Sự tiện lợi, nhanh chóng và hiệu quả trong việc giám sát các hoạt động trên mạng là một nhu cầu rất lớn đối với những người làm quản trị hệ thống mạng. Nhất là đối với những hệ thống mạng lớn thì nhu cầu này càng trở nên một công cụ không thể thiếu. Trong phạm vi đồ án môn học thực tập cơ sở chuyên ngành, nhóm chúng em nhận đề tài Phát triển hệ thống giám sát mạng dựa trên phần mềm mã nguồn mở Cacti, trong quá trình nghiên cứu ngoài một số thuận lợi như rất nhiều tài liệu trên mạng và sự chỉ bảo nhiệt tình của thầy giáo bộ môn, sự nhiệt tình của các thành viên trong nhóm … thì vẫn tồn tại một số khó khăn như phải triển khai thử trên hệ điều hành CentOS và nhiều nguồn tài liệu không chính thống, hạn chế về khả năng tự nghiên cứu của mỗi thành viên … Tuy vậy, trong quá trình thực hiện nhóm cũng đã tìm hiểu được tổng quan về giao thức SNMP và cách triển khai quản lý hệ thống mạng với Cacti trên hệ điều hành CentOS.
Các bài toàn đặt ra
Mở đầu, em sẽ đề cập đến 3 bài toán thuộc hàng phổ biến nhất trong các ứng dụng của SNMP
Bài toán thứ nhất : Giám sát tài nguyên máy chủ
Trong trường hợp bạn quản lý hàng ngàn máy chủ với các hệ điều hành khác nhau, việc giám sát tài nguyên của tất cả máy chủ là rất cần thiết để phát hiện kịp thời những máy chủ có nguy cơ quá tải Giám sát tài nguyên máy chủ bao gồm việc theo dõi các chỉ số quan trọng như tỷ lệ sử dụng CPU, dung lượng ổ cứng còn lại, và tỷ lệ sử dụng bộ nhớ RAM.
+ Bạn không thể kết nối vào từng máy để xem vì số lượng máy nhiều và vì các HĐH khác nhau có cách thức kiểm tra khác nhau
Để khắc phục vấn đề này, bạn có thể sử dụng ứng dụng SNMP để giám sát máy chủ, cho phép thu thập thông tin từ nhiều hệ điều hành khác nhau Ứng dụng này có giao diện tương tự như hình dưới đây:
Bài toán thứ hai : Giám sát lưu lượng trên các port của switch, router
Giám sát lưu lượng trên hàng ngàn thiết bị mạng từ nhiều hãng khác nhau là một thách thức lớn, đặc biệt khi mỗi thiết bị có nhiều port Để đảm bảo hoạt động liên tục 24/24 và phát hiện kịp thời các port sắp quá tải, việc triển khai giải pháp giám sát hiệu quả là rất cần thiết.
+ Bạn cũng không thể kết nối vào từng thiết bị để gõ lệnh lấy thông tin vì thiết bị của các hãng khác nhau có lệnh khác nhau
Để giải quyết vấn đề giám sát lưu lượng, bạn có thể sử dụng ứng dụng SNMP, giúp thu thập thông tin lưu lượng truyền qua các thiết bị từ nhiều nhà sản xuất khác nhau Ứng dụng này sẽ cung cấp cái nhìn tổng quan về lưu lượng mạng của bạn.
Bài toán thứ ba : Hệ thống tự động cảnh báo sự cố tức thời
Quản lý hàng ngàn thiết bị mạng có thể gặp nhiều sự cố như port down, đăng nhập sai thông tin hoặc thiết bị bị khởi động lại Để người quản trị nắm bắt kịp thời các sự kiện này ngay khi chúng xảy ra, việc thiết lập hệ thống giám sát và cảnh báo là rất quan trọng.
Vấn đề này khác biệt so với hai vấn đề trước đó, bởi vì nó không chỉ liên quan đến việc cập nhật thông tin mà còn đề cập đến cách nhận biết những sự kiện chưa xảy ra Trong khi hai vấn đề trước tập trung vào việc lấy thông tin đã biết, vấn đề này yêu cầu khả năng phát hiện và hiểu những điều chưa được dự đoán.
Để giải quyết vấn đề này, bạn có thể sử dụng ứng dụng thu thập sự kiện và cảnh báo qua SNMP, cho phép nhận thông báo từ tất cả các thiết bị và hiển thị chúng trên màn hình hoặc gửi email cho quản trị viên Ứng dụng này có giao diện như hình dưới đây.
Đối tượng và mục tiêu của đề tài
Đối tượng của đề tài:
Chương trình phần mềm mã nguồn mở CACTI Đề tài được thực hiện nhắm mục đích:
Khảo sát các lỗ hổng bảo mật thông tin giúp xác định những nguy cơ có thể dẫn đến mất an toàn dữ liệu Việc nhận diện các mối đe dọa này là rất quan trọng để bảo vệ hệ thống mạng khỏi các cuộc xâm nhập và tấn công.
Để giám sát hệ thống mạng hiệu quả, cần triển khai các giải pháp như phát hiện xâm nhập và theo dõi hoạt động của các thiết bị mạng như Router, Switch, Server, cùng với việc giám sát các dịch vụ mạng đang được sử dụng.
Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS), Email, Web.
Nội dung nghiên cứu
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái phép và giám sát lưu lượng mạng bao gồm:
+ Nghiên cứu các khả năng tấn công mạng
+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống mạng
+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn công mạng
+ Nghiên cứu khả năng giám sát hoạt động của các thiết bị mạng và dịch vụ mạng trong toàn hệ thống mạng
Đề xuất mô hình giám sát hoạt động của thiết bị mạng nhằm phát hiện và phòng chống xâm nhập, tích hợp từ các chương trình mã nguồn mở.
Thực hiện cài đặt giải pháp giám sát hoạt động của thiết bị và dịch vụ mạng, đồng thời phát hiện và phòng chống xâm nhập trái phép bằng cách sử dụng chương trình mã nguồn mở CACTI Giải pháp này cung cấp cảnh báo cho quản trị viên qua SMS, Email và Web, giúp nâng cao hiệu quả quản lý và bảo mật hệ thống mạng.
