GIỚI THIỆU HỆ THỐNG GIÁM SÁT MẠNG
Giám sát mạng
a Các khái niệm cơ bản
Giám sát mạng là quá trình theo dõi và ghi nhận các luồng dữ liệu trong mạng, giúp phân tích và xử lý sự cố khi cần thiết.
Hệ thống giám sát mạng (Network Monitoring) là công cụ quan trọng để theo dõi sự cố, hiệu năng và tình trạng của các thiết bị trong hệ thống mạng Nó bao gồm phần mềm ghi nhận thông tin, giúp quản trị viên theo dõi và quản lý các dữ liệu liên quan Phần mềm này còn có khả năng gửi thông báo và cảnh báo qua SMS, email, và các dịch vụ nhắn tin trực tuyến khi có nguy cơ xảy ra sự cố hoặc khi sự cố đang diễn ra.
Phần mềm giám sát hệ thống mạng phổ biến hiện nay
- Nagios, Cati, OpenNMS, Icinga, Netdata, …
- Các công cụ trả phí khác như: Paessler PRTG, NetCrunch, Site24x7, Atera, … b Chức năng
- Cảnh báo qua Web, Email và SMS khi phát hiện tấn công vào hệ thống mạng
- Báo động bằng âm thanh và SMS khi một host (Server, Router, Switch…) hoặc một dịch vụ mạng ngưng hoạt động
Giám sát lưu lượng mạng qua các cổng giao tiếp trên Router, Switch và Server cho phép hiển thị dữ liệu thông qua các đồ thị trực quan và thời gian thực Điều này giúp người dùng theo dõi lưu lượng giữa các thiết bị kết nối một cách dễ dàng và hiệu quả.
Để đạt hiệu quả cao trong việc giám sát hệ thống mạng, cần xác định các yếu tố cốt lõi như: tính khả dụng của mạng, hiệu suất hoạt động, bảo mật thông tin, khả năng mở rộng, và quản lý sự cố Những yếu tố này đóng vai trò quan trọng trong việc đảm bảo hệ thống mạng hoạt động ổn định và an toàn.
- Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát
- Các trang thiết bị, giải pháp, phần mềm thương mại phục vụ giám sát
- Xác định các phần mềm nội bộ và phần mềm mã nguồn mở phục vụ giám sát
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus
Yếu tố con người và quy trình phục vụ giám sát đóng vai trò quan trọng bên cạnh các trang thiết bị và công cụ hỗ trợ Để đảm bảo hiệu quả, cần chú trọng đến các thành phần và thiết bị cần được giám sát một cách chặt chẽ.
Giám sát mạng là quá trình theo dõi các thiết bị như server, switch, router, firewall, tổng đài, điện thoại VoIP và máy in, nhằm đảm bảo hiệu suất và an ninh của hệ thống Việc giám sát này giúp phát hiện sớm các sự cố, tối ưu hóa hiệu quả hoạt động và bảo vệ dữ liệu quan trọng trong mạng.
Hiện nay, việc ứng dụng công nghệ trong doanh nghiệp đã trở thành xu hướng phổ biến Sự hoạt động hiệu quả của các thiết bị, mạng lưới và hệ thống chính là yếu tố then chốt giúp doanh nghiệp vận hành trơn tru và đạt hiệu quả cao.
Mặc dù công nghệ là yếu tố quan trọng trong hoạt động của doanh nghiệp, nhưng không phải lúc nào nó cũng hoạt động một cách an toàn và hiệu quả Các lỗi kỹ thuật có thể dẫn đến sự cố nghiêm trọng bất cứ lúc nào.
Cơ sở hạ tầng máy tính đóng vai trò thiết yếu trong hoạt động của hệ thống, vì vậy việc kiểm soát chính xác hoạt động của nó là rất quan trọng Điều này giúp đảm bảo rằng khi có sự cố xảy ra, sẽ không gây ra ảnh hưởng tiêu cực đến hiệu suất và sự ổn định của hệ thống.
Hệ thống giám sát đóng vai trò quan trọng trong việc kiểm soát công nghệ mà công ty sử dụng, bao gồm phần cứng, mạng, thông tin liên lạc, hệ điều hành và ứng dụng Nó giúp phân tích hoạt động và hiệu suất của các công nghệ này, đồng thời phát hiện và cảnh báo kịp thời về các lỗi có thể xảy ra, từ đó đảm bảo dịch vụ được cung cấp cho người dùng luôn ổn định và hiệu quả.
Một hệ thống giám sát tốt giúp tăng năng suất Điều này được thể hiện thông qua một số khía cạnh sau đây:
- Cải thiện việc sử dụng phần cứng thông qua việc kiểm soát hoạt động
Nếu một máy tính gặp sự cố, hệ thống giám sát sẽ tự động phát hiện vấn đề, thông báo cho người dùng và đưa ra quyết định về việc sửa chữa hoặc thay thế thiết bị.
- Ngăn ngừa sự cố và khi những sự cố này xảy ra, chúng được phát hiện nhanh hơn, giúp tiết kiệm thời gian và tiền bạc
- Bạn không cần dành quá nhiều thời gian để quản lý bởi vì đã có hệ thống giám sát chịu trách nhiệm theo dõi hệ thống
Giám sát là một hoạt động rất rộng và phức tạp, tuy nhiên, hệ thống giám sát thường có một số tính năng phổ biến như sau:
- Phân tích trong thời gian thực: một hệ thống tốt sẽ cung cấp việc giám sát liên tục, không có độ trễ, hoặc độ trễ tối thiểu
Hệ thống cảnh báo tự động thông báo cho người liên quan khi xảy ra sự cố cụ thể, với khả năng cấu hình các điều kiện kích hoạt như khi đĩa cứng đạt dung lượng tối đa.
- Thông báo bằng nhiều cách khác nhau (email, SMS, ) đến đúng người
Để nâng cao khả năng phân tích dữ liệu, công cụ giám sát sẽ tạo ra các biểu đồ trực quan dễ hiểu và thân thiện, giúp người dùng dễ dàng nắm bắt thông tin.
- Sản xuất báo cáo: hệ thống giám sát cho phép bạn tạo báo cáo, các dữ liệu phục vụ cho hoạt động của doanh nghiệp
Việc có sẵn bản ghi giám sát sẽ giúp bạn so sánh hiệu quả hoạt động của hệ thống, từ đó doanh nghiệp có thể dễ dàng đưa ra các biện pháp cải thiện trong tương lai, như việc đầu tư vào phần cứng mới.
- Khả năng cài đặt các plug-in: Cài đặt thêm các plug-in nhằm đáp ứng tối đa các nhu cầu của doanh nghiệp
- Phân biệt theo loại người dùng: dữ liệu được truy cập bởi mỗi người dùng sẽ khác nhau tùy thuộc vào các quyền có sẵn f Lợi ích
-Dự đoán và ngăn chặn sự cố từ mạng -Giảm thời gian sửa chữa khi gặp sự cố mạng -Phát hiện các mối đe dọa bảo mật
-Quản lý các vấn đề kỹ thuật một cách dễ dàng g Tầm quan trọng của giám sát mạng
Giám sát mạng là một yếu tố thiết yếu trong doanh nghiệp, không chỉ vì lý do an toàn và bảo mật dữ liệu mà còn giúp tiết kiệm chi phí sửa chữa và giảm thiểu thời gian chết của hệ thống khi xảy ra sự cố Bằng cách đảm bảo tính thông suốt cho toàn bộ hệ thống, giám sát mạng góp phần nâng cao hiệu quả hoạt động và bảo vệ tài nguyên của doanh nghiệp.
