Monitorovací systém Nagios pro dohled síťových a

MendelovauniverzitavBrněProvozněekonomickáfakulta

MonitorovacísystémNagiosprodohledsíťovýchaserverových

služebBakalářskápráce

Vedoucípráce:

Ing.JiříBalej BeťkoDavid

Poděkování

Tímto bych chtěl podekovat vedoucímu práce Ing.Jiří Balej zaužitečné radyatrpělivost přikonzultacích. Velké poděkování dálepatří zanejlepší přednáškyavynikajícícvičenívsíťovýchakademiíIng.MartinPokorný,Ph.DspolusIng.PetrZach, Ph.D, kdeměnaučili věci, které jsem využil vesvépráci. Mépoděkovánísirovněž zasloužímůj externí konzultant sfirmy Aliacte s.r.o. Ing.Radim Klabal,bez kterého bytatopráce nebyla uskutečněna, dálezajeho rady avhodnénasměrování ktématu, konzultace apřipomínky kpráci. Vposlední části bychpoděkovalsvérodinězatrpělivostapodporuvevzdělání.

Čestnéprohlášení

Prohlašuji,žejsemtutopráci:MonitorovacísystémNagiosprodohledsíťovýchaserverových služeb vypracoval/asamostatně aveškeré použité pramenyainformacejsouuvedenyvseznamupoužitéliteratury.Souhlasím,abymojeprácebyla zveřejněna vsouladu s§47b zákona č.111/1998Sb., ovysokých školáchveznění pozdějších předpisů, avsouladu splatnou Směrnicí ozveřejňovánívysokoškolskýchzávěrečnýchprací.

Jsem sivědom/a, žesenamoji práci vztahuje zákon č.121/2000Sb.,autorský zákon, ažeMendelova univerzita vBrně máprávo nauzavření licenčnísmlouvyaužitítétoprácejakoškolníhodílapodle§60odst.1Autorskéhozákona.

Dálesezavazuji, žepřed sepsáním licenční smlouvy ovyužití díla jinouosobou (subjektem) sivyžádám písemné stanovisko univerzity otom,žepředmětná licenční smlouva není vrozporu soprávněnými zájmy univerzity,azavazujiseuhraditpřípadnýpříspěveknaúhradunákladůspojenýchsevznikemdíla,atoaždojejichskutečnévýše.

VBrnědne22.května2017 _______________________________

Abstract

Beťko, D.Monitoring system Nagios fortracking network andserver services.Bachelorthesis.Brno:MendelUniversity,2017.

ThegoalofthebachelorthesisistoconfigurethemonitoringsystemNagiosinordertocoveranydefinedservicesinabusinessenvironment.Theopen-sourceisakey solution ofthemonitoring system itself. Thesample andpromotionoftheinstallationandconfigurationoftheNagiossystemcomesinapracticalpartofthethesis. Moreover, there isaverification oftheNagios systems functionalityonatestingbasis,aswell.

Keywords

Nagios, Monitoring, network, SNMP protocol, Syslog, server, Zabbix, OPSview,Cacti,Zenoss,OpenNMS,IBMTivoli,computernetwork,open-source,plugin

Abstrakt

Beťko,D.MonitorovacísystémNagiosprosledovánísíťovýchaserverovýchslužebBakalářskápráce.Brno:MendelovauniverzitavBrně,2017.

Bakalářská práce sezabývá konfigurací monitorovacího systému Nagiostak, abypokrýval veškeré definované služby vefiremním prostředí. Celýmonitorovacísystémjezaložennaopen-sourceřešení.Vpraktickéčásti jeukázkainstalaceakonfiguracesystémuNagiosaověřeníjehofunkčnostinabázitestování.

Klíčováslova

Nagios, monitoring, síť, protokol SNMP, Syslog, server, Zabbix, OPSview, Cacti,Zenoss, OpenNMS, IBM Tivoli, počítačová síť, Open-source, plugin.

Obsah 11

Obsah1 Úvodacílpráce...........................................................................................................131.1 Úvod........................................................................................................................................131.2 Cílpráce.................................................................................................................................131.3 Metodikapráce...................................................................................................................13

2 Rešeršestávajícíchprací.........................................................................................152.1 Analýzastávajícíchprací................................................................................................152.2 Zhodnocenívyužitístávajícíchprací........................................................................16

3 TeoretickémožnostivyužitíISO/OSI..................................................................173.1 Souhrnnýpopisvrstev....................................................................................................173.1.1 Fyzickávrstva................................................................................................................173.1.2 Linkovávrstva(Spojová)..........................................................................................183.1.3 Síťovávrstva...................................................................................................................183.1.4 Transportnívrstva.......................................................................................................193.1.5 Relačnívrstva.................................................................................................................193.1.6 Aplikačnívrstva............................................................................................................19

4 Monitoringserverovýchslužeb............................................................................214.1 Síťovávrstva.......................................................................................................................224.2 Aplikačnívrstva.................................................................................................................224.2.1 SNMP(SimpleNetworkManagmentProtocol)...............................................224.2.2 Syslog.................................................................................................................................244.2.3 SSH......................................................................................................................................25

5 Výběrmonitorovacíhosystému............................................................................275.1 Nagios.....................................................................................................................................275.2 Zabbix.....................................................................................................................................305.3 OPSview.................................................................................................................................335.4 Zenoss....................................................................................................................................355.5 Cacti.........................................................................................................................................395.6 OpenNMS..............................................................................................................................41

Obsah 12

5.7 IBMTivoliV6.2...................................................................................................................436 Praktickéřešení.........................................................................................................476.1 Popisfiremníhoprostředíaanalýza.........................................................................486.2 Popispožadavkůmonitoringu....................................................................................506.3 Návrhřešení........................................................................................................................526.3.1 Architekturařešení......................................................................................................52

6.4 Implementaceřešení.......................................................................................................536.4.1 Instalacebalíčků...........................................................................................................536.4.2 InstalaceNagiosserveru...........................................................................................546.4.3 Úpravavýchozíkonfigurace....................................................................................566.4.4 InstalaceNRPEapluginůnamonitorovanýchserverech...........................586.4.5 NastavenímonitorovanýchslužebNagios........................................................596.4.6 NastavenímonitoringusíťovýchzařízenípomocíSNMP...........................606.4.7 Nastavenílimitů(triggers)........................................................................................61

6.5 Testování..............................................................................................................................626.5.1 Testováníkonektivity.................................................................................................626.5.2 Spolehlivostdostupnostidaemonů,NRPE........................................................636.5.3 Testováníslužeb...........................................................................................................636.5.4 Performancetestování...............................................................................................646.5.5 Souhrnvýsledkůtestování.......................................................................................66

7 Ekonomickézhodnocenínavrhovanéhořešení..............................................677.1 Počátečníinvesticeanáklady......................................................................................677.2 Provozaúdržba.................................................................................................................677.3 Úspory....................................................................................................................................677.4 Shrnutí...................................................................................................................................68

8 Závěr...............................................................................................................................699 Literatura......................................................................................................................7110 Seznamobrázkůatabulek......................................................................................77A Ukázkavýslednépráce............................................................................................79

Úvodacílpráce 13

1 Úvodacílpráce

1.1 Úvod

Vdnešní době musí jakákoliv menší nebovětší firma chránit data, sekterýmidálepracuje, musí sizabezpečit dostupnost všech poskytovaných služeb,minimalizovat přetížení svojí sítě, detekovat kolize. Dálemusí sledovat svojesoftwarové ahardwarové prvky, abysepředešlo výpadkům sítě nasledovanýchprvcích. Vsoučasnosti jemonitoringu síťových aaplikačních služeb profirmunezbytným systémem. Podstatné jesledování kritických služeb vefirmě, kteréneohrozíchod.Nasazenímmonitorovacíhonástrojepředcházímekolapsůmnasíti.

Díky tomu máadministrativní zaměstnanec vpozici technika řadu funkcínazískávání podstatných informací. Vsoučasné době jenatrhu kdispozici velkémnožství monitorovacích systémů odopen-source ažpolicencované. Natrhusenabízí volně stažitelné nástroje např.Nagios, Zabbix alicencované systémyposkytujíspolečnostijakojeCisco,IBM,Microsoft,HP.

1.2 Cílpráce

HlavnímcílemprácejenasazenísledovacíhosystémuprofirmuAliactes.r.oajehonásledné testování funkčnosti, konkrétně toho, zdanavržený systém Nagiosodpovídá požadavkům firmy. Porovnávání monitorovacích systému nazákladědohody sadministrátory sítě ukáže výhody inevýhody vrámci firemnídostupnosti. Výsledné řešenímonitorovacího systému jedůležité nakonfigurovattak,abyřešenípokrývalovšechnypotřebnéslužbyasystémovounotifikacipomocíemailu. Konfigurované služby budou prosíťové prvky (routery, switche),serverové OS, síťové služby asystémové zdroje. Služby musí vyhovovat danýmadministrátorůmprovozované sítě, takabyvše bylo uživatelsky přívětivé. Dílčímcílem práce jesadministrátory sítě analyzovat současný stav firemní sítěaidentifikovat hrozby, které mohou nastat přistávajícím stavu. Analýza sítěasoučasných systémů bude probíhat zdůvodu orientování sevinfrastruktuře,abymohlbýtnasazenmonitorovacísystém.

1.3 Metodikapráce

Kesplnění zadání práce bude důležité uskutečnění následujících kroků jedenzadruhým. Analýza současných řešení bakalářských idiplomových pracíproověřeníneexistencestejnéhořešenízávěrečnýchprací,vekterýchsezabývaliproblematikou monitorování sítě. Zvymezenýchporovnávaných systémůjepotřebné prozkoumat azkontrolovat, zdaneexistuje vhodnější monitorovacísystém nežNagios zhlediska ovládání, funkčnosti, instalace, definování hostitelůakonfigurace produktu. Ukaždého porovnávaného produktu bude definovánprincipmonitorováníslužeb,jehoarchitekturuaprácisproduktem.Monitorované

Úvodacílpráce 14

hodnoty iparametry budou definovány podle potřeb využívání jednotlivýchsíťových protokolů aslužeb vefirmě. Frekvence monitorování iupozorňováníbudeprobíhatuhardwarovésložky,operačníhosystému,síťovéhoprvkuaslužbyvodlišnýchčasových intervalech. Primárním cílem jenasazení azačleněnímonitorovacího systému dofiremní infrastruktury, jeho konfigurace, nastaveníaodladění chyb promonitorování. Vposledním kroku bude provedeno funkčnítestovánívarovánípřivýpadkuslužebnebosíťovýchprvků.

Rešeršestávajícíchprací 15

2 RešeršestávajícíchpracíTatokapitolasebudezabývatpředchozímibakalářskými,popřípadědiplomovýmizávěrečnými pracemi. Kapitola jepřehledem podobných vypracovaných řešenízávěrečných prací sezaměření namonitoring. Podobné práce byly vyhledáványzČeské centrální databáze závěrečných prací (http://theses.cz). Nevšechnyvysoké školy využívají centrální databázi, proto bylo nutné použít přímouniverzitní databázi vybraných škol, atoMendelovy univerzity vBrně(https://is.mendelu.cz/zp), Vysokého učení technického vBrně(https://dspace.vutbr.cz) aČeského vysokého učení technického vPraze(https://dspace.cvut.cz). Bylo vyhledáváno pomocí klíčových slov networkmonitoring nebomonitoring sítě. Sledované práce byly vrozmezí intervalu tříaždevět let. Vestarších pracích jevidět technologický pokrok promonitorovacísystémy zhlediska, jakužívání, takzhlediska jejich funkčnosti, výkonnosti,optimalizaceprocesoru,dostupnýchmodulů.

2.1 Analýzastávajícíchprací

BP–FrantišekVařacha–Monitorovacísystémfiremnípočítačovésítěnabázi

opensourceřešení

Vařacha sevesvébakalářské práci zabývá vylepšením monitorovacího systémuvreálné firmě nabázi open-source. Práce jeinspirovaná jeho analýzou novýchuživatelskýchpožadavkůvefirměajaképrincipysledovánípoužilpromonitoring.Přivýběru monitorovacích systému sezaměřil naopen-source řešení. VýslednéřešeníbyloprovedenopomocínástrojeNagios.Vprácisezabývaltestovánímtoho,zdařešení vyhovuje požadavkům firmy. Provedl iekonomické zhodnoceníinstalovanéhosystému.(Vařacha,2014)

DP–Bc.JindřichMatúš–Monitorovánístavurozsáhlýchsítí

Matúšsevesvédiplomovéprácizaměřujenavytvořenísystémupromonitorovánístavu rozsáhlého stavu sítě, vekterémbude ukládat data dodatabáze. Provýběrmonitorovacíchsystémusezaměřilnaopen-sourceřešení.Zaměřujesepředevšímnaslužby typuSNMPaSSH,kterébudezískávatodOSLinuxaRouteruMikrotik.Vesvépráci nevyužil možnost otestování monitorovacího systému Cacti,prosprávnoukonfiguraciaupozorňováníuživatele.(Matúš,2008)

BP-LukášVozdecký–Srovnánísystémuprosledováníprovozupočítačových

sítí

Vozdecký sezabývá porovnáváním nejrozšířenějších open-source řešení jakoNagios, Zabbix aBig Sister. Zjišťujemožnost nasazení zhlediska potřeb ačasovénáročnosti vprovozu. Upozorňuje napodstatné rozdíly mezi zvolenými nástroji

Rešeršestávajícíchprací 16

skrz efektivitu avrozdílnost využití aplikace. Vevýsledném procesu zvolil jakonejefektivnější nástroj Zabbix, který sedákonfigurovat jenpomocí webovéhorozhraní jakodruhýnejlépevyužitelnýnástrojbylpodlenějzvolenNagios,kterýjevysoce konfigurovatelný aflexibilní provelké imalé firmy. Nezaměřovalsenakonkrétnísledovanéslužby.(Vozdecký,2007)

DP–Bc.DanielEisner–Analýzamoderníchtechnologiíprodohledasprávu

firemníinfrastruktury

Eisner sevesvépráci zabývá problematikou monitorovaní dletechnologiísvyužitím agenta nebobezvyužití agenta. Následně vystihuje značné výhodyanevýhody těchto technologií.Dálejsou rozebíránymožnosti dotazovánípomociSNMP aICMP dodetailů. Podrobněji serozebírá monitorovací systém Nagios.Zabývá sejeho prerekvizitami, hardwarovou, softwarovou konfigurací, rozšířenípomocí pluginů. Vpráci sezdůvodu časového vytížení, který uvedl onnezabývalnáslednýmtestováním.(Eisner,2015)

2.2 Zhodnocenívyužitístávajícíchprací

Porovnávané práce sezabývají nasazením monitorovacího systému nabáziopen-sourceřešení.Vprácibylysrovnáványkroměnelicencovanýchilicencovanémonitorovacísystémy,kterépřineslyvětšírozmanitostpráce.Vněkterýchpracíchseautoři nezaměřili přímo namonitoring vyhrazených síťových služeb aprvkůvsítí nebovpráci nespecifikovali stejnou kombinaci monitoringu. Dalšírozdílporovnávaných prací byl vtom, žesvévýsledné řešení autoři neotestovalivrůzných provozních fází systému, např.přizměně zátěže serveru, výpadkuslužeb nebocelého serveru anezabývali senávrhem SLA (Service-levelagreement).,případněsplněnímpožadovanéhoSLA.

