Protocolos y Herramientas de Monitoreo

10 de Octubre del 2014

Protocolos y Herramientas de

Monitoreo

Juan Luis Escoto Hernandez INSTITUTO TECNOLGICO DE CELAYA

PROTOCOLOS Y HERRAMIENTAS DE MONITOREO

1

Protocolos y Herramientas de Monitoreo

SNMP

SNMP es un protocolo de red que permite a los usuarios monitorear y ajustar los

objetos gestionados en toda la red, diseado pensando en la simplicidad. Unidades

de datos de protocolo son los comandos que proporcionan los medios para que los

administradores de red para llevar a cabo las tareas de red y recibir informacin, y

tienen una estructura relativamente constante en SNMP versiones 1 y 2. SNMPv3

introdujo una mayor seguridad, junto con una estructura de PDU modificado para

adaptarse a los cambios que esta versin ms robusta introdujo. V1 y V2

Identificacin y autenticacin.

Estructura

SNMP est formado por cuatro componentes bsicos:

1) Base de datos lgica: SNMP sigue el modelo de una base de datos lgica, en

la misma se almacena informacin referente a la configuracin, estado, error

y rendimiento.

2) Agentes: El agente es un software, que permite el acceso a la informacin.

Dicho agente responde a peticiones, realiza actualizaciones e informa los

problemas.

3) Administradores: La estacin de administracin, contiene un software de

administrador, el cual se encarga de enviar y recibir los mensajes SNMP.

Adems de esto existen otra serie de aplicaciones de administracin que se

comunican con los sistemas de red mediante el administrador.

4) Base de informacin de administracin: La base de informacin de

administracin, denominada MIB, constituye la descripcin lgica de todos los

datos de administracin de la red. La MIB contiene informacin de estado y

del sistema, estadsticas de rendimiento y parmetros de configuracin.

En lo que se refiere a la arquitectura de SNMP se dice que es de tipo modular, y que

est basada en las siguientes especificaciones:

1) Utiliza un lenguaje de definicin de datos

2) Definicin de administracin de informacin (MIB)

3) Definicin protocolar

4) Seguridad y Administracin.

Al pasar del tiempo, SNMP ha evolucionado a travs de sus diferentes versiones

(SNMPv1, SNMPv2 y SNMPv3) y las definiciones de cada una de stas, en cuanto a

sus componentes arquitectnicos lo ha hecho ms rico y claramente definido, sin

embargo el principio de la arquitectura ha permanecido consistente.

SNMPv3 extiende estos principios arquitectnicos y basndose sobre stos incorpora

nuevas capacidades de seguridad y de administracin en la arquitectura.


2

SNMPv3 ofrece nuevos beneficios a las redes TCP/IP, garantizando una mejor

administracin y seguridad.

Tipos de Mensaje de SNMP

Cuando los programas de administracin del Protocolo simple de administracin de

redes (SNMP, Simple Network Management Protocol) envan solicitudes a un

dispositivo de red, el software del agente de ese dispositivo recibe las solicitudes y

recupera la informacin de las MIB. A continuacin, el agente vuelve a enviar la

informacin solicitada al programa de administracin SNMP que lo inici. Para

realizar estas tareas, el agente utiliza los tipos de mensaje siguientes:

Get Mensaje bsico de solicitud de SNMP. Enviado por un sistema de administracin

SNMP, solicita informacin acerca de una nica entrada de la base de datos MIB de

un agente SNMP. Por ejemplo, la cantidad de espacio libre en el disco.

Get-next Tipo ampliado de mensaje de solicitud que puede utilizarse para examinar todo el

rbol de objetos de administracin. Cuando se procesa una solicitud Get-next para

un objeto determinado, el agente devuelve la identidad y el valor del objeto que

sigue lgicamente al objeto de la solicitud. La solicitud Get-next resulta til en el caso

de tablas dinmicas, como una tabla interna de rutas IP.

Set

Si est permitido el acceso de escritura, este mensaje puede utilizarse para enviar y

asignar un valor de MIB actualizado al agente.

Getbulk Solicita que el tamao de los datos transferidos por el agente del host sea lo ms

grande posible, dentro de las limitaciones dadas para el tamao de los mensajes.