Quy tắc xây dựng hệ thống giám sát mạng
Mô Hình FCAPS (Fault Configuration Accounting Performance Security)
One of the key principles in designing a monitoring system is adherence to the FCAPS model According to the International Standard Organization (ISO), this model is categorized into five main functions: Fault Management, Configuration Management, Accounting Management, Performance Management, and Security Management.
Quản lý lỗi là hạng mục quan trọng trong việc ghi nhận, cô lập và xử lý các lỗi phát sinh trên mạng Hạng mục này cũng đảm nhiệm việc xác định những vấn đề tiềm ẩn, giúp duy trì sự ổn định và hiệu quả của hệ thống mạng.
Quản lý cấu hình là quá trình thu thập và lưu trữ cấu hình của nhiều thiết bị, bao gồm việc theo dõi các thay đổi cấu hình Điều này đóng vai trò quan trọng trong việc quản trị và giám sát mạng một cách chủ động.
Quản lý kế toán thường được áp dụng cho các nhà cung cấp dịch vụ mạng, trong đó công việc này được thay thế bằng việc quản lý người dùng mạng Cụ thể, quản trị viên sẽ cấp cho người dùng mật khẩu và quyền truy cập vào mạng, đảm bảo an toàn và hiệu quả trong việc sử dụng tài nguyên mạng.
Quản lý hiệu năng mạng bao gồm việc giám sát toàn bộ các chỉ số như tốc độ truyền, thông lượng, tỷ lệ gói tin bị mất và thời gian phản hồi Để thực hiện điều này, các chuyên gia thường sử dụng giao thức SNMP nhằm đảm bảo hiệu suất mạng luôn được tối ưu.
Quản lý bảo mật là một hoạt động thiết yếu trong quản trị mạng, đóng vai trò quan trọng trong việc kiểm soát truy cập tài nguyên Trong khuôn khổ FCAPS, quản lý bảo mật bao gồm việc bảo vệ dữ liệu, cấu hình hệ thống và thông tin người dùng, đảm bảo an toàn cho toàn bộ mạng lưới.
Báo Cáo và cảnh báo
Công việc của giám sát mạng bao gồm thu thập và xử lý dữ liệu từ các thành phần mạng, sau đó trình bày chúng dưới dạng báo cáo dễ hiểu cho quản trị viên Những báo cáo này cung cấp thông tin về hiệu suất của các nút mạng và trạng thái mạng hiện tại Dựa trên dữ liệu từ báo cáo, quản trị viên có thể đưa ra quyết định quan trọng liên quan đến quản lý dung lượng, bảo trì mạng, xử lý sự cố và bảo mật mạng.
Việc tạo ra các cảnh báo dựa trên ngưỡng và các điểm kích hoạt là rất cần thiết để giúp quản trị viên mạng duy trì hiệu suất cao Những cảnh báo này sẽ hỗ trợ các nhà quản trị trong việc phát hiện sớm các vấn đề tiềm ẩn, từ đó ngăn chặn sự cố có thể dẫn đến sụp đổ toàn bộ hệ thống.
Tích hợp lưu trữ dữ liệu
Hệ thống giám sát thu thập dữ liệu từ các thành phần mạng để thực hiện các chức năng liên quan, đồng thời đảm bảo phát hiện vấn đề trước khi xảy ra sự cố Việc này có thể dẫn đến việc tích lũy một lượng lớn dữ liệu, gây chậm hiệu suất và ảnh hưởng đến không gian lưu trữ cũng như quá trình xử lý sự cố Để tránh tình trạng này, việc giám sát hệ thống bằng cách sử dụng dữ liệu tích hợp là rất cần thiết Tích hợp dữ liệu giúp tối ưu hóa quy trình và nâng cao hiệu quả hoạt động của mạng.
Dữ liệu theo thời gian đã được tổng hợp và chi tiết hóa, với mức độ chi tiết của báo cáo phụ thuộc vào mô hình tích hợp của hệ thống Dữ liệu được lấy trung bình theo thời gian và đưa vào bảng chi tiết, giúp hệ thống giám sát tạo ra các báo cáo về các nút có thể kéo dài thời gian trong mạng mà không ảnh hưởng đến hiệu suất hay không gian lưu trữ.
Các giải pháp và ứng dụng của các công cụ giám sát mạng phổ biến
Hệ thống giám sát mạng có thể được xây dựng theo một trong ba giải pháp sau:
• Giải pháp quản lý thông tin an ninh: tập trung thu thập, lưu trữ và biểu diễn nhật ký
• Giải pháp quản lý sự kiện an ninh: tập trung xử lý, phân tích các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng
• Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của hai giải pháp trên nhằm khắc phục những hạn chế vốn có
Mô hình của giải pháp quản lý và phân tích sự kiện an ninh gồm 3 thành phần:
Thu thập nhật ký an toàn mạng bao gồm việc thu thập dữ liệu trực tiếp từ các thiết bị, ứng dụng và dịch vụ Thành phần này giúp tăng cường khả năng giám sát và bảo mật hệ thống mạng.
• Thu thập toàn bộ dữ liệu toàn bộ nhật ký từ các nguồn thiết bị, ứng dụng
• Kiểm soát băng thông và không gian lưu trữ thông qua khả năng lưu giữ và chọn lọc dữ liệu nhật ký
• Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung
• Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ
• Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ
Thành phần phân tích và lưu trữ bao gồm các thiết bị lưu trữ dung lượng lớn, giúp tự động hóa quá trình tổng hợp và phân tích dữ liệu hiệu quả.
• Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan
• Module phân tích sẽ được hỗ trợ bởi các luật (định nghĩa trước) cũng như khả năng tùy biến, nhằm đưa ra kết quả phân tích chính xác nhất
Các nhật ký an toàn mạng được phân tích và so sánh theo thời gian thực để cung cấp cảnh báo tức thì cho người quản trị.
• Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu
Thành phần quản trị mạng tập trung:
• Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn mạng
• Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc
• Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạng xảy ra trong hệ thống
Hệ thống bao gồm các thành phần cảnh báo, Dashboard theo dõi thông tin, báo cáo đáp ứng tiêu chuẩn quản lý, và thành phần lưu trữ dữ liệu lâu dài.
Chi phí sử dụng phần mềm giám sát mạng phụ thuộc vào chính sách và hạ tầng của từng doanh nghiệp Đối với các doanh nghiệp lớn đã đầu tư vào thiết bị của các hãng như Cisco hay HP, việc sử dụng phần mềm giám sát từ chính hãng như HP Network Node Manager hay Cisco Works sẽ đảm bảo nhận được hỗ trợ tốt nhất Trong khi đó, các doanh nghiệp vừa và nhỏ nên ưu tiên sử dụng phần mềm giám sát mã nguồn mở, bởi chúng được phát triển bởi cộng đồng với tính năng giám sát mạnh mẽ, khả năng nhận diện vấn đề sớm và hoàn toàn miễn phí, giúp tiết kiệm chi phí hiệu quả.
PROTOCOL MONITORING NETWORK
Phương thức Poll và Alert [1]
Có hai phương thức cơ bản trong kỹ thuật giám sát hệ thống, là Polling và Traps Nhiều phần mềm và giao thức được phát triển dựa trên hai phương thức này Phương thức Polling cho phép hệ thống kiểm tra trạng thái của thiết bị định kỳ để thu thập thông tin cần thiết.
