tom's networking guide
 
Anzeige

Test IAIT Paessler PRTG 16.2.24

Sicheres Netz dank Monitoring

Weitere für die Sicherheit relevante Sensoren

Sollen Ereignisprotokolle überwacht werden, so haben die zuständigen Mitarbeiter die Wahl zwischen einem Sensor, der das Ereignisprotokoll über die Windows API überwacht und einem Sensor der für die gleiche Aufgabe WMI verwendet. Bei der Windows API-Version wählen die zuständigen Mitarbeiter während der Sensorkonfiguration das zu überwachende Protokoll aus ("System", "Anwendung", "Sicherheit", etc.) und legen fest, welche Einträge das System filtert ("Fehler", "Warnung", "Information" und so weiter). Kommt die WMI-Version zum Einsatz, so bietet das System ebenfalls diverse Log-Files, die überwacht werden können an, unter anderem auch "HardwareEvents", "Windows PowerShell" und "Internet Explorer". Die Auswahlliste enthält hier auch die Anzahl der vorhandenen Einträge. Bei der WMI-Variante besteht ebenfalls die Möglichkeit, die Einträge nach Ereignistypen wie "Fehler" oder "Security Audit Failure" zu filtern. Im Betrieb melden die Sensoren dann die Zahl der anfallenden neuen Einträge.

Kommen wir nun zum Monitoring von Diensten und Prozessen. Der Sensor "SNMP Windows Dienst" fragt die Verantwortlichen nach den zu überwachenden Diensten. Weitere Angaben sind für seine Konfiguration nicht erforderlich.

Eine Alternative dazu stellt der Sensor "WMI Dienst" dar. Dieser möchte bei der Konfiguration ebenfalls die zu unter die Lupe zu nehmenden Dienste wissen, wie beispielsweise den Service des Agenten einer Backup-Software. Außerdem ist das System mit diesem Sensor zusätzlich dazu in der Lage, die betroffenen Dienste neu zu starten, wenn sie nicht laufen und ein erweitertes Monitoring durchzuführen, das nicht nur feststellt, ob der Dienst läuft, sondern auch Leistungsindikatoren wie die anfallende Prozessorlast im Blick behält.

Generell gilt übrigens, dass wo immer möglich SNMP-Sensoren zum Einsatz kommen sollten. Diese schonen die Ressourcen im Vergleich zu WMI-Sensoren sehr. Da sie aber nur Lese-Zugriff auf die Systeme haben, ist ihre Funktion manchmal eingeschränkt. Sind zusätzliche Features, wie beispielsweise das Überwachen von Leistungsindikatoren erforderlich, so müssen die Verantwortlichen auf die WMI-Sensoren ausweichen.

Mit dem "Windows Prozess"-Sensor überwachen die Administratoren beliebige ausführbare Programme. Hier reicht es für die Konfiguration, den Namen der Software anzugeben.

Wenn es um das Überwachen von Systemdaten geht, so ist der Sensor "WMI Wichtige Systemdaten (v2)" die richtige Wahl. Dieser bietet den Anwendern die Option, Systemwerte wie die CPU Processor Queue Length, die empfangenen Netzwerkbytes, die Pagefile-Nutzung, die Disk Queue Length, die Memory-Pages pro Sekunde und vieles mehr im Auge zu behalten.

Backup-Programme lassen sich auf verschiedene Arten unter die Lupe nehmen. Wie oben angedeutet, kann es in manchen Umgebungen sinnvoll sein, den Dienst des Backup-Agenten auf den einzelnen Rechnern zu überwachen. Manche Backup-Programme sind aber auch dazu in der Lage, nach dem erfolgreichen Abschluss einer Datensicherung eine Mail an den Administrator zu schicken. In diesem Fall lässt sich PRTG so einrichten, dass es den zuständigen Mitarbeiter beim Ausbleiben einer solchen Erfolgs-Mail alarmiert.

Wenden wir uns nun dem Überwachen eines SSH-Ports zu. Dazu setzten wir im Test den PRTG-Port-Sensor ein, um den Port 22 eines Linux-Systems im Auge zu behalten. In der Konfiguration reichte es, den Port 22 und die Zeitüberschreitung in Sekunden anzugeben. Darüber hinaus wollte das System optional unter anderem noch wissen, ob es gewünscht war, dass der Port offen oder geschlossen sein sollte und ob zur Verbindungsaufnahme TLS eingesetzt werden sollte. Bei Telnet-Verbindungen ist es sogar möglich, über den Port-Sensor auf der entfernten Maschine Befehle auszuführen.