Esto reduce al mnimo el nmero de intercambios de protocolo necesarios para

recuperar una gran cantidad de informacin de administracin. El tamao mximo

del mensaje no debe ser superior a la unidad de transmisin mxima (MTU) de la ruta

de acceso, el tamao de trama mximo permitido para una nica trama de la red,

o de lo contrario se puede producir fragmentacin.

Trap Un mensaje no solicitado enviado por un agente SNMP a un sistema de

administracin de SNMP cuando el agente detecta que se ha producido un tipo

determinado de suceso localmente en el host administrado. La consola de

administracin de SNMP que recibe un mensaje de captura se conoce como destino

de captura. Por ejemplo, puede enviarse un mensaje de captura sobre un suceso de

reinicio del sistema.


3

Configuracin en equipos CISCO y no CISCO

CISCO (SNMP Configuracin por Defecto).

Configuracin SNMP

Caracterstica Ajuste por defecto

Agente SNMP Desactivado.

Trampa receptor SNMP

Ninguno configurado.

Capturas SNMP Ninguno habilitado excepto la trampa para las conexiones TCP (tty).

Versin de SNMP Si ninguna palabra clave versin est presente, el valor predeterminado es la versin 1.

Autenticacin de SNMPv3

Si no se introduce una palabra clave, el valor predeterminado es el nivel de seguridad noauth (noAuthNoPriv).

SNMP tipo de notificacin

Si no se especifica ningn tipo, se envan todas las notificaciones.

Este es el valor por defecto cuando el interruptor se inicia y la configuracin de inicio

no tiene ningn comando de configuracin global de snmp-server.

Directrices de Configuracin SNMP

Si el interruptor se inicia y la configuracin de inicio del switch tiene comando de

configuracin global al menos un SNMP-servidor, el agente SNMP est habilitado.

Un grupo SNMP es una tabla que asigna usuarios SNMP visitas. Un usuario de SNMP es

un miembro de un grupo SNMP. Un host SNMP es el destinatario de una operacin de

captura de SNMP. Un ID de motor de SNMP es un nombre para el motor local o

remota SNMP.

En la configuracin de SNMP, siga estas pautas:

Al configurar un grupo SNMP, no especifique una vista notificar. El comando de configuracin global snmp-server host genera

automticamente una vista notificar al usuario y luego agrega al grupo

asociado con ese usuario. Modificacin de notificar a la opinin del Grupo

afecta a todos los usuarios asociados a ese grupo. Ver la Lista de

comandos de gestin Cisco IOS Red para obtener informacin acerca de

cundo debe configurar notificar visitas.

Para configurar un usuario remoto, especifique la direccin IP o el nmero de puerto para el agente SNMP remoto del dispositivo donde reside el

usuario.

Antes de configurar los usuarios remotos para un agente en particular, configure el ID de motor de SNMP, utilizando la configuracin


4

globalengineID SNMP-servidor con la opcin remota. SNMP ID de motor y

de usuario del agente remoto se utilizan para calcular los resmenes de

autenticacin y privacidad. Si no configura el ID remoto del motor primero,

el comando de configuracin falla.

Al configurar informa SNMP, es necesario configurar el ID de motor de SNMP para el agente remoto en la base de datos SNMP antes de poder enviar

solicitudes de proxy o informa a la misma.

Si un usuario local no est asociado con un host remoto, el interruptor no enva informa para la autenticacin (authNoPriv) y la priv (authPriv) niveles

de autenticacin.

Cambiar el valor de la ID de motor de SNMP tiene efectos secundarios importantes. La contrasea de un usuario (entr en la lnea de comandos)

se convierte en un MD5 o SHA de seguridad basada en la contrasea y el

ID de motor local. La contrasea de lnea de comandos es entonces

destruido, como exige el RFC 2274. Debido a esta supresin, si el valor de

los cambios de identificacin del motor, los compendios de seguridad de

los usuarios SNMPv3 de ser vlida, y es necesario volver a configurar los

usuarios de SNMP utilizando el SNMP Servidor Nombre de usuario comando

de configuracin global. Restricciones similares requieren la

reconfiguracin de las cadenas de comunidad cuando cambia el ID del

motor.

Directrices de Configuracin SNMP

Comenzando en el modo EXEC privilegiado, siga estos pasos para desactivar el

agente SNMP:

Comando Propsito

Paso 1 configure terminal

Entre en el modo de configuracin global.

