Tải bản đầy đủ (.docx) (21 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tổng quan về giám sát mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.01 MB, 21 trang )

Phần 1- Tổng quan về giám sát mạng:
Giám sát mạng là việc sử dụng một hệ thống để liên tục theo dõi một mạng máy tính,
xem xét coi có các thành phần hoạt động chậm lại hoặc không hoạt động và thông báo
cho quản trị viên mạng (qua email, tin nhắn SMS hoặc các báo động khác) trong trường
hợp mạng không hoạt động hoặc có các rắc rối khác. Giám sát mạng là một phần của
quản lý mạng.
Trong khi một hệ thống phát hiện xâm nhập giám sát mạng máy tính về các mối đe
dọa từ bên ngoài, một hệ thống giám sát mạng giám sát mạng về các vấn đề gây ra bởi
các máy chủ quá tải hoặc bị hư hỏng, các kết nối mạng hoặc các thiết bị khác.
Ví dụ, để xác định trạng thái của máy chủ web, phần mềm giám sát có thể định kỳ gửi
một yêu cầu HTTP để nạp một trang mạng. Đối với máy chủ email, một thông điệp
kiểm tra có thể được gửi qua SMTP và được truy xuất bởi IMAP hoặc POP3.
Thông thường các thông số đo lường là thời gian đáp ứng, tính khả dụng và thời gian
hoạt động mặc dù các chỉ số thống nhất và độ tin cậy đang bắt đầu phổ biến. Việc bổ
sung rộng rãi các thiết bị tối ưu hóa WAN đang có ảnh hưởng bất lợi đến hầu hết các
công cụ giám sát mạng, đặc biệt là khi để đo chính xác độ trễ end-to-end b ởi vì chúng
hạn chế khả năng hiển thị thời gian trễ round-trip.
Trạng thái request lỗi: như khi một kết nối không thể được thiết lập, nó times-out (tốn
thời gian dài hơn thời gian Server phản hồi), hoặc các tài li ệu hoặc tin nhắn không th ể
lấy được, thường sinh ra một hành động từ hệ thống giám sát. Những hành động này
khác nhau. Một báo động có thể được gửi (qua SMS, email, vv) tới các sysadmin, h ệ
thống chuyển đổi dự phòng tự động có thể được kích hoạt để loại bỏ các máy chủ gặp
vấn đề hoàn thành nhiệm vụ cho đến khi nó có thể được sửa chữa, vv Giám sát hi ệu
xuất một đường lên mạng (uplink) còn được gọi là đo lưu lượng mạng.
1. Các yếu tố cốt lõi trong giám sát mạng
Nhằm mang lại hiệu quả cao cho việc giám sát mạng, chúng ta cần nắm vững các yếu
tố cốt lõi đặc thù của công việc này. Cụ thể bao gồm:
– Nắm vững những công cụ, thiết bị, phần mềm phục vụ cho công việc giám sát, trong
đó bao gồm phần mềm nội bộ và phần mềm mở
– Nắm vững những bộ phận, đơn vị, hệ thống, dịch vụ và thiết bị phục vụ cho việc
giám sát


– Sử dụng một cách bài bản những công cụ, giải pháp hỗ trợ việc xử lý, phân tích kết
quả giám sát. Một số công cụ như Snort, Wireshark, Nessus, Nmap…
2. Các thành phần trong hệ thống mạng
Vì là một hệ thống mạng toàn diện nên việc giám sát an toàn mạng rất quan trọng,
yêu cầu phải nắm được những thành phần trong hệ thống như:
– Server – máy chủ
– Các thiết bị hạ tầng mạng như: Hub, Router, switch.
– Máy trạm, mô hình máy trạm
– Các thiết bị và hệ thống phục vụ cho việc theo dõi hệ thống mạng
– Phần mềm và ứng dụng trong máy trạm, máy chủ.


3. Lợi ích của một hệ thống giám sát an toàn mạng
– Bản chất của SIEM hay còn gọi Security information and event management được t ạo
ra với mục đích chính là thu thập các dữ liệu, thông tin về những sự kiện an ninh. Nó
được tính từ những thiết bị đầu cuối cho tới lưu dữ liệu tập trung. nhờ vào kết quả
phân tích của công cụ hệ thống an toàn mạng, chúng ta có thể phát hiện ra những nguy
cơ trước sự tấn công của tin tặc.
– Lợi ích chính của hệ thống giám sát an ninh mạng là
+ giúp việc quản lý được tập trung hơn