Bố cục luận văn
Phần bố cục của luận văn được trình bày thành 3 chương:
Chương 1: Tổng quan về hệ thống giám sát mạng
Chương 2: Hệ thống giám sát mạng CACTI
TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG
Tổng quan
Hệ thống giám sát mạng (Network monitoring) là công cụ quan trọng để theo dõi hiệu suất và tình trạng của các thiết bị trong mạng Nó bao gồm phần mềm ghi nhận thông tin, giúp quản trị viên dễ dàng theo dõi và quản lý các sự cố Phần mềm này còn có khả năng gửi thông báo và cảnh báo qua SMS, Email và các dịch vụ gửi tin nhắn trực tuyến, đảm bảo rằng quản trị viên luôn được cập nhật về các nguy cơ sự cố hoặc sự cố đang diễn ra.
Hệ thống mạng hoạt động hiệu quả nhờ vào sự kết hợp của nhiều thành phần khác nhau, mỗi thành phần đều hoạt động trên các nền tảng và môi trường đa dạng.
• Các thiết bị hạ tầng mạng: Router, Switch, Hub,…
• Các ứng dụng chạy trên các máy chủ và máy trạm
Là một phần thiết yếu của hệ thống mạng, nó ghi lại một cách chính xác tất cả các hoạt động, tình trạng vận hành của hệ thống, cũng như thông tin về các ứng dụng và thiết bị đang hoạt động trong hệ thống.
Các lọa log chính trong hệ thống:
• Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
• Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện Log ứng dụng, log của hệ điều hành…
• Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, switch, IDS, IPS…
Log là công cụ quan trọng để giám sát và khắc phục sự cố trong hệ thống mạng Tuy nhiên, việc phân tích Log trở nên khó khăn trong các hệ thống lớn với nhiều ứng dụng và lượng truy cập cao.
Giám sát an ninh mạng (Network Security Mornitoring – NSM)
Giám sát an ninh mạng là quá trình thu thập và phân tích thông tin từ các thành phần của hệ thống nhằm đánh giá tình hình an ninh và cung cấp cảnh báo cho người quản trị.
10 Đối tượng của việc giám sát an ninh mạng là tất cả các thành phần, thiết bị trọng hệ thống mạng, bao gồm:
Các yếu tố cơ bản và nhiệm vụ của giám sát mạng
Để đạt hiệu quả tối ưu trong giám sát mạng, việc hiểu rõ các yếu tố cốt lõi đặc thù của công việc là rất quan trọng.
- Nắm vững những công cụ , thiết bị, phần mềm phục vụ cho công việc giám sát, trong đó bao gồm phần mềm nội bộ và phần mềm mở
- Nắm vững những bộ phận, đơn vị, hệ thống, dịch vụ và thiết bị phục vụ cho việc giám sát
Để nâng cao hiệu quả trong việc xử lý và phân tích kết quả đánh giá, việc sử dụng các công cụ và giải pháp chuyên dụng là rất quan trọng Một số công cụ tiêu biểu như Snort, Wireshark, Nessus và Nmap có thể hỗ trợ đáng kể trong quá trình này.
- Đảm bảo nhân viên có kiến thức tốt về lĩnh vực này
Hệ thống giám sát mạng là thành phần thiết yếu trong hạ tầng công nghệ thông tin của các tổ chức, giúp thu thập, chuẩn hóa, lưu trữ và phân tích các sự kiện an toàn mạng trong hệ thống CNTT.
Hệ thống giám sát an toàn mạng đóng vai trò quan trọng trong việc phát hiện sớm các cuộc tấn công mạng, điểm yếu và lỗ hổng bảo mật của thiết bị, ứng dụng và dịch vụ Nó giúp phát hiện kịp thời sự bùng nổ virus, máy tính nhiễm mã độc và các thiết bị nghi ngờ thuộc mạng máy tính ma (botnet).
Các bước thực hiện của một hệ thống NSM
Thu thập dữ liệu (Collection)
Việc thu thập dữ liệu liên quan đến tình trạng hoạt động của thiết bị trong hệ thống mạng là rất quan trọng Trong các hệ thống mạng lớn, các dịch vụ và thiết bị thường không được đặt trên cùng một máy, mà nằm trên các máy chủ và hệ thống con riêng biệt Điều này khiến cho các thành phần hệ thống hoạt động trên những nền tảng hoàn toàn khác nhau.
Mô hình Log tập trung được giới thiệu nhằm giải quyết vấn đề phân tích và xử lý Log Theo đó, tất cả các Log sẽ được chuyển về một trung tâm duy nhất để thực hiện việc phân tích và xử lý hiệu quả.
Each device has its own unique characteristics, leading to different types of logs For instance, network devices such as routers and switches generate specific logs, while intrusion detection systems (IDS), intrusion prevention systems (IPS), and tools like Snort produce their own logs Additionally, web servers, application servers, Windows server event logs, and Unix/Linux logs also have distinct formats and purposes.
Cách thức thu thập dữ liệu trong hệ thống NSM
Phương pháp đẩy (Push Method) cho phép các sự kiện từ thiết bị, máy trạm và server được tự động chuyển đến các Collector theo thời gian thực hoặc theo khoảng thời gian được cấu hình Các Collector của Log Server sẽ lắng nghe và nhận các sự kiện ngay khi chúng xảy ra, chẳng hạn như NetFlow, Syslog-ng Message (bao gồm Syslog-Agent và Syslog-Server), và Access-list (ACL) logs.
Phương pháp kéo (Pull Method) cho phép các Collector thu thập và lưu trữ các sự kiện phát sinh trực tiếp trên các thiết bị Hai giao thức phổ biến được sử dụng trong quá trình này là Security Device Event Exchange (SDEE), bao gồm các thiết bị trong hệ thống phát hiện xâm nhập do ICSA phát triển, và Simple Network Management Protocol (SNMP), giao thức hỗ trợ quản lý thiết bị từ xa.
Sau khi thu thập thông tin về hệ thống, bước tiếp theo là phân tích dữ liệu, bao gồm chỉ mục hóa, phát hiện bất thường và mối đe dọa tiềm ẩn Việc phân tích dựa trên thông tin lưu lượng truy cập, trạng thái truy cập và định dạng yêu cầu là rất quan trọng Chẳng hạn, nếu lưu lượng truy cập tăng đột biến vào một thời điểm nhất định, đây có thể là dấu hiệu cho thấy cần phải sử dụng công nghệ Big Data để xử lý và đưa ra các giải pháp kịp thời.