Nguyên tắc hoạt động của hệ thống giám sát là Trung tâm giám sát (Manager) sẽ liên tục yêu cầu thông tin từ thiết bị (Device) Thiết bị chỉ phản hồi khi được Manager hỏi, do đó việc hỏi thường xuyên giúp Manager cập nhật thông tin mới nhất từ thiết bị.
Người quản lý cần thường xuyên theo dõi tiến độ công việc của thợ, vì vậy anh ta thường xuyên hỏi: “Anh đã làm xong chưa?” để nắm bắt tình hình.
“Xong” hoặc “Chưa” b Phương thức Alert
Nguyên tắc hoạt động của hệ thống là khi có sự kiện xảy ra trong thiết bị (Device), thiết bị sẽ tự động gửi thông báo gọi là Alert đến Manager Điều này có nghĩa là Manager không cần phải yêu cầu thông tin định kỳ từ thiết bị.
Người quản lý cần giám sát tình hình làm việc của thợ và yêu cầu họ thông báo khi có vấn đề xảy ra Thợ sẽ cập nhật các sự kiện như tiến độ công việc đã hoàn thành 50%, mất điện lúc 10h, có điện lại lúc 11h, và thông báo về tai nạn mới xảy ra.
Thiết bị chỉ gửi thông báo khi có sự kiện xảy ra, như khi một cổng (port) ngừng hoạt động hoặc hoạt động trở lại, nhưng không gửi thông tin thường xuyên thay đổi, ví dụ như tổng số byte truyền qua cổng Để lấy thông tin thay đổi thường xuyên, quản lý (Manager) cần chủ động thực hiện phương thức Polling để hỏi thiết bị So sánh giữa hai phương thức Alert và Poll cho thấy Alert chỉ phản hồi khi có sự kiện, trong khi Poll yêu cầu quản lý chủ động truy vấn thông tin.
Hai phương thức Poll và Alert có cơ chế hoàn toàn khác nhau Một ứng dụng giám sát có thể lựa chọn sử dụng Poll, Alert, hoặc kết hợp cả hai, tùy thuộc vào yêu cầu cụ thể trong từng tình huống thực tế.
Bạn có thể chủ động thu thập thông tin cần thiết từ những đối tượng mà bạn quan tâm, đồng thời tránh việc lấy thông tin không cần thiết từ các nguồn không liên quan.
Tất cả các sự kiện xảy ra đều được gửi đến Manager, người có trách nhiệm lọc ra những sự kiện quan trọng Ngoài ra, thiết bị cũng cần được cấu hình để chỉ gửi những sự kiện cần thiết.
Có thể lập bảng trạng thái tất cả các thông tin của Device sau khi poll qua một lượt các thông tin đó VD
Device có một port down và
Manager được khởi động sau đó, thì
Manager sẽ biết được port đang
Nếu không có sự kiện nào xảy ra, Manager sẽ không nắm được trạng thái của thiết bị Ví dụ, nếu một cổng của thiết bị bị ngắt kết nối và Manager được khởi động sau đó, Manager sẽ không thể nhận diện được cổng đang gặp sự cố.
19 down sau khi poll qua một lượt tất cả các port
Trong trường hợp đường truyền giữa
Manager và Device xảy ra gián đoạn và Device có sự thay đổi, thì
Khi đường truyền thông suốt trở lại, Manager sẽ tự động cập nhật thông tin mới nhất nhờ vào tính năng poll định kỳ.
Khi đường truyền bị gián đoạn và thiết bị có sự thay đổi, hệ thống vẫn gửi thông báo cảnh báo đến quản lý, nhưng thông báo này không thể đến tay quản lý Do đó, ngay cả khi đường truyền được khôi phục, quản lý cũng không thể nắm bắt được những sự kiện đã xảy ra trước đó.
Chỉ cần cài đặt tại Manager để trỏ đến tất cả các Device Có thể dễ dàng thay đổi một Manager khác
Phải cài đặt tại từng Device để trỏ đến Manager Khi thay đổi Manager thì phải cài đặt lại trên tất cả Device để trỏ về Manager mới
Nếu tần suất poll thấp, thời gian chờ giữa các chu kỳ poll dài sẽ khiến Manager cập nhật các thay đổi của Device chậm Điều này có nghĩa là nếu thông tin của Device đã thay đổi nhưng chưa đến lượt poll tiếp theo, Manager vẫn sẽ giữ lại thông tin cũ.
Ngay khi có sự kiện xảy ra thì Device sẽ gửi Alert đến Manager, do đó Manager luôn luôn có thông tin mới nhất tức thời
Có thể bỏ sót các sự kiện : khi
Device có thay đổi, sau đó thay đổi trở lại như ban đầu trước khi đến lượt poll kế tiếp thì Manager sẽ không phát hiện được
Manager sẽ được thông báo mỗi khi có sự kiện xảy ra ở Device, do đó Manager không bỏ sót bất kỳ sự kiện nào
→Vậy Nên Chọn Poll hay Alert?
Hai phương thức Poll và Alert có những ưu điểm và nhược điểm trái ngược, vì vậy trong nhiều trường hợp, việc kết hợp cả Poll và Alert sẽ mang lại hiệu quả tối ưu hơn cho người dùng.
Các ví dụ ứng dụng cơ chế Poll & Alert:
+ Giao thức Syslog: mỗi khi có sự kiện xảy ra thì thiết bị sẽ gửi bản tin syslog đến Syslog Server
Phần mềm NetworkView giúp giám sát tình trạng các server thông qua việc thực hiện ping liên tục, đảm bảo hiệu suất hoạt động của hệ thống Đồng thời, giao thức STP đóng vai trò quan trọng trong việc phát hiện loop trong mạng, bằng cách gửi và nhận các gói BPDU, cũng như thông báo thay đổi cấu trúc mạng mỗi khi có sự thay đổi xảy ra.
Giao thức SNMP [2]
SNMP (Simple Network Management Protocol) là giao thức quản lý mạng được thiết kế để hoạt động trên nền tảng TCP/IP, cho phép quản lý các thiết bị kết nối mạng như switch, router, firewall, và ADSL gateway Không chỉ giới hạn ở máy tính, SNMP còn có thể quản lý các thiết bị khác, ví dụ như máy giặt hỗ trợ kết nối IP, giúp người dùng có thể điều khiển và giám sát từ xa.
SNMP (Simple Network Management Protocol) là một giao thức đơn giản với cấu trúc bản tin và quy trình hoạt động dễ hiểu, mặc dù bảo mật chỉ được cải thiện đáng kể ở phiên bản SNMP v3 Thông qua phần mềm SNMP, quản trị viên mạng có khả năng quản lý và giám sát toàn bộ mạng từ xa một cách tập trung.
Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần: các trạm quản lý mạng (network management station) và các thành tố mạng (network element)
Network management station thường là một máy tính chạy phần mềm quản lý SNMP (SNMP management application), dùng để giám sát và điều khiển tập trung các network element
Hình b.1 minh họa giao thức snmp
Network elements refer to devices, computers, or software compatible with SNMP that are managed by a network management station These elements encompass devices, hosts, and applications.
A management station can oversee multiple elements, and conversely, a single element can be managed by several management stations This raises the question: what occurs when an element is managed by two different stations? If both stations retrieve information from the same element, it could lead to potential conflicts or inconsistencies in data management.
Hai station sẽ có thông tin tương tự nhau, và nếu cả hai station tác động đến một element, element đó sẽ phản hồi theo thứ tự tác động xảy ra Khái niệm SNMP agent đề cập đến một tiến trình chạy trên network element, có nhiệm vụ cung cấp thông tin cho station để quản lý element Cụ thể, ứng dụng chạy trên station và agent chạy trên element là hai tiến trình SNMP tương tác trực tiếp với nhau Các ví dụ minh họa dưới đây sẽ giúp làm rõ hơn những khái niệm này.
+ Để dùng một máy chủ
(= station) quản lý các máy con (= element) chạy HĐH Windows thông qua SNMP thì bạn phải : cài đặt một phần
22 mềm quản lý SNMP (= application) trên máy chủ, bật SNMP service (= agent) trên máy con
To monitor the traffic of a router using a server, you need to install SNMP management software on the server and enable the SNMP feature on the router.
Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau, mỗi thông tin đó gọi là một object
Máy tính có khả năng cung cấp thông tin quan trọng như tổng số ổ cứng, tổng số cổng mạng, tổng số byte đã truyền và nhận, tên máy tính, cùng với danh sách các tiến trình đang hoạt động.
+ Router có thể cung cấp các thông tin : tổng số card, tổng số port, tổng số byte đã truyền/nhận, tên router, tình trạng các port của router, …
Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã số gọi là Object ID (OID) VD:
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5 4
+ Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là
+ Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là
+ Số byte đã nhận trên một port được gọi là ifInOctets, OID là
Mỗi object chỉ có một OID, ví dụ như tên của thiết bị Tuy nhiên, khi một thiết bị có nhiều tên, cần có cách phân biệt Để làm điều này, người ta sử dụng một chỉ số bổ sung gọi là “scalar instance index” hay còn gọi là “sub-id”, được đặt ngay sau OID.
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị có 2 tên thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần lượt là
Địa chỉ MAC, được gọi là ifPhysAddress, có OID là 1.3.6.1.2.1.2.2.1.6 Nếu thiết bị sở hữu hai địa chỉ MAC, chúng sẽ được phân biệt là ifPhysAddress.0 và ifPhysAddress.1, với OID tương ứng là 1.3.6.1.2.1.2.2.1.6.0.
Tổng số port được gọi là ifNumber, với giá trị duy nhất là 1, do đó OID của nó không có phân cấp con, thể hiện dưới dạng 1.3.6.1.2.1.2.1 Trong hầu hết các thiết bị, các object thường có nhiều giá trị và được biểu diễn dưới dạng sub-id Ví dụ, một thiết bị có thể chỉ có một tên nhưng vẫn phải có OID là sysName.0 hay 1.3.6.1.2.1.1.5.0 Quy tắc này cần được ghi nhớ khi lập trình phần mềm SNMP manager.
Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0 VD một thiết bị có 2 mac address thì có thể chúng được gọi là ifPhysAddress.23 và ifPhysAddress.125645
OID của các đối tượng phổ biến có thể được chuẩn hóa, trong khi OID của các đối tượng do người dùng tạo ra cần được mô tả một cách thủ công Để truy xuất thông tin từ OID đã chuẩn hóa, ứng dụng SNMP phải gửi một thông điệp SNMP chứa OID của đối tượng đến SNMP agent Khi nhận được thông điệp, SNMP agent sẽ phản hồi bằng thông tin tương ứng với OID đó.
Có 2 nhân tố chính trong SNMP: Manager và Agent Các SNMP agent sẽ giữ một sơ sở dữ liệu, được gọi là Management Information Base (MIB), trong đó chứa các thông tin khác nhau về hoạt động của thiết bị mà agent đang giám sát Phần mềm quản trị SNMP Manager sẽ thu thập thông tin này qua giao thức SNMP
Một trạm quản lý SNMP có khả năng giám sát nhiều thành phần SNMP bằng cách gửi yêu cầu và nhận thông báo trap Tuy nhiên, từng thành phần SNMP có thể được cấu hình để chỉ cho phép một số trạm quản lý SNMP nhất định thực hiện việc giám sát và quản lý.
Các cơ chế bảo mật đơn giản này gồm có: community string, view và SNMP access control list
Community string là chuỗi ký tự giống nhau được cài đặt trên cả SNMP manager và SNMP agent, hoạt động như "mật khẩu" cho việc trao đổi dữ liệu giữa hai bên Có ba loại community string: Read-community, Write-community và Trap-community.
Một view phải gắn liền với một community string Tùy vào community string nhận được là gì mà agent xử lý trên view tương ứng
Danh sách kiểm soát truy cập SNMP (SNMP ACL) là tập hợp các địa chỉ IP được phép quản lý và giám sát agent, chỉ áp dụng cho giao thức SNMP và được cài đặt trên agent Nếu một manager có địa chỉ IP không nằm trong danh sách ACL gửi yêu cầu, agent sẽ không xử lý yêu cầu đó, ngay cả khi community string là chính xác Hầu hết các thiết bị hỗ trợ SNMP đều cho phép thiết lập SNMP ACL, mang lại nhiều ưu điểm trong thiết kế của SNMP.
Giao thức Netflow
NetFlow là tính năng quan trọng giúp thu thập lưu lượng mạng IP khi nó vào hoặc ra khỏi một giao diện Bằng cách phân tích dữ liệu từ NetFlow, quản trị viên mạng có thể xác định nguồn và đích của lưu lượng, loại dịch vụ cũng như nguyên nhân gây tắc nghẽn Thiết lập giám sát lưu lượng điển hình sử dụng NetFlow bao gồm các thành phần thiết yếu để đảm bảo hiệu quả trong việc theo dõi và quản lý lưu lượng mạng.
-Thành phần chính của NetFlow:
+ Flow exporter: tổng hợp các gói thành các luồng và xuất các bản ghi luồng tới một hoặc nhiều bộ thu luồng
+ Flow collector: chịu trách nhiệm tiếp nhận, lưu trữ và xử lý trước dữ liệu dòng nhận được từ bộ xuất dòng
Ứng dụng phân tích dữ liệu luồng là rất quan trọng trong việc phát hiện xâm nhập và lập hồ sơ lưu lượng Cơ chế hoạt động của Netflow cho phép theo dõi và phân tích các luồng dữ liệu, giúp xác định các hành vi bất thường và cải thiện an ninh mạng.
Luồng “flow” là phương pháp nhóm các gói tin “packets” một chiều thành một gói tin lớn Các gói tin này có thể được cấu hình dựa trên các thuộc tính “attributes” phù hợp trong từng gói.
IP Destination: IP đích Source Port: Cổng nguồn Destination Port: Cổng đích Class of Service: Loại dịch vụ Layer 3 Protocol Type: Loại giao thức 3 lớp Interface: Giao diện
Khi một gói dữ liệu được chuyển tiếp, các thuộc tính của nó sẽ được kiểm tra Gói đầu tiên, hay còn gọi là "first packet", tạo ra luồng dữ liệu đi qua đường chuyển mạch tiêu chuẩn Tất cả các gói bổ sung, hay "additional packet", có cùng các tham số như IP nguồn và đích, địa chỉ, cổng nguồn và đích, cùng loại dịch vụ sẽ được nhóm lại thành một luồng duy nhất Nếu có bất kỳ thay đổi nào về giá trị của các tham số này, một luồng mới sẽ được tạo ra.
Các bộ định tuyến Cisco cao cấp hỗ trợ tính năng NetFlow lấy mẫu, cho phép kiểm tra một số gói nhất định trong khi vẫn duy trì hiệu suất mạng Điều này đặc biệt hữu ích trong các môi trường có lưu lượng truy cập lớn, nơi việc kiểm tra mọi gói là không khả thi Việc lấy mẫu các luồng giúp giảm thiểu tác động đến hiệu suất khi gửi thông tin về luồng.
+ NetFlow cache (Bộ nhớ đệm NetFlow)
Việc giám sát và nhóm mọi gói tin được chuyển tiếp bởi bộ định tuyến hoặc bộ chuyển mạch tạo ra lượng dữ liệu lớn, được lưu trữ trong bộ đệm NetFlow Cache Mỗi luồng hoạt động đều có một bản ghi luồng riêng, và dữ liệu sẽ hết hạn sau một khoảng thời gian nhất định Sau đó, dữ liệu sẽ được xuất từ bộ nhớ cache sang máy chủ thu thập NetFlow theo các khoảng thời gian đều đặn, dựa trên bộ đếm thời gian của luồng Mặc định, bộ đệm NetFlow Cache được kiểm tra mỗi giây để đảm bảo tính chính xác và kịp thời của dữ liệu.
Các luồng được nhóm lại để xuất thành một khối dữ liệu gọi là “NetFlow
Mỗi khối dữ liệu Datagram có thể chứa tối đa 30 luồng Theo Cisco, tiêu chuẩn xuất NetFlow chỉ chiếm khoảng 1,5% tổng lưu lượng truy cập chuyển mạch được phân tích.
+ NetFlow Record (bản ghi Netflow):
Bản ghi Flow Record của NetFlow Version 9 được xây dựng dựa trên mẫu, cho phép cải tiến trong tương lai mà không cần thay đổi cấu trúc cơ bản Định dạng của bản ghi được xác định qua tiêu đề gói và theo sau là ít nhất một template FlowSet cùng với data FlowSet Template FlowSet cung cấp mô tả về nội dung trong Data FlowSets, tạo điều kiện cho khả năng mở rộng của bản ghi Thay vì xác định trước dữ liệu sẽ được gửi, định nghĩa này được thực hiện ngay trong gói tin.
Gói tiêu đề "packet header" tương tự như trong Phiên bản 5, bao gồm số phiên bản gói, thời gian hoạt động của hệ thống tính bằng mili giây, số thứ tự và Source ID Bộ thu thập dữ liệu NetFlow (NetFlow collector) là thành phần quan trọng trong việc thu thập và phân tích dữ liệu mạng.
NetFlow data is periodically reported to a NetFlow collector, which can be a server or another computer running specialized NetFlow Receiver Software This software is designed to gather, record, and filter network traffic data effectively.
Để phân tích và lọc các luồng kết quả, phần mềm như Paessler’s PRTG NetFlow Analyzer cần phải hỗ trợ phiên bản NetFlow tương ứng với máy chủ xuất Ví dụ, để giám sát bộ định tuyến Cisco sử dụng NetFlow version 5, cần sử dụng cảm biến NetFlow V5 Sensor trong PRTG Network Monitor Tương tự, đối với bộ định tuyến sử dụng NetFlow version 9, cảm biến NetFlow V9 Sensor sẽ được yêu cầu Cả hai cảm biến này có thể hoạt động đồng thời trên cùng một máy, cho phép một bộ thu thập duy nhất nhận và báo cáo dữ liệu từ cả hai phiên bản NetFlow.
Khối dữ liệu NetFlow datagrams được truyền qua Giao thức UDP (User Datagram Protocol) Để thu thập dữ liệu, địa chỉ IP của bộ thu và cổng đích cần được cấu hình trên bộ định tuyến hoặc bộ chuyển mạch Trong một số trường hợp, giao thức SNMP có thể được sử dụng để kích hoạt NetFlow và thiết lập địa chỉ IP của bộ thu thập nhằm gửi dữ liệu.
Trong Cisco IOS, lệnh “ip flow-export command” có thể được sử dụng để định cấu hình IP đích từ dòng lệnh
Một trong những cổng phổ biến nhất được sử dụng cho NetFlow exports là
Vào năm 2055, bạn có thể sử dụng bất kỳ cổng nào để xuất NetFlow, miễn là bạn chỉ định chính xác cổng đó trong bộ thu dữ liệu NetFlow receiver Khi dữ liệu NetFlow được xuất đến bộ thu, không cần thực hiện kéo "Polling", tuy nhiên, quy trình tự động vẫn chưa được thiết lập.
29 phát hiện cho NetFlow có sẵn như với SNMP vì điều này + NetFlow MIB
Dữ liệu NetFlow có thể được truy cập qua SNMP thông qua NetFlow MIB, mặc dù không thay thế cho NetFlow export Phương pháp này cung cấp cách tiếp cận khác để thu thập thông tin như số lượng luồng, luồng mỗi giây và gói hoặc byte trên mỗi luồng Ngoài ra, khả năng truy cập danh sách những người nói nhiều nhất cũng rất hữu ích trong một số tình huống, mặc dù dữ liệu này vẫn có thể được thu thập khi theo dõi các luồng.
Có nhiều loại lưu lượng mà NetFlow có thể theo dõi, giúp phân loại hiệu quả Cảm biến NetFlow V9 Sensor của PRTG cho phép theo dõi và phân loại nhiều loại lưu lượng một cách mặc định.
Infrastructure (DHCP, DNS, ICMP, SNMP)
CHƯƠNG III CÁC PHẦM MỀM GIÁM SÁT MẠNG MÃ NGUỒN MỞ PHỔ BIẾN
Nagios
Nagios là một công cụ giám sát mạng và dịch vụ mạnh mẽ, giúp các doanh nghiệp và công ty phát hiện và khắc phục nhanh chóng các sự cố liên quan đến cơ sở hạ tầng của họ.
Công Nghệ Thông Tin trước khi chúng làm ảnh hưởng đến các hoạt động kinh doanh, vận hành nội bộ của công ty
Nagios là một phần mềm mã nguồn mở miễn phí, được thiết kế để giám sát hệ thống, mạng và cơ sở hạ tầng Hiện tại, Nagios chỉ được hỗ trợ triển khai trên hệ điều hành Linux.
Nagios có khả năng cung cấp một số dịch vụ cho bạn như sau:
• Quản lý các dịch vụ mạng như là: SMTP, POP2, HTTP, NNTP, ICMP
• Giám sát tài nguyên máy chủ như processor load, dung lượng đĩa đã sử dụng, nhật ký Hệ thống trên phần lớn các hệ điều hành mạng, bao gồm
Microsoft Windows, sử dụng các agent monitor
• Giám sát mọi phần cứng như nhiệt độ, báo động, v.v có khả năng gửi dữ liệu thu thập được qua mạng tới các plugin cụ thể
Giám sát từ xa có thể thực hiện thông qua Nagios Remote Plugin Executor, SSH hoặc đường hầm SSL được mã hóa, cho phép kiểm tra dịch vụ song song và tự động xoay vòng log.
Chúng tôi cung cấp hỗ trợ triển khai máy chủ giám sát dự phòng, biểu đồ dữ liệu hiệu suất và phần phụ trợ cơ sở dữ liệu Giao diện web cho phép người dùng theo dõi trạng thái mạng hiện tại, nhận thông báo, xem lịch sử sự cố và truy cập các file log một cách dễ dàng.