+ SIEM có thể phát hiện ra các sự cố tấn công, thâm nhập mạng mà những thi ết bị
thông thường khó lòng phát hiện được.
+ Giúp việc xử lý sự cố đơn giản mà lại hiệu quả hơn
4. Thu thập dữ liệu cho hệ thống NSM
– Thu thập dữ liệu, thông tin về tình trạng và lịch sử hoạt động của các thiết bị trong
cùng một hệ thống mạng nội bộ. Chính vì mỗi hệ thống lại có những thành phần khác
nhau, nền tảng khác nhau. Do đó “Log” được đưa về trung tâm xử lý và phân tích.
– Sau khi kết thúc quá trình phân tích, xử lý, các thông tin, tệp, dữ li ệu thu thập được sẽ
giúp nhà quản trị đưa ra những kế hoạch phòng tránh hoặc khắc phục khỏi nguy cơ

tấn công.
5. Phần mềm giám sát mạng
Nagios là một hệ thống giám sát mạnh mẽ, cho phép các công ty có thể nhận dạng và
giải quyết các vấn đề liên quan tới cơ sở hạ tầng trước khi chúng ảnh hưởng tới công
việc kinh doanh quan trọng.


Giao diện đồ họa - phần mềm nagios
Những tính năng chính của Nagios








Giám sát hệ thống mạnh mẽ: việc sử dụng Nagios core 4 (4 nhân ) giúp giám sát
hệ thống hiệu quả và có thể mở rộng
Hiệu xuất cao: với việc trang bị Nagios core 4 sẽ tăng khả năng giám sát của
Server và giúp Server làm việc hiểu quả hơn
Minh họa bằng đồ thị: các kết quả hay thống kê được hiển thị theo dạng đồ thị,
giúp bạn có cái nhìn trưc quan hơn
Quản lý tài khoản: dễ dàng cài đặt,quản lý tài khoản người dùng
Giao diện được cập nhập mới: theo chuẩn giao diện web giúp cho người dùng
dễ thao tác hơn
Cấu hình Wizards: chỉ cần một vào thao tác cơ bản bạn sẽ cấu hình xong
Cấu hình snapshop



cấu hình wizard trong Nigios
Phần mềm Nagios cung cấp rất nhiều cơ chế giúp bạn có cái nhìn tổng quát nhất, trực
quan nhất về hệ thống mạng của mình, giám sát toàn bộ các dịch vụ mạng như các ứng
dụng, dịch vụ ,hệ điều hành, các giao thức mạng, hệ thống số liệu và cơ chế hạ tầng
mạng. Ngoài ra còn có hàng trăm add-on từ bên thứ ba cung cấp thêm nếu bạn cần
những tính năng khác
Với việc tích hợp giao diện dựa trên giao diện web cho phép quản trị viên dễ dàng hơn
trong công việc, cung cấp nhiều API với hàng nghìn addons giúp công việc bạn có thể
đơn giản hóa hơn rất nhiều.Trang bị cho hệ thống bạn phần mềm Nagios là điều cần
thiết và tối ưu nhất để giám sát hạ tầng mạng.
Ngoài Nagios ra còn có các công cụ giám sát mạng Syslog-Ng, Logzilla (Php SyslogNg), HP ArcSight Logger, Splunk, dịch vụ giám sát hệ thống Loggly
6.Các giải pháp tăng cường cho hệ thống mạng
Có 3 giải pháp chính giúp hệ thống giám sát được an toàn bao gồm:
– Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai gi ải pháp
trên nhằm khắc phục những hạn chế vốn có.
– Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ nhật ký.
– Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký
đã được thu thập để đưa ra cảnh báo cho người dùng.
Phần 2 Nhu cầu giám sát mạng.
LỢI ÍCH CỦA MỘT HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG – SIEM


Hệ thống giám sát an toàn mạng viết tắt là SIEM (Security information and event
management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự
kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Theo đó, các
sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự ki ện an toàn mạng
của tổ chức. Kết quả phân tích này có thể được dùng để phát hiện raa các cuộc tấn
công mà không thể phát hiện được theo phương pháp thông thường. Một số sản phẩm
SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được.
Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này nhắm

đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt. SIEM đang
dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ. Ki ến trúc
SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần
cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám
mây SIEM.
Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau, do đó l ợi ích
thu được cũng khác nhau. Bài viết sẽ làm rõ ba lợi ít lớn nhất của SIEM:
 Quản lý tập trung
 Giám sát an toàn mạng
 Cải thiện hiệu quả trong hoạt động xử lý sự cố
Quản lý tập trung
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu
thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi
lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật ký (log) này về máy chủ SIEM.
Một máy chủ SIEM nhận dữ liệu nhật ký từ rất nhiều thiết bị khác nhau và sau đó sẽ
thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự
tương quan giữa các sự kiện an ninh của các thiết bị.
Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất nhiều công sức
trong việc tập hợp báo cáo. Trong môi trường như vậy, cần phải tạo ra báo cáo riêng
về tình trạng hoạt động cho mỗi thiết bị đầu cuối, hoặc lấy dữ liệu định kì bằng cách
thủ công từ mỗi thiết bị rồi tập hợp chúng lại và phân tích để thành một báo cáo. Khó
khăn xảy ra là không nhỏ do sự khác biệt hệ điều hành, ứng dụng và các phần mềm
khác nhau dẫn đến các nhật ký sự kiện an ninh được ghi lại khác nhau. Chuyển đổi tất
cả thông tin đó thành một định dang chung đòi hỏi việc phát triển hoặc tùy bi ến mã
nguồn rất lớn.
Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và báo cáo tập
trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc tế như Health
Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data
Security Standard (PCI DSS) và Sarbanes-Oxley Act (SOX). Nhờ SIEM, m ột t ổ chức có th ể
tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh

định kỳ.


Giám sát an toàn mạng
Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà
các thiết bị thông thường không phát hiện được. Thứ nhất, rất nhiều thiết bị đầu cuối
có phần mềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hi ện sự cố.
Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu khả năng phân
tích để xác định các dấu hiệu của hành vi độc hại.

Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương
quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có
thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và
sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã
thành công hay chưa. Nói theo cách khác, trong khi một gi ải pháp ngăn chặn xâm nhập
IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ
mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể
kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị
nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng
ra một mạng riêng và xử lí cuộc tấn công.
Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hi ện t ấn
công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt
virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang


diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần
mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.
Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng
phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn
các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghi ệp

như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều
này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành
phần an ninh khác của doanh nghiệp.
Để có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thập các IEM (các
thông tin về các mối nguy hại, hình thức tấn công…) từ các nguồn bên ngoài đáng tin
cậy. Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu
cuối, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly thiết bị đang
tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểm đầu tiên.
Cải thiện hoạt động xử lý sự cố hiệu quả
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố,
tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải
thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu
nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:


Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn
công vào doanh nghiệp.



Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc
tấn công.



Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và
cách ly các thiết bị đầu cuối đã bị xâm hại.
Lợi ích của các sản phẩm SIEM khiến chúng trở nên cần thiết hơn bao gi ờ hết, đặc biệt
đối với các cơ quan nhà nước, ngân hàng, các doanh nghi ệp tài chính, các t ập đoàn công

nghệ…
Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh
xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh,
hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân
tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng
sau các dữ liệu này.
Phần 3- Các thông tin cần giám sát


Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể thiếu trong hạ
tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ thống này cho
phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn
mạng được sinh ra trong hệ thống CNTT của tổ chức. Ngoài ra, hệ thống giám sát an
toàn mạng phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của
các thiết bị, ứng dụng và dịch vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus
trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành
viên của mạng máy tính ma (botnet).
1. Các yếu tố cơ bản của giám sát
Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được các yếu tố
cốt lõi, cơ bản nhất của giám sát như:
- Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát.
- Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát: công c ụ
NMAP, TCPDUMP, Wireshark, Nessus...
Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người và đặc biệt là
quy trình phục vụ giám sát là vô cùng quan trọng.
2. Các giải pháp công nghệ giám sát an toàn m ạng
Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong ba giải pháp
sau:

- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, l ưu trữ và bi ểu diễn
nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã
được thu thập để đưa ra cảnh báo cho người dùng.
- Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai gi ải pháp trên
nhằm khắc phục những hạn chế vốn có. Vì vậy, tài liệu sẽ hướng tới xây dựng giải
pháp này.
3. Giải pháp quản lý và phân tích sự kiện an ninh


Mô hình giải pháp quản lý và phân tích sự kiện an ninh gồm 03 thành ph ần
chính:
a. Thành phần thu thập nhật ký an toàn mạng, bao gồm các giao diện thu thập


nhật ký an toàn mạng trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần
này có các tính năng:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng,… gồm cả các thiết
bị vật lý và thiết bị ảo hóa.
- Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật
ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích
và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và l ưu trữ.
b. Thành phần phân tích và lưu trữ: bao gồm các thiết bị lưu trữ dung lượng lớn
và cung cấp khả năng tổng hợp, phân tích tự động. Thành phần này có các tính
năng:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và ti ến
hành phân tích, so sánh tương quan.

- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả
năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký an toàn mạng được tiến hành phân tích, so sánh tương quan theo thời
gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Đồng thời cũng cho phép
phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh
toàn cảnh về an toàn mạng theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả
năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.
c. Thành phần quản trị tập trung:
- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn mạng.
Các giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, đi ều ki ện l ọc,... Ngoài ra,
các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo m ột cách d ễ
dàng để phù hợp với hệ thống của mình.
- Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạngxảy ra trong hệ thống.
d. Các thành phần khác: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin,
các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng
lưu trữ dữ liệu lâu dài.
Phần 4 - Các công cụ giám sát hiện nay là gì?
Vào một ngày đẹp trời máy tính, Server, hệ thống mạng của bạn “im hơi lặng ti ếng”
vậy có cách nào để có thể biết trước được sự việc này ?
Việc thực hiện triển khai một hệ thống giám sát toàn bộ các thiết bị mạng là việc cấp
thiết cho tất cả các doanh nghiệp và tổ chức. Việc triển khai hệ thống giám sát nhằm
tối ưu hóa hệ thống mạng, tăng cường an ninh mạng, và có thể giải quyết các sự cố kịp
thời. Để hiểu được thông tin về hệ thống, ta cần một giải pháp giám sát để có thể cung
cấp các thông tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất c ứ thời


điểm nào. Trên thị trường hiện nay có rất nhiều phần mềm dùng để ứng dụng vào việc
giám sát hệ thống mạng như:

Nagios: là một công cụ giám sát mạng mạnh mẽ. Nagios cung cấp các tính năng như
cảnh báo, xử lý sự kiện và báo cáo. Nagios Core là trung tâm của các ứng dụng có chứa
các công cụ giám sát cốt lõi và một giao diện web cơ bản. Chúng ta có thể thực hi ện
giám sát các dịch vụ, ứng dụng, và các số liệu, một lối vào lựa chọn cũng như các addons cho trực quan dữ liệu, đồ thị, phân phối tải, và hỗ trợ cơ sở dữ liệu MySQL, gi ữa
những người khác. Link Website của hãng: />
PRTG Network Monitor: là công cụ giám sát mạng có sẵn và sử dụng một loạt các giao
thức bao gồm SNMP, Netflow và WMI. PRTG Network Monitor là một công cụ sử dụng
giao diện dựa trên web và các ứng dụng cho iOS và Android.
Tính năng chính PRTG Network Monitor bao gồm:
·
Giám sát mạng toàn diện trong đó cung cấp hơn 170 loại cảm biến để theo dõi
ứng dụng, theo dõi máy chủ ảo, giám sát SLA, giám sát QoS.
·
Có 9 phương pháp khác nhau thông báo, cảnh báo tình trạng, cảnh báo gi ới hạn,
cảnh báo ngưỡng, cảnh báo có điều kiện và điều độ cảnh báo.
·
Có khả năng tạo ra các báo cáo trong định dạng HTML / PDF, báo cáo theo lịch
trình, cũng như các báo cáo được xác định trước và báo cáo mẫu.
·
Link website:


SolarWinds: là phần mềm giám sát mạng mạnh mẽ và giá cả phải chăng giúp cho
chúng ta nhanh chóng phát hiện, chẩn đoán, và giải quyết các vấn đề hiệu suất mạng,
cung cấp số liệu hiệu suất chi tiết để phát hiện vấn đề và giải quyết nhanh chóng.
Giám sát hơn 200 ứng dụng out-of-the-box, cũng như các ứng dụng tùy chỉnh bằng cách
sử dụng WMI, SNMP, CIM, JMX & VMware giao thức API. Theo dõi các chỉ số hi ệu suất
máy chủ nhiều nhà cung cấp phần cứng bao gồm hiệu năng hệ thống điều hành, quy
trình, và hiệu suất cơ sở hạ tầng ảo.
Triển khai ứng dụng và khả năng mở rộng này giám sát máy chủ phần mềm trên các

môi trường đám mây công cộng và tư nhân. Link Website của
hãng />
ISP Monitor: cho phép chúng ta kiểm tra tốc độ Internet. Sau khi kích hoạt úng dụng
chúng ta sẽ nhận được bảng hiển thị tốc độ đang sử dụng một cách chính xác. Đồng
thời, IPS Monitor cũng cung cấp chức năng giám sát lưu lượng truy cập trong thời gian
thực, việc xây dựng bảng hiển thị tốc độ mạng hiện tại thông qua 3 chế độ đồ họa