Hình 1 2: Điều gì đã xảy ra tại thời điểm đó?
Sau khi phân tích dữ liệu từ thông tin thu thập, bước tiếp theo là đánh giá và cung cấp cảnh báo cho người quản trị Điều này giúp thực hiện các biện pháp cần thiết để đối phó với các mối đe dọa và khắc phục sự cố có thể xảy ra.
Cảnh báo sự cố có thể được gửi qua email, SMS, hoặc thực thi mã script để giảm thiểu hậu quả Khi sự cố xảy ra, hệ thống tự động thông báo cho người quản trị qua email và SMS, đồng thời có khả năng chạy script để thêm địa chỉ IP nghi ngờ vào danh sách đen của Firewall Điều này yêu cầu lập trình viên phải có kiến thức sâu và kinh nghiệm vững về hệ thống.
Mô hình kiến trúc mạng OSI
Mô hình OSI (Mô hình tham chiếu kết nối các hệ thống mở) là một thiết kế theo nguyên lý tầng cấp, giúp lý giải kỹ thuật kết nối truyền thông giữa các máy tính và thiết kế giao thức mạng Phát triển trong khuôn khổ kế hoạch "Kết nối các hệ thống mở" do ISO và IUT-T khởi xướng, mô hình này còn được gọi là Mô hình bảy tầng của OSI Nó đóng vai trò quan trọng trong việc kết nối các hệ thống mở, cho phép các ứng dụng phân tán có thể truyền thông tin với nhau một cách hiệu quả.
Hình 1 3: Mô hình kiến trúc mạng OSI
Chức năng của các tầng trong mô hình OSI
Tầng 1: Tầng vật lý (Physical Layer)
Tầng vật lý chịu trách nhiệm truyền tải các bit giữa các máy thông qua các đường truyền vật lý Tầng này kết nối các giao diện hàm cơ, quang và điện với cáp, đồng thời chuyển tải tín hiệu dữ liệu được tạo ra bởi các tầng phía trên.
- Việc thiết kế phải đảm bảo nếu bên phát gửi bit 1 thì bên thu cũng phải nhận được bit 1 chứ không phải bit 0
- Tầng này phải quy định rõ mức điện áp biểu diễn dữ liệu 1 và 0 là bao nhiêu Vôn trong vòng bao nhiêu giây (v/s)
- Chiều truyền tin là 1 hay 2 chiều, cách thức kết nối và hủy bỏ kết nối
- Định nghĩa cách kết nối cáp với card mạng: bộ nối có bao nhiêu chân, chức năng của mỗi chân
Thiết kế tầng vật lý cần phải xử lý các vấn đề liên quan đến ghép nối cơ và điện, đồng thời phát triển các hàm và thủ tục để truy cập vào đường truyền cũng như truyền tải các bit dữ liệu.
Tầng 2: Tầng liên kết dữ liệu (Data-link Layer)
Cung cấp phương tiện truyền thông tin qua các liên kết vật lý đảm bảo tính tin cậy, bao gồm việc gửi các khối dữ liệu với cơ chế đồng bộ hóa, kiểm soát lỗi và kiểm soát luồng dữ liệu cần thiết.
- Các bước tầng liên kết dữ liệu thực hiện:
Chia nhỏ dữ liệu thành các khối Frame có kích thước vài trăm bytes, đồng thời thêm các nhóm bit đặc biệt vào đầu và cuối mỗi Frame để tạo ra ranh giới giữa các khối dữ liệu.
+ Trên các đường truyền vật lý luôn có lỗi nên tầng này phải giải quyết vấn đề sửa lỗi (do bản tin bị hỏng, mất và truyền lại)
+ Giữ cho sự đồng bộ tốc độ giữa bên phát và bên thu
Tầng liên kết dữ liệu đóng vai trò quan trọng trong việc chuyển khung dữ liệu không lỗi giữa các máy tính thông qua tầng vật lý Tầng này đảm bảo rằng dữ liệu được truyền tải gần như không có lỗi qua các liên kết mạng, góp phần nâng cao hiệu suất và độ tin cậy của quá trình truyền thông.
Tầng 3: Tầng mạng ( Network Layer)
- Lập địa chỉ các thông điệp, diễn dịch địa chỉ và tên logic thành địa chỉ vật lý
Kiểm soát và điều khiển đường truyền là quá trình xác định các bó tin di chuyển từ nguồn đến đích Trong mạng ít thay đổi, các con đường thường cố định, trong khi với mạng động, các con đường được xác định trước khi bắt đầu cuộc giao tiếp Đặc biệt, các con đường này có thể thay đổi tùy theo trạng thái tải tại thời điểm đó.
Quản lý lưu lượng mạng là quá trình quan trọng để đảm bảo hiệu suất tối ưu, bao gồm việc chuyển đổi gói tin, định tuyến thông minh và kiểm soát tình trạng tắc nghẽn dữ liệu Khi nhiều gói tin được gửi đồng thời trên đường truyền, tắc nghẽn có thể xảy ra, ảnh hưởng đến tốc độ và độ tin cậy của mạng Việc áp dụng các biện pháp quản lý lưu lượng hiệu quả giúp giảm thiểu tình trạng này, nâng cao trải nghiệm người dùng và tối ưu hóa tài nguyên mạng.
- Kiểm soát lương dữ liệu và cứt hợp dữ liệu (nếu cần)
- Chú ý: Trong mạng phân tán, nhiệm vụ của tầng này rất đơn giản, thậm chí có thể không tồn tại
Tầng 4: Tầng giao vận (Transport Layer)
- Thực hiện việc truyền dữ liệu giữa hai đầu nút (end-to-end)
Kiểm soát lỗi và kiểm soát luồng dữ liệu giữa các máy là rất quan trọng để đảm bảo rằng gói tin được truyền đi một cách chính xác, không bị lỗi, tuân thủ trình tự và không bị mất mát hay sao chép.
Thực hiện ghép kênh và phân kênh cắt hợp dữ liệu khi cần thiết Đóng gói thông điệp bằng cách chia thông điệp dài thành nhiều gói tin nhỏ và gộp các gói tin này thành một bộ hoàn chỉnh.
Tầng này thiết lập kết nối cho mọi yêu cầu từ tầng trên Khi nhận nhiều yêu cầu với lưu lượng cao, nó có khả năng tạo ra nhiều kết nối đồng thời và gửi đi nhiều gói tin qua đường truyền.