TeoretickémožnostivyužitíISO/OSI 17

3 TeoretickémožnostivyužitíISO/OSIISO/OSI umožnuje srovnat strukturu síťových architektur, definuje funkcevytvářející komunikační proces, považujeme hozazáklad prosíťové technologieamůžeme hopovažovat zazáklad tvorby struktury sítě asíťové komunikace.Vmodelu Model TCP/IP lzekomunikovat vnávaznosti vrstvou následujícínebopředcházejícíavkomunikacimusíbýtobsaženyvšechnynižšívrstvy.Úkolemkaždévrstvyjeposkytnoutinformaceaslužbynásledujícívyššívrstvě.RMISO/OSIjetvořensedmivrstvami,kdesenakaždévrstvěspecifikujiprotokolyaprácemezitěmitoprotokoly.Každávrstvamáspecifickéfunkce,kterézodpovídajízasprávnýpřesundatvsítiaprocesmusíprobíhatvesprávnémpořadí.(Meinel,2013)

Obrázek1:ModelTCP/IP

Zdroj:https://is.mendelu.cz/eknihovna/opory/zobraz_cast.pl?cast=590

3.1 Souhrnnýpopisvrstev

3.1.1 Fyzickávrstva

Fyzická vrstva nám umožňuje přenos jednotlivých bitů komunikačním kanálem,vmédiu jako jenapř.vzduch nebokabely. Dálezajišťuje synchronizaciamultiplexingvpřístupunamédium.Přenášenýmbitůnepřiřazuježádnývýznam.Specifikace samostatného fyzického média není součástí vrstvy vOSI modelu.Logickéspojenílzerealizovatjednímfyzickýmmédiem.(Dostálek,2003)


3.1.2 Linkovávrstva(Spojová)

Úkolem linkové vrstvy jezajistit bezchybný přenos datmezi přímo propojenýmistanicemi.Vytvářísezderámce,kteréobsahujívlastnípřenášenéinformace,údajeproadresováníazabezpečeníprotichybámpřipřenosu.(Dostálek,2003)

Existujíurčitéprotokolylinkovévrstvyato:

§ Ethernet–rámce sešíří segmentem lokální sítě, jenezávislý naostatníchrámcích,jedopravovánsamostatně,nezávislenaostatníchrámcích.Staniceakceptuje nejenom rámce adresované její výlučnou 6B adresou,aleioběžníky.(Sosinsky,2010)

3.1.3 Síťovávrstva

Síťovávrstvazajišťujeadresováníasměrovánídatvsítiodzdrojovéhokcílovémuzařízení přes několik mezilehlých zařízení. Síťové pakety jsou nasměrovačíchpředávány mezi fyzickými porty směrovače podle logické adresy cílové sítě.(Dostálek,2003)

Existujíurčitéprotokolysíťovévrstvyato:

§ ARP–mapování mezi logickou síťovou adresou (IP) afyzickou (MAC)adresou, kdehledáme cílovou MAC adresu pomocí IP adresy. OpačnýmprocesemjeprotokolRARP.(Naugle,2006);

§ IPv4–používá IP adresu odélce čtyři bajty, která adresuje jednoznačněsíťovérozhranísystému.(IPv4,1981);

§ IPv6–používá IP adresu odélce 16bytů. Typy IPv6adresmáme unicast,multicast aanycast. Linkové adresy platí pouze vlokální síti apoznajísepodleprefixufe80::/10.(IPv6,1998);

§ DHCP–protokol proautomatizované přidělování IP adresy adalšíchsíťovýchparametrů(IPadresa,maskasítě).(Dostálek,2003);

§ ICMP–slouží ksignalizaci mimořádných událostí vsítích postavenýchnabázi TCP/IP. Balí svoje datové pakety doIP-protokolu. ICMP zprávajegenerovánacílovýmizdrojovýmuzlemdatagramu,kekterémusezprávavztahuje. Jedním zmezilehlých směrovačů, kterými tento IP datagramprochází.(ICMP,1981).

Nasíťovévrstvěsespecifikujíisměrovacíprotokoly:

§ BGP–navazujeaudržujekomunikacesesousednímisměrovačiodISP;§ OSPF–vytváří hierarchické sítě tvořené směrovacími oblastmi, definuje

vícetypůsměrovačůgenerujícíchvícetypůOSPFzpráv;§ RIPv1,RIPv2–umožňujesměrovačůmkomunikovatmezisebouareagovat

nazměny.


3.1.4 Transportnívrstva

Transportní vrstva jenejnižší vrstva, nakterou seodvolávají síťové aplikace(uživatelskéasystémové).Zajišťujekompletnípřenosvlastníchdat,kvalituslužby.Zabezpečuje, abysezprávadostalakpříjemci správně,bezpoškození, avpřípaděchyby,zajistíopakovanéodeslání.(Dostálek,2003)

Existujíurčitéprotokolytransportnívrstvyato:

§ TCP–navazujeaukončujespojení,kdepronavázáníaukončenísloužísadapříznaků (SYN–používá sepronavázání spojení aFIN–používáseproukončeníspojení).Přispojenídokaždéhosegmentuvkládápořadovéčíslo apříjemce pakpotvrzuje (acknowledgment), čísluje asleduje, jestlinebyltokdatpřerušen;

§ UDP–služba nespojovaná–služba nespolehlivá, kdetransport nelze řídit,jevelmi efektivní, rychlá. Jsou zdemalé provozní režie aproprovoznepoužívásekvenčníčísla;(Meinel,2103)

§ Socket–konkrétní komunikace mezi aplikacemi auzly. Jsou tvořeny IPadresou uzlu ačíslem portu, nakterém naslouchá daná komunikujícíaplikace.(Socket,1971)

3.1.5 Relačnívrstva

Relačnívrstvatvoříspojenímeziaplikacemi,správasession.Komunikujezdejednaaplikace sdruhou aposílá více dat posobě. Udržuje celé spojení mezi dvěmapočítači aúkolem tétovrstvy jenavázání relací mezi koncovými stanicemi.(Dostálek,2003)

Prezentačnívrstva

Prezentační vrstva poskytuje jednotnou reprezentaci dat ajejich šifrování.Specifikuje způsob, jakým jsou data formátována, prezentována, transformovánaakódována.(Dostálek,2003)

3.1.6 Aplikačnívrstva

Aplikační vrstva poskytuje aplikacím přístup ksíťovým službám. Obsahuje taképrotokoly, které implementují síťové aplikace. Využívá služby nižších vrstev.Správce mámožnost využít protokol SSH probezpečné přihlášení kserveru.Kromětohotoprotokolumámedalšíprotokoly,kterébudemevyužívat,atonapř.:

Poštovníaplikace

§ SMTP–základníprotokolprovýměnupoštovníchzpráv;§ POP3–přístupdomailboxuzevzdálenéhoklientanazískáníe-mailů;§ IMAP4–přístup domailboxu zevzdáleného klienta, kdemáme více funkcí

spoštouaumožňujepřístupkpoštězrůznýchkoncovýchzařízení.


Dalšíprotokoly:

§ SNMP–správasíťovýchprvků,zjišťovánístavovýchinformacíozařízeních,nastaveníparametrůnasíťovémzařízení;

§ FTP–autorizovaný přístup dosouborového systému hostitelského uzlu,obousměrný přenos, kdevytváří 2TCP spojení naportech 21–spojeníařízenía20–propřenosdat.(Dostálek,2003);

§ HTTP–ajeho zabezpečená verze, která ješifrovaná HTTPS, protokolpropřenos dat mezi serverem aklientem schopný přenášet data určenáURLadresou.Komunikujenaportu80TCPajehozašifrovanáverzeHTTPSnaportu443;(HTTP,1999)

§ SSH–protokol provzdálené azabezpečené přihlášení, kdeneposílá heslovnezabezpečené formě. Komunikuje naportu 22protokolu TCP. (Barret,2003)

Monitoringserverovýchslužeb 21

4 MonitoringserverovýchslužebExistuje mnoho způsobů, jakmonitorovat stav operačního systémunebojednoúčelových zařízení, jako jsou tiskárny, switche, servery neboroutery.Dálelzezjišťovat dostupnost síťových služeb (služby FTP, SSH, HTTP, HTTPS),stavyHWatonezávislenapoužitémOS.

Jednotlive metody monitoringu jemozne kombinovat amaximalizovat,takabybylavýslednáefektivitaconejlepší.SamotnémonitorovánísevyužívámezijinýmajksledováníprocesůastavuuvnitřOS(vytíženíCPU,pamětiRAM,zaplněnídisků,službynesouvisejícísesítí).

Přivyužitímonitorovacíhosystémuprodohledserverůmámedvěmožnostipřístupu kinformacím. Monitorování sagentem abezagenta, kdymonitoringsagentem představuje daný prvek, který senamonitoringu podílí aktivně OS.Monitoring bezagenta znamená testování vlastních služeb serveru, kdesedatazískávajípomociprotokolůnapř.SNMP.

Nazačátku monitorování jetřeba naplánovat, jaký výstup jeprodanouoblast nejvhodnější. Máme dvě oblasti. Jednou zoblastí jsou události, kterémůžeme získat pomoci Syslogu neboSNMP trapů zeserverů čirouterů. Druhouoblastímámehodnotyčíselné,kterénámokamžitěukazujístav(CPU,RAMatd.).

Díky softwarovému nástroji Wireshark lzeodchytávat dané pakety,monitorovat siprovoz vsíti prodaný uzel apodrobněji analyzovat daný paket,atozapomocíprotokoluNetFlowtzv.real-timeanalyzátoru,kterýzachytávádatavreálnémčaseavykreslujejedografu.

Příkladmonitorovacíchmožnostíserverů,kterésemohouvyužívat

§ Dostupnostserverůajejichslužeb;§ aktivnísíťovéprvkypomocíICMP;§ bezpečnostníincidenty;§ síťovékomunikace/provoz;§ chybanapájení/zdroje,poruchaventilátoru,pevnéhodisku;§ teplotačidlanaskříníchserveru;§ událostinaserveru(Syslog);§ vytíženílinek–přenosdat;§ vytíženíCPU,RAM,zaplněnídisku;§ informaceoportechswitchů,routerůpomocíslužbySNMP;§ webovéapřenosovéslužby(HTTP,HTTPS,SSH,FTP,SFTP);§ kontrolae-mailslužeb(SMTP,POP3,IMAP);§ jednoduchésíťovézařízeníjakoUPSatiskárny;§ dalšímožnéslužbyafunkcepomocípluginů.(Bouška,2009)


4.1 Síťovávrstva

Promonitorování dostupnosti stanice jevhodné použít protokol ICMP, kterýjepopsán vdokumentu RFC 792.Monitorovací systém zasílá vpravidelnýchintervalechICMPzprávu„EchoRequest“,nakterouočekáváodpověďdostupnostistanice „Echo Reply“. Pokud tatozpráva nedorazí vestanoveném čase apočtu,jemonitorovanástanicepovažovánazanedostupnoupřípadněnespolehlivou.

Kromě monitorování dostupnosti stanice jevhodné monitorovat stavsměrovacíchtabulek,zvláštěpakpřipoužívánídynamickýchprotokolů.Směrovacítabulky mohou být naplněny staticky, atoeditované ručně administrátoremneměnnénebodynamicky,pomocíprotokolů,kdesevytváříaudržujíautomaticky.(Bing,2002)

4.2 Aplikačnívrstva

4.2.1 SNMP(SimpleNetworkManagmentProtocol)

SNMP protokol jeobvykle spojen sřízením routeru, který může být použitprosprávumnohatypůzařízeníviz.SNMPArchitektura. JádremSNMPprotokolujejednoduchýsouboroperací(setaget).Pomocítěchtooperacích,kteréumožňujísprávci změnit informace/hodnoty nazařízení atímovlivnit jeho chování(např.máme možnost vypnout jednotlivá zařízení nebojejich rozhraní). Takymámemožnost kontrolovat rychlost přenosu natěchto rozhraních neborychlostzpracování operací nadaném zařízení. Popřípadě monitorovat zda-li jesíťovérozhraní nebocelé zařízení vprovozu. SNMP může monitorovat také teplotunapřepínačiaupozornínás,kdyžjejejíhodnotamimostanovenýchlimitů.SNMPlzepoužítkesprávěUnixsystémů,systémůWindows,tiskárny,napájecíhozdrojeadalšího jakéhokoliv zařízení, kdeběží software, který umožňuje vytahováníSNMP informací. Vytahování SNMP informací zahrnuje, jakfyzické zařízení,aletaké softwary, jako jsouwebové servery adatabáze.Dálejemožnost sledovatcelousíť,nejenodjednotlivýchzařízení,pomocívzdálenéhomonitorováníRMON(RemoteMonitoring).Můžebýtpoužitkmonitorovánínejenprovozusítě,aletakéWANsítě.

Existujíurčitéverzeprotokolu,kdeprvníprotokolSNMPv1,počátečníverzeprotokolu SNMP, jedefinována vRFC 1157.Bezpečnost jezaložena nakomunitě,které ješifrováno společným heslem (tzv.Community String), které umožnípřistup kinformacím prosprávu daného zařízení. Následující komunity námumožňujepouzečtení,čtenísezápisematrap.

Druhá verze protokolu SNMPv2stále využívá komunitní řetězec, kdenenídobře vyřešena bezpečnost (stejně jako veverzi jedna jezdeheslo–communitystring–posílánovplain textu). Jedenzhlavních rozdílůoprotiverzi1jemožnosthromadnéhostaženívíceinformacínaráz.