khác nhau, tất cả 3 chế độ có thể được tùy chỉnh phù hợp với yêu cầu của người giám
sát.
Ngoài ra, ISP Monitor còn hiển thị tỷ lệ phần trăm được sử dụng từ tổng hạn mức và
cho phép điều chỉnh trước khi nó đạt đến ngưỡng giới hạn.. Bạn có thể chọn để cho
phép ISP Monitor ngắt kết nối kết nối Internet, một khi nó đạt đến gi ới hạn. ISP
Monitor là công cụ nhỏ gọn, giao diện đơn giản và không chứa bất kỳ phần mềm gián
điệp hoặc virus, do đó chúng ta có thể hoàn toàn yên tâm sử dụng.
Zabbix: Công cụ này giám sát máy chủ và mạng với nhiều chức năng hữu ích. Có những
Agent Zabbix cho nhiều hệ điều hành khác nhau, hoặc chúng ta có thể chọn sử dụng
cách kiểm tra thụ động gồm SNMP để giám sát host và các thiết bị mạng. Có chức
năng thông báo và cảnh báo khi xảy ra sự cố.
Giao diện Web có thể tuỳ biến giúp chúng ta dễ theo dõi những thành phần mà mình
quan tâm nhất. Ngoài ra, Zabbix có các chức năng đặc bi ệt để giám sát các ứng d ụng.
Zabbix cũng có thể vẽ ra các biểu đồ đa liên kết logic, liệt kê chi tiết các đối tượng được
giám sát. Những biểu đồ như vậy cũng có thể tuỳ biết và tạo thành nhóm các thiết bị
được giám sát.
Link website của hãng />
Resource Monitor: Đây là một công cụ cung cấp những thông tin chi tiết về tình trạng
sử dụng tài nguyên của hệ thống. Chúng ta có thể xem toàn bộ tình trạng sử dụng của
các tiến trình với CPU, ổ cứng, mạng, và dung lượng bộ nhớ RAM mà hệ thống đang sử
dụng. Bên cạnh việc giúp chúng ta có thể quản lý được mức độ sử dụng tài nguyên CPU
và RAM của các tiến trình (như Task Manager), Resource Monitor còn có khả năng

quản lý tình trạng ổ cứng và tình trạng của mạng.


Tùy vào mỗi thành phần, Resource Monitor sẽ liệt kê các tiến trình đang chạy ở bên
trái. Dựa vào đó, chúng ta sẽ biết được những tiến trình nào đang sử dụng CPU và RAM
là bao nhiêu, hay là những tiến trình nào đang kết nối mạng, hoặc một ti ến trình nào
đó đang chạy ẩn khiến ổ cứng hoạt động chậm,… Resource Monitor sẽ rất hữu ích
trong việc giám sát tài nguyên hệ thống.
System Center Operation Manager: là một trong những phần mềm giúp cho việc
quản lý các dịch vụ đầu cuối của hãng Microsoft. SCOM hoạt động trên giao thức
Simple Network Management Protocol (SNMP), các phần mềm, phần cứng nonmicrosoft cũng có thể được quản lý bởi System Center Operations Manager. Phần mềm
này giúp chúng ta đưa ra một cái nhìn tổng quát về tình trạng hoạt động của các dịch
vụ trong hệ thống,ngoài ra còn tăng cường hiệu quả giám sát và dễ dàng tương thích
với những phần mềm non-windows.
SCOM cung cấp khả năng quản lý dịch vụ đầu cuối, dễ dàng mở rộng và tùy biến trong
việc nâng cao chất lượng dịch vụ trong môi trường IT. Dưa ra hoạt động quản lý bao
gồm Microsoft server, client, các nhóm ứng dụng cung cấp cho bạn kiến thức và khả
năng điều khiển giúp giám sát quản lý hệ thống hiệu quả hơn. tự động thực hiện
những tác vụ, và cung cấp các báo cáo kiểm tra thông minh để nâng cao hi ệu quả và
cho phép kiểm soát quy mô lớn hơn trong môi trường mạng.
Dựa trên nền tảng bảo mật, sự tích hợp với Active Directory và yếu tố cơ sở hạ tầng
mới giúp chúng ta dễ dàng cho việc giám sát, cấu hình, triển khai các ứng dụng,dịch vụ
trong môi trường phức tạp.
Link website hỗ trợ: />Phần 5 - Các giao thức được sử dụng trong giám sát mạng
1. Giới thiệu về giao thức quản lý mạng
Trong thế giới hiện tại với một mạng lưới gồm các bộ định tuyến (Router),
bộ chuyển mạch (Switch), máy chủ (Server) và các máy trạm (Workstation), đó
dường như là một vấn đề khó khăn cho việc quản lý tất cả các thiết bị mạng và đảm
bảo chúng làm việc tốt cũng như hoạt động tối ưu. Để hỗ trợ cho quá trình quản lý
quản lý người ta cho phát triển giao thức quản lý mạng đơn giản (Simple Network

Management Protocol) viết tắt là SNMP. SNMP được giới thiệu vào năm 1988 để đáp
ứng cho nhu cầu ngày càng tăng của việc quản trị các thiết bị sử dụng giao thức
internet (Internet Protocol). SNMP cung cấp một tập các lệnh đơn giản cho phép vi ệc
quản lý các thiết bị từ xa.