Tầng 5: Tầng Phiên (Session Layer)
Cung cấp phương tiện truyền thông giữa các ứng dụng cho phép người dùng trên các thiết bị khác nhau thiết lập, duy trì, hủy bỏ và đồng bộ hóa các phiên truyền thông, giúp kết nối hiệu quả hơn.
Quản lý thẻ bài trong các nghi thức kết nối là cần thiết để truyền thông tin không thời gian Tầng phiên cung cấp một thẻ bài, cho phép trao đổi giữa các bên Chỉ bên nào giữ thẻ bài mới có quyền thực hiện các thao tác quan trọng, giúp đảm bảo tính bảo mật và hiệu quả trong quá trình giao tiếp.
Khi truyền tải các tập tin dài, vấn đề đồng bộ trở nên quan trọng Tầng này sẽ chèn thêm các điểm kiểm tra vào luồng dữ liệu Nếu phát hiện lỗi, chỉ cần truyền lại dữ liệu từ điểm kiểm tra cuối cùng, giúp tiết kiệm thời gian và băng thông.
Tầng 6: Tầng trình diễn (Presentation Player)
Lớp trình diễn là tầng dữ liệu trong mạng, có nhiệm vụ chuyển đổi dữ liệu từ tầng Application sang định dạng chung và ngược lại Tại máy tính gửi, lớp này dịch dữ liệu để phù hợp với yêu cầu của tầng Application, trong khi tại máy tính nhận, nó chuyển đổi dữ liệu từ định dạng chung về dạng mà tầng Application có thể hiểu Các chức năng chính của lớp trình diễn bao gồm việc định dạng và mã hóa dữ liệu.
+ Dịch các mã ký tự từ ASCII sang EBCDIC
+ Chuyển đổi dữ liệu, ví dụ từ số integer sang số dấu phẩy động + Nén dữ liệu để giảm lượng dữ liệu truyền trên mạng
+ Mã hóa và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng
Tầng 7: Tầng ứng dụng (Application Layer)
Các giải pháp quản lý và phân tích sự kiện an ninh trong hệ thống giám sát mạng
Giải pháp Quản lý và phân tích sự kiện an toàn thông tin (Security
Quản lý Thông tin và Sự kiện An ninh (SIEM) là giải pháp toàn diện giúp các tổ chức giám sát sự kiện an toàn thông tin trong hệ thống của họ Các thành phần chính của SIEM bao gồm thu thập nhật ký, phân tích và lưu trữ dữ liệu, cùng với quản trị tập trung, nhằm tối ưu hóa khả năng bảo mật và phản ứng kịp thời với các mối đe dọa.
1.5.1 Sự cần thiết của Hệ thống Giám sát an ninh mạng Để có thể đánh giá khái quát về bức tranh an toàn, an ninh thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau Các thiết bị khác nhau có thể tạo ra báo cáo ở các góc độ khác nhau về cùng một biến cố ATTT
Yếu tố con người và môi trường làm việc có thể dẫn đến việc bỏ qua các thông tin cảnh báo quan trọng, gây ra sự cố an toàn thông tin mạng không được xử lý kịp thời và thiệt hại lớn cho cơ quan, tổ chức Do đó, cần thiết phải có một hệ thống giám sát an ninh mạng (GSANM) để theo dõi và giám sát các mối đe dọa mà tổ chức đang đối mặt Hệ thống GSANM sẽ quản lý và phân tích các sự kiện an toàn thông tin, thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện phát sinh từ hạ tầng công nghệ thông tin của tổ chức Hệ thống GSANM có khả năng thực hiện nhiều nhiệm vụ quan trọng trong việc bảo vệ an toàn thông tin.
– Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công xuất phát trong nội bộ
– Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống
Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng là rất quan trọng Các máy tính bị nhiễm mã độc và những máy tính nghi ngờ là thành viên của mạng máy tính ma (botnet) cần được xử lý nhanh chóng để bảo vệ an toàn thông tin.
– Giám sát việc tuân thủ chính sách an ninh trong hệ thống – Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố
1.5.2 Xây dựng Hệ thống giám sát an ninh mạng
Hệ thống GSANM có thể được triển khai qua ba giải pháp chính: Giải pháp quản lý thông tin an ninh (SIM), Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý và phân tích sự kiện an ninh (SIEM).
Giải pháp SIM tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký dữ liệu sự kiện từ nhiều nguồn khác nhau như thiết bị mạng, hệ điều hành, ứng dụng và thiết bị an ninh Tuy nhiên, hiện tại chưa có thành phần phân tích và xử lý sự kiện an ninh trong hệ thống SIM.
18 chỉ có thể phát hiện và xử lý được các biến cố đơn giản
Giải pháp SEM tập trung vào phân tích và xử lý nhật ký đã thu thập để cung cấp cảnh báo cho người dùng, nhưng hạn chế lớn của nó là không thể lưu trữ nhật ký lâu dài Để khắc phục những nhược điểm này, giải pháp SIEM đã ra đời, kết hợp ưu điểm của cả SIM và SEM SIEM cung cấp một giải pháp toàn diện, cho phép các cơ quan và tổ chức giám sát hiệu quả các sự kiện an toàn thông tin trong hệ thống.
Mô hình giải pháp SIEM bao gồm ba thành phần chính: thu thập nhật ký an toàn thông tin, phân tích và lưu trữ dữ liệu, cùng với quản trị tập trung Bên cạnh đó, hệ thống còn tích hợp các thành phần bổ sung như cảnh báo, DashBoard theo dõi thông tin và các báo cáo đa dạng đáp ứng tiêu chuẩn quản lý, cùng với khả năng lưu trữ dữ liệu lâu dài.
Thành phần thu thập nhật ký ATTT bao gồm các giao diện thu thập trực tiếp từ thiết bị, dịch vụ và ứng dụng, với các tính năng nổi bật giúp tối ưu hóa quá trình thu thập dữ liệu.
– Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng… gồm cả các thiết bị vật lý và thiết bị ảo
– Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký
– Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung
– Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ
– Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ
Tính năng của thành phần phân tích và lưu trữ:
– Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan
Môđun phân tích sẽ được hỗ trợ bởi các luật đã được định nghĩa trước, kết hợp với khả năng tùy biến, nhằm đảm bảo đưa ra kết quả phân tích chính xác nhất.