Paso 2 no snmp-server

Desactivar la operacin del agente SNMP.

Paso 3 fin Vuelva al modo EXEC privilegiado.

Paso 4 show running-config

Verifique sus entradas.

Paso 5 copy running-config startup-config

(Opcional) Guarde sus entradas en el archivo de configuracin.

El comando de configuracin global no snmp-server desactiva todas las versiones

que se ejecutan (Versin 1, Versin 2C, y la versin 3) en el dispositivo. No existe un

comando especfico del IOS de Cisco para habilitar SNMP. El comando de

configuracin global de primer servidor SNMP que permite entrar en todas las

versiones de SNMP.


5

Configuracin Comunidad Cuerdas

Se utiliza la cadena de comunidad SNMP para definir la relacin entre el gestor SNMP

y el agente. La cadena de comunidad acta como una contrasea para permitir el

acceso al agente en el interruptor. Opcionalmente, puede especificar una o ms de

estas caractersticas asociadas con la cadena:

Una lista de acceso de direcciones IP de los administradores SNMP que se permite utilizar la cadena de comunidad para acceder al agente

Una vista MIB, que define el subconjunto de todos los objetos MIB accesibles para la comunidad dado

Leer y escribir o permiso de slo lectura para los objetos de la MIB accesibles a la comunidad

Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar una

cadena de comunidad en el interruptor:

Comando Propsito

Paso 1 configure terminal Entre en el modo de configuracin global.

Paso 2 cadena de comunidad SNMP-

servidor[Ver nombre-vista][Ro | rw] [access-

list-number]

Configurar la cadena de comunidad.

Nota El smbolo @ se utiliza para delimitar la informacin de contexto. Evite utilizar el smbolo @ como parte de la cadena de comunidad SNMP al configurar este comando.

Por cadena, especifique una cadena que acta como una contrasea y permite el acceso al protocolo SNMP. Puede configurar una o ms cadenas de comunidad de cualquier longitud.

(Opcional) Para vista, especifique el registro de vista accesible para la comunidad.

(Opcional) Especifique slo lectura (ro) si desea que las estaciones de administracin autorizadas recuperen objetos MIB, o especificar slo escritura(rw) si desea que las estaciones de administracin autorizadas recuperen y modifiquen objetos MIB. De


6

forma predeterminada, los permisos de cadena de comunidad de slo lectura a todos los objetos.

(Opcional) Para el acceso-lista-nmero, introduzca una lista de acceso IP estndar numerado del 1 al 99 y 1300 a 1999.

Paso 3 access-listaccess-list-nmero{negar | permiso}Fuente [source-wildcard]

(Opcional) Si ha especificado un nmero de lista de acceso IP estndar en el paso 2, a continuacin, crear la lista, repitiendo el comando tantas veces como sea necesario.

Para el acceso-lista-nmero, introduzca el nmero de la lista de acceso especificado en el paso 2.

La palabra clave negar niega el acceso si se comparan las condiciones. La palabra clave permiso permite el acceso si se comparan las condiciones.

Para la fuente, escriba la direccin IP de los administradores SNMP que se permite utilizar la cadena de comunidad para acceder al agente.

(Opcional) Para source-wildcard, introduzca los bits comodn en notacin decimal con puntos que deben aplicarse a la fuente. Coloca los de las posiciones de bit que desea ignorar.

Recordemos que la lista de acceso siempre se termina por una declaracin implcita negar por todo.


Paso 5 show running-config Verifique sus entradas.


7

Paso 6 copy running-config startup-config

(Opcional) Guarde sus entradas en el archivo de configuracin.

Para eliminar una cadena de comunidad especfica, utilice el comando de

configuracin global no cadena de comunidad SNMP-servidor.

Este ejemplo muestra cmo asignar la cadena comaccess para SNMP, para permitir

el acceso de slo lectura, y para especificar que la lista de acceso IP 4 puede utilizar

la cadena de comunidad para acceder al conmutador con agente SNMP:

Comaccess Switch (config) # comunidad SNMP-servidor ro 4

Configuracin de grupos y de usuarios de SNMP

Puede especificar un nombre de identificacin (ID de motor) para el motor del

servidor SNMP locales o remotos en el switch. Puede configurar un grupo de servidores

SNMP que se asigna a los usuarios de SNMP para visitas, y usted puede agregar

nuevos usuarios al grupo SNMP.

Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar SNMP

en el conmutador:

Comando Propsito

Paso 1 configure terminal Entre en el modo de configuracin global.

Paso 2 engineID snmp-server {engineidcuerdas locales | d

ireccin IPremota [nmero-puerto udp-port]engineid-string}

Configure un nombre para la copia, ya sea local o remoto de SNMP.

La cuerda engineid es una cadena de identificacin de 24 caracteres con el nombre de la copia de SNMP. No es necesario especificar toda la 24 caracteres de identificacin del motor si se ha ceros finales. Especificar slo la porcin de la ID del motor hasta el punto de que slo ceros permanecen en el valor. Por ejemplo, para configurar una ID de motor de 123400000000000000000000, puede introducir


8

este: SNMP-servidor engineID locales 1234

Si selecciona remoto, especifique la direccin IP del dispositivo que contiene la copia remota de SNMP y el Usuario opcional puerto Datagram Protocol (UDP) en el dispositivo remoto. El valor por defecto es 162.

Paso 3 nombregrupo grupo SNMP-servidor{v1 | v2c |

v3 {auth | noauth | priv}} [leer readview] [Escribir WriteView][Notificar notifyview] [accesoacc

ess-list]

Configurar un nuevo grupo SNMP en el dispositivo remoto.

Por nombre de grupo, especifique el nombre del grupo.

Especifique un modelo de seguridad:

- v1 es el menos seguro de los posibles modelos de seguridad.

- v2c es el modelo de segundo menos seguro. Se permite la transmisin de informa y nmeros enteros doble de la anchura normal.

- v3, el ms seguro, requiere que seleccione un nivel de autenticacin:

autenticacin: permite que el Message Digest 5 (MD5) y el algoritmo (SHA) de autenticacin de paquetes Secure Hash.

-Permite noauth el nivel de seguridad noAuthNoPriv.Este es el valor predeterminado si no


9

se especifica ninguna palabra clave.

priv -Permite Data Encryption Standard (DES) el cifrado de paquetes (tambin llamada la privacidad).

Nota La palabra clave priv slo est disponible cuando se instala la imagen de software criptogrfico.

(Opcional) Introduzca leer readview con una cadena (no ms de 64 caracteres) que es el nombre de la vista en la que slo se puede ver el contenido del agente.

(Opcional) Introduzca escribir WriteView con una cadena (no ms de 64 caracteres) que es el nombre de la vista en la que se introducen los datos y configurar el contenido del agente.

(Opcional) Introduzca notificar notifyview con una cadena (no ms de 64 caracteres) que es el nombre de la vista en la que se especifica un notificar, informar o trampa.

(Opcional) Introduzca el acceso access-list con una cadena (no ms de 64 caracteres) que es el nombre de la lista de acceso.

Paso 4 nombre de usuario del usuario SNMP-servidor nombregrupo

{hostremoto [udp-port puerto]} {v1 [acceso access-

list] | v2c [accesoaccess-list] | v3 [encrypted] [accesoaccess-

Aadir un nuevo usuario para un grupo SNMP.

El nombre de usuario es el nombre del usuario en


10

list] [auth {md5 | sha} auth-password]} [priv {des | 3DES | aes

{128 | 192 | 256}} priv-clave]

el host que conecta con el agente.

El nombre de grupo es el nombre del grupo al que est asociado el usuario.

Ingresa a distancia para especificar una entidad SNMP remoto al que pertenece el usuario y el nombre de host o IP de esa entidad con el nmero de puerto UDP opcional. El valor por defecto es 162.

Introduce el nmero de versin de SNMP (v1, v2c, o v3). Si introduce v3, tiene las siguientes opciones adicionales:

- cifrado especifica que la contrasea aparecer en un formato encriptado. Esta palabra clave slo est disponible cuando se especifica la palabra clave v3.

- auth es una sesin de ajuste de nivel de autenticacin que puede ser o bien el HMAC-MD5-96 (md5) o la(sha) nivel de autenticacin HMAC-SHA-96 y requiere una contrasea-aut cadena de contrasea (que no exceda de 64 caracteres).

Si introduce v3 y el conmutador est ejecutando la imagen de software criptogrfico, tambin puede configurar un (priv)algoritmo de


11

cifrado y la cadena de contrasea priv-claveprivada (que no exceda de 64 caracteres).