Poslední nejnovější verze protokolu jeSNMPv3.Jeho hlavním přínosemprosprávu sítě jebezpečnost dosažená šifrováním, kontrolou integrityavylepšením vzdálené komunikace. Topřidává podporu silné autentizaci


asoukromékomunikacimezispravovanýmientity.InspirujesepředchozímiSNMPverzemiaberesiznichtonejpodstatnější.

SNMP manager nebomanagment systém jesamostatný subjekt, jenžjezodpovědný zakomunikaci sSNMP agentem, který jeimplementovanýnasíťových zařízeních. Klíčové funkce SNMP managera jsou dotazy kagentůmaodpovědi odagentů, nastavuje proměnné agentovi azpracovává asynchronníudálostiodagenta.

SNMP Agent jeprogram, který jezabalen dosíťového prvku. Aktivacíagenta nám umožňuje sbírat informace zdatabáze daného prvku apředávatjekdispoziciSNMPmanažerům. Klíčovou funkcí SNMP agenta jeshromažďováníinformacíořízeníajeholokálnímprostředí,ukládáazískáváinformaceprořízení,jakjedefinovánovMIB,akterédálesignalizujeudálostimanažera.

SMI(StructureofManagementInformation)

Poskytuje způsob, jakdefinovat spravované objekty ajejich chování. Agentmávesvém držení seznam objektů, které sleduje. Jeden takový objektmůže býtnapříkladprovoznístavrozhranírouteru.SMIsouhrnnědefinujeinformace,kteréNMS (Network Managment station) používá kurčení celkového stavu zařízení,naněmžseagentnachází.

MIB(Managementinformationbase)

SNMP nám nedefinuje identifikátory jednotlivé proměnné, aledíky MIB námumožní jejich informace definovat. MIB simůžeme představit jako objektyastrukturu spravovaných dat, která jsou vdatabázi akterá agent sleduje. SMIposkytuje způsob, jakdefinovat spravované objekty, zatímcoMIBpřímodefinujesamotné objekty. Agent může realizovat více MIB, alevšichni agenti realizujíkonkrétníMIB snázvemMIB-II (RFC 1213). Hlavním cílemMIB-II jeposkytnoutobecnéTCP/IPinformace,definujenámtakéstatistikyojednotlivýchrozhraních(rychlostodeslanýchapřijatýchoktetů).

GetOperace

Požadavek GET jeiniciován pomocí NMS, jenž pošle požadavek agentovi. Agentobdrží žádost, zpracujepožadavekapokudúspěšně získápožadované informaceodešleGetResponsezpětdoNMS.

GETNEXTOperace

Operace GetNext umožňuje vystavit posloupnost příkazů knačtení více hodnotzMIB.Jinýmislovy,prokaždýobjektMIBchcemezískat,oddělenéGetNextžádostiaGetResponse,kteréjsougenerovány.

GetBulkOperace

VerzeSNMPv2námdefinujenovýprovozgetbulk,kteránámposkytujezískatvětšíčást sekce tabulky najednou (setříděných podle identifikátoru objektu–


tzv.„lexicografic ordering“). Standardní Get Operace semůže pokusit získat vícenežjeden objekt MIB najednou, alevelikosti zpráv jsou omezeny schopnostíagenta. Pokudagentnemůževrátit všechnypožadovanéodpovědi, vrátí chybovéhlášení snulovými daty. Operace getbulk nadruhé straně říká, žeagent můžeposlatzpětconejvětšíčástodpovědi,pokudtopůjde.

SetOperace

Příkaz set sepoužívá kezměně hodnoty spravovaného objektu nebokvytvořenínového řádku vtabulce. Objekty, které jsou definovány vMIB pročtení izápis,nebojenpročtení,mohoubýtpozměněnénebovytvořenépomocítohotopříkazu.(mauro)

TRAP

Trapposkytujízpůsobodesláníoznámeníproagentaomonitorovacístanici,kterébymělvědět.Značínámzpůsob,jakříciNMS,ženastalachyba.Traps,kteréagentmůže generovat, jsou definovány vMIB, které podporuje. Počet traps semůžepohybovatvrozmezíodnulydostovky.(Mauro,2005)

Obrázek2:SNMPArchitektura

Zdroj:https://www.juniper.net/techpubs/software/aaa_802/imsaaa11/sw-imsaaa-admin/html/SNMP%20Architecture4.gif

4.2.2 Syslog

Linux aUNIX systémy mohou být nastaveny tak, abysevýznamné událostiodesílaly prostřednictvím syslogu naznámý Syslog server. Syslog protokoljepodporovanýširokouškálouzařízeníamůžebýtpoužitprorůznétypyudálostí.Slouží nám kekoncentrování vzdálených nebolokálních logů zrůzných zařízeníajejich aplikací, kdenanědíky tomu můžeme reagovat. Prolepší přehlednostavyhledávání jedůležité, abymonitorovací systém informoval správce sítěodůležitýchsyslogovýchudálostechpomocíwebovéhorozhranínaSyslogserver.


Kevšem výsledkům naSyslog serveru máme možnost použít metodu filtrováníjednotlivýchpoložekdanéhobloku.

Například směrovače ipřepínače mohou odesílat zprávy syslogouživatelích přihlášení dokonzole neboweb managmentu. Servery založenénasystému Windows nepodporují Syslog, alepodporují nástroje třetích stran,kterénámusnadňujísběrdatatadálepředávajíSyslogserveru.(Leskiw,2016)

Obrázek3:Syslog

Zdroj:http://www.networkmanagementsoftware.com/what-is-syslog/

4.2.3 SSH

SSH zkráceně Secure Shell, jesoftwarové zařízení prozabezpečení síťovéhospojení. Protokol SSH prošel několika verzemi SSH-1.3,SSH-1.5aSSH-2ajezaložen naarchitektuře typu klient/server. Spojení probíháprotokolem TCP. Veškerá komunikace jebezpečně chráněna před narušením,účastníci naobou koncích jsou autentičtí amáme autorizovaný přístupkuživatelským účtům. Připosílání dat sepřed odesláním zašifrují pomocí SSHprotokolu akdyž dorazí kpříslušnému uživateli, jsou automaticky dekódována.Libovolná data poslaná přes takovéto spojení dorazí beze změny anenarušíjeanipřečtení příjemce. SSH klienti komunikují seservery prostřednictvímzašifrovaných síťových připojení tzv.tunelů. Protokol SSH nám zajišťujeautentizaci,šifrováníaintegritadatpřiposílánídatpřessíť.

Autentizace znamená ověření identity aurčuje identitu uživatele, jestližesepokusíme přihlásit knějakému účtu navzdáleném počítači. SSH pošle žádostodigitální důkaz naší identity, pokud projdeme tímto testem, máme povolenísepřihlásit. Každé spojení obsahuje dvě autentizace. Klient ověřuje identituserveru SSH (autentizace serveru) aserver ověřuje identitu uživatele, kterýpožadujeslužbu.

Autorizace probíhá proautentizaci uživatele, protože není možné přidělitprivilegiadříve,nežzjistíme,okohosejedná.


Integrita nám připřenosu dat posíti zaručuje, žedata dorazí namístourčení beze změny. Pokud setřetí osoba pokusí zachytit ajakkoliv změnit data,SSH tuto skutečnost pozná. Protokol SSH-2používá kryptografickou kontroluintegrity, ježzajišťuje, žepřenášená data nemohou být změněna. Využíváhashovací algoritmy vycházející zMD5aSHA-1.SSH1využívá jen32bitovůkontrolu(CRC-32),kterájeuplatňovánananešifrovanádatavkaždémpaketu.

Šifrovánínámzakódujedata tak, žejsounečitelnáprovšechny svýjimkouurčitýchpříjemců.Tímtozpůsobemjsoudatachráněnapřipřenosuposíti.(Barret,2003)

AutentizaceSSHklienta

Server zrychluje ověřování tím, žesdělí klientovi, které autentizační metodymohou být použity propokračování výměny klíčů vdaný okamžik. Klientmásvobodu vyzkoušet metody uvedené serverem vlibovolném pořadí. Todáváserveru úplnou kontrolu nadověřováním procesů vpřípadě nějaké potřeby,aletaké poskytuje dostatečnou flexibilitu proklienta používat metody, kterépodporuje,nebokteréjsouznabídkyserveruprouživatelenejvhodnější.(barret)

Obrázek4:SSHnavázáníkomunikace

Zdroj:(Barret,2016)

Výběrmonitorovacíhosystému 27

5 VýběrmonitorovacíhosystémuMonitoringmůževyužítlicencovanéproduktynebosenabízímožnostbezplatnýchřešení tzv.open-source, kdejezapotřebí investovat pouze čas aznalosti.Proporovnávání monitorovacích systému využijeme komerční inekomerční.Nabídka produktů natrhu nabízí propoužití širokou škálu. Komerční produktynabízí vyšší úroveň supportu prouživatele (např.telefonickou, dokumentovoupodporu, která jelépe apodrobně vysvětlená), poskytují kompletní instalaciauvedenídoprovozuvespolečnostipodlepožadavkůapotřeb.Nevýhodoutěchtoproduktůprofirmyje,žejsouzpoplatněnéskrzelicence.

Produkty zdarma nabízí univerzální aširokou možnost konfigurace,alevyžadují hlubší znalosti pronastavování apsaní vlastních skriptů. Výhoda je,žesisestavíme komplexní přehled oprostředí, které sledujeme. Nekomerčníprodukty mají výhodu vtom, žejsou open-source ajsou kdispozici kestaženínainternetu zdarma. Disponují velkými komunitními portály, kdesekaždýskaždým může podělit osvévědomosti ajemožné, žezdenarazíme nařešeníproblému,sekterýmsinemůžemeporadit.

Víceméněvšechnyopen-sourcemonitorovacísystémyposkytujísvévlastnístránky, kdesičlověk může stáhnout potřebné pluginy, šablony, grafy, skriptyapod. Podle svépotřeby vsíti sepakmohou dáleupravovat. Některé nekomerčníprodukty poskytuji placený support proinstalaci akompletní nastavenímonitorovacíhosystémuvsíti.MonitorovánípakbudeprobíhatpomocínastaveníSNMP neboinstalací agentů jaknasledovaném serveru, taknaserverumonitorovacíhosystému.

VýběrmonitorovacíhosystémuprobakalářskoupráciufirmyAliacte s.r.o.probíhalnazákladěkonzultacesadministrátorysítě.Bylonutnésplnitnáročnostmonitorováníserverůaserverovýchslužebvrámcivelikostifirmy,jejichmožností,jakzpohledu finančního stavu, takzhlediska disponování fyzickými zařízeními.Výběr softwarového zařízení probíhal zopen-source řešení. ProvýběrnejlepšíhořešeníprofirmusiporovnámenejznámějšísystémyjakojeNagios,Zabbix,Zenoss,Cacti,OpenNMSadálevezmemevúvahukomerčnířešeníodIBMaOPSview.

5.1 Nagios

Charakteristika

Nagios jejeden zmonitorovacích systémů, který umožňuje sledovat počítače,serveryadalšízařízenívsíti.Konstantněkontrolujeservisyaprocesyvšechstrojůtak, abypracovaly bezsebemenších problémů. Přijímá stavy procesů avykazujejejich stav přímo nawebový server, kdehlásí chyby, pokud dojde kpřetížení,činedostupnosti. Servis jevšak špatně nakonfigurován nebosystém nepracujesprávně.

Monitorovací systém jerozdělen dodvou kategorií–hostitelé aslužby.Hostitelé nám představují fyzické nebovirtuální zařízení vsíti (servery, routery,


switche, tiskárnyatd.). Služby jsou konkrétní funkce jako SSH, FTP, SFTP, SMTP,HTTP.Každáslužbajetakspojenashostitelem,nakterémjespuštěna.Kromětoholzerozdělit zařízení dohostitelských skupin. Prokontrolu aoznámení stavůpoužíváčtyřistavyOK,Warning,CriticalaUnknown.Vpoznámcezatímtostavemjejednoduchý popis problému. Podstata monitorování Nagios jezaloženanapluginech,kteréjsouvolnědostupnénainternetu,nebosijefirmamůženapsatsamadlevlastníchpotřeb.PortálNagiosobsahujevelkémnožství,kteréjsouvolnédostupnéprovšechny.(Kocjan,2014)

Architektura

Centrálním mozkem Nagios jejeho daemon tzv.agent (NRPE) viz. Nagiosarchitektura, který sestará oveškeré plánování aspouštění jednotlivých testůproověřovánídostupnostiserverovýchslužebspoužitímpluginů.InstalaceNagiosmůžebýtprovedenanawebovémserverutypuapache,nginxnebocaddy.Definicepromonitorování jsou uloženy vkonfiguračních souborech, vnichž sidaemonnajdepodstatnéinformaceprokonkrétnímonitorování.Výsledkyvyhodnocenýchtestů zezařízení ajejich služebmohoubýtuloženyvlog souborech,nebo,pokudpoužijeme rozšiřující moduly jako relační databázi, lzepropřístup avýpiskjednotlivýmvýsledkůmmonitorovánípoužítprohlížeč.(Kocjan,2014)

Obrázek5:Nagiosarchitektura

Zdroj:(Ammon,2007)


Prácesproduktem

Práce sNagiosem jevelmi flexibilní, může být nakonfigurován podle představapotřeb ITinfrastruktury. Disponuje mechanismem, který automaticky reagujenaproblémy vsíti aoznamuje jeITadministrátorům pomocí sms čiemailů.Rozesílání lzerozdělit doskupin akontaktů definovaných vNagiosu. Umožňujedefinovat, žeurčitá služba závisí najiné službě, atobuď nastejném nebojinémhostitelském systému. Nagios nabízí ucelený systém definic maker. Jednáseoproměnné, které mohou být uvedeny uvšech definic objektů, využívajíseuvnitř příkazů vzávislosti nahostiteli, servisu. Nagios rovněž nabízímechanismusprostanoveníčasovéhorámceodstávky.Tensepoužívápředevším,je-li potřeba provést údržbu ITinfrastruktury serverů aslužeb, které sledujeme.Umožňuje sledování všech stavů pomocí webového rozhraní anabízí možnostpodívatsenahistoriilogovacíchsouborůaudálostí,kterénastaly.(Barth,2008)

Konfiguračnísoubory

Poinstalaci máme veškeré konfigurační soubory uvedené nadefaultní hodnoty,proto jedoporučením, přikonfiguraci siudělat zálohu konfiguračních souborů.Vníže uvedených konfiguračních souborech byli prováděny změnyprosprávnoukomunikaciakonfiguracinagiosupromonitoring.