Beim Einrichten des NetFlow-Sensors muss man den UDP-Port zum Empfangen von NetFlow-Paketen angeben und die Active-Flow-Zeitüberschreitung in Minuten festlegen. Außerdem benötigt das System die IP-Adresse des Senders. Zusätzlich sind die Administratoren auch noch dazu in der Lage, den Sensor anzuweisen, den Datenfluss für Debugging-Zwecke auf die Festplatte zu schreiben und die Überwachung auf bestimmte Dienste zu beschränken. Dazu gehören HTTP, HTTPS, FTP, die Mail-Protokolle, IRC, AIM, SSH, VNC, DNS, NetBIOS, Citrix und andere.

Überwachung des interSeptor Pro von Jacarta

Um auch die Umgebungswerte in unserem Rechenzentrum im Auge zu behalten, installierten wir für den Test die Überwachungslösung interSeptor Pro von Jacarta. Dabei handelt es sich um ein Hardware-basiertes Produkt, das mit Hilfe diverser (ebenfalls als Hardware realisierter) Sensoren Werte wie Temperatur, Luftfeuchtigkeit und ähnliches überwachen kann und beim Überschreiten vorher definierter Grenzwerte Alarme auslöst. Das genannte System lässt sich nahtlos in PRTG einbinden. Dazu steht der "SNMP interSeptor Pro Umgebung"-Sensor zur Verfügung. Dieser überwacht im Betrieb die an das Jacarta-System angeschlossenen Temperatur- und Feuchtigkeitssensoren und löst beim Überschreiten von Grenzwerten Alarme aus.

Das Monitoring von Umgebungstemperatur und Luftfeuchtigkeit mit Hilfe von Jacartas interSeptor Pro. (©Smartmedia PresSservice)

Überwachung mittels MIB

Alternativ ist es auch möglich, SNMP-fähige Geräte mit Hilfe ihrer MIBs (Management Information Base) im Auge zu behalten. Das ergibt Sinn, wenn keine gerätespezifischen Sensoren (wie eben bei dem Jacarta-Produkt) verfügbar sind, oder wenn es darum geht, Werte zu überwachen, die die verfügbaren Sensoren nicht abbilden. Im Test verwendeten wir MIBs, um den eben erwähnten interSeptor Pro und einen Router vom Typ Lancom 1781A genauer unter die Lupe zu nehmen, bei letzterem vor allem die integrierte Firewall.

Um die MIB-Überwachung zu aktivieren, müssen die Administratoren zunächst sicherstellen, dass auf den zukünftigen Zielgeräten SNMP zur Verfügung steht. Anschließend geht es daran, die zu den jeweiligen Devices passenden MIB-Files zu besorgen und mit Hilfe des kostenlosen "Paessler MIB Importers" in OIDLIB-Dateien umzuwandeln. Dabei besteht die Möglichkeit, alle für das Monitoring nicht benötigten Informationen aus dem MIB-File zu entfernen, was die Performance verbessert. Zum Schluss ist es noch erforderlich, die neu erstellte OIDLIB in den Ordner "\{Programme}\PRTG Network Monitor\snmplibs\" zu kopieren und den PRTG-Dienst neu zu starten, damit die Überwachungssoftware die OIDLIB erkennt.

Jetzt kann es an das Anlegen des Sensors selbst gehen: Hierzu müssen die IT-Verantwortlichen in der Sensorübersicht den Sensor "SNMP-Biliothek" auswählen. Danach erhalten sie Gelegenheit, die zu verwendende OIDLIB-Datei zu selektieren. Daraufhin liest PRTG die dazugehörigen Informationen ein und präsentiert die zu überwachenden Werte in Listenform. Diese sind natürlich je nach Gerät unterschiedlich, es lässt sich aber für jeden Wert ein einzelner Eintrag erstellen, der dann im Betrieb die dazugehörigen Daten (wie zum Beispiel den Feuchtigkeitsindex) darstellt. Bei Änderungen des empfangenen Werts lassen sich optional auch hier jederzeit Alarme auslösen.

Beim Einrichten eines Sensors zum Überwachen des Windows-Systemprotokolls. (©Smartmedia PresSservice)

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige