Понятие мониторинга, классификация систем мониторинга по источникам.
Система мониторинга [5] – это совокупность технических средств, осуществляющих непрерывное наблюдение и сбор информации в локальной вычислительной сети (ЛВС), рабочих станциях пользователя на основе анализа статистических данных, происходящих в системе с целью выявления неисправных или некорректно работающих узлов и оповещения администраторов безопасности.
Существует большое количество систем мониторинга. Они могут быть собирать данные от [1]:
- Сетевые источники событий – это так называемые анализаторы протоколов, они нужны для контроля сетевого трафика. Примерами таких источников могут быть:
- Syslog (system log – системный журнал) является стандартным средством для журналирования в системах семейства Unix и Linux, а позже стал использоваться и на других операционных системах. Этот термин также употребляется в качестве протокола syslog. Этот протокол использует порт UDP 514 для отправки сообщений с уведомлением о сетевых событиях по сетям IP. Работает с многими сетевыми устройствами, например, маршрутизаторы, коммутаторы, межсетевые экраны и т.д. Для приема таких сетевых уведомлений иногда разворачивают специальную выделенную сеть.
Основные задачи, которые решает данный протокол это: сбор информации для мониторинга и отладки, выбор типа собираемой информации, а также получателей этой информации.
Сообщения, которые можно получить от сетевых устройств делятся на 7 уровней важности (таблица 1)
Название уровня важности |
Пояснение |
Уровень 0 – чрезвычайная ситуация |
Невозможно дальнейшее использование системы. Описываются события, содержащие данные о сервисах. |
Уровень 1 – предупреждение |
Необходимо срочно принять меры. |
Уровень 2 – критический |
Критическое состояние вторичной системы. |
Уровень 3 – ошибка |
Ошибки, которые не требуют незамедлительного вмешательства |
Уровень 4 – предупреждение |
Предупреждают о возможных проблемах. При этом, если игнорировать такие сообщения, то это может привести к возникновению проблем |
Уровень 5 – уведомление |
События, которые возникают при необычном поведении системы. |
Уровень 6 – информационные |
Полезны при составлении отчетов. |
Уровень 7 – отладка |
Информация для разработчиков программного обеспечения (ПО). |
- Системные источники событий – содержат в себе щирокий спектр информации от операционных систем (ОС), рабочих станций пользователя. Содержит в себе операции, которые выполняются компонентами ОС и рабочими станциями.
- Журналы событий.
Примером является события, которые регистрируются в ОС Windows. В этой ОС есть встроенные журналы:
- журнал установки журнал приложений;
- журнал системы;
- журнал операций;
- журнал пересылаемых событий;
- административный журнал;
- аналитический журнал;
- отладочный журнал;
- журнал безопасности.
Перечисленные журналы позволяют обычным пользователям или системным администраторам разобраться в причинах сбоя того или иного оборудования. Но т.к. этих сведений много, создаются специализированные ПО, системы мониторинга и анализа событий.
Программное обеспечение, системы и инструменты для мониторинга. Обзор рынка.
Выделяются основные требования, которые должны быть в программном обеспечении (ПО) по мониторингу сети [4]:
- Поддержка всех видов сетевых подключений, в том числе wifi сети.
- Слежка за сетевой активностью.
- Определение детальности системных и сетевых служб.
- Анализ удаленных компьютеров и веб серверов.
Системы мониторинга должны предоставлять отчеты про события за определенные временные периоды. Важно сохранять весь листинг активности и архивировать его в соответствующем журнале.
Требуется различать средства, которые обеспечивают контроль внешнего доступа сети и программного обеспечения, что важно для контроля за внутри сетевыми процессами.
Мониторинг активности сети определяется так:
- Приложение с определенным периодом отправляет запросы по необходимым ip адресам сети.
- При некорректном или неудачном результате подобного запроса, отправляется сигнал администратору безопасности.
- Автоматическое определение действия, которые регламентированы сетевым протоколом.
В организации всегда встает материальный вопрос: реализация максимальных мер по мониторингу и анализу при минимальных затратах. Поэтому целесообразно рассмотреть бесплатные, но не менее функциональные решения [2,3]:
- Zabbix 4.0 - открытое ПО для мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, используется для получения данных о нагрузке процессора, использования сети, дисковом пространстве и тому подобного.
- SCOM (part of Microsoft System Center) - System Center — представляет собой полный набор инструментов для управления IT-инфраструктурой, c помощью которых Вы сможете управлять, развертывать, мониторить, производить настройку программного обеспечения Microsoft (Windows, IIS, SQLServer, Exchange, и так далее). Увы, MSC не является бесплатным. SCOM используется для проактивного мониторинга ключевых объектов IT-инфраструктуры.
- Nagios - является самым популярным инструментом мониторинга инфраструктуры в течение нескольких лет (для Linux и Windows). Если Вы рассматриваете Nagios для Windows, то установите и настройте агент NSClient ++ на Windows сервер. NSClient ++ мониторит систему в реальном времени и предоставляет выводы с удаленного сервера мониторинга и не только.
- Enigma - приложение, которое поможет Вам следить за всеми важных показателями прямо с рабочего стола для ОС семейства Windows
- Nixstats - это сервис для отслеживания статистики, различных маркетинговых метрик, и доступности удаленных серверов и сайтов. Платформа имеет удобный веб-интерфейс. Присутствует бесплатная версия, оповещения через смс и мессенджеры. Сервис основан одноименной компанией из Амстердама в 2017 году. За это время сайтом успели воспользоваться более 15 000 клиентов.
- Zenoss - гибкий комплексный сервис для мониторинга событий, производительности и доступности
- SpiceWorks - полностью бесплатная (даже поддержка) система мониторинга с богатыми возможностями.
- Reliability Monitor – монитор стабильности системы, позволяет отслеживать любые изменения в производительности компьютера, найти монитор стабильности можно в Windows 7, 8, 10: Control Panel > System and Security > Action Center. С помощью Reliability Monitor можно вести учет изменений и сбоев на компьютере, данные будут выводиться в удобном графическом виде, что позволит Вам отследить, какое приложение и когда вызвало ошибку или зависло, отследить появление синего экрана смерти Windows, причину его появления (очередное обновлением Windows или установка программы).
- Microsoft SysInternals - это полный набор программ для администрирования и мониторинга компьютеров под управлением ОС Windows. Вы можете скачать их себе бесплатно на сайте Microsoft. Сервисные программы Sysinternals помогают управлять, находить и устранять неисправности, выполнять диагностику приложений и операционных систем Windows.
- Task Manager - всем известный диспетчер задач Windows — утилита для вывода на экран списка запущенных процессов и потребляемых ими ресурсов. Но знаете ли Вы, как использовать его весь потенциал? Как правило, с его помощью контролируют состояние процессора и памяти, но можно же пойти гораздо дальше. Это приложение предварительно на всех операционных системах компании Microsoft.
Заключение
Внедрение системы мониторинга – это важный шаг на пути к полной автоматизации ИТ-инфраструктуры, который ведет к повышению эффективности ее использования. Необязательно использовать большие системы мониторинга, например, SIEM (Security information and event management), которые в основном платные и содержат в себе большой функционал, вплоть до обнаружения и предупреждения атак. Если организация небольшая, то администратору может хватить бесплатных инструментов для эффективного проведения мониторинга и анализа.