§ Htpasswd.users -Seznamuživatelů, kteřímajíwebovýpřistupdoNagiosamohousledovatstavymonitoringu;

§ Cgi.cfg -Hlavní konfigurační soubor pronastavování webového přístupu,který obsahuje podstatné cesty khlavním konfiguračním souborům,cožjsou např.html, css aphp soubory, přivyužívání webového prostředíNagios;

§ Nagios.cfg-HlavníkonfiguračnísouborNagios–jsouzdedefinoványdalšícestykpluginům,serverům,switchůmalogovacímusouboru;

§ Nrpe.cfg - Soubor, který slouží prosprávnou komunikaci NRPE agentasevzdálenými servery apluginy sjejich cestou uložení, kterémůže NRPEvyužívat;

§ Commands.cfg - Soubor sevyužívá prokonfiguraci pluginů aspravnénavázáníkomunikacesevzdálenýmiserverypřidefinováníhostů;

§ Contacts.cfg -Konfigurační soubor slouží provytvoření kontaktů, kterýmsemůžouodesílatrůznorodáupozorněníoslužbypřivýpadkuserverů;

§ Templates.cfg - Vtomto souboru sevytváří sešablony prolinuxové,windowsové servery, hosty. Sjejích pomocí siulehčíme práci vdalšíchkonfiguračníchsouborech.


Obrázek6:Nagiosdashboard

Zdroj:vlastnízhotoveníscreenshotuzprovozníhosystémuNagiospořízenýdne20.4.2017

5.2 Zabbix

Charakteristika

Zabbix lzedefinovat jako distribuovaný monitorovací systém scentrálnímwebovým rozhraním, nakterém můžeme řídit téměř vše. Mezi jeho hlavní rysypatří:

§ Centralizované webové rozhraní, kdeseprovádí téměř všechnykonfiguračníúlohy;

§ Všechnadataukládádorelačnídatabáze;§ Serverlzeprovozovatnavětšiněunixovýchoperačníchsystémů;§ Mávelmiflexibilníkonfiguracianastavení;§ Lzejimsnadnointegrovatsjinýmisystémy,přizpůsobitelný;§ MůžebýtmonitorovánpomocíSNMPv1,2a3.

Jeho základnímcílem jesběrdat, kdejsou shromážděnéúdaje zpracoványauloženy propřípadné budoucí srovnávání. Data seporovnávají pomocítzv.triggerů. Zabbix seskládá zečtyř částí–server, proxy, databáze awebovýprohlížeč.Každýznichmásvéspecifickévlastnosti.(Vacche,Lee,2015)

Architektura

Zabbix architektura byměla být nakonfigurována nastejném fyzickémnebovirtuálním serveru, atowebový server apache nebonginx, Zabbix server


aRDBMS (relational database management system) server. Významnou rolipřirozsáhléfirměmáZabbixagentaZabbixproxy.

Obrázek7:Zabbixarchitektura

Zdroj:(Vacche,Lee,2013)

ZabbixServer

Zabbix Server jeústředním prvkem, kekterému agenti hlásí svoji dostupnostaintegritu, kněmuž poskytují informace, data astatistiky. Tento serverjecentrálnímúložištěm,vněmžjsouvšechnanastavenístatistickáaoperačnídatauložena.

Zabbixagent

Zabbixagent jenasazennasledovánívzdálenýchcílů,abyseaktivněmonitorovalijehozdrojeaaplikaceaoznamovalshromážděnádataZabbixserveru.

Zabbixproxy

Zabbix proxymůže shromažďovat údaje ovýkonu adostupnosti jménem Zabbixserver.Proxy jevolitelnou součástínasazení,nicméněmůžebýtvelmiprospěšnéprodistribuci zatížení jednoho Zabbix serveru. Spolu seserverem tvoří hlavnísložku–řídívšechnypravidla(collections,triggery,upozorněníatd.).


Webovýserver

Webový server apache nebonginx slouží kesnadnému přístupu odkudkolivpřipoužití jakékoliv platformy. Obvykle běží nastejném fyzickém počítači jakoserver,zobrazísenámzdevšechnadatazískanáserverem.

Prácesproduktem

Zabbixdashboardposkytujepřehledocelkovýchsledovanýchstavech,systémech,ostavu Zabbix serveru aposkytuje seznam všech problémů, které senedávnouskutečnily, ataké síťovou mapu ITinfrastruktury. Zabbix poskytuje pluginyprosledování tzv.templates, které jsou napsány vjazyku XML.Nainternetu jsouvolnědostupnéšablonyprosledovánírůznýchzařízení,včetněserverů,operačníchsystémů, služeb, hardwarových stavů, síťových zařízení, UPS, webových stránekadalších složek ITinfrastruktury. Vše vyžaduje konfiguraci, aleprvotníjenainstalovaní Zabbixu naserver pomocí distribučních balíčků nebozdrojovýchkódů.(Vacche,Lee,2013)

Obrázek8:Zabbixdashboard

Zdroj:http://www.zabbix.com/img/screenshots/3.0/monitoring/Dashboard.png


5.3 OPSview

Charakteristika

OPSview jeplatforma promonitoring ITinfrastruktury, která poskytujevylepšenou kontrolu. Systém lzesnadno nainstalovat anakonfigurovat apřinášívylepšené funkce vevysoce škálovatelném komerčně podporovaném systému.Oproti Nagiosu nevyžaduje vysoce specializované znalosti nebodalší investicedodrahých speciálních hardwarů. Nevyžaduje aniintegrační dovednosti skrzeinstalace,konfiguraceapřípadnémuupgradusystému.Jakoveškerémonitorovacísystémy dovede sledovat hostitele ajejich služby ipohotovostní problémyuživatelů. Komerční verze OPSview nabízí vstupní body provšechny typyavelikosti podniků. Podniky mohou získat OPSview, který závisínacelkovémpočtu sledovaných hostů. Počáteční cena začíná na900€ pří50sledovaných hostech. Maximální počet sledovaných hostů je300atopřiceně5640€. Dané řešení jemožné považovat zacenové dostupnou záležitostíprostřední firmy, promalé podniky jevšak cenově nedostupnou záležitostí.Nasvém portálu nabízí tzv, Web-Based Training naškolení svého produktu,zakterýsejednorázovězaplatí615€.(Jackgckoros, 2014)

Architektura

Obrázek9:OPSviewarchitektura

Zdroj:(OPSview,2012)


Prezentační služba OPSview kombinuje dynamické dashboardy sfunkcídrag & drop, výsledky zmonitorování auživatelsky lehkou konfiguraci. Všejedostupnépomocíwebovéhorozhraní.Webováaplikačnívrstva jepodporovánaframeworkem typu Catalyst MVC, který jenapsán pomocí jazyku Perl. Vrstvaposkytuje rozhraní proprogramovaní aplikací (API), monitorovaní datakonfiguraci objektů. Middleware vrstva obsahuje framework, který námposkytuje lepší flexibilitu adistribuování monitorovacích schopností. Nabízíněkolikdůležitýchfunkcí:

§ Zprostředkovávákomunikacimezimodulyakomponenty;§ Vytváří,ověřujeadistribuujekonfiguraceveformátu,kterýjesrozumitelný

prokaždousložku;§ ZajišťujesprávumeziMasteraSlaveservery.

Slave servery mohou být organizovány doclusterů, které poskytujíautomatickévyrovnávání zatížení apřivýpadkuserveru jsou schopnipokračovatvmonitorování autonomně. Komunikace mezi Master aSlave jezřízená přesšifrovaný tunel službou SSH. Jádro je100% kompatibilní apostavené naNagios,tímsezajišťuje snadná aktualizace softwaru apřístup kširoké škále dostupnýchpluginů.VyužíváagentaodNagiosutzv.check_nrpeagent.(OPSview,2012)

Prácesproduktem

VOPSview dashboard OPSview dashboardlzerychle konfigurovat identickéobjekty pomocí funkce klonování, pomáhá udržovat kontrolu nadsložitýmikonfiguracemi,kdemístovíceslužebprojednotlivéhostitele,můževytvořitjedentzv.check avyužít hoprokaždý prvek, který jezapotřebí sledovat stejnýmzpůsobem. Disponuje vlastností samostatně najít zařízení, které vykazuje SNMPtrapyatímsisamostatněpřidáanakonfiguruje zařízenídosledovacíchmožností.Poskytuje varovné upozorňování přikritických stavech pomocí emailu asmszpráv. Předdefinované šablony promnoho typů hardwarů, operačních systémů,databázíaaplikacíjsouzahrnutypřímo.Veškerépředdefinovanéšablonymůžemeupravovatpodlevlastníchpotřeb.(Why we made Opsview Atom, 2015)


Obrázek10:OPSviewdashboard

Zdroj:https://www.opsview.com/sites/default/files/opsview%20atom%20dash.png

5.4 Zenoss

Charakteristika

Hlavní funkcí jádraprosprávuřízeníZenossu jedatabázeprosprávukonfiguracetzv.CMDB (configuration managment database), která ukládá infrastrukturuprostředíahistoriizměn.JádrozenossupodporujepřidáváníaktivavCMDBjednopodruhém, neboposkytuje možnost automatického odhalení aktivních zařízení,která jsousledovánapomocíslužebSNMP,SSHneboskenováníportů. Jádronámumožňuje uspořádat afiltrovat výpis aktivních prvků definovaných uživatelempomocí místa, skupin asystémů. Jádro nám poskytuje sběr dat zevzdálenýchzařízenípomocíagenta.(Badger,2011)

Architektura

Zenoss ukládá svoje data doMySQL databáze. Jádro Zenossu jerozdělenodo4vrstev,kteréspolunavzájemkomunikují.


Obrázek11:Zenossarchitektura

Zdroj:http://docs.huihoo.com/zenoss/admin-guide/2.4.2/resources/architecture.png

Userlayer

User layer webového aplikačního prostředí připravuje webový portál projehosprávu. Pomocí uživatelského prostředí lzepřistupovat aspravovat klíčovékomponentyafunkce.Zwebovéhoprostředílzesledovataupravovat:

§ Celkovýstavpodnikupomocídashboardutiliy;§ Sledovánísystémovýchzpráv,uživatelů,událostí;§ Úpravasledovanýchzařízenívsíti;§ Vytvářetaspouštětreportynazařízení.

Uživatelská vrstva komunikuje sdatovou vrstvou apřekládá informacekzobrazení.

Datalayer

Data layer seskupuje informace okonfiguraci asběru dat Zenoss core aukládájedotřísamostatnýchdatabází:

§ ZenRRD–využívá RRDtool, který ukládá data doRRD (Round RobinDatabase)databáze.RRDsoubory jsouuloženy lokálněnakaždýkolektor,kdenám zezápisu nevyplývají žádná omezení přivytváření novéhokolektorudodatabáze;

§ ZenModel–slouží jako základní konfigurační model, který zahrnujevšechnyzařízenívčetnějejichkomponentůaumístění;

§ ZenEvents–ukládá všechna data odjednotlivých eventů dodatabázeMySQL.


Processlayer

Process layer zahrnuje procesy řídící komunikaci mezi sbíránímaukládánímdat.Vpozadízdeběžíprocesyvykonávanéuživatelem:

§ ZenActions;§ ZenJobs.

ZenHubstřídavěukládádatanapříslušnémístododatabázeMySQL.Zenosscore generuje události, pokud byla překročena stanovená hodnota jakojenapř.vysoké využití pamětí, CPU. Události spouští jednotlivé akce jakojenapř.odeslání emailu požadovaným administrátorům. RRD databáze selišíodMySQL vtom, žejekruhová, cožznamená, ževelikost databáze sezvyšujevprůběhučasu.

Collectlayer

Vrstvaobsahujedaemony,kteříshromažďujíinformaceodzařízenívsíti.Daemonivykonávají funkce promodelování, sledování ařízení událostí. Modelový systémvyužíváslužbykeshromažďováníinformacízevzdálenýchzařízenípomocíSNMP,SSH aWMI (Windows Management Instrumentation). Informace odostupnostiastavu služeb jsou vráceny prostřednictvím ZenHub dodaemonu Events,kdemůžeme generovat upozornění, oznámení nebospustit vlastní skriptproupozornění. Primární sbírání informací probíhá pomocí protokolu SNMP,avšakinformacelzetakéshromažďovatpomocískenováníportůnebopluginů.


Tabulka1:Popiszenossdaemonu

Devicedaemon Popis

Zenmodeler

Dotazuje sezařízení přes SSH / Telnet, SNMP,askenuje porty, když přidáváme nové zařízení.Pokaždé, když zenmodeler běží nazařízení, porovnásvázjištěnísexistujícímikonfiguracemiaaktualizuje.

Zendisc SpouštírequestkvyhledánínovéhozařízenínebosítěPerformancedaemon Popis

Zenperfsnmp

Ukládá sesbíraná data vRRD souborech, takRRDtoolmůže poskytnout vykreslení grafu ozařízenívrozdílném časovém trvání např.hodinové, denní,měsíční,roční.

ZencomandPoskytuje způsob, jakspouštět vlastní skriptyazásuvné moduly třetích stran, včetně odNagiosuaCactipluginůuvnitřZenossu.

Zenprocess Monitoruje procesy vsystémech Linux, UNIXaWindows.

Zenping Posílá ping nazařízení aposkytuje zprávu oaktivitězařízení,zdajedostupné.

Zenstatus Testuje TCP porty ahlásí, zdajsou služby naportechaktivní.

Eventdaemon PopisZensyslog Vytváříeventyzesyslogmessages.Zeneventlog Vytváříeventyzwindowszařízeníajejichlogů.

ZentrapVytváří eventy zprotokolu SNMP. Pokud sevyskytneproblém namonitorovaném zařízení, generujeseSNMPtrap,abyseupozornilZenossoproblému.

