja Bourne Shell -skriptauksella.
CSC on RPM-paketoinut kaiken tarvittavan ja omat virityksensä.
Käytössä luultavasti vain Funetilla, NORDUnetilla ja Uninettillä.
Skaalautuu hyvin ainakin 200 reitittimen valvontaan.
Zino
Funetin tarjoamia työkaluja
Funet-tutkain

Haavoittuvuuksien etsimiseen verkoista on käytettävissä mm. nessus-ohjelmisto.


CSC tarjoaa Funet-käyttäjäorganisaatioille mahdollisuuden tutkia oman verkkonsa
tietoturva-aukkoja oman verkkonsa ulkopuolelta Nessus-ohjelmistoa käyttäen.
Palvelukuvaus löytyy osoitteesta Tutkain-palvelukuvaus
Palvelujen tila




im.funet.fi
o Yhteyksien laadunmittaus, joka käyttää pingiä.
o Julkinen näkymä, joka näyttää Funet-verkonvalvonnan käsityksen asiakkaan Funetyhteyden tilasta.
o im.funet.fi
Nagioksella toteutettuja valvontanäkymiä (vain Funet-jäsenten saavutettavissa):
o Palvelujen tila
o Verkkovierailun reaaliaikainen tilanne
Funet-reititinverkon valvontanäkymiä:
o Weathermap
o Looking glass
Multicast valvontanäkymä:
o Multicast Beacons