Quản lý và giám sát mạng
Cốt lõi của SNMP là một tập các lệnh đơn giản cho phép người quản trị có
khả năng thay đổi trạng thái của các thiết bị được quản lý. Ví dụ như có thể sử dụng
SNMP để tắt một cổng trên router hay kiểm tra tốc độ của cổng đó. SNMP có thể
giám sát nhiệt độ của các thiết bị và cảnh báo khi nhiệt độ quá cao.
SNMP thường được kết hợp với quản lý router nhưng giao thức này còn có
thể dùng để quản lý nhiều loại thiết bị khác. Trong khi người tiền nhiệm của SNMP
là Simple Gateway Management Protocol (SGMP) được phát tri ển để quản lý bộ định
tuyến thì SNMP có thể dùng để quản lý các hệ thống Linux, Windows, máy in,
modem… và bất kì thiết bị nào có thể chạy phần mềm cho phép gửi thông tin SNMP
thì có thể được quản lý.
SNMP thường được kết hợp với quản lý router nhưng giao thức này còn có
thể dùng để quản lý nhiều loại thiết bị khác. Trong khi người tiền nhiệm của SNMP
là Simple Gateway Management Protocol (SGMP) được phát tri ển để quản lý bộ định
tuyến thì SNMP có thể dùng để quản lý các hệ thống Linux, Windows, máy in,
modem… và bất kì thiết bị nào có thể chạy phần mềm cho phép gửi thông tin SNMP
thì có thể được quản lý.
2. Kiến trúc quản lý SNMP
Giao thức SNMP đã trở thành một chuẩn trong thực tế được sử dụng cho
quản lý mạng. SNMP là một phương pháp đơn giản chỉ yêu cầu một ít mã để thực
hiện xây dựng dễ dàng các tác nhân SNMP cho những sản phẩm của chúng. Hơn nữa,
SNMP thường là cơ sở nền tảng cho kiến trúc quản lý mạng. SNMP xác định làm thế
nào mà thông tin quản lý lại được truyền đi giữa các ứng dụng quản lý mạng và các
tác nhân quản lý.


3. Mô hình quản lý Manager-Agent
Để truyền thông với các tài nguyên bị quản lý mà chưa có bất kỳ cơ cấu tự
nhiên nào để truyền thông tin quản lý, người ta cần phải tạo ra một thành phần
trung gian, đó là agent. Agent cũng có thể là agent quản lý hoặc agent bị quản lý.


Manager chính là thực thể quản lý trong khi đó agent là thực thể ấn dưới sự tương
tác giữa manager và các nguồn tài nguyên bị quản lý thực sự.

Thực thể bị quản lý
Tài nguyên bị quản lý
Agent
Thực thể quản lý

Mô hình manager – Agent rất thông dụng, được sử dụng để miêu tả sự tương
tác giữa thực thể quản lý và thực thể bị quản lý ở các lớp cao. Đây cũng chính là lý do
mà các mô hình được tạo ra tự nhiên cho mục đích quản lý đều gần với mô hình
Manager – Agent. Tuy nhiên, trong thực tế thì mô hình Manager – Agent phức t ạp h ơn
thế nhiều.
Chúng ta có thể hiểu rõ sự phức tạp này hơn khi xem xét sự tương tác giữa
manager hay các ứng dụng quản lý với người vận hành mạng. Ngoài ra còn có các
thành phần khác, tuy không rõ ràng nhưng lại chiếm vị trí khá quan trọng trong sự
tương tác giữa các manager với các agent, đó là các chính sách quản lý và chỉ dẫn vận
hành, được đưa tới manager để chuyển tới người điều hành mạng.
4. Các phiên bản SNMP
4.1 Giao thức quản lý mạng đơn giản phiên bản 1(SNMPv1)
Phiên bản đầu tiên của giao thức SNMP, SNMPv1 được xác định trong RFC
1157, giao thức quản lý mạng đơn giản (SNMP). Tính đơn giản của giao thức là sự rõ
ràng rành mạch nhờ sự thiết lập hoạt động là sẵn có. Hình dưới chỉ ra các bản tin

SNMP đơn giản được bộ quản lý sử dụng để truyền dữ liệu từ các tác nhân ở phía
các thiết bị quản lý. Những bản tin này được miêu tả như sau:
1.
Nhận yêu cầu: Được sử dụng bởi bộ quản lý để yêu cầu một tham số
MIB từ tác nhân
2.

Nhận yêu cầu tiếp theo: Được sử dụng sau khi khởi tạo nhận yêu cầu

để khôi phục lại đối tượng tiếp theo từ một bảng hay một danh sách
3.
thể.

Thiết lập yêu cầu: Được sử dụng để thiết lập một tham số trên một thực


4.

Nhận đáp ứng: Được sử dụng bởi một tác nhân để đáp ứng đến nhận

yêu cầu của một bộ quản lý hoặc bản tin nhận yêu cầu tiếp theo
5.

Trap: Được sử dụng bởi một tác nhân để truyền một báo động không

cần yêu cầu đến bộ quản lý. Một bản tin trap được gửi khi chỉ ra các điều kiện
xảy ra như một sự thay đổi trong trạng thái của một thiết bị, một thiết bị hoặc
một tác nhân khởi tạo hoặc khởi đầu lại

4.2 Giao thức quản lý mạng đơn giản phiên bản 2(SNMPv2)

SNMPv2 là một giao thức được sửa đổi bao gồm cải tiến về hiệu suất truyền
thông và từ quản lý đến quản lý cho SNMP. SNMPv2 được giới thiệu trong RFC 1441,
sự giới thiệu phiên bản hai của khung quản lý hệ thống mạng chuẩn, nhưng các
thành viên của tiểu ban IETF không thể đồng ý với một vài điểm của SNMPv2 (giao
thức bảo mật và quản trị chủ yếu). Một vài cố gắng để đạt được sự chấp nhận của
SNMPv2 đã được tạo ra nhờ thực nghiệm sửa đổi các phiên bản, được biết đên như
là SNMPv2*, SNMPv2, SNMPv2u, SNMPv1+ và SNMPv1.5 không được chứa trong các
phần tranh luận.
SNMPv2 dựa trên sở hữu chung (hoặc SNMPv2c), được xác định trong RFC
1901,
giới thiệu về SNMPv2, được tham chiếu đến như SNMPv2 bởi vì nó hầu như là sự bổ
sung chung đầy đủ. Chữ “c” ở đây có nghĩa là bảo mật dựa trên sở hữu chung bởi vì


SNMPv2c sử dụng cùng các chuỗi chung như SNMPv1 cho truy nhập đọc và viết.
SNMPv2 thay đổi bao gồm giới thiệu về hai loại bản tin mới sau:
6.

Loại bản tin get-bulk: Được sử dụng cho việc khôi phục lại một lượng
lớn dữ liệu như các bảng. Bản tin này giảm các yêu cầu và câu trả lời lặp
lại, bằng cách đó cải thiện hiệu suất

7. Yêu cầu thông báo: Được sử dụng để báo động cho bộ quản lý SNMP của một
điều kiện được xác định. Không giống như các bản tin trap không thông báo, các
bản tin yêu cầu thông báo được báo nhận. Một thiết bị quản lý gửi một yêu cầu
thông báo đến NMS; các báo nhận NMS nhận bản tin nhờ gửi một bản tin đáp ứng
trở lại thiết bị quản lý
Cải tiến khác mà SNMPv2 mang lại khi so sánh với phiên bản SNMPv1 là s ự
bổ sung các kiểu dữ liệu mới với các bộ đếm 64 bit bởi vì bộ đếm 32 bit nhanh bị
tràn với các giao diện mạng nhanh.

Tuy nhiên, cả SNMPv1 và SNMPv2 đều không đưa ra các đặc điểm bảo mật.
Đặc biệt, SNMPv1 và SNMPv2 không thể xác nhận nguồn của một bản tin quản lý và
cũng không mã hóa bản tin. Bởi vì thiếu các đặc điểm bảo mật, nhi ều sự bổ sung
SNMPv1 và SNMPv2 bị giới hạn, giảm sự có ích của chúng trong việc quản lý mạng.
4.1 Giao thức quản lý mạng đơn giản phiên bản 3(SNMPv3)
SNMPv3 là phiên bản cuối cùng để trở thành một chuẩn đầy đủ. SNMPv3
được miêu tả trong RFC từ 3410 đến 3415, bổ sung các phương pháp để đảm bảo
truyền dẫn bảo mật của ngưỡng dữ liệu đến và từ các thiết bị quản lý. Bảng dưới
đây liệt kê các RFC này. Chú ý rằng các RFC này có RFC từ 2271 đến 2275 và RFC từ
2570 đến 2575 không được dùng nữa.

RFC Number

Title of RFC

3410

Introduction and Applicability Statements for Internet-Standard
Management Framework.