Zdroj:(Zenosscoreadministration,2014)

Prácesproduktem

Veškerá konfigurace probíhá přes webové prostředí Zenoss dashboard,kdelzeorganizovat zařízení podle třídy, lokace, systému askupiny. Další typrozděleníjepomocíslužbysledováníatoSNMP,WMI,zenossplugins,ICMP,portů,skriptů adokáže oznamovat všechny nadefinované chybné stavy pomocí emailudaným uživatelům neboskupinám uživatelů. Lzepoužívat Nagios neboCactipluginy. Zenoss podporuje postupné přidávání jednotlivých uživatelů doCMDBnebojemožné použít auto-discovery pomocí routovací tabulky. (Zenoss coreadministration,2014)


Obrázek12:Zenossdashboard

Zdroj:https://upload.wikimedia.org/wikipedia/commons/3/38/Zenoss_Core_Dashboard.png

5.5 Cacti

Charakteristika

Cacti jeopen source síťový monitorovací agrafický nástroj napsaný vPHP/MySQL.PoužíváRRDtoolengineproukládánídatagenerovánígrafickéhovýstupu,kdepravidelně sbírá data přes Net-SNMP. UCacti není nutné používat pouzeSNMP, lzesinapsat svévlastní skripty vPerlu neboShellu. Považuje sezajedenznejlepších RRDtool front-endmonitorovacích nástrojů. Operace jsou rozdělenydotří rozdílných úloh atosbírání, uložení aprezentace dat. Sbírání dat probíháskrzetzv.pooler,kterýpomocíSNMPsbíráinformaceozařízeníchvsíti.Obsahujevestavěnoufunkcigrafů,díkyčemužjeschopenvykreslovatgrafynazákladěsběrůdat pomocí SNMP. Jemožné mít vgrafu více položek, přidávat různé legendyanastavovatautomatickáměřítka.

Architektura

Všechna data seukládají dodatabáze pomocí nastavení časového intervaluzapomoci aplikace Pooler vizCacti architektura, která jenastavena jakotzv.plánovač operačního systému prosběr dat. RRDtool jesystém, kterýjeschopen ukládat informace odrozdílných zařízení, poskytuje velmi výkonnýsystém prozaznamenávání dat agrafů. Jetaké známy jako databázový nástrojround-robin, jehož řešení jeopen-source. Všechny shromážděné informaceprostřednictvímRRDtooljsouukládánydosouborůsnázvemRRA.Prosběrtěchtoinformací doRRA potřebujeme určité parametry scílem, proto kdykoliv chcemepřidatnovézařízenínebovytvořitgrafmusímezadatparametryručně.Umožňuje


toadministrátorovi analyzovat shromážděnádata zevšech typůdatovýchzdrojů,které jsou schopné odpovídat nadotazy SNMP. Nabízí několik typů přepínačůpropřístupamanipulacistzv.rddsoubory.

Obrázek13:Cactiarchitektura

Zdroj:http://docs.cacti.net/manual:088:2_basics.0_principles_of_operation

Prácesproduktem

Cacti zpracovává data jako např.šířku pásma vsíti, zatížení CPU, serverůčipokojovou teplotu. Dáleumožňuje sledování zařízení, jako jsou routery, UPSapod.Prorychlejšíauživatelskypřijatelnějšíverzi jemožnépoužítšablony,kterélzeimportovat aexportovat pomocí Cacti dashboard. Cacti poskytuje nasvéwikivlastní šablony províce druhů atypů zařízení, ježlzestáhnout zdarma. Rozlišujísedva způsoby rozdělení prohosta agrafy. Šablona host znamená souvisejícíkolekcišablonygrafůadatovýchdotazů,kterésouvisískonkrétnímtypemhosta.Grafy jsou použity kvizualizaci dat, která jsou shromážděna akterá lzejepoužítprovícetypusystémuazařízení.Propřístupdoadministracejemožnostpřidávatnovéuživateleaomezovatjeskrzejejichpráva.(Kundu,2009)


Obrázek14:Cactidashboard

Zdroj:http://docs.cacti.net/_media/userplugin:intropage_1.png

5.6 OpenNMS

Charakteristika

OpenNMSjeplatformavyužívanáprosprávuasledovánísíťovýchaplikacíaslužebsestavená pomocí programového jazyku Java. Vykonává všechny funkceprosprávu sítě, které jsou definované vITU včetně jejich zásadprotelekomunikační sítě včetně zprávy poruch, konfigurace, účetnictvíaadministraceneboličastozkráceněFCAPS.Účinnědokážemonitorovatvšechnyzařízení vsíti ajejich údaje mohou být shromažďovány pomocí SNMP. Všechnadata jsou uložena, poskytují statistiky využití zařízení, které mohou býtdálevykresloványpomocígrafůnawebovémrozhraní.

Architektura

ProOpenNMSexistujídvazpůsoby,jaksbírataukládatdata.Prvnímznichjesběrprostřednictvímdotazovánípřestvz.pooling.,kterývykonávátestyprodostupnéslužbyjakoICMP,DNS,FTP,HTTP,SSH.DruhýzpůsobsběrudatjepomocíSNMP,kdyjsoudataukládánapomocíRRDtool.


Obrázek15:OpenNMSarchitektura

Zdroj:http://oopsmonk.blogspot.cz/2013/02/opennms-architecture-introduction.html

Prácesproduktem

OpenNMS dashboard umožňuje plnou kontrolu většiny potřebných funkcí, kteréumožňuje základní nastavení. Eventy snegativním důsledky jsou nasítimonitorovány, lzejeidentifikovat, zaznamenávat nebomohou být ipředvídány.Dojde-li kchybě jsou prostřednictvím předdefinovaných akcí oznámeny. Mohoubýt zaslánypřímo zopennmsněkolika způsoby atoprostřednictvím sms, emailůčitiketů. Poskytuje způsob, který umožňuje lépe zaznamenat aaktualizovat uzlyasíťové prvky vsíti. Prozjištění údajů ovýkonnosti prvků azařízení vsítisevyužívá SNMPaJMX (Javamanagment extension) kompatibilní software.Datajsou ukládána dodatabáze provykreslování grafů nawebovém rozhraní.Autentizace aautorizace uživatelů může probíhat pomocí lokálních uživatelůneboLDAPaRADIUSserveru.(Docu-overview,2017)


Obrázek16:OpenNMSdashboard

Zdroj:http://docs.opennms.org/OpenNMS/snapshot/develop/documentation/guide-user/

5.7 IBMTivoliV6.2

Charakteristika

IBM Tivoli monitoring V6.2jeprodukt promonitoring výkonu adostupnostidistribuovaných operačních systémů aaplikací vsíti. Zabezpečuje ukládánífiremního majetku adisponuje systémem sesoftwarem prosprávu sítě, kterýumožňuje snížit složitost technologií, prostřednictvím integrace procesů IT.Díkyautomatizacipodnikovýchslužeb,která jeznámá jakoServiceManagement firmymůže být urychlen tok zpracování dat, atoumožňuje uvolnění technologickézdrojů prodalší projekty. ServiceManagement zahrnuje řídící procesy ataktiku,zaměřuje senavývoj, nasazení asprávu služeb. Topomáhá snižovat ITprovoznínákladynaautomatizaciprocesůaúčinnějispravovatjejichsystémdodržování.

Architektura

Tivoli Enterprise Monitoring Server jeklíčovou komponentou, která obsahujearchitektonicképrvky,které jsounasoběvzájemnězávislé.Funguje jakosběratelakontrolní bod provýstrahy situací, kdejsou nastavené politiky skrze agentypřipojené kserveru. Sjejich pomocí sesbírají data ovýkonnosti adostupnostimonitorovacích serverů. Agenti jsou zodpovědní zashromažďování údajů


adistribuci atributů kmonitorovacím serverům. Tivoli Enterprise Portal serverjeúložiště provšechny grafické prezentace zúdajů. Poskytuje základnívyhledávání,manipulaci,analýzuareformátovánídatpřeswebovérozhraní.

Obrázek17:IBMTivoli

Zdroj:(Gucer,Altaf,Anderson,etal.,2008)

Prácesproduktem

Monitorování aplikací aserverů jsou silná amohou generovat velké množstvíinformací vrůzných vizualizovaných formátech. Všechny potřeby jsou proúplnýpřehledzahrnutyvnásledujícíchkategorií.

Definování aurčení sběru dat seprovádí pomocí kategorie reports,kdedefinujeme služby asíťové prvky prosledování. Kategorie alert sevyužívánadruhy událostí kzasílání uživatelům. Poslední kategorie actioin seužívákdefinování akcí, ježbudou prováděny automaticky. Kekaždému datovémusouboru jevytvořen inventář, který obsahuje časové údaje, kdymají být datashromážděna avjakých intervalech. Existují intervaly provzorkování krátkýchidelších situací. Intervaly delších situací mohou mít významný dopad narežii,alekrátké situace byměly být vyhrazeny provelmi kritické aplikace ajejichnejkritičtějšívýstrahy.(Gucer, Altaf, Anderson, et al.,2008)


Obrázek18:IBMTivolidashboard

Zdroj:https://www.ibm.com/support/knowledgecenter/SSSPFK_4.2.1.3/images/bsmc_eng_dashboard.jpg

Praktickéřešení 47

6 PraktickéřešeníVýběr aporovnávání monitorovacího systému probíhalo nazákladě konzultacesadministrátory sítě. Monitorovací systém musel splňovat následující potřebnévlastnosti viztabulka Přehled monitorovacích systémů, ostatní vlastnostimonitorovacího systému nebyli podstatné přivýběru. Výsledný monitorovacísystémNagios, který splňoval podmínky nasazení, byl následně nakonfigurován.Monitoring sítě umožnil sledovat předpokládaný rozsah iúroveň služebodposkytovatele internetového připojení ataké případné postihy zajejichnedodržení. Cílem SLA (Service Level Agreement) jezadefinovat míru kvalityposkytovaných služeb amůže taky zahrnovat způsoby sankcí. Penalizováníposkytovatele nemá mít zacíl ušetřit nanákladech, alepreventivně motivovatposkytovatele, abypředcházel tomu anedocházelo kvýpadku poskytovanýchslužeb.


Tabulka2:Přehledmonitorovacíchsystémů

Produkt Licence Určení OS Agent Plugins Triggers/Alerts Syslog

Nagios GNUGPL

Síťový,systémový,

Aplikační

Windows,Linux Ano Ano Ano Ano

IBMTivoli

Komerční

Síťový,systémový

Windows,Linux,

Unix(AIX)Ano Ano Ano Ano

OPSview

Komerční

Síťový,aplikační

Linux,Solaris Ano Ano Ano Ano

Zenoss GNUGPLv2

Síťový,systémový

Linux,VMware,OSX

Ano Ano Ano Ano

Cacti GNUGPL Síťový

OSX,Windows,Linux

Ano Ano Ano Ano

Zabbix GNUGPLv2


Aplikační

OSX,Windows,Linux

Ano Ano Ano Ano

OpenNMS

GNUGPLv3


Aplikační

OSX,Windows,Linux

Ano Ano Ano Ano

Zdroj:vlastníkompletacetabulky

6.1 Popisfiremníhoprostředíaanalýza

Analýzastávajícíhostavu

§ FirmaAliactes.r.o.;§ Zabývásesprávouinfrastrukturyavývojemaplikací,řízeníoběhuproduktů

avýrobků;§ Využívá dva rozdílné poskytovatele internetu UPC aNetdatacom

sveřejnýmiadresami,propřípadvýpadkusítěnalince;


§ FirmavyužíváfyzickouinfrastrukturuaHWprostředky:o FyzickýserverFujitsuprimergyRX300S6;o RouterMikrotikCloudCore101612G;o RouterprowifiRB951-2HnD;o SwitchMikrotikCloudCore226-24G,HP2530-24G;o UPSPACsmarat100;

§ Firmavyužíváicloudovouinfrastrukturu:o Veřejný CLOUD proprovozování aplikačního, databázového prostředí

naprovozslužeb;o VeřejnýcloudofficesystémůMircrosoftOffice365;o Internícloudprovozovanýnazařízeníchfirmy,virtualizovanýasloužící

ktestování OS, DB, aplikací, ukládání azálohování dat, provozmonitoringsystémů;

o Veřejný SaaS cloud určený naprovoz verzovacího systému typuGitHUB;

§ Firemnípopissíťovéinfrastruktury:o Striktně jsou odděleny demilitarizované zóny proprovoz serverů

apublikaciaplikacíjaksměremdovnitřníchsítí,takdointernetu;o Nasazené VLANy naoddělení serverových aplikací auživatelských

úrovní;o VzdálenýpřistuppomocíVPN;o ZařízenívjednotlivýchVLAN:

§ Zařízení Switch Mikrotik Cloud Core 226-24G 102–připojenípočítačů–192.168.102.10-192.168.102.200/24;

§ 2x Router RB 951-2HnD 103–wifi–192.168.103.10-192.168.103.200/24;

§ SwitchHP2530-24G101–serverová část bude řešena statickýmiIP, alepropřípad bude nastaven iDHCP192.168.101.10-192.168.101.50/24.

Spuštěnéslužbynajednotlivýchserverech

§ Nagios Server–apache2, php7, nagios, mysql, ssh, snmpd, samba, rsync,rsyslog,bind9;

§ GraylogServer–apache2,ntp,rsync,rsyslog,samba,ssh,xinetd,bind9;§ OTRS–apache2,mysql,rsync,rsyslog,samba,ssh,xinetd,bind9;§ DNSserver–apache2,rsync,rsyslog,ssh,bind9.


Obrázek19:Topologiesítě

Zdroj:vlastníkompletace

6.2 Popispožadavkůmonitoringu

1) ZáznamavýstupHWmonitoringu:Monitorované hodnoty budou zaznamenávány docentrální databáze

avýstup bude prezentován nawebovém rozhraní systému Nagios. Vpřípaděporuchy bude zjištěná informace odeslána nazadaný email, resp. pomocí „sms“namobilnítelefon.Lzenastavitpravidlaprozasílánínapř.podlečasuporuchy.

2) Rozsahmonitorovánínaserverech

Naserverubudoumonitoroványtytoparametry

Hardware(pokudtodanákombinaceHWaOSumožní):§ Chybanapájení/zdroje;§ Poruchaventilátoru;§ Poruchapevnéhodisku;


§ Teplotačidlanaskříniserveru;§ Využitíúložnéhoprostorunadisku;§ Zatíženíprocesoru;§ PočetCronprocesů;§ Využitípaměti;§ Početpřihlášenýchuživatelů;§ Využitíswapspace;§ Celkovýpočetprocesů;§ Stavzálohovanéhopočítače.

Operačnísystém

§ Souborovýsystém–volnémísto;§ Dostupnostserverunasíti.

Aplikačníslužby/aplikace

§ Kontrolastavumariadbdatabáze.

Monitoringsíťovýchslužeb

§ Dostupnostslužby–ssh,sftp,http.