- priv especifica el modelo de seguridad basada en el usuario (USM).

- des especifica el uso del algoritmo DES de 56 bits.

- 3DES especifica el uso del algoritmo DES de 168 bits.

- aes especifica el uso del algoritmo DES. Usted debe seleccionar de 128 bits, 192 bits o 256 bits.

(Opcional) Introduzca el acceso access-list con una cadena (no ms de 64 caracteres) que es el nombre de la lista de acceso.


Paso 6 show running-config Verifique sus entradas.

Nota Para mostrar informacin acerca de autenticacinSNMPv3 | noauth | configuracin del modo priv, debe introducir el comando EXEC privilegiado show snmp user.

Paso 7 copy running-config startup-config (Opcional) Guarde sus entradas en el archivo de configuracin.


12

MIB y OID

MIB

La MIB, es una base de datos donde se almacenan los objetos de informacin de

gestin. Tanto el agente como la MIB estn dentro del dispositivo gestionado.

El agente obtiene variables de la MIB cuyos valores sern solicitados o modificados

mediante el gestor SNMP. Es decir, el agente responde a solicitudes de los gestores.

El agente adems podr enviar a los gestores notificaciones no solicitadas, en forma

de informes o interrupciones (traps) para informar de los eventos de la red.

Despus de esta pequea introduccin al protocolo, haremos una demostracin de

cmo configurarlo en un router cisco.

Lo primero que se hace es definir una comunidad:

Router(config)#snmp-server community nombre_comunidad[view nombre_vista ]

[ro|rw] [nmero_de_acl]

Por defecto si no se especifican ninguno de los parmetros opcionales [], se facilita

el acceso de slo lectura a toda la MIB.

Veamos un ejemplo de configuracin:

Router(config)#snmp-server community C0MUNID4DSNMP ro 8

Router(config)# access-list 8 permit host 172.20.10.1

Cmo no le hemos configurado ninguna vista acceder a toda la MIB. Pero slo se

lo vamos a permitir a la IP 172.20.10.1. (Gestor) Al emplear el comando snmp-server

community se habilitan automticamente SNMPv1 y SNMPv2.

En el caso de que queramos hacer que el agente enve interrupciones o informes a

un host, deberemos configurar los siguientes comandos:

Router(config)# snmp-server host NombreHost [traps|informs]

[version {1 | 2c | 3 [auth | noauth | priv]} ]NombreComunidad

[udp-port numero_puerto] [tipo_notificacin]

Con NombreHost identificamos su nombre o su direccin IP. (Gestor) Si no le

especificamos los datos opcionales enviar por defecto traps. El puerto a donde irn

dirigidas las notificaciones ser el 162 de UDP y las notificaciones sern de todos los

tipos.

Es posible introducir varios comandos SNMP-server host para dirigir las notificaciones hacia distintas mquinas.


13

OID

Un OID, o Identificador de Objeto, es una secuencia de nmeros que se asignan

jerrquicamente y que permite identificar objetos en la red, siendo usados con gran

cantidad de protocolos.

Los Identificadores de Objeto se utilizan en gran variedad de protocolos, aunque

quiz los usos ms comunes son los siguientes:

Objetos y atributos que se gestionan va SNMP. Clases, sintaxis y atributos en el Directorio (LDAP) rboles de indexacin en CIP (Common Indexing Protocol) Elementos dentro de una PKI (Public Key Infraestructure): Identificacin

unvoca de Autoridades de Certificacin, Polticas de Certificacin y

Certification Policy Statements (CPS), atributos, nuevas extensiones, etc

Cambios en las versiones 1,2 y 3.

Versin 1

SNMP versin 1 (SNMPv1) es la implementacin inicial del protocolo SNMP. SNMPv1

opera a travs de protocolos como el User Datagram Protocol (UDP), Protocolo de

Internet (IP), servicio de red sin conexin OSI (CLNS), AppleTalk Protocolo de

datagramas de entrega (DDP), y Novell Internet Packet Exchange (IPX).

Ha sido criticado por su falta de seguridad. La autenticacin de los clientes se realiza slo por una "cadena de

comunidad", en efecto, un tipo de contrasea, que se transmite en texto

plano.

Versin 2

SNMPv2 revisa la versin 1 e incluye mejoras en las reas de comunicaciones de

rendimiento, la seguridad, confidencialidad e-manager-a gerente.

Introdujo GetBulkRequest , una alternativa a GetNextRequests iterativos para recuperar grandes cantidades de datos de gestin en una sola

solicitudSNMPv1 y SNMPv2c interoperabilidad

SNMPv2c es incompatible con SNMPv1 en dos reas clave: los formatos de mensajes y operaciones de protocolo.

Mensajes SNMPv2c utilizan diferentes cabeceras y la unidad de datos de protocolo (PDU) formatos de mensajes SNMPv1.

SNMPv2c tambin utiliza dos operaciones de protocolo que no estn especificados en SNMPv1.


14

Versin 3

Aunque SNMPv3 no realiza cambios en el protocolo, aparte de la adicin de seguridad criptogrfica, se ve muy diferente debido a las convenciones nuevo

texto, los conceptos y la terminologa.

SNMPv3 aadi principalmente la seguridad * Mejoras de configuracin remota SNMP. SNMPv3 se ocupa de cuestiones relacionadas con el despliegue a gran escala

de SNMP, contabilidad y gestin de fallos.

Actualmente, SNMP se utiliza principalmente para el control y la gestin del rendimiento.

SNMPv3 define una versin segura de SNMP y tambin facilita la configuracin remota de las entidades SNMP. SNMPv3 ofrece un entorno seguro para la

gestin de sistemas.

Proporciona caractersticas de seguridad importantes: Confidencialidad - El cifrado de paquetes para impedir la obtencin de una

fuente no autorizada.

Integridad - Integridad de los mensajes para asegurar que un paquete no ha sido alterado durante el trnsito que incluye un mecanismo de proteccin de

repeticin de paquetes opcionales.

Autenticacin - para comprobar que el mensaje es de una fuente vlida.

Que se requiere instalar para monitorear SNMP desde servidores LINUX

Primero instalaremos los paquetes del servidor snmp

.#apt-get install snmpd

Ahora uniremos el equipo deban a una comunidad existente. Vamos al archivo:

# nano /etc/snmp/snmpd.conf

Y buscamos las siguientes lneas

# sec.name source community

com2sec notConfigUser default public

Public es el nombre de la comunidad al que va pertenecer nuestro equipo

Despus buscamos la siguiente lnea# sec.model sec.nameY agregamos debajo las

siguientes lneas.

group mygroup v1 grupinho

group mygroup v2c grupinho

group mygroup usm grupinho

(grupinho seria el nombre del grupo)

Y agregamos debajo la siguiente lnea, que sirve para definirle a la comunidad public

los permisos de solo lectura.


15

rocomumunity public

En este punto el archivo debera lucir de este modo:

Por ultimo iniciamos el demonio snmpd, para que nuestra configuracin tenga

efecto.

#/etc/init.d/snmpd start

Nota: Si queremos comprobar que todo haya salido bien, podemos descargar la

herramienta scli.

#apt-get install scli

Despus de que hayamos instalado la herramienta scli, procedemos a ejecutar el

siguiente el comando.

# scli localhost

Y nos debe aparecer algo similar a esto.

100-scli versin 0.2.12 (c) 2001-2002 juergen Schoenwaelder

100-scli trying SNMPv2c . . . good

(localhost) scli >

Y escribimos la palabra monitor

Y nos aparecern unos datos bsicos.


16

Syslog

Es un estndar de facto para el envo de mensajes de registro en una red informtica

IP. Por syslog se conoce tanto al protocolo de red como a la aplicacin o biblioteca

que enva los mensajes de registro.

Un mensaje de registro suele tener informacin sobre la seguridad del sistema,

aunque puede contener cualquier informacin. Junto con cada mensaje se incluye

la fecha y hora del envo.

Estructura

El mensaje enviado se compone de tres campos:

Prioridad Cabecera Texto

Entre todos no han de sumar ms de 1024 bytes, pero no hay longitud mnima.

Tipos de Mensajes

El protocolo syslog se utiliza para que los dispositivos Cisco puedan enviar mensajes

no solicitados a una estacin de administracin de la red.

Cada mensaje de syslog registrado est asociado a una marca horaria, un equipo,

una severidad y un mensaje textual de registro. Estos mensajes son a veces el nico

medio para diagnosticar las fallas de un dispositivo.