Nagios được thiết kế với khả năng mở rộng (scalability) và tính linh hoạt (flexible)
• Lên kế hoạch nâng cấp cơ sở hạ tầng trước khi nó trở nên lỗi thời và thường xuyên gặp lỗi
• Tự động sửa lỗi khi phát hiện lỗi
• Phối hợp các với các hoạt động của nhóm kỹ thuật
• Đảm bảo SLA (Service-Level Agreement) của tổ chức đang áp dụng
• Đảm bảo sự cố cơ sở hạ tầng CNTT có tác động tối thiểu đến quá trình vận hành của tổ chức
• Giám sát toàn bộ cơ sở hạ tầng kinh doanh của bạn
Người dùng có thể dễ dàng phát triển các plug-in riêng để giám sát nhu cầu sử dụng, nhờ vào khả năng hỗ trợ nhiều ngôn ngữ lập trình như shell script, C++, Perl, Ruby, Python, PHP và C#.
• Việc giám sát các dịch vụ là song song
• Có khả năng phát hiện và phân biệt được host nào là down và host nào là unreachable
• Thông tin cảnh báo (khi host và các dịch vụ xảy ra xự cố) bằngemail, SMS sử dụng 3G, …
• Sử dụng giao diện Web để theo dõi trạng thái của mạng, xem lịch sử các cảnh báo và các sự cố xảy ra
Nagios hoạt động như thế nào?
Cấu hình Nagios là bước quan trọng để giám sát các thành phần cơ sở hạ tầng CNTT, bao gồm các chỉ số hệ thống, giao thức mạng, ứng dụng, dịch vụ, máy chủ và hạ tầng mạng.
Xác nhận tình trạng xử lý các cảnh báo và ngay lập tức bắt đầu giải quyết sự cố ngừng hoạt động cũng như điều tra các cảnh báo bảo mật Nếu các cảnh báo không được công nhận kịp thời, chúng có thể được chuyển đến các nhóm khác nhau để xử lý.
Nagios cung cấp báo cáo chi tiết về lịch sử sự cố ngừng hoạt động, các sự kiện, thông báo và phản hồi cảnh báo, giúp người dùng dễ dàng xem xét và phân tích sau này.
Thiết lập thời gian ngừng hoạt động (bảo trì) theo lịch trình giúp ngăn cảnh báo nhận được trong thời gian này
Biểu đồ và báo cáo xu hướng giúp bạn xác định các đối tượng cần nâng cấp cơ sở hạ tầng, từ đó lập kế hoạch hiệu quả để ngăn chặn sự cố trước khi chúng xảy ra.
Cacti
Cacti là phần mềm mã nguồn mở, giám sát mạng và công cụ đồ họa viết trên PHP/
Cacti là một công cụ quản lý mạng sử dụng MySQL và RRDTool (công cụ cơ sở dữ liệu vòng tròn) để lưu trữ dữ liệu và tạo đồ họa Nó thu thập dữ liệu định kỳ thông qua Net-SNMP, giúp theo dõi và phân tích hiệu suất mạng một cách hiệu quả.
Để thu thập dữ liệu hiệu quả, người dùng cần cung cấp các đường dẫn tới dữ liệu mong muốn, sau đó Cacti sẽ tự động thu thập và lưu trữ vào cơ sở dữ liệu MySql hoặc kho lưu trữ vòng robin Ngoài ra, nguồn dữ liệu cũng có thể được tạo ra để phản ánh chính xác dữ liệu trên biểu đồ.
Hệ thống thu thập dữ liệu được trang bị cơ chế "đầu vào dữ liệu" cho phép người dùng xác định các tập lệnh tùy chỉnh để thu thập thông tin Mỗi tập lệnh yêu cầu nhập các đối số cụ thể cho từng nguồn dữ liệu, như địa chỉ IP Hệ thống hỗ trợ khả năng truy xuất dữ liệu qua SNMP hoặc các tập lệnh có đường dẫn Ngoài ra, một poller dựa trên PHP được cung cấp để thực thi các lệnh có sẵn, giúp truy xuất dữ liệu SNMP và cập nhật các tệp RRD một cách hiệu quả.
Cacti cho phép người dùng tạo ra đồ thị RRDTool từ nhiều nguồn dữ liệu khác nhau, mang đến khả năng tùy biến cao với các loại biểu đồ và hàm tổng hợp đa dạng Người dùng có thể lựa chọn màu sắc và văn bản tự động để đơn giản hóa quá trình tạo đồ thị Ngoài việc tạo đồ thị dựa trên RRDTool, Cacti còn cung cấp nhiều cách hiển thị khác nhau, bao gồm chế độ xem dạng danh sách và chế độ xem dạng cây, cho phép tổ chức đồ thị theo cấu trúc phân cấp Người dùng có thể tạo số lượng đồ thị không giới hạn và tùy chọn sử dụng CDEF hoặc nguồn dữ liệu từ bên trong Cacti cho mỗi đồ thị.
Cacti là một công cụ quản lý mạnh mẽ cho phép quản lý người dùng hiệu quả, giúp thêm người dùng và cấp quyền truy cập vào các chức năng cụ thể Điều này cho phép người quản lý tạo ra nhiều người dùng với quyền hạn khác nhau, như thay đổi thông số đồ thị hoặc chỉ xem đồ thị Mỗi người dùng cũng có thể duy trì cài đặt cá nhân của mình khi xem biểu đồ, tạo nên trải nghiệm tùy chỉnh và linh hoạt.
Icinga
Phần mềm Icinga là một hệ thống mã nguồn mở chuyên giám sát mạng, máy chủ và dịch vụ, thông báo sự cố cho người dùng và cung cấp báo cáo kịp thời Được phát triển từ mã nguồn của Nagios, Icinga thừa hưởng nhiều tính năng quan trọng và hoàn toàn tương thích với các phần mềm hỗ trợ của Nagios Ngoài ra, Icinga còn cung cấp nhiều tính năng tùy biến mới, bao gồm giao diện người dùng Web 2.0 và hỗ trợ các hệ quản trị cơ sở dữ liệu phổ biến như MySQL, Oracle và PostgreSQL Phần mềm này có khả năng chạy trên nhiều phiên bản Linux như Fedora, Ubuntu, OpenSuSE và một số nền tảng Unix như Solaris và HP.
- Chính sách bản quyền: Phần mềm cung cấp phiên bản miễn phí, hỗ trợ các hệ thống nhỏ và cả các hệ thống doanh nghiệp
Phần mềm này có nhiều ưu điểm nổi bật, bao gồm việc cung cấp miễn phí và hỗ trợ đa dạng tùy chọn giao diện quản trị Web Cài đặt phần mềm rất dễ dàng và nó hoạt động tốt trên hệ điều hành Linux Giao diện quản trị Web thân thiện, phù hợp cho cả người dùng lần đầu, đồng thời tương thích hoàn hảo với các phần mềm hỗ trợ của Nagios.
- Nhược điểm: Phần mềm không cung cấp nhiều tùy chọn hiển thị thông tin giám sát bằng đồ thị.
OpenNMS
OpenNMS là một dự án phần mềm doanh nghiệp mã nguồn mở, nổi bật với khả năng giám sát mạng trên nền tảng ứng dụng web đầu tiên trên thế giới, hoạt động trên hệ điều hành GNU/Linux và đã nhận được nhiều giải thưởng.
