System Monitoring in Windows-Netzwerken mit Open Source Tools

Transkript

1 System Monitoring in Windows-Netzwerken mit Open Source Tools DECUS 2002 Michael Wrzesinski Consulting IBEX Digitale Systeme AG Einsatzmöglichkeiten des Monitorings Netzwerk Erreichbarkeit Auslastung usw. Hardware Temperatur, Lüfter I/O-Parameter usw. Sicherheit Netzwerksicherheit Dateiintegrität Windows-Sicherheit usw. Software OS Prozesse Filesystem usw. 2 1

2 Ziele und Zielgruppen Warum Einsatz von Open Source Tools? vermittelt vertiefte Kenntnisse der entsprechenden Bereiche ist flexibel und anpassungsfähig ist zum Teil technisch hochwertig ist preiswert (Anschaffung) Warum kein Einsatz von Open Source Tools? relativ hoher Einarbeitungsaufwand Vorgaben keine Betreuung oder unsichere Verfügbarkeit Ist teuer (Erstellung/Anpassung) 3 Voraussetzungen I Windows-Netzwerk mit Windows NT + SNMP + WMI Windows SNMP + WMI-SNMP XP/.NET+SNMP Netzwerkkomponenten SNMP-fähig Hardware DMI-fähig oder Agents/SNMP 4 2

3 Voraussetzungen II Webserver: Apache oder IIS Perl Interpreter: ActiveState Windows Scripting Host (optional) Datenbank: mysql (optional) 5 Design agentbasiert SNMP-Trap Polling Event-Handler 6 3

4 Aufbau agentenbasiert einfache Konfiguration mit Agenten (SNORT u.a.) 7 Aufbau Polling Polling wird von per Scheduler von einer Maschine gesteuert (MRTG, RRD) Zugriffe per Windows-Api SNMP Performance-Objekte WSH, WMI 8 4

5 SNMP-Trap und Event-Handler SNMP-Traps relativ komplex zu programmieren klassische Technik SNMP unter Win NT schlecht implementiert, unter W2K verbessert Timing-Problematik Event-Handler nur unter W2K/XP/.NET implementiert, unter NT nachrüstbar (WMI) wird von Microsoft gut supportet, stabil Basiert auf neuen Standards, die auf Nicht- Windows-Maschinen kaum verfügbar sind Werden u.a. durch OLE- Objekte angesprochen 9 Pakete und Tools: MRTG MRTG (Multi Router Grapher Tool) Zusammenstellung von Tools zum Monitoren primär von Netzwerk-komponenten Sammlung von Perl- Scripten und Binärprogrammen Benötigt einen Webbrowser/server und Perl- Interpreter Generiert Logs und GIF- Bilder Weitreichend konfigurierbar Benötigt nur eine feste Datenmenge 10 5

6 Pakete und Tools: RRD RRD(Tool) basiert auf den MRTG Prinzipien schneller und flexibler erzeugt PNG-Bilder (anstatt GIF s) Wird wie MRTG als Backend für verschiedene Webbasierte Frontends benutzt 11 Pakete und Tools: CACTI CACTI komplette webbasierte Monitor-Umgebung basiert auf MRTG/RRD erzeugt Konfigurationsdateien beinhaltet ein einfaches Benutzermanagement Baumstruktur mit eigenen Containern für Graphen und Ausgabe 12 6

7 Pakete und Tools: SNORT SNORT Intrusion Detection Tool basiert auf Probes (Agenten) sehr gute Qualität (noch) keine Integration von nicht- Netzwerk-Quellen (z.b. Eventlogs) 13 Pakete und Tools: Event-Monitoring I WSH, WMI ansprechbar mit Hilfe von WMI/WSH- Objekten kein Polling-Mechanismus nötig remoteaufrufbar einfach zu skripten unter Win-NT (ohne WSH/WMI) kein Äquivalent vorhanden 14 7

8 Pakete und Tools: Perl-Beispiel: Events use vars qw( $Log $Message ); use Win32::OLE qw( HRESULT ); my $Machine = my $TIMEOUT = -1; my %HRESULT = ( success => HRESULT( 0x ), timeout => HRESULT( 0x ), ); my $WMIServices = Win32::OLE->GetObject( "winmgmts:{impersonationlevel=impersonate,(security)}//$machine/" ) die; my $Events = $WMIServices->ExecNotificationQuery( "select * from instancecreationevent where targetinstance isa 'Win32_NTLogEvent'" ); die unless( $HRESULT{success} == scalar Win32::OLE->LastError() ); my $hresult; do{ my $Event = $Events->NextEvent( $TIMEOUT ); $hresult = scalar Win32::OLE->LastError(); if( $HRESULT{timeout}!= $hresult ) { $Log = $Event->{TargetInstance}; $Message = $Log->{Message} join( ); print $Log->{ComputerName},$Log->{Type},$Log->{SourceName}, $Message, "\n"; } }while( $HRESULT{timeout}!= $hresult ); 15 Quellen MRTG: RRD: SNORT: Perl (Windows-Port): IBEX GS Berlin, Consultingbereich Hinweise, Scripte, Life-Demos