Cdigo de Severidad y Prioridad

El nivel de severidad indica la importancia del mensaje de error. Existen ocho niveles

de severidad, entre el 0 y el 7. El nivel 0 (cero) es el ms crtico y el nivel 7 es el menos

crtico. Los niveles son los siguientes:

Para conocer la prioridad final de un mensaje, se aplica la siguiente frmula:

Prioridad = Recurso * 8 + Severidad

Nivel Significado

0 Emergencia

1 Alerta

2 Crtico

3 Error

4 Peligro

5 Aviso

6 Informacin

7 Depuracin


17

Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia),

tendra Prioridad igual a 0*8+0 = 0. Uno de FTP (11) de tipo informacin (6) tendra

11*8+6=94. Como se puede ver, valores ms bajos indican mayor prioridad.

A continuacin se pone la tabla de recursos para poder obtener la prioridad.

Valor Recurso perteneciente a:

0 Mensajes del kernel

1 Mensajes del nivel de usuario

2 Sistema de correo

3 Demonios de sistema

4 Seguridad/Autorizacin

5 Mensajes generados internamente por syslogd

6 Subsistema de impresin

7 Subsistema de noticias sobre la red

8 Subsistema UUCP

9 Demonio de reloj

10 Seguridad/Autorizacin

11 Demonio de FTP

12 Subsistema de NTP

13 Inspeccin del registro

14 Alerta sobre el registro

15 Demonio de reloj

16 Uso local 0

17 Uso local 1

18 Uso local 2

19 Uso local 3

20 Uso local 4

21 Uso local 5

22 Uso local 6

23 Uso local 7

Que se requiere instalar para capturar mensajes de Syslog desde servidor Linux

A continuacin vamos a explicar cmo instalar el servidor de log syslog gratuito

Rsyslog en un equipo con Ubuntu Server 12, en primer lugar instalaremos la clave

necesaria con el siguiente comando Linux:

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com AEF0CF8E


18

A continuacin editaremos el fichero sources.list y aadiremos una lnea nueva, para

ello ejecutaremos el comando Linux:

sudo nano /etc/apt/sources.list

Aadiremos las siguientes lneas al final del fichero:

deb http://ubuntu.adiscon.com/v7-devel precise/

deb-src http://ubuntu.adiscon.com/v7-devel precise/

Guardaremos los cambios pulsando Control + O y cerraremos la edicin pulsando

Control + X:

Actualizaremos el sistema y la lista de paquetes con el comando Linux:

sudo apt-get update && sudo apt-get upgrade

Tras concluir la actualizacin instalaremos Rsyslog con el comando Linux:

sudo apt-get install rsyslog

No solicitar confirmacin para instalar, pulsaremos la tecla "s" e INTRO:

Ahora instalaremos el soporte de Rsyslog para bases de datos MySQL con el

comando Linux:

install rsyslog-mysql


19

Se asignan contraseas a lo que se nos pida tratando de recordar ambas para

cuando las ocupemos.

Accediendo con MySQL Administrator, MySQL MySQL Workbench o cualquier

software para acceder a MySQL como AjpdSoft Administracin Bases de Datos

podremos consultar el esquema creado por rsyslog-mysql "Syslog", las tablas

"SystemEvents" y "SystemEventsProperties":

Y el usuario "rsyslog":

El systema Rsyslog ya habr empezado a guardar los eventos de log en MySQL,

podremos consultarlos con MySQL Administrator pulsando sobre la tabla

"SystemEvents" con el botn derecho del ratn y seleccionando "Edit Table Data":


20

Se abrir MySQL Query Browser y mostrar los registros de log que Rsyslog ya ha

guardado en la tabla:

Las consultas SQL de creacin de las dos tablas del catlogo Syslog de MySQL:

CREATE TABLE `SystemEvents` (

ÌD` int(10) unsigned NOT NULL AUTO_INCREMENT,

`CustomerID` bigint(20) DEFAULT NULL,

`ReceivedAt` datetime DEFAULT NULL,

`DeviceReportedTime` datetime DEFAULT NULL,

`Facility` smallint(6) DEFAULT NULL,

`Priority` smallint(6) DEFAULT NULL,

`FromHost` varchar(60) DEFAULT NULL,

`Message` text,

`NTSeverity` int(11) DEFAULT NULL,

Ìmportance` int(11) DEFAULT NULL,

ÈventSource` varchar(60) DEFAULT NULL, ÈventUser` varchar(60) DEFAULT NULL,

ÈventCategory` int(11) DEFAULT NULL,

ÈventID` int(11) DEFAULT NULL,

ÈventBinaryData` text,

`MaxAvailable` int(11) DEFAULT NULL,

`CurrUsage` int(11) DEFAULT NULL,

`MinUsage` int(11) DEFAULT NULL,

`MaxUsage` int(11) DEFAULT NULL,

ÌnfoUnitID` int(11) DEFAULT NULL,

`SysLogTag` varchar(60) DEFAULT NULL,

ÈventLogType` varchar(60) DEFAULT NULL,

`GenericFileName` varchar(60) DEFAULT NULL,

`SystemID` int(11) DEFAULT NULL,

PRIMARY KEY (ÌD`) );

CREATE TABLE `SystemEventsProperties` (

ÌD` int(10) unsigned NOT NULL AUTO_INCREMENT,

`SystemEventID` int(11) DEFAULT NULL,

`ParamName` varchar(255) DEFAULT NULL,

`ParamValue` text,

PRIMARY KEY (ÌD`) );


21

Netflow

NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar

informacin sobre trfico IP. Netflow se ha convertido en un estndar de la industria

para monitorizacin de trfico de red, y actualmente est soportado para varias

plataformas adems de Cisco IOS y NXOS, como por ejemplo en dispositivos de

fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux,

FreeBSD, NetBSD y OpenBSD.

Estructura

struct netflow_hdr {

unsigned short int version;

unsigned short int count;

unsigned long int sys_up_time;

unsigned long int unix_secs;

unsigned long int sequence_number;

unsigned long int source_id;

};

Configuracin en Equipos Cisco

Para configurar NetFlow, lleve a cabo las tareas que se describen en las secciones

siguientes. Se requiere que la tarea en la primera seccin; las tareas restantes son

opcionales.

Habilitacin de NetFlow (Obligatorio) Exportacin de Estadsticas NetFlow (Opcional) Personalizacin del nmero de entradas en la cach NetFlow (Opcional) Gestin de Estadsticas NetFlow (Opcional) Configuracin de IP distribuida y NetFlow en VIP Interfaces (Opcional) Configuracin de un cach de agregacin (Opcional) Configuracin de un prefijo de NetFlow mnimo Mscara de Agregacin

basada en router (Opcional)

Configurar NetFlow Policy Routing (Opcional).

Habilitacin de NetFlow

Para habilitar NetFlow, primero configure el router para el enrutamiento IP como se

describe en los captulos de configuracin IP en la Gua de configuracin IP de

Cisco IOS, el Volumen 2 de 3: Protocolos de enrutamiento. Despus de configurar el

enrutamiento IP, puedes usar los siguientes comandos que comienzan en el modo

de configuracin global:


22

Comando Propsito

Paso 1 Router (config) # interface tipo ranura / puerto /adaptador de puerto (Cisco 7500 routers de la serie)

o

Router (config) # Tipo de interfaz ranura / puerto(Cisco 7200 routers de la serie)

Especifica la interfaz, y entrar en el modo de configuracin de interfaz.

Paso 2 Router (config-if) # ip flujo de ruta-cache

Permite NetFlow para el enrutamiento IP.

Configurar equipo en Linux para capturar y almacenar Netflow en base de datos

Realice esta tarea de configurar el Netflow y la exportacin de datos de NetFlow

usando el formato de la exportacin de la versin 9.

PASOS SUMARIOS

1) enable

2) configure terminal

3) ip flow-export destination {ip-address | hostname} udp-port

4) Relance el paso 3 una vez para configurar un destino adicional de la

exportacin.

5) ip flow-export version 9

6) interface interface-type interface-number

7) ip flow {ingress | egress}

8) exit

9) Relance los pasos 6 a 8 para habilitar el Netflow en otras interfaces.

10) end

Verificar ese Netflow es estadsticas de Netflow operativas y de la visin

Para verificar que el Netflow est trabajando correctamente, realice esta tarea

optativa.

PASOS SUMARIOS

1. show ip flow interface

2. show ip cache flow

3. show ip cache verbose flow

Protocolos y Herramientas de Monitoreo

Documents

Transcript of Protocolos y Herramientas de Monitoreo