Frekvencemonitorování

§ Hardware1xza5minut;§ Operačnísystém1xza10minut;§ Síťovéslužby1xza5minut;§ Síťovéprvky1x5min.

Reportchyb

§ Chybybudouzaznamenáványzasílánímemailůdotiketovéhoopen-sourcesystémuOTRSpropřehlednějšívýpis;

§ Provýpis logovacích chyb zeserverů budou využity open-source systémgraylog;

RozsahmonitorovánísíťovýchprvkůsvyužitíSNMPinformací

§ CPUzatížení;§ Početprocesů;§ SíťovérozhraníIO,statusyjednotlivýchportů;§ Provoznasíti;§ Využitípaměti.


6.3 Návrhřešení

Monitoring funguje nahierarchii klient/server, cožvyžadovalo nasledovanýchserverech nainstalovat NRPE (Nagios Remote Plugin Executor) agenta. DoplněkNRPE jenavržen tak, abyumožňoval spouštění pluginů Nagios navzdálenýchhostech.KomunikaceNagiosaNRPEagentajenavazovánavždypřivolánípluginu„check_nrpe“, který dápokyn vzdálenému stroji, který lokálně spustí příslušnépluginy.VýsledkypakvracízpětprocesuNagios,jenžjevyhodnotí.Nagiosstřídavěprověřujedostupnostvzdálenýchhostůajejichsíťovéslužby(ping,ssh).Interval,timeoutyarozkladzatěžovánísystémujemožnékonfigurovat.OdchytáváníSNMPzesíťových prvků seprovádí pomocí pluginu check_snmp, který přijímátzv.snmp-traps. Odchytávat lzevšechny informace, které daný síťový prvekdokážeodesílat.

Obrázek20:NRPE

Zdroj:https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/3/en/images/nrpe.png

6.3.1 Architekturařešení

Přístup kmonitorovaným datům navzdálený server bude uskutečněn zprivátnísítě přes veřejnou síť. Vzhledem kbezpečnostním opatřením apřípadnýmhrozbám skrz odchytáváni paketů jedobudoucna podstatné opatření sledovatserver pomocí VPN spojení mezi routery. Vzdálený server běží vO2cloudusvyužitím NGFW (řeší–produkt–O2Next generation firewall). O2cloudjepostaný naVMware virtualizaci. Monitorované servery budou produkčníatestovací, vizobr. Architektura monitoringu. Naobou serverech běží projekthttps://www.prymum.cz . Servery jsou postaveny naopen-source řešeníUbuntu-server 14.04LTS. Nasledovaných serverech běží služby typu apache2,php7, rsync, rsyslog, snmpd, ssh, xinetd adatabáze mongodb kuchováváníinformací. Celé prostředí běží vjedné LAN síti 192.168.10.0/24.Adresajezbezpečnostních důvodů změněna. Podrobnějšími logovacími informacemioserverusibudemesbíratdatadoGraylogupomocísyslog-ng,kdebudeprobíhatanalýzalogovacíchdatprozlepšenífunkcínaserveru.


Obrázek21:Architekturamonitoringu


6.4 Implementaceřešení

Implementace řešení probíhala navirtuálním stroji postaveném nalinuxovémřešení odUbuntu 16.04LTS. Virtuální prostředí bylo řešeno open-sourcesoftwarem operačním systémem zvaným XenServer. Instalace probíhalanafyzickémstrojiFujitsu.NastavenísítěbylořešenonastavenímstaticképrivátníIPadresyvsouboru:/etc/network/interfaces

auto eth0 iface eth0 inet static address 192.168.101.110 netmask 255.255.255.0 gateway 192.168.101.1 broadcast 192.168.101.255 dns-search dns.aliacte.local dns-nameservers 192.168.101.130

Prosprávné načtení auložení IP adresy staticky jepotřeba restartovatservicenetworking.

6.4.1 Instalacebalíčků

Kinstalaci Nagios jedůležité naserveru doinstalovat následující balíčky, jinaknebude fungovat správně pracovat. Všechny balíčky jsou potřebné, aleněkterébalíčky slouží jenpropráci nainstalaci, jiné poskytují software prosamotnéfungováníaplikací.

apt-get install wget build-essential apache2 apache2-utils libgd2-xpm-dev php7.0 php7.0-gd libapache2-mod-php7.0 openssl perl make wget libgd2-xpm-dev libperl-dev libssl-dev daemon unzip openssl xinetd sendmail libnagios-object-perl


librrds-perl rrdtool iptables-persistant libgd-graph-perl perl*

6.4.2 InstalaceNagiosserveru

Instalace Nagios probíhala pomocí instalačních balíčků zestránekhttps://assets.nagios.com/downloads/nagioscore/releases/nagios-4.2.0.tar.gz.Byl vytvořen uživatel nagios iskupina nagcmd, snimiž seprovádí instalaceapřidělujíseprávakekomunikacisNagios.

useradd nagios groupadd nagcmd usermod -a -G nagcmd nagios usermod -a -G nagcmd www-data

Poslední řádek příkazu usermod přidával doskupiny nagcmd účetwww-data,podnímžběžíwebovýserverapache.

Dalšíkrokyinstalaceprobíhalinásledovnýmzpůsobem.

./configure --with-command-group=nagcmd --with-httpd-conf=/etc/apache2/conf-enabled make all make install make install-commandmode make install-config make install-exfoliation make install-webconf a2enmod rewrite a2enmod cgi

A2enmod jeskript prowebový server apache, který povoluje zadanoukonfigujraci. Podokončení instalace siověříme správnou konfiguraci souborunagios.cfgpomocí:

/usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

Restartujeme-liwebovýserverapache a nevyskytuje-lisežádnýproblémpřiověřování pokračujeme dálevinstalaci Nagios pluginů, které sistáhnemenastránce http://nagios-plugins.org/download/nagios-plugins-2.1.2.tar.gz .Kinstalaciakonfiguracipluginůvyužijemejižvytvořenéhouživatelenagios.

./configure --with-nagios-user=nagios --with-openssl make make install


Poinstalaci jenutnépřidatnapluginyvlastnictvíuživatelenagios ipomocírekurzivníhozpůsobu.

chown nagios.nagios /usr/local/nagios chown -R nagios.nagios /usr/local/nagios/libexec chown nagios.nagios /usr/local/nagios/plugins chown -R nagios.nagios /usr/lib/nagios/plugins

Tímsedocílítoho,žeNagiosbudesprávněkomunikovatsnainstalovanýmipluginy podprávy uživatele nagios avykonávat svou práci. Připřidávání novýchpluginů jenutné opětovně přidat vlastnictví pronově přidané pluginy.Prosledování vzdálených serverů jepotřebné nainstalovat naserveru NRPEprokomunikaci sevzdálenými servery. Instalace bude probíhatpomocíinstalačního balíčku, který sistáhneme nastráncehttps://github.com/NagiosEnterprises/nrpe/archive/3.0.tar.gz . Instalaciprovedemepomocínásledujícíchpříkazů.

./configure --enable-command-args --with-nagios-user=nagios --with-ssl=/usr/bin/openssl --enable-ssl --with-ssl-lib=/usr/lib/x86_64-linux-gnu make all make install make install-plugin make install-inetd make install-init make install-xinetd make install-daemon-config

ProsprávnévyužívánífunkciNRPEjepotřebanainstalovatdaemonaxinetd,který sebude dálekonfigurovat prosprávnou vzdálenou komunikaci. DaemonxinetdnaslouchápříchozímpožadavkůmvsítiaspouštíslužbuNRPE.

Monitoring vrámci firmy nevyžadoval těžkou konfiguraci firewallovýchpravidel proochranu, bylo nutné nakaždém serveru povolit vefirewall pravidluport 5666proNRPE agenta, abysemohla navázat komunikace naodesílání datpomocípluginu.Sdůrazemnabezpečnostjedobrédobudoucnostvyužítzdrojovéacílovéadresy.

iptables -A INPUT -p tcp --dport 5666 -j ACCEPT

VpřípaděrestartuserveruNagiosjepotřebauložitfirewallpravidlo.

iptables-save > /etc/iptables/rules.v4

SystémNagiosnepodporuje funkcivykreslovánígrafůvzákladní instalace.Služba musela být doinstalována. Instalace probíhala pomocí balíčku, který byldostupný nastránkách


http://downloads.sourceforge.net/project/nagiosgraph/nagiosgraph/1.5.2/nagiosgraph-1.5.2.tar.gz . Důležité jesizkontrolovat nainstalované balíčky pomocískriptuvesložcenagiosgraph,kteroujsmesitakéstáhli.

./install.pl --check-prereq

Vpřípadě,žechybíbalíčky,jenutnésijenainstalovat.Knainstalovánígrafůvyužijemeautomatickýskript.

./install.pl --layout overlay --prefix /usr/local/nagios

Obrázek22:GrafNagiosCPUprodukčníhoserveru


6.4.3 Úpravavýchozíkonfigurace

Provzdálenou komunikaci skrze plugin check_nrpe, bylo nutné přidat definicidosouborucommand.cfg,jinakbypluginypomocícheck_nrpenefungovaly:

define command{ command_name check_nrpe command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c $ARG1$}


Důležitá konfigurace jedaemona xinetd ajeho souboru nrpe, pomocíkterého komunikuje plugin check_nrpe. Zdůvodu bezpečnosti jeadresa X.X.X.XadresaserveruNagios.

service nrpe{ disable = yes socket_type = stream port = @npre_port@ wait = no user = nagios group = nagios server = /usr/local/nagios/bin/nrpe server_args = -c /usr/local/nagios/etc/nrpe.cfg --inetd only_from = 127.0.0.1 X.X.X.X}

Správná funkčnost check nrpe seověřuje způsobem/usr/local/nagios/libexec/check_nrpe -H localhost, pokudseukáževerzenainstalovanéhoNRPE,všejevpořádku.

Kzasílání emailu bylo nutné naserveru nainstalovat Sendmail kzasílánípošty přes protokol SMTP adefinovat sipotřebné proměnné vsouboruresource.cfg. Sendmail jespecializovaný program, který zajišťuje jednoduchýzpůsob zasílání emailu. Program jeopen source. Využitelná konfiguraceproměnnýchproNagios:

[email protected] [email protected] $USER7$=smtp.gmail.com [email protected] $USER10$=password pro [email protected]

Zdůvodu bezpečnosti jsou uváděné hodnoty zaměněny. Prosprávnézasílání emailu, pokud došlo kproblému avýpadku naserveru, bylo nutnédefinovatvsouborucommand.cfgjednotlivétypyoznámeníhostaaslužby:

define command{ command_name notify-host-by-email command_line /usr/bin/printf "%b" "***** Nagios *****\n\nNotification Type: $NOTIFICATIONTYPE$\nHost: $HOSTNAME$\nState: $HOSTSTATE$\nAddress: $HOSTADDRESS$\nInfo: $HOSTOUTPUT$\n\nDate/Time: $LONGDATETIME$\n" | /usr/local/bin/sendEmail -s $USER7$ -xu $USER9$ -xp $USER10$ -t $USER6$ -f $USER5$ -l /var/log/sendEmail -u "** $NOTIFICATIONTYPE$ Host Alert: $HOSTNAME$ is $HOSTSTATE$ **" -m "***** Nagios *****\n\nNotification Type: $NOTIFICATIONTYPE$\nHost:


$HOSTNAME$\nState: $HOSTSTATE$\nAddress: $HOSTADDRESS$\nInfo: $HOSTOUTPUT$\n\nDate/Time: $LONGDATETIME$\n" } define command{ command_name notify-service-by-email command_line /usr/bin/printf "%b" "***** Nagios *****\n\nNotification Type: $NOTIFICATIONTYPE$\n\nService: $SERVICEDESC$\nHost: $HOSTALIAS$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\n\nDate/Time: $LONGDATETIME$\n\nAdditional Info:\n\n$SERVICEOUTPUT$" | /usr/local/bin/sendEmail -s $USER7$ -xu $USER9$ -xp $USER10$ -t $USER6$ -f $USER5$ -l /var/log/sendEmail -u "** $NOTIFICATIONTYPE$ Service Alert: $HOSTALIAS$/$SERVICEDESC$ is $SERVICESTATE$ **" -m "***** Nagios *****\n\nNotification Type: $NOTIFICATIONTYPE$\n\nService: $SERVICEDESC$\nHost: $HOSTALIAS$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\n\nDate/Time: $LONGDATETIME$\n\nAdditional Info:\n\n$SERVICEOUTPUT$"}

(Anismaj, 2015)

Provykreslování grafu nawebovém prostředí bylo nutné definovatvcommand.cfgatemplates.cfgpodstatnékonfiguračnívěci:

define command { command_name process-service-perfdata-for-nagiosgraph command_line /usr/local/nagios/libexec/insert.pl } define service { name graphed-service action_url /nagios/cgi-bin/show.cgi?host=$HOSTNAME$&service=$SERVICEDESC$' onMouseOver='showGraphPopup(this)' onMouseOut='hideGraphPopup()' rel='/nagios/cgi-bin/showgraph.cgi?host=$HOSTNAME$&service=$SERVICEDESC$&period=week&rrdopts=-w+450+-j register 0}

(Sharma, 2013)

6.4.4 InstalaceNRPEapluginůnamonitorovanýchserverech

Navázání vzájemné komunikace formouNRPE afunkce pluginů proNagiosmusínainstalováno namonitorovacích serverech. Instalace jeprovedena stejnýmzpůsobem jako uNagios. Významnou roli zdebude hrát daemon xinetd ajehosprávná konfigurace IP adres. Špatná konfigurace daemona může způsobit


problémvnavázáníkomunikace.ZbezpečnostníchdůvodunebudeIPadresabudeoznačenajakoX.X.X.X.

service nrpe { disable = yes socket_type = stream port = @npre_port@ wait = no user = nagios group = nagios server =/usr/local/nagios/bin/nrpe server_args =-c/usr/local/nagios/etc/nrpe.cfg --inetd only_from = 127.0.0.1 X.X.X.X}

Kontrolusprávnékonfiguracejemožnéprovésttímhlezpůsobem.

/usr/local/nagios/libexec/check_nrpe -H X.X.X.X

Úspěšnénavázáníkomunikacepoznámevýpisemverzenrpe.