Tính năng trong nháy mắt
Dự án này bao gồm các tính năng nổi bật như hỗ trợ bỏ phiếu dịch vụ, thu thập dữ liệu từ hệ thống từ xa và quản lý, thông báo sự kiện Ngoài ra, dự án còn tích hợp tính năng cấp phép, phát hiện trực tiếp và tự động, đảm bảo dịch vụ và chức năng đo lường hiệu suất hiệu quả.
Giám sát hàng chục nghìn thiết bị
Phần mềm giám sát này được phát triển để quản lý hàng chục nghìn thiết bị chỉ với một cá thể duy nhất OpenNMS đáp ứng nhu cầu của các công ty và nhà cung cấp bằng cách cung cấp một giải pháp giám sát mạng mạnh mẽ, linh hoạt, có khả năng mở rộng và hoàn toàn miễn phí.
Hệ thống quản lý mạng thực sự miễn phí
OpenNMS là phần mềm mã nguồn mở hoàn toàn miễn phí, không cần khóa cấp phép và không có chi phí ẩn cho việc nâng cấp hay duy trì Người dùng có thể tự do tải xuống, sửa đổi, kiểm tra và phân phối mã nguồn của OpenNMS Mặc dù vậy, các nhà phát triển cũng cung cấp dịch vụ hỗ trợ và đào tạo thương mại cho người dùng.
OpenNMS cung cấp khả năng tùy biến cao cho người dùng, cho phép tạo ra giải pháp quản lý mạng độc đáo và tích hợp Nó đã được thử nghiệm thành công trên nhiều bản phân phối Linux phổ biến như Ubuntu, Debian, Arch Linux, Fedora, Red Hat Enterprise Linux, CentOS, SUSE Linux Enterprise Server và openSUSE.
Dự án được phát triển chủ yếu bằng ngôn ngữ lập trình Java, cho phép ứng dụng hoạt động độc lập trên nhiều nền tảng khác nhau Ứng dụng có thể triển khai trên tất cả các hệ điều hành chính như Linux, BSD, Solaris, Microsoft Windows, Mac OS X và bất kỳ hệ điều hành nào khác có cài đặt Môi trường chạy thi hành Java (JRE) Hiện tại, cả kiến trúc bộ lệnh 32 bit và 64 bit đều được hỗ trợ.
• Nó được thiết kế đặc biệt cho Linux, nhưng Windows, Solaris và OSX cũng được hỗ trợ
• Giám sát nhiệt độ thiết bị
• Bảng điều khiển quản trị viên có thể tùy chỉnh
• Giám sát cung cấp điện
• Hỗ trợ IPv4 và IPv6
• Sự kiện có thể tạo thông báo qua email, SMS, XMPP và nhiều phương thức khác
• Bản đồ nút địa lý để hiển thị các nút và ngừng dịch vụ bằng Bản đồ đường phố mở, Google Maps hoặc Mapquest
PHẦN MỀM GIÁM SÁT ZABBIX MÃ NGUỒN MỞ [3]
Zabbix là gì?
Zabbix là một giải pháp mã nguồn mở nổi tiếng trong việc giám sát dịch vụ hệ thống mạng phân tán, với nhiều tính năng độc đáo và khả năng tùy biến cao Phần mềm này phù hợp cho các hệ thống mạng tầm trung và lớn của doanh nghiệp, đồng thời yêu cầu mức chi phí đầu tư hợp lý.
Zabbix, được sáng lập bởi Alexei Vladishev và hiện được phát triển bởi tổ chức Zabbix SIA, là một phần mềm mã nguồn mở dưới bản quyền GPL phiên bản 2 Nó cung cấp cho quản trị viên các cơ chế thông báo linh hoạt như email, SMS và ứng dụng OTT Bên cạnh đó, Zabbix cũng cung cấp báo cáo và dữ liệu chính xác dựa trên cơ sở dữ liệu thu thập từ thiết bị mạng.
Zabbix cung cấp khả năng thăm dò và đặt bẫy, cho phép người dùng truy cập tất cả báo cáo, thống kê và thông số cấu hình thông qua giao diện người dùng web Giao diện này giúp đánh giá trạng thái mạng và tình trạng máy chủ từ bất kỳ vị trí nào Khi được cấu hình đúng cách, Zabbix đóng vai trò quan trọng trong việc giám sát hạ tầng CNTT, phù hợp với cả tổ chức nhỏ có vài máy chủ lẫn các công ty lớn với nhiều máy chủ.
Thành phần kiến trúc của Zabbix
Zabbix Server là thành phần chính của phần mềm Zabbix, có khả năng kiểm tra các dịch vụ mạng từ xa nhờ vào các báo cáo được gửi từ Agent Nó lưu trữ tất cả các cấu hình và số liệu thống kê, giúp quản lý hiệu quả hệ thống mạng.
Zabbix Proxy là một thành phần tùy chọn trong hệ thống Zabbix, có chức năng thu thập và lưu trữ dữ liệu trước khi chuyển đến Zabbix Server Đây là giải pháp lý tưởng cho việc giám sát tập trung tại các địa điểm từ xa, chi nhánh công ty và các mạng lưới không có quản trị viên Ngoài ra, Zabbix Proxy còn giúp phân phối tải cho Zabbix Server, nâng cao hiệu suất giám sát.
Zabbix Agent là công cụ giám sát chủ động các thiết bị cục bộ và ứng dụng như ổ cứng, bộ nhớ trên hệ thống mạng Được cài đặt trên Server, Zabbix Agent thu thập thông tin hoạt động từ Server và gửi dữ liệu này về Zabbix Server để xử lý.
Giao diện web của Zabbix Server cho phép người dùng dễ dàng truy cập và cấu hình dữ liệu theo dõi Giao diện này thường được triển khai trên các máy chủ, giúp tối ưu hóa quá trình quản lý và giám sát hệ thống.
Ưu điểm
- Tự động tìm phát hiện server và hệ thống mạng
- Hỗ trợ server cài đặt trên dòng hệ điều hành Unix/Linux
- Hỗ trợ máy trạm client nhiều hệ điều hành
- Giao diện web cực kì tinh tế và đẹp mắt
- Có thông báo sự cố qua email hoặc OTP App
- Có báo cáo, biểu đồ qua giao diện web đẹp mắt
- Kiểm tra theo dõi việc đăng nhập
- Linh động trong việc phân quyền người sử dụng
- Mã nguồn mở, chi phí đầu tư thấp
- Nhiều plugin hỗ trợ cho các dịch vụ hệ thống khác nhau.
Nhược điểm
• Không có giao diện web mobile hỗ trợ
• Không phù hợp với hệ thống mạng lớn hơn 1000+ node thiết bị client cần giám sát Lúc này phát sinh vấn đề hiệu suất về PHP và Database
• Thiết kế template/alerting rule đôi khi khá phức tạp.
Tính năng của Zabbix
Zabbix là một giải pháp giám sát mạng được tích hợp nhiều tính năng:
+ Kiểm tra tính khả dụng và hiệu suất + Hỗ trợ SNMP (cả theo dõi và bỏ phiếu), IPMI, JMX, giám sát VMware + Kiểm tra tùy chỉnh
+ Thu thập dữ liệu mong muốn ở các khoảng thời gian tùy chỉnh + Được thực hiện bởi máy chủ / proxy và bởi các đại lý
- Xác định ngưỡng linh hoạt
Bạn có thể linh hoạt xác định các ngưỡng sự cố, được gọi là trình kích hoạt, bằng cách tham chiếu các giá trị từ cơ sở dữ liệu phụ trợ.