Các nhật ký an toàn thông tin (ATTT) được phân tích và so sánh theo thời gian thực để cung cấp cảnh báo tức thời cho người quản trị Ngoài khả năng so sánh thời gian thực, tính năng này còn cho phép phân tích dữ liệu trong quá khứ, giúp người quản trị có cái nhìn tổng quan về tình hình ATTT qua các thời kỳ.
Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu như SAN và NAS giúp nâng cao khả năng lưu trữ hiệu quả và xây dựng kế hoạch dự phòng, bảo vệ dữ liệu một cách tối ưu.
Thành phần quản trị tập trung:
– Cung cấp giao diện quản trị tập trung cho toàn bộ Hệ thống GSANM Các giao diện được phân quyền theo vai trò của người quản trị
Hệ thống cung cấp hàng nghìn mẫu báo cáo và giao diện theo dõi, giúp người quản trị dễ dàng sử dụng Ngoài ra, các công cụ này cho phép tùy biến, chỉnh sửa hoặc tạo mới báo cáo, hỗ trợ người quản trị phát triển các công cụ phù hợp với hệ thống của mình.
– Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra trong hệ thống
Hình 1 4: Thành phần và chức năng của Hệ thống GSANM
Kết luận
Việc triển khai Hệ thống GSANM là cần thiết cho các cơ quan, tổ chức nhằm giảm thiểu rủi ro lộ lọt và mất mát dữ liệu nhạy cảm, đồng thời nâng cao hiệu suất và độ an toàn Hệ thống này cũng thúc đẩy ứng dụng công nghệ thông tin trong các tổ chức Tuy nhiên, các cơ quan cần lựa chọn giải pháp và sản phẩm GSANM phù hợp dựa trên quy mô, nguồn lực tài chính và đội ngũ nhân sự của mình.
Giải pháp SIEM đang trở thành tiêu chuẩn trong phát triển các sản phẩm GSANM trên thị trường hiện nay Các sản phẩm này rất đa dạng, bao gồm cả phần mềm và thiết bị chuyên dụng Một số sản phẩm tiêu biểu nổi bật như IBM Qradar, HP ArcSight, Splunk, McAfee, Symantec SSIM và RSA enVision.
HỆ THỐNG GIÁM SÁT MẠNG CACTI
Hai phương thức giám sát Poll và Alert
Trước khi đi sâu vào SNMP, cần hiểu hai phương thức giám sát cơ bản là Poll và Alert Đây là nền tảng cho nhiều phần mềm và giao thức giám sát hệ thống, bao gồm cả SNMP Hiểu rõ cách thức hoạt động cùng ưu nhược điểm của Poll và Alert sẽ giúp bạn nắm bắt nguyên tắc hoạt động của các giao thức và phần mềm giám sát khác một cách dễ dàng hơn.
Nguyên tắc hoạt động của hệ thống giám sát là Trung tâm giám sát (Manager) sẽ thường xuyên yêu cầu thông tin từ thiết bị cần giám sát (Device) Thiết bị sẽ không tự động cung cấp thông tin nếu không có yêu cầu từ Manager Khi Manager đặt câu hỏi, thiết bị sẽ phải phản hồi, giúp Manager luôn cập nhật được thông tin mới nhất từ thiết bị.
Người quản lý cần theo dõi tiến độ công việc của thợ bằng cách thường xuyên hỏi: "Anh đã làm xong chưa?" Thợ sẽ phản hồi với câu trả lời "Xong" hoặc "Chưa" để cập nhật tình hình.
Hình 2 1: Minh họa cơ chế Poll
Nguyên tắc hoạt động của hệ thống là khi có sự kiện xảy ra trong thiết bị (Device), thiết bị sẽ tự động gửi thông báo gọi là Alert đến Manager Điều này có nghĩa là Manager không cần phải yêu cầu thông tin định kỳ từ thiết bị.
Người quản lý cần giám sát tình hình làm việc của thợ, vì vậy anh ta yêu cầu thợ phải thông báo ngay khi có bất kỳ vấn đề nào xảy ra.
21 thông báo các sự kiện đại loại như “Tiến độ đã hoàn thành 50%”, “Mất điện lúc 10h”, “Có điện lại lúc 11h”, “Mới có tai nạn xảy ra”
Thiết bị chỉ gửi thông báo khi có sự kiện xảy ra, không cung cấp thông tin thay đổi thường xuyên Ví dụ, khi một cổng bị ngắt kết nối hoặc kết nối lại, thiết bị sẽ gửi cảnh báo Tuy nhiên, thông tin như tổng số byte truyền qua cổng sẽ không được gửi đi vì nó thay đổi liên tục Để lấy những thông tin này, quản lý phải chủ động yêu cầu từ thiết bị thông qua phương thức Poll.
2.1.3 So sánh 2 phương thức Poll và Alert
Hai phương thức Poll và Alert có cơ chế hoàn toàn khác nhau Ứng dụng giám sát có thể lựa chọn sử dụng Poll, Alert, hoặc kết hợp cả hai, tùy thuộc vào yêu cầu cụ thể trong thực tế.
Bảng sau so sánh những điểm khác biệt của 2 phương thức :
Bạn có thể chủ động thu thập thông tin cần thiết từ các đối tượng mà bạn quan tâm, mà không cần phải lấy những thông tin không liên quan từ các nguồn không cần thiết.
Tất cả các sự kiện diễn ra đều được gửi về quản lý Quản lý cần có cơ chế lọc để xác định những sự kiện quan trọng, hoặc thiết bị phải được cấu hình để chỉ gửi những sự kiện cần thiết.
Có thể lập bảng trạng thái tất cả các thông tin của Device sau khi poll qua một lượt các thông tin đó.Ví dụ
Device có một port down và
Manager được khởi động sau đó, thì Manager sẽ biết đƣợc port đang down sau khi poll qua một lượt tất cả các port
Nếu không có sự kiện nào xảy ra, Manager sẽ không nắm được trạng thái của thiết bị Chẳng hạn, nếu một cổng của thiết bị bị ngắt kết nối và Manager được khởi động sau đó, thì Manager sẽ không nhận biết được rằng cổng đó đang gặp sự cố.
Khi đường truyền giữa Manager và Device bị gián đoạn và có sự thay đổi ở Device, Manager sẽ không thể cập nhật thông tin Tuy nhiên, khi kết nối được khôi phục, Manager sẽ tự động cập nhật thông tin mới nhất nhờ vào cơ chế poll định kỳ của nó.