6.4.5 NastavenímonitorovanýchslužebNagios

Nainstalovaná služba Nagios plugins uždisponuje základními pluginykokamžitému využití. Více pluginů lzezdarma volně stáhnout nastránkáchhttps://exchange.nagios.org/directory/Plugins. Konfigurace promonitorováníserverů ajejich služeb seimplementuje vsouboru nrpe.cfg. Včásti allowed_hostdefinujemevšechnyIPadresyvzdálenýchserverů.Commandargumentynakoncisouboruvnrpe.cfgsloužíkdefinováníjednotlivýchpluginůajejichcestouuloženínaserveru.Přivkládánínovýchpluginůnaserver jedůležitépřidat cestuanázevsmožnýmiparametrypluginu:

command[check_users]=/usr/local/nagios/libexec/check_users -w 5 -c 10 command[check_load]=/usr/local/nagios/libexec/check_load -w 15,10,5 -c 30,25,20

Názvy pluginů vhranatých závorkách sevyužívají kekonfigurováníjednotlivých služeb promonitoring hostů. Sledování vzdálených serverůseprovádí vytvořenímkonfiguračního souborunazevserveru.cfg, kterýužjevšaknutnésprávněnakonfigurovat.Např.:

define host{ use linux-server host_name server address x.x.x.x max_check_attempts 5


check_period 24x7 notification_interval 30 notification_period 24x7 } define service { use generic-service,graphed-service host_name server service_description PING check_command check_ping!100.0,20%!500.0,60% }

Nagios podporuje vytvoření vlastních period prosledování, tedy nakaždýdenodlišné časové intervaly, vsouboru timeperiods.cfg. Tatoschopnost jevelmiužitečná,abybylNagiosvpohotovosti,takjakkaždýadministrátorpotřebujeuznázavhodné. Konfigurace prosledování vrozdílných intervalech jevdefaultnímstavu,takžesesleduje„24hodin,7dnívtýdnu“.

6.4.6 NastavenímonitoringusíťovýchzařízenípomocíSNMP

MonitoringsíťovýchprvkůpomocíprotokolusnmpsNagiosnámumožňujeplugincheck_snmp. Nastavení pluginu seprovede podle návoduhttps://www.monitoring-plugins.org/doc/man/check_snmp.html akonfiguraceseprovádívsouboruswitch.cfg.Bylonutnédefinovatplugincheck_snmp:

define command{ command_name check_snmp command_line $USER1$/check_snmp -H $HOSTADDRESS$ -c $ARG1$}

Dodatečné pluginy navyužívání SNMP můžeme stáhnout zestránekhttps://exchange.nagios.org/directory/Plugins/Network-Protocols/SNMPzdarma.Vpřípadě,ženeexistujepožadovanýplugin,jepotřebnésijejdobudoucnanaprogramovat. Nasledovaných síťových zařízeních odmikrotiku sipovolímeslužbusnmpv2nebosnmpv3probezpečnějšímonitoring.


Obrázek23:SNMPnastavenínaMikrotiku


Obrázek24:NastaveníSNMPkomunity


6.4.7 Nastavenílimitů(triggers)

Konfigurování triggerů onotifikaci lzeprovádět vytvářením šablon prokontakty,servery, hosty, síťovéprvkyaprojejich způsobprováděnéhoupozornění.Nagiosdisponuje širokým spektrem skrze nakonfigurování svých šablon. Způsobynastavení lzeprovádět vsouboru templates.cfg. Konfigurace generic-servicesevyužíváujednotlivýchpluginůnásledovně:

define service{ name generic-service ; Jméno šablony active_checks_enabled 1 ; Aktivní kontrola povolena passive_checks_enabled 1 ; Pasivní kontrola povolena notifications_enabled 1 ; Povolení upozornění event_handler_enabled 1 ; Služba, která obsluhuje události

je povolena process_perf_data 1 ; Povolení zpracovaní dat o výkonu check_period 24x7 ; Sledování každý den max_check_attempts 3 ; Opakuje kontrolu pokud je stav jiný než OK normal_check_interval 10 ; Kontrola služby každých 10 minut retry_check_interval 2 ; Kontrola stavu každé 2 minuty contact_groups admins ; Upozornění se zašle uživatelům ve skupině

admin


notification_options w,u,c ; Upozornění ve stavu warning,unknown, critical

notification_interval 60 ; Opakování o nedostupnosti každou hodinu notification_period 24x7 ; Upozornění se zašle 24/7 }

Konfiguracelinuxovéhoserveruprohostavypadánásledovně: define host{ name linux-server ; Název pro hosta use generic-host ; Pro dědění hodnot z jiné šablony check_period 24x7 ; Nastavení na denní kontrolu check_interval 5 ; Aktivní kontrola každých 5 minut retry_interval 1 ; Naplánování opakování v minutách max_check_attempts 10 ; Počet kontrol serveru check_command check-host-alive ; Výchozí příkaz pro kontrolu systémů Linux notification_period workhours ; Kontrola probíhá jen v pracovní dny notification_interval 120 ; Odesílání oznámení každé 2h notification_options d,u,r ; Oznámení pro stavy down, up, recovery contact_groups admins ; Oznámení pro skupinu admin }

Více možností pronastavení upozornění najednotlivé triggery jemožnésedočístzde:https://assets.nagios.com/downloads/nagioscore/docs/nagioscore/3/en/objectdefinitions.html.

6.5 Testování

Testovánímonitorovacíhosystémubudeprobíhatnanověvytvořenémvirtuálnímserveru, abynebylo narušeno monitorovací prostředí iinfrastruktura zdůvoduSLA. Utestování bude kladen důraz narychlost odpovědi, testovány budoujenparametry konektivity dáleslužba daemon xinetd, NRPE, SSH, HTTPatestování přetížení CPU spamětí. Testování můžemít zkreslené údaje aproto,žeprobíhá vefiremní síti. Výsledné grafy utestovaného serveru nebudouobsahovatpodstatnéúdajezdůvodumaléhosběrudatoserveru.

6.5.1 Testováníkonektivity

Testování proběhne simulací vypnutí serveru atoproto, žeserver jevirtuálníanelze vytáhnout UPT kabel. Vypnutí serveru bylo provedeno včase15:30.Za22sekund nám Nagios, vizVýpadek serveru oznámil nawebovémprostředí, žeserver jenedostupný. Ostatní služby byli uváděny vestavu OK,alepočase6minuta20sekundsestalystejněnedostupné.Emailonedostupnostiserveru nám přišel naTiketovací systém OTRS. Nastavení splňuje očekávanépožadavky naupozornění. Vpřípadě výpadu konektivity jsme byli upozorněninalogovacísystémgraylog,vizLogovacíupozornění.


Obrázek25:Výpadekserveru


Obrázek26:Logovacíupozornění


6.5.2 Spolehlivostdostupnostidaemonů,NRPE

Cílem testování spolehlivosti daemona xinetd aslužby NRPE jeověřeníkomunikace Nagios avzdáleného serveru NRPE. Pokud nebude daemon aNRPEspuštěn, není možné sledovat vzdálený server. Testování probíhalo vypnutímdaemona iNRPE příkazem service nrpe stop && service xinetd stop. Přibližnězadvě minuty atřicet sekund nám odpověděl první plugin Swap Usage,žejeadresa sportem nedostupná. Počase pěti minut atřiceti sekundužzareagovalovícepluginůvizNagios–testováníNRPE,xinetd.

Obrázek27:Nagios–testováníNRPE,xinetd


6.5.3 Testováníslužeb

Cílem testování služby budou SSH aHTTP. Služba HTTP jevelmi podstatnázdůvodu jejího největšího využívání naprodukčním serveru. Uživatelé afirmy,které využívají projekt https://www.prymum.cz, kněmu přistupují pouze přeswebové rozhraní. Proto jevelmi podstatnou službou. Služby sevypnoupříkazemserviceapache2stop&&servicesshstop.SlužbaSSHbylanawebovémprostředíoznámena zadvě minuty advacet sekund aslužba HTTP byla oznámenazatřiminutyapadesátsekund,vizobr.Výpadekslužeb.


Obrázek28:Nagios–Výpadekslužeb


6.5.4 Performancetestování

Performance testování znamená zatížení CPU, paměti adisku. Protestování bylvyužit nástroj sysbench anásledně byli naprogramovány jednoduché skriptyproopakovanézatíženíserveru.Nazatíženíserverudiskubylavygenerovánadatapomocí příkazu dd if=/dev/zero of=filename bs=1024count=2GB. Výsledkytestováníproběhly,dlepožadavkůadministrátorůsítě.

Obrázek29:Nagios–performancezatížení


Skriptyprozatěžováníserveru

Obrázek30:ZatíženíCPU


Obrázek31:Zatíženípamětí



Obrázek32:Zatíženídisku


Výslednégrafyznázorňujínatestovanémserveruuněkterých jednotlivýchslužeb:

Obrázek33:Celkovýpočetběžícíchprocesů


Obrázek34:ZatíženíCPU



Obrázek35:Zatíženípaměti


6.5.5 Souhrnvýsledkůtestování

Všechny testy proběhly sohledem napožadované výsledky administrátorů sítě.Dobudoucna však bude nutné otestovat funkčnost databáze mariadbnamonitorovacíchserverech.TestováníslužebSFTPnemůžebýtprovedenoproto,žedaná služba není naprodukčních serverech vsoučasné době využívána.Naserverech totiž probíhají firemní úpravy anemůže být narušen běh serverů.Sledování služby SFTP bylo navrhnuto kvůli importu pluginů dobudoucnosti.Stejný problém nastává přitestování databáze mariadb najejímž produkčnímitestovacím serveru jetestování přísně zakázáno, abyvpřípadě poruchy nebylanarušena infrastruktura. Testování nanovém virtuálním serveru mariadbbynemělo žádný význam zdůvodu, protože nejsou potřebné údaje vdatabázinatestovánímariadb.

Ekonomickézhodnocenínavrhovanéhořešení 67

7 Ekonomickézhodnocenínavrhovanéhořešení

Vnásledující kapitole bude nastíněn finanční náklady naprovoz využívanýchserverůsezahrnutímproblematikySLA.

7.1 Počátečníinvesticeanáklady

Vzhledem ktomu, ževevýsledné práci sevyskytují jenopen-source programy,nemělafirmavelképočátečníinvestice.Disponovalaužjednímfyzickýmserverem,vněmžbylonutnénainstalovatvirtuálníprostředíapostavitnaněmmonitoring.

Náklady nanasazení monitorovacího systému sevztahují jennaosobu,která bude daný systém implementovat. Výše finančních nákladu semůže lišitvzávislosti nazkušenostech aodborných znalostech osoby. Vezmeme-li vúvahu,žesystém bude instalovat průměrně zkušený člověk, kterému sezaplatí 200Kčnahodinu,instalaceakonfiguracesystémuvmaximálnímmožnémčasemůžetrvatprůměrně40hodinpráce,takžepočátečníinvesticenaprácičlověkačiní8000Kč.

7.2 Provozaúdržba

Cena naprovoz aúdržbu monitorovacího systému postačí správce systémůsezkušenostmi 0až3roky praxe nebojunior administrátor sméně zkušenostmi.Osoba, která bude sledovat výpadky serverů aslužby SLA, může být istudentinformatiky. Systém nevyžaduje každodenní kontrolu aanalýzu stavů. Je-listudentovi zaplaceno zaodvedenou práci včasovém rozpětí cca 20hodin týdně100Kč nahodinu, celková investice naprovoz aúdržbu může firmě přinéstprůměrnénáklady8000Kčnaměsíc.

7.3 Úspory

Výsledné monitorovací řešení může ponastavení sledovat provoz napřepínači,díky monitorování technických parametrů SLA jako jenapř.latence, ztrátovostpaketůatd. Díky tomu jevhodné sledovat aspočítat inetechnické parametryvpřípadě výpadku sítě odposkytovatele atonapř.celková doba trvání opravykonektivity,nedostupnostslužeb,apod.PomocínakonfigurováníNagios jemožnésledovat provoz internetu auposkytovatele uplatnit slevu vprocentech, kterájeuvedenávesmlouvě.

Další ztráty nanákladech můžou vzniknout přiupozornění naživotnostdisků.Vextrémníchpřípadechjetotižmožnépřijítovšechnadatanaserveru.

Ekonomickézhodnocenínavrhovanéhořešení 68

7.4 Shrnutí

Sneustálým zvyšováním nároků naspolehlivost ITsystému stoupají inárokynakontrolu jejich funkčnosti. Přínos monitorovacího systému umožnil dohlednadprací serverových, síťových služeb aposkytovatelem internetových služebnasjednanépodmínkySLA.ÚdržbaaprovozNagiosnevyžadujevelkoupozornost.StačízaměstnatstudentaIT,abyzískalzkušenostizpraxeavyzkoušelsipracovatseserverem. Vpřípadě výskytu chyby Nagiosu, lzenagooglu vyhledat množstvírad avyřešených bugů nanejrůznějších zájmových diskuzních fórech awebechodunix.stackexchange.com ažpostackoverflow, ubuntu forumatd. Zavedenímonitorovacího systému přineslo firmě Aliacte s.r.o. sledování sítě asystémů,zlepšilo stabilitu celé informační struktury, některé problémy jsou dokonceidentifikoványspředstihem.

Závěr 69

8 ZávěrBakalářská práce sezabývá navrhováním aimplementováním monitorovacíhosystému,kterýtvořízákladkaždéfirmy,ježsezabýváproblematikouICT.Nasazenímonitorovacíhosystémuumožňujepředcházetkolizímnasíti,výpadkůmserverůajejich síťových aaplikačních služeb, které jsou prochod firmy nezbytně nutné.Tobymělodobudoucnaušetřitnákladynaprovozazajistitpřehledodostupnostislužeb.Postupinstalaceakonfiguracenajdeuplatněnívkaždéfirměčiorganizaci,kdejenezbytnémítpodkontrolousvéserveryasoftwarenanich.

Dosaženícíleprácevyžadovalovýběraporovnánímonitorovacíchsystémuajejichnáslednoukonfiguraci.Výslednáinstalaceseskládalasopen-sourceřešení.Požadovaný výstup monitoringu seskládal zanalýzy síťové infrastruktury,serverů,kteréfirmavyužívá.Bylonutnéurčitslužbyběžícínaserveruapodletohosestavit výsledný výstup monitoringu. Definování probíhalo diskuzísadministrátory sítě avedením ICT firmy. Instalace probíhala navirtuálnímprostředí, kdebylo nutné uvést monitorovací systém dochodu sohledemnapožadavkyfirmy.