- Cảnh báo có thể cấu hình cao
+ Gửi thông báo có thể được tùy chỉnh cho lịch trình báo cáo, người nhận, loại phương tiện
+ Các thông báo có thể trở nên có ý nghĩa và hữu ích bằng cách sử dụng các biến macro
+ Các hành động tự động bao gồm các lệnh từ xa
- Vẽ đồ thị thời gian thực
+ Các mục được giám sát ngay lập tức được lập biểu đồ bằng chức năng vẽ đồ thị tích hợp
- Khả năng giám sát web
+ Zabbix có thể theo dõi đường dẫn của những cú nhấp chuột mô phỏng trên một trang web và kiểm tra chức năng cũng như thời gian phản hồi
- Các tùy chọn hình ảnh hóa mở rộng
+ Khả năng tạo các biểu đồ tùy chỉnh có thể kết hợp nhiều mục vào một chế độ xem duy nhất + Sơ đồ mạng
+ Màn hình tùy chỉnh và trình chiếu để có tổng quan kiểu bảng điều khiển báo cáo
Chế độ xem cấp cao (kinh doanh) của các tài nguyên được giám sát
- Lưu trữ dữ liệu và lịch sử
+ Dữ liệu được lưu trữ trong cơ sở dữ liệu + Lịch sử có thể định cấu hình
+ Quy trình dọn phòng tích hợp sẵn
+ Nhóm kiểm tra các mẫu + Các mẫu có thể kế thừa các mẫu khác
+ Tự động khám phá các thiết bị mạng + Tự động đăng ký đại lý
+ Khám phá hệ thống tệp, giao diện mạng và snmp oid
+ Một giao diện người dùng dựa trên web trong php + Có thể truy cập từ mọi nơi
+ Có mục ghi chép đánh giá
API Zabbix cung cấp một giao diện lập trình cho phép thực hiện các thao tác hàng loạt, tích hợp phần mềm bên thứ ba và phục vụ cho nhiều mục đích khác nhau.
+ Xác thực người dùng an toàn
+ Một số người dùng nhất định có thể bị giới hạn ở một số lượt xem nhất định
- Agent có đầy đủ tính năng và dễ dàng mở rộng
+ Triển khai trên các mục tiêu giám sát + Có thể được triển khai trên cả linux và windows
- Có thể sử dụng cho các môi trường phức tạp
+ Giám sát từ xa dễ dàng bằng cách sử dụng proxy zabbix
Cơ chế hoạt động
Zabbix server giám sát thiết bị thông qua Zabbix agent hoặc các giao thức như SNMP và Netflow Các thiết bị mạng và server đã cài đặt SNMP hoặc Zabbix agent sẽ gửi thông số đến Zabbix server Sau đó, Zabbix server phân tích dữ liệu thu thập và dựa vào các trigger do quản trị viên thiết lập để đưa ra cảnh báo với các mức độ khác nhau như Critical, Warning, và Information Cảnh báo sẽ được gửi qua Gmail, SMS, hoặc Email cho quản trị viên.
Cấu trúc thư mục
- docs: Thư mục chứa file hướng dẫn pdf
- src: Thư mục chứa tất cả source cho các tiến trình Zabbix
+ src/zabbix_server: Thư mục chứa file tạo và source cho zabbix_server
+ src/zabbix_agent: Thư mục chứa file tạo và source cho zabbix_agent và zabbix_agentd
+ src/zabbix_get: Thư mục chứa file tạo và source cho zabbix_get
+ src/zabbix_sender: Thư mục chứa file tạo và source cho zabbix_sender
- include: Thư mục chứa các thư viện Zabbix
+ misc/init.d: Thư mục chứa các tập lệnh khởi động trên các nền khác nhau
+ frontends/php: Thư mục chứa các file PHP
- create: Thư mục chứa các tập lệnh SQL để tạo cơ sở dữ liệu ban đầu
+ create/schema: Thư mục tạo biểu đồ cơ sở dữ liệu
+ create/data: Thư mục chứa dữ liệu cho việc tạo cơ sở dữ liệu ban đầu
- upgrades: thư mục chứa các thủ tục nâng cấp cho phiên bản khác nhau của
Mô hình triển khai
Zabbix là một ứng dụng giám sát mạnh mẽ, có khả năng theo dõi hàng trăm đối tượng trong mô hình cài đặt single server Tuy nhiên, khi hệ thống mở rộng với hàng nghìn máy chủ và thiết bị mạng trong một cấu trúc mạng phức tạp, đặc biệt khi các máy chủ nằm ở nhiều vị trí địa lý khác nhau, mô hình cài đặt single server sẽ gặp giới hạn về khả năng quản lý và giám sát.
Trong nhiều doanh nghiệp, hệ thống Zabbix thường đã được cài đặt sẵn Zabbix nổi bật với tính linh hoạt, cho phép nâng cấp mô hình cài đặt lên dạng proxy-based monitoring (giám sát phân tán) Mô hình này bao gồm một Zabbix server và nhiều Zabbix proxies, với mỗi proxy có thể được đặt tại các chi nhánh hoặc một trung tâm dữ liệu Cấu hình này rất dễ triển khai và quản lý.
Kiến trúc giám sát phân tán trong Zabbix mang lại nhiều ưu điểm, đặc biệt là trong việc giám sát tập trung Loại hình này phù hợp với các mô hình mạng phức tạp, giúp tối ưu hóa quá trình giám sát Hệ thống giám sát phân tán kết hợp proxy-based là mô hình cài đặt phức tạp nhất, cho phép quản lý hiệu quả các yếu tố trong mạng lưới.
Hình a.1 mô hình phân tán b Mô hình tập trung
Mô hình cài đặt Zabbix trên một máy chủ không được khuyến cáo cho các hệ thống giám sát lớn, nhưng là lựa chọn phù hợp cho doanh nghiệp nhỏ với ít thiết bị cần giám sát Trong mô hình này, tất cả các thành phần như Zabbix server, Zabbix Database và Zabbix web frontend được cài đặt trên một Node duy nhất Đối với doanh nghiệp vừa và nhỏ, việc triển khai trên một server vật lý giúp tiết kiệm chi phí đầu tư phần cứng Tuy nhiên, đối với doanh nghiệp lớn, để đảm bảo tính dự phòng cho hệ thống, cần cài đặt thêm các node dự phòng, chia tải và hỗ trợ tính năng High Availability (HA).
Các khái niệm tùy chọn trong zabbix
Host là một thiết bị trong hệ thống mạng, có thể là máy tính, server, hoặc VPS, chạy các hệ điều hành khác nhau Nó cũng có thể là các thực thể như máy in, máy chấm công, máy photo, hay camera, miễn là hỗ trợ các giao thức mà Zabbix monitor cung cấp.
• Templates: Là một bố cục hay một thành phần được tạo ra sẳn để không cần phải lặp đi lặp lại khi gặp đúng 1 trường hợp
• Items: Đơn giản là một nơi chứa các key như là key memory, key cpu, key hdd… Items được đưa vào trong một templates
• Triggers: Là một điều kiện khi thỏa mãn điều kiện của Triggers mà người lập trình đặt ra thì sẽ thực hiện một hành động nào đó tiếp theo
• Graphs: Là một sơ đồ giám sát trực quan để người quản trị nhìn các thông tin một cách dễ dàng hơn