Khi đường truyền bị gián đoạn và thiết bị có sự thay đổi, hệ thống vẫn gửi cảnh báo cho quản lý, nhưng cảnh báo này không đến được tay quản lý Ngay cả khi đường truyền được khôi phục, quản lý vẫn không nắm bắt được những sự kiện đã xảy ra trước đó.
Chỉ cần cài đặt tại Manager để trỏ Phải cài đặt tại từng Device để trỏ
Khi thay đổi Manager, bạn cần cài đặt lại trên tất cả các thiết bị để trỏ về Manager mới Điều này có thể thực hiện dễ dàng và áp dụng cho 22 thiết bị khác nhau.
Nếu tần suất poll thấp, thời gian chờ giữa 2 chu kỳ poll (polling interval) dài sẽ làm Manager chậm cập nhật các thay đổi của Device
Nghĩa là nếu thông tin Device đã thay đổi nhưng vẫn chưa đến lượt poll kế tiếp thì Manager vẫn giữ những thông tin cũ
Ngay khi có sự kiện xảy ra thì Device sẽ gửi Alert đến Manager, do đó Manager luôn luôn có thông tin mới nhất tức thời
Có thể bỏ sót các sự kiện : khi
Device có thay đổi, sau đó thay đổi trở lại nhƣ ban đầu trước khi đến lượt poll kế tiếp thì Manager sẽ không phát hiện được
Manager sẽ được thông báo mỗi khi có sự kiện xảy ra ở Device, do đó Manager không bỏ sót bất kỳ sự kiện nào
Hai phương thức Poll và Alert có những ưu điểm và nhược điểm trái ngược nhau, vì vậy trong nhiều trường hợp, việc kết hợp cả hai sẽ mang lại hiệu quả tối ưu Một số ví dụ ứng dụng cho cơ chế Poll và Alert có thể được áp dụng trong thực tiễn.
+ Giao thức Syslog : mỗi khi có sự kiện xảy ra thì thiết bị sẽ gửi bản tin syslog đến Syslog Server
+ Phần mềm NetworkView, giám sát tình trạng các server bằng cách ping liên tục
+ Giao thức STP, phát hiện loop trong mạng bằng cách gửi nhận các gói BPDU và gửi bản tin Topology change mỗi khi phát hiện thay đổi
Trong quản lý, việc thực hiện chế độ kiểm tra và báo cáo song song là rất quan trọng Cần thường xuyên kiểm tra để kịp thời phát hiện các vấn đề và báo cáo ngay khi chúng xảy ra.
Giới thiệu giao thức SNMP
SNMP (Simple Network Management Protocol) là giao thức quan trọng giúp kiểm tra và quản lý hiệu suất hoạt động của các thiết bị mạng như router, switch và server Nó không chỉ đảm bảo rằng các thiết bị này đang hoạt động mà còn cho phép quản lý từ xa, ví dụ như tắt một interface trên router SNMP đóng vai trò thiết yếu trong việc duy trì và tối ưu hóa hiệu suất của hệ thống mạng.
23 hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo khi nhiệt độ quá cao
SNMP (Simple Network Management Protocol) thường được tích hợp vào router, nhưng khác với SGMP, chủ yếu dùng cho router Internet, SNMP có khả năng quản lý các hệ thống Unix, Windows, máy in, và nguồn điện Tất cả các thiết bị có thể chạy phần mềm hỗ trợ SNMP đều có thể được quản lý, bao gồm cả các thiết bị vật lý và phần mềm như web server và database.
2.2.1 Các phiên bản của SNMP
SNMP phiên bản 1, được định nghĩa trong RFC 1157, là chuẩn giao thức SNMP đầy đủ của IETF Vấn đề bảo mật của SNMP v1 dựa trên nguyên tắc cộng đồng, với ít mật khẩu và chuỗi văn bản thuần, cho phép bất kỳ ứng dụng nào dựa trên SNMP có thể truy cập vào các thiết bị quản lý Trong SNMP v1, có ba tiêu chuẩn chính: read-only, read-write và trap.
+ SNMP version 2: phiên bản này dựa trên các chuỗi “community” Do đó phiên bản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905,
1906, 1907, và đây chỉ là bản thử nghiệm của IETF Mặc dù chỉ là thử nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm
+ SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ
Nó được khuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC
1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575
Nó hỗ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể
SNMPv1 hiện đang là giao thức quản lý mạng phổ biến nhất nhờ vào sự tương thích với nhiều thiết bị và phần mềm hỗ trợ Trong khi đó, SNMPv3 chỉ được hỗ trợ bởi một số ít thiết bị và phần mềm.
2.2.2 Thành phần của hệ thống sử dụng SNMP
Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần : các trạm quản lý mạng (network management station) và các thành tố mạng (network element)
A network management station is typically a computer that runs SNMP management software, which is used to centrally monitor and control various network elements.
Hình 2 2: Hệ thống sử dụng SNMP
Network element: là các thiết bị, máy tính, hoặc phần mềm tương thích
SNMP và được quản lý bởi network management station Như vậy element bao gồm device, host và application
Một management station có khả năng quản lý nhiều element, trong khi một element cũng có thể được quản lý bởi nhiều management station Khi một element được quản lý bởi hai station, cả hai sẽ nhận được thông tin giống nhau từ element Tuy nhiên, nếu cả hai station cùng tác động đến một element, thì element sẽ phản ứng theo thứ tự tác động của từng station, ưu tiên cho tác động nào đến trước.
Additionally, the concept of an SNMP agent is crucial An SNMP agent is a process that operates on a network element, responsible for supplying information about that element to a management station This allows the station to effectively manage the element More specifically, the application running on the station and the agent operating on the element are the two SNMP processes that directly communicate with each other The following examples will further clarify these concepts.
To manage Windows-based client machines using a server through SNMP, you need to install an SNMP management application on the server and enable the SNMP service on the client machines.
To monitor the traffic of a router using a server, you need to install SNMP management software on the server and enable the SNMP feature on the router.
Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau, mỗi thông tin đó gọi là một object.Ví dụ :
Máy tính có khả năng cung cấp thông tin quan trọng như tổng số ổ cứng, tổng số cổng kết nối mạng, tổng số byte đã truyền và nhận, tên máy tính, cũng như danh sách các tiến trình đang hoạt động.