3411

An architecture for Describing Simple Network Management
Protocol (SNMP) Management Frameworks.

3412

Message Processing and Dispatching for the Simple Network
Management Protocol (SNMP).


3413

Simple Network Management Protocol (SNMP) Applications.

3414

User-based Security Model (USM) for Version 3 of the Simple
Network Management Protocol (SNMPv3).

3415

View-based Access Control Model (VACM) for the Simple Network
Management Protocol (SNMP).

SNMPv3 bổ sung bảo mật và khả năng cấu hình từ xa so với các phiên bản SNMP
trước. SNMPv3 đưa ra 3 mô hình bảo mật và các lựa chọn mức bảo mật.
5. Giao thức thông tin quản lý MIB
5.1 Cấu trúc MIB
Một MIB là một tập hợp của các đối tượng quản lý. Một MIB lưu trữ thông tin
được thu thập bởi tác nhân quản lý nội hạt, trên một thiết bị quản lý cho việc khôi
phục sau đó bởi một giao thức quản lý mạng.
Mỗi một đối tượng trong một MIB có một bộ xác nhận duy nhất mà từ đó các
ứng dụng quản lý sử dụng để xác nhận và khôi phục lại giá trị của đối tượng xác
định. MIB có một cấu trúc giống hình cây nơi mà các đối tượng giống nhau được
nhóm lại dưới cùng một nhánh của cây MIB. Ví dụ, các bộ đếm giao di ện khác nhau
được nhóm lại dưới nhánh giao diện của cây MIB.
5.2 Cấu trúc MIB-II
MIB-II là một phiên bản mở rộng của MIB ban đầu (nó còn được gọi là MIB-I)
và được xác định bởi RFC 1213. MIB-II hỗ trợ một số lượng các giao thức mới và cung

cấp cấu trúc thông tin chi tiết hơn. Nó duy trì thích hợp với phiên bản trước đây,


MIB-II giữ lại bộ xác định đối tượng giống với MIB-I (1.3.6.1.2.1).
Ví trị của các đối tượng MIB-II là dưới cây con iso.org.dod.internet.mgmt, t ại m ức
ngưỡng các đối tượng MIB được xác định như sau (định nghĩa của các đối tượng này
có thể tìm thấy trong RFC 1213):


Hệ thống (1).



Các giao diện (2).



Biên dịch địa chỉ (3).



IP (4).



ICMP (5).



TCP (6).




UDP (7).



EGP (8).



Truyền dẫn (10).



SNMP (11).



Mặc dù định ngĩa MIB-II là một cải tiến trên MIB-I, nhưng vẫn còn những vấn
đề chưa giải quyết được:



MIB-II vẫn là một thiết bị trung tâm, có nghĩa là sự tập trung của nó trên các
thiết bị riêng biệt, không phải mạng toàn vẹn hoặc luồng dữ liệu



MIB-II là dựa trên bầu chọn, có nghĩa là dữ liệu được lưu trữ trong các thiết bị

quản lý và một hệ thống quản lý phải yêu cầu (bầu chọn) nó thông qua giao
thức quản lý; dữ liệu không được gửi tự động.
6. Hoạt động của giao thức quản lý mạng SNMP


Họ giao thức quản lý mạng SNMP hoạt động trên nền bộ giao thức TCP/IP.
Các bản tin của họ giao thức này do đó sẽ được truyền tải dưới dạng các gói tin IP.
Mặc dù họ giao thức SNMP có nhiều phiên bản khác nhau, SNMPv1, SNMPv2c,
SNMPv3, nhưng các bản tin của chúng có một định dạng chung. Đó là các gói tin IP
thông thường và bao gồm hai phần chính, đó là:



Thành phần mào đầu IP Header



Thành phần tải tin Payload

Đối với mỗi phiên bản của họ giao thức SNMP thì thành phần tải tin Payload lại
được tổ chức và sắp xếp với những trường khác nhau, nhưng mục đích chung của
phần tải tin Payload này đều là chứa những tập lệnh, những thông tin, thông báo, …
được truyền tải giữa hệ thống quản lý NMS trong vai trò Manager và tiến trình Agent
trên thiết bị mạng cần được giám sát và quản lý.
Sau đây chúng ta sẽ đi vào phân tích chi tiết các trường thông tin trong thành
phần Payload của gói tin SNMP và cách thức tổ chức sắp xếp các trường thông tin
này đối với từng phiên bản của họ giao thức SNMP.
7. Kết luận
Giao thức quản lý mạng (SNMP) là một tập hợp các hoạt động, chức năng, giúp
nhà quản trị mạng có thể quản lý, theo dõi, thay đổi trạng thái của các thiết bị trên hệ

thống.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×