Vimplementaci Nagios proběhlo vše bezproblémů, ažnadrobnénedostatky spluginy, které jenutné dobudoucna odstranit. Bylo dosaženosledování předem určených parametrů skrze pluginy, kdenebyl problémsnastavením akonfigurací. Problém nastal vnedostatku volně stažitelnýchpluginů,proto jedobudoucnadobrénapsat sivlastnípluginyprovlastnípotřebyanedostatky. Problém nastal vmonitoringu vzdálené sítě bezVPN tunelu, tudížřešeníjemožnévsoučasnédoběidentifikovatpomocípaketů.

Nagios byl rozšířen ovykreslování grafů jednotlivých služeb azasíláníemailupří výpadkumonitorované služby.Testováníprobíhalo simulacímožnýchproblému, které semohou vpraxi uskutečnit. Výsledné upozornění Nagiosuskutečnilvrelativněkrátkémčasovémrozpětí.Výsledky testubylypřekvapujícíabyliodeslányemailemnatiketovacísystémOTRS.

Všechny testovanépožadavkybyly splněny svýjimkou testování databázemariadb, která běží naprodukčním serveru, kam nebyl umožněn přístup.Monitorovací systém jenasazen ajeplně funkční, avšak jakjižbylo zmíněnodobudoucnajenutnévyřešitproblémsVPNakonfiguracivlastníchskriptů.

Literatura 71

9 LiteraturaBARTH,WOLFGANG.NAGIOS:SYSTEMANDNETWORKMONITORING.2NDED.MUNICH:OPENSOURCEPRESS,2008,719P.ISBN1593271794.

DOSTÁLEK,LIBOR.VELKÝPRŮVODCEPROTOKOLYTCP/IP:BEZPEČNOST.2.AKTUALIZ.VYD.PRAHA:COMPUTERPRESS,2003,XVI,571S.ISBN80-7226-849-X.

KOCJAN,W.LearningNagios4.Birmingham:PacktPublishing,2014.400s.ISBN978-1-78328-864-9.

NAUGLE,G.MATTHEW.2006.ILLUSTRATEDTCP/IP.WILEYCOMPUTERPUBLISHING.846S.ISBN047-119-65-68.

BING,BENNYAPASCALLORENZ.NETWORKS:THEPROCEEDINGSOFTHEJOINTINTERNATIONALCONFERENCEONWIRELESSLANSANDHOMENETWORKS(ICWLHN2002)ANDNETWORKING(ICN2002):ATLANTA,USA,26-29AUGUST2002.RIVEREDGE,N.J.:WORLDSCIENTIFIC,C2002.ISBN9812381279.

SOSINSKY,BARRIEA.MISTROVSTVÍ–POČÍTAČOVÉSÍTĚ:[VŠE,COPOTŘEBUJETEVĚDĚTOSPRÁVĚSÍTÍ].VYD.1.BRNO:COMPUTERPRESS,2010.ISBN978-80-251-3363-7.

MAURO,DOUGLASRAKEVINJSCHMIDT.ESSENTIALSNMP.2NDED.SEBASTOPOL,CA:O'REILLY,2005.ISBN0596008406.

MEINEL,CHRISTOPHAHARALDSACK.INTERNETWORKING:TECHNOLOGICALFOUNDATIONSANDAPPLICATIONS.SPRINGERSCIENCE&BUSINESSMEDIA,2013.ISBN9783642353918.

BARRETT,DANIELJ.SSH:KOMPLETNÍPRŮVODCE.1.VYD.BRNO:COMPUTERPRESS,2003.ISBN807226852X.

KUNDU, Dinangkur a S.M. IBRAHIM LAVLU. Cacti 0.8 network monitoring: monitor your network with ease!. Birmingham, UK: Packt Publishing, 2009. ISBN 9781847195968.

BADGER, Michael. Zenoss Core 3.x Network and System Monitoring: a step-by-step guide to configuring, using, and adapting this free open source network monitoring system. Birmingham: Packt Pub, 2011. ISBN 9781849511582.

ANDREA DALLE VACCHE a STEFANO KEWAN LEE. Zabbix Network Monitoring Essentials. Birmingham: Packt Pub, 2015. ISBN 9781784399764

ANDREA DALLE VACCHE a STEFANO KEWAN LEE. Mastering Zabbix monitor your large IT environment efficiently with Zabbix. Birmingham: Packt Pub, 2013. ISBN 9781783283491.

OPSVIEW. Opsview Enterprise Architecture Whitepaper [online]. 2012 [cit. 2017-05-16]. Dostupné z: https://www.opsview.com/sites/default/files/EnterpriseArchitecture.pdf

Literatura 72

AMMON, Tom. System Monitoring With Nagios [online]. 2007 [cit. 2017-05-16]. Dostupné z: http://www.macos.utah.edu/documentation/administration/nagios/mainColumnParagraphs/010/document/2007.08.03-univ_of_utah-nagios.pdf

PRNEWSWIRE.LATESTOPSVIEWRELEASEBRINGSBUSINESSSERVICEMONITORINGTOGLOBALUSERBASE.PRNEWSWIREUS[ONLINE].2014[CIT.2017-02-26].

Zenoss Core Administration [online]. 2014, 203 [cit. 2017-05-09]. Dostupné z: https://www.zenoss.com/sites/default/files/Zenoss_Core_Administration_02-022014-4.2-v08.pdf

GUCER, Vasfi, Naeem ALTAF, Erik D ANDERSON, et al. IBM Tivoli Monitoring: Implementation and Performance Optimization for Large Scale Environments [online]. 2008. [cit. 2017-05-09]. Dostupné z: http://www.redbooks.ibm.com/abstracts/sg247443.html?Open

IPV4.HTTPS://TOOLS.IETF.ORG[ONLINE].1981[CIT.2017-03-19].DOSTUPNÉZ:HTTPS://TOOLS.IETF.ORG/HTML/RFC791

IPV6.HTTPS://TOOLS.IETF.ORG[ONLINE].1998[CIT.2017-03-19].DOSTUPNÉZ:HTTPS://TOOLS.IETF.ORG/HTML/RFC2460

SOCKET.HTTPS://TOOLS.IETF.ORG[ONLINE].1971[CIT.2017-03-19].DOSTUPNÉZ:HTTPS://TOOLS.IETF.ORG/HTML/RFC147

HTTP.HTTPS://TOOLS.IETF.ORG[ONLINE].1999[CIT.2017-03-19].DOSTUPNÉZ:HTTP://TOOLS.IETF.ORG/HTML/RFC2616

ICMP.HTTPS://TOOLS.IETF.ORG[ONLINE].1981[CIT.2017-03-19].DOSTUPNÉZ:HTTPS://TOOLS.IETF.ORG/HTML/RFC792

BOUŠKA,PETR.ZAČÍNÁMESMONITORINGEMSÍTĚ.IN:SAMURAJ-CZ[ONLINE].2009[CIT.2016-01-12].DOSTUPNÉZ:http://www.samuraj-cz.com/clanek/zaciname-smonitoringem-site.

Why we made Opsview Atom. Opsviewe [online]. 2015 [cit. 2017-05-09]. Dostupné z: https://www.opsview.com/resources/blog/why-we-made-opsview-atom

ANISMAJ. How To Send Alerts From Nagios Core Using Gmail And Yahoo [online]. 2015 [cit. 2017-05-10]. Dostupné z: https://www.unixmen.com/send-alerts-nagios-core-using-gmail-yahoo/

LESKIW, Aaron. Understanding Syslog: Servers, Messages & Security [online]. 2016 [cit. 2017-05-08]. Dostupné z: http://www.networkmanagementsoftware.com/what-is-syslog/

JACKGCKOROS. Opsview Gaining an Edge with Opsview Open Source Monitoring [online]. 2014 [cit. 2017-05-09]. Dostupné z: https://dogfoodrecipescihuw.wordpress.com/2014/01/17/opsview/

Literatura 73

SHARMA, SACHIN. NAGIOSGRAPH – GRAPHS IN NAGIOS ON CENTOS/RHEL 6.3 [online]. 2013 [cit. 2017-05-10]. Dostupné z: https://sachinsharm.wordpress.com/2013/08/07/nagiosgraph-graphs-in-nagios-on-centosrhel-6-3/

Docu-overview [online]. 2017 [cit. 2017-05-09]. Dostupné z: https://wiki.opennms.org/wiki/Docu-overview

VOZDECKÝ,LUKÁŠ.SROVNÁNÍSYSTÉMŮPROSLEDOVÁNÍPROVOZUPOČÍTAČOVÝCHSÍTÍ[ONLINE].VYSOKÉUČENÍTECHNICKÉVBRNĚ.FAKULTAINFORMAČNÍCHTECHNOLOGIÍ,2007[CIT.2017-05-08].DOSTUPNÉZ:HTTP://HDL.HANDLE.NET/11012/53022.BAKALÁŘSKÁPRÁCE.VYSOKÉUČENÍTECHNICKÉVBRNĚ.FAKULTAINFORMAČNÍCHTECHNOLOGIÍ.ÚSTAVINFORMAČNÍCHSYSTÉMŮ.VEDOUCÍPRÁCERUDOLFČEJKA.

VAŘACHA,FRANTIŠEK.MONITOROVACÍSYSTÉMFIREMNÍPOČÍTAČOVÉSÍTĚNABÁZIOPENSOURCEŘEŠENÍ[ONLINE].MENDELOVAUNIVERZITAVBRNĚ,PROVOZNĚEKONOMICKÁFAKULTA,2014[CIT.2017-05-08].DOSTUPNÉZ:HTTPS://IS.MENDELU.CZ/ZP/INDEX.PL?PODROBNOSTI_ZP=47023;ZPET=;PREHLED=VYHLEDAVANI;VZOREK_ZP=MONITORING%20VARACHA;DOHLEDAT=DOHLEDAT;KDE=NAZEV;KDE=AUTOR;KDE=KLIC_SLOVA;STAV_FILTR=BEZ;TYP=1;TYP=2;TYP=3;TYP=6;TYP=8;TYP=7;FAKULTA=14;FAKULTA=23;FAKULTA=220;FAKULTA=38;FAKULTA=2;FAKULTA=79;FAKULTA=60;OBDOBI=2017;OBDOBI=2016;OBDOBI=2015;OBDOBI=2014;JAZYK=1;JAZYK=3;JAZYK=2;JAZYK=29;JAZYK=182;JAZYK=22;JAZYK=23;JAZYK=4;JAZYK=-1;LANG=CZ.MENDELOVAUNIVERZITA,PROVOZNĚEKONOMICKÁFAKULTA.VEDOUCÍPRÁCEING.MARTINPOKORNÝ,PH.D.

MATŮŠŮ,JINDŘICH.MONITOROVÁNÍSTAVUROZSÁHLÝCHSÍTÍ[ONLINE].UNIVERZITATOMÁŠEBATIVEZLÍNĚ.FAKULTAAPLIKOVANÉINFORMATIKY,2008[CIT.2017-05-08].DOSTUPNÉZ:HTTP://THESES.CZ/ID/KUWOBT?INFO=1;ISSHLRET=ROZSÁHLÉ%3B;ZPET=%2FVYHLEDAVANI%2F%3FSEARCH%3DMONITOROVÁN%C3%AD%20STAVU%20ROZSÁHLÝCH%20S%C3%ADT%C3%AD%26START%3D1.UNIVERZITATOMÁŠEBATIVEZLÍNĚ.FAKULTAAPLIKOVANÉINFORMATIKY.VEDOUCÍPRÁCEING.TOMÁŠDULÍK.

EISNER,DANIEL.ANALÝZAMODERNÍCHTECHNOLOGIÍPRODOHLEDASPRÁVUFIREMNÍINFRASTRUKTURY[ONLINE].ČESKÉVYSOKEUČENÍTECHNICKÉ,INFORMATIKA,2015[CIT.2017-05-08].DOSTUPNÉZ:HTTPS://DSPACE.CVUT.CZ/HANDLE/10467/62755.ČESKÉVYSOKEUČENÍTECHNICKÉ,INFORMATIKA.VEDOUCÍPRÁCENÁPLAVAPAVEL.

Přílohy 75

Přílohy

Přílohy 77

10 SeznamobrázkůatabulekSeznamobrázků

Obrázek1:ModelTCP/IP..................................................................................................................17Obrázek2:SNMPArchitektura.......................................................................................................24Obrázek3:Syslog..................................................................................................................................25Obrázek4:SSHnavázáníkomunikace.........................................................................................26Obrázek5:Nagiosarchitektura......................................................................................................28Obrázek6:Nagiosdashboard..........................................................................................................30Obrázek7:Zabbixarchitektura......................................................................................................31Obrázek8:Zabbixdashboard..........................................................................................................32Obrázek9:OPSviewarchitektura..................................................................................................33Obrázek10:OPSviewdashboard...................................................................................................35Obrázek11:Zenossarchitektura...................................................................................................36Obrázek12:Zenossdashboard......................................................................................................39Obrázek13:Cactiarchitektura.......................................................................................................40Obrázek14:Cactidashboard...........................................................................................................41Obrázek15:OpenNMSarchitektura.............................................................................................42Obrázek16:OpenNMSdashboard................................................................................................43Obrázek17:IBMTivoli.......................................................................................................................44Obrázek18:IBMTivolidashboard...............................................................................................45Obrázek19:Topologiesítě...............................................................................................................50Obrázek20:NRPE................................................................................................................................52Obrázek21:Architekturamonitoringu......................................................................................53Obrázek22:GrafNagiosCPUprodukčníhoserveru............................................................56Obrázek23:SNMPnastavenínaMikrotiku...............................................................................61Obrázek24:NastaveníSNMPkomunity.....................................................................................61Obrázek25:Výpadekserveru.........................................................................................................63Obrázek26:Logovacíupozornění.................................................................................................63Obrázek27:Nagios–testováníNRPE,xinetd..........................................................................63Obrázek28:Nagios–Výpadekslužeb.........................................................................................64Obrázek29:Nagios–performancezatížení.............................................................................64Obrázek30:ZatíženíCPU..................................................................................................................64Obrázek31:Zatíženípamětí............................................................................................................64Obrázek32:Zatíženídisku...............................................................................................................65Obrázek33:Celkovýpočetběžícíchprocesů...........................................................................65Obrázek34:ZatíženíCPU..................................................................................................................65Obrázek35:Zatíženípaměti............................................................................................................66

Seznamtabulek

Tabulka1:Popiszenossdaemonu................................................................................................38Tabulka2:Přehledmonitorovacíchsystémů...........................................................................48

Ukázkavýslednépráce 79

A Ukázkavýslednépráce

Documents

Monitorovací systém Nagios pro dohled síťových a