+ Router có thể cung cấp các thông tin: tổng số card, tổng số port, tổng số byte đã truyền/nhận, tên router, tình trạng các port của router, …
Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã số gọi là Object ID (OID) VD :
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5
+ Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là 1.3.6.1.2.1.2.1
+ Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là 1.3.6.1.2.1.2.2.1.6
+ Số byte đã nhận trên một port được gọi là ifInOctets, OID là 1.3.6.1.2.1.2.2.1.10
Mỗi object chỉ có một OID, ví dụ như tên của thiết bị là một object Tuy nhiên, khi một thiết bị có nhiều tên, cần phải có cách phân biệt Lúc này, người ta sử dụng một chỉ số bổ sung gọi là "scalar instance index".
“sub-id”) đặt ngay sau OID Ví dụ :
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị có 2 tên thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần lượt là 1.3.6.1.2.1.1.5.0 & 1.3.6.1.2.1.1.5.1
Địa chỉ MAC, được gọi là ifPhysAddress, có OID là 1.3.6.1.2.1.2.2.1.6 Nếu thiết bị sở hữu hai địa chỉ MAC, chúng sẽ được chỉ định là ifPhysAddress.0 và ifPhysAddress.1, với OID tương ứng là 1.3.6.1.2.1.2.2.1.6.0 và 1.3.6.1.2.1.2.2.1.6.1.
+ Tổng số port được gọi là ifNumber, giá trị này chỉ có 1 (duy nhất) nên OID của nó không có phân cấp con và vẫn là 1.3.6.1.2.1.2.1
Sub-id không cần phải liên tục hoặc bắt đầu từ 0; ví dụ, một thiết bị với hai địa chỉ MAC có thể được gọi là ifPhysAddress.23 và ifPhysAddress.125645 OID của các đối tượng phổ biến có thể được chuẩn hóa, trong khi OID của các đối tượng do bạn tạo ra cần được mô tả bởi chính bạn Để truy xuất thông tin từ OID đã chuẩn hóa, ứng dụng SNMP phải gửi một thông điệp SNMP chứa OID của đối tượng đến SNMP agent, và SNMP agent sẽ phản hồi bằng thông tin tương ứng với OID đó.
Để lấy tên của một PC chạy Windows, Linux hoặc router, ứng dụng SNMP chỉ cần gửi một thông điệp chứa OID 1.3.6.1.2.1.1.5.0 Khi SNMP agent trên thiết bị nhận được thông điệp này, nó sẽ hiểu đây là yêu cầu truy vấn sysName.0 và trả về tên hệ thống Nếu SNMP agent nhận được OID không hỗ trợ, nó sẽ không phản hồi.
Hình 2 3: Minh họa quá trình lấy sysName.0
Một trong những ưu điểm nổi bật của SNMP là khả năng hoạt động độc lập với nhiều loại thiết bị khác nhau Nhờ vào việc chuẩn hóa OID, người dùng có thể sử dụng một ứng dụng SNMP duy nhất để thu thập thông tin từ các thiết bị của nhiều nhà sản xuất khác nhau.
Giới thiệu về CACTI
RRDtool (công cụ cơ sở dữ liệu vòng tròn) là một hệ thống ghi và vẽ dữ liệu hiệu năng cao, thiết kế để xử lý dữ liệu theo chuỗi thời gian như băng thông, nhiệt độ phòng, và tải CPU Là một giải pháp mã nguồn mở, RRDtool cho phép quản trị viên ghi và phân tích dữ liệu từ nhiều nguồn khác nhau Phân tích dữ liệu của RRDtool chủ yếu dựa vào khả năng tạo ra các đồ thị hiển thị giá trị thu thập trong khoảng thời gian định kỳ Được viết bằng ngôn ngữ C, RRDtool lưu trữ dữ liệu của nó trong các tệp.
*.rrd Số lượng bản ghi trong một file *.rrd đơn không bao giờ tăng, nghĩa là các bản ghi cũ sẽ thường xuyên được loại bỏ
Các bước trong quá trình hoạt động của RRDTool:
+ Thu thập dữ liệu : Dữ liệu thu thập được trong một khoảng thời gian cố định sẽ được lưu trong một cơ sở dữ liệu vòng
Hợp nhất dữ liệu là một thách thức lớn cho người quản trị khi phải quản lý dữ liệu từ nhiều thiết bị trong khoảng thời gian dài, chẳng hạn như một tháng RRDTool là công cụ hữu ích giúp người quản trị dễ dàng xác định các chỉ số quan trọng như giá trị tối đa, tối thiểu và trung bình của dữ liệu.
+ Lưu trữ vòng dữ liệu hợp nhất
+ Dữ liệu chưa biết : Khi dữ liệu không tồn tại do thiết bị hỏng hoặc nguyên nhân khác, RRDTool sẽ lưu trữ file *.rrd với giá trị dữ liệu
+ Vẽ đồ thị : Cho phép người quản trị tạo ra các báo cáo ở dạng đồ thị dựa trên dữ liệu được lưu trữ trong cơ sở dữ liệu
2.3.2 Hệ thống giám sát mạng CACTI
Cacti là một công cụ mã nguồn mở được phát triển bằng PHP/MySQL, chuyên giám sát mạng và tạo biểu đồ Nó sử dụng engine RRDTook để lưu trữ dữ liệu và tạo đồ thị, đồng thời thu thập dữ liệu định kỳ thông qua NET-SNMP, một bộ phần mềm hỗ trợ thực thi giao thức SNMP.
CACTI hoạt động như thế nào?
Hoạt động của CACTI được thể hiện như sau:
Hình 2 7: Mô hình hoạt động của CACTI
Cacti thu thập dữ liệu thông qua ứng dụng poller, hoạt động theo khoảng thời gian xác định, thường được thiết lập qua crontab trong Unix/Linux Hệ thống này cung cấp các đồ thị trực quan, thời gian thực về lưu lượng, giúp quản trị viên theo dõi tình trạng hoạt động của thiết bị và dịch vụ trong hệ thống Nhờ đó, người dùng có thể phát hiện những bất thường, có thể là dấu hiệu của tấn công xâm nhập hoặc sự quá tải của thiết bị mạng.
Cacti sử dụng giao thức SNMP để thu thập thông tin từ các thiết bị, lưu trữ thông tin và vẽ hình trên các đồ thị
Hình 2 8: Trao đổi thông tin SNMP giữa CACTI và thiết bị
Lưu trữ dữ liệu là yếu tố quan trọng để Cacti có thể tạo ra các đồ thị về trạng thái hoạt động của thiết bị giám sát Đối với hệ thống mạng lớn, việc quản lý dữ liệu một cách hiệu quả là cần thiết để theo dõi tình trạng hoạt động của các thiết bị.
Hình 2 9: Dữ liệu CACTI thu thập được qua SNMP
Trình bày dữ liệu là quá trình sử dụng công cụ RRDTool để tạo ra các đồ thị trực quan từ dữ liệu thu thập được qua SNMP và lưu trữ trong cơ sở dữ liệu.
Cacti là một công cụ giám sát mạnh mẽ, cho phép theo dõi lưu lượng vào/ra của các cổng thiết bị, mức độ hoạt động của CPU và bộ nhớ Nó hỗ trợ tích hợp sơ đồ mạng trực quan, giúp người dùng tương tác dễ dàng với mô hình mạng Bên cạnh đó, Cacti cũng phát báo động khi xảy ra sự cố, chẳng hạn như khi một thiết bị ngừng hoạt động hoặc lưu lượng vượt quá ngưỡng đã được thiết lập.
Hình 2 10: Cacti mô tả lưu lượng bằng đồ thị thời gian thực
Mặc định Cacti có ít tính năng, trong cấu hình mặc định Cacti chỉ hổ trợ
Cacti bao gồm hai phần chính là Console và Graph Trong phần Console, người dùng có thể điều chỉnh các thông số như chọn thiết bị để giám sát lưu lượng, trong khi phần Graph hiển thị đồ thị lưu lượng Một trong những đặc điểm nổi bật của Cacti là khả năng tích hợp nhiều thành phần và phần mềm khác nhau, giúp nâng cao hiệu quả giám sát.
TRIỂN KHAI HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊNPHẦN MỀM MÃ NGUỒN MỞ CACTI
Cài đặt Cacti (trên CentOS)
Ta cần cài đặt một số gói sau trước khi cài đặt Cacti :
+ Apache/IIS or any other web server
Có thể tham khảo trang web sau để cài đặt: https://www.unixmen.com/install- cacti-network-monitoring-tool-on-centos-6-4-rhel-6-4-scientific-linux-6-4/
Cài đặt các gói cần thiết
[root@server ~]# wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
[root@server ~]# rpm -ivh epel-release-6-8.noarch.rpm
[root@server ~]# yum install httpd httpd-devel -y
[root@server ~]# yum install mysql mysql-server -y
[root@server ~]# yum install php-mysql php-pear php-common php-gd php- devel php php-mbstring php-cli php-mysql -y
[root@server ~]# yum install php-snmp -y
[root@server ~]# yum install net-snmp-utils net-snmp-libs php-pear-Net- SMTP –y
[root@server ~]# yum install rrdtool -y
Sau đó chạy tất cả các phần mềm trên và thiết lập chúng khởi động cùng hệ thống:
[root@server ~]# /etc/init.d/httpd start
[root@server ~]# /etc/init.d/mysqld start
[root@server ~]# /etc/init.d/snmpd start
[root@server ~]# chkconfig httpd on
[root@server ~]# chkconfig mysqld on
[root@server ~]# chkconfig snmpd on
[root@server ~]# yum install cacti -y
Để cấu hình MySQL, bạn cần đăng nhập vào MySQL bằng tài khoản root và tạo một cơ sở dữ liệu cho Cacti Trong trường hợp này, tên cơ sở dữ liệu được sử dụng là "cacti", tên người dùng là "cacti" và mật khẩu sẽ được thiết lập.
[root@server ~]# mysql -u root -p mysql>create database cacti;
Query OK, 1 row affected (0.01 sec) mysql>GRANT ALL ON cacti.* TO cacti@localhost IDENTIFIED BY 'thanh123';
Query OK, 0 rows affected (0.00 sec) mysql>flush privileges;
Query OK, 0 rows affected (0.01 sec) mysql> exit
Tìm vị trí của file “cacti.sql”bằng lệnh:
[root@server ~]# rpm -ql cacti | grep cacti.sql
/usr/share/doc/cacti-1.1.19/cacti.sql
Bây giờ lấy đường dẫn ở trên và nhập nó vào database của Cacti bằng lệnh:
[root@server ~]# mysql -u cacti -p cacti /dev/null 2>&1
Công việc trên Cron là cứ năm phút chạy file poller.php một lần và thu thập dữ liệu của các máy chủ đã biết bởi Cacti
Mở tập tin “/etc/php.ini”, tìm đến dòng ;date.timezone và thay đổi thành: date.timezone = “Asia/Ho_Chi_Minh”
Chạy trình cài đặt Cacti
Mở trình duyệt và nhập URL: https://ip-address/cacti tích vào ô trống và chọn next:
After clicking next, if you encounter a MySQL Timezone error, execute the following commands: navigate to the MySQL directory by using `cd /usr/share/mysql`, then run `mysql -u root mysql < mysql_test_data_timezone.sql`, and finally, execute `mysql -u root mysql`.
GRANT SELECT ON mysql time_zone_name TO 'cacti'@'localhost' IDENTIFIED BY 'thanh123';
Nếu không lỗi MySQL Timezone thì tiếp tục bấm Next
Chọn tất cả các templates của Cacti và bấm Finish để kết thúc cài đặt
Nhập username và password mặc định là “admin” để đăng nhập, sau đó sẽ chuyển đến trang thay đổi mật khẩu
Hình 3 1: Trang đăng nhập của cacti
41 Đây là giao diện của phần mềm Cacti sau khi đăng nhập thành công
Hình 3 2: Giao diện của cacti
Sử dụng Cacti để quản lý một số thiết bị
3.2.1 Mô hình mạng quản trị:
Hình 3 3: Mô hình mạng cần quản trị
3.2.2 Các thiết bị và đồ thị:
Hình 3 4: Phần quản lý các thiết bị trong Cacti
Hình 3 5: Các thông tin của các thiết bị được biểu diễn dưới đồ thị 1
Hình 3 6: Các thông tin của máy CentOS 6.5được biểu diễn bằng đồ thị
Hình 3 7: Các thông tin của các thiết bị được biểu diễn dưới đồ thị 2