Подключение с помощью SNMP-коллектора
Этот раздел содержит информацию о работе с SNMP. Рекомендуется использовать протокол SNMPv3, поскольку он является более безопасным по сравнению с предыдущими версиями — SNMPv1 и SNMPv2c. Более высокая безопасность SNMPv3 по сравнению с предыдущими версиями обеспечивается возможностями аутентификации.
Полезная информация
SNMP основан на модели менеджера (центральный сборщик информации), в нашем случае это Сервер SNMP Trap
, и агентов, расположенных в разных удаленных местах.
Работа агентов состоит в том, чтобы собирать различные фрагменты информации из их местоположения. Они также могут сообщать информацию, которую они только что получили внутри себя, например, небольшие системные сигналы тревоги. Их задача состоит в том, чтобы сообщить об этом менеджеру и, в конечном итоге, собрать всю информацию в одном месте.
Далее необходимо понять по какому принципу осуществить взаимодействие этих компонентов между собой.
Способ, при котором SNMP-менеджер и агенты общаются друг с другом, традиционно осуществляется через асинхронные сообщения, но некоторые системы вместо этого могут использовать обмен сообщениями с запросом, или, иначе говоря, синхронными сообщениями.
В KOMRAD реализовано сразу 2 этих подхода:
- Traps (асинхронное взаимодействие)
- Polling (синхронное взаимодействие)
SNMP Traps
Обычно SNMP является асинхронным, это означает, что ваши агенты будут отправлять сообщения всякий раз, когда происходит что-то критическое, это называется SNMP-trap
(SNMP-ловушки). Но менеджер не будет запрашивать информацию по какому-либо расписанию, поэтому если вы ничего не получаете от агента, то вы не знаете: означает ли это, что все в порядке, или, что один из агентов находится не в сети. При этом у вас нет способов проверить это.
SNMP Poll
В последнее время некоторые SNMP-устройства стали использовать метод запроса вместо отправки SNMP-trap
.
Можно настроить свою SNMP-систему так, чтобы ваши агенты не отправляли к менеджеру сообщение (SNMP-trap) всякий раз, когда что-то происходит, а вместо этого бы ожидали запроса от менеджера, который поступает через равные промежутки времени. Это называется циклом запроса и означает то, что менеджер отправляет запросы вашему агенту, например, каждые 30 секунд.
Как можно заметить, этот метод заменяет некоторую срочность на периодичность. А именно: если агент находится не в сети, то он не сможет ответить на следующий запрос, поэтому вы будете знать, что что-то пошло не так.
Итог
SNMP Poll
позволяет узнать, когда агент находится в автономном режиме, но некоторые тревоги могут ждать до нового цикла запроса прежде, чем станет о них известно.
Лучший вариант - это использовать гибридную схему и за счет этого получать лучшее из обоих методов.
Конфигурация
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/komrad-snmp-collector.yaml
### schema: komrad/komrad-snmp-collector/4.1.33
# Идентификатор предприятия
tenant_id: 75
# Идентификатор установки
setup_id: komrad-production
# Метка безопасности, аналог Oracle Security Label
sl: 715
bus:
servers:
- nats://[ip_bus]:3490
user: komrad
password: pass
user-credentials: ""
tls:
disable: false
ServerName: ""
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
system-pool: false
min-version: "1.3"
client-auth: require-and-verify-client-cert
tuning:
# Возможность установить время ожидания при соединении.
connect-timeout: 10s
# Воз можность установить максимальное количество попыток повторного подключения.
max-reconnects: 1000000
# Устанавливает максимальное количество времени, в течение которого мы будем ждать ответа.
max-wait: 0s
# Параметр для установки периода для клиентских команд ping.
ping-interval: 2m
# Возможность установить максимальное количество запросов ping,
# которые могут остаться без ответа сервера, прежде чем закрыть соединение.
max-pings-outstanding: 2
# Устанавливает максимальное количество незавершенных асинхронных публикаций,
# которые могут быть одновременно запущены.
publish-async-max-pending: 0
# Интервал переподключения.
reconnect-interval: 5s
# Возможность установить время ожидания между попытками повторного подключения.
reconnect-wait: 1s
# Устанавливает соединение в состояние повторного подключения, если оно не может подключиться.
retry-on-failed-connect: false
# Таймаут между попытками рестарта коллектора во время неустойчивой связи с центральным сервером KOMRAD
restart-timeout: 1s
# local_ip: 10.0.0.1
# Настройки пакетного сбора данных - включает накопление событий в пакеты
# для оптимизации скорости передачи информации.
# Например, увеличение параметра timeout до 3s и limit до 20000 позволяет достигать 100 000 EPS.
batching:
# предельный интервал времени накопления пакетов, по умолчанию 1 секунда
timeout: 1s
# предельный лимит событий в пакете, по умолчанию - 100
limit: 1000
# Настройки write-ahead-log (WAL) - механизма записи на диск событий
# в случае разрыва соединения с сетью. События пишутся на диск в сжатом виде, в случае
# восстановления соединения с сетью сжатые пакеты событий направляются в шину событий KOMRAD.
# Рекомендуется контро лировать объем свободного дискового пространства на узле с коллектором/агентом.
wal:
# Путь до папки в которой будет храниться конфигурационная информация коллектора/агента.
# Конфигурация хранится в сжатом, зашифрованном виде.
# Если путь не указан, будет выбрана папка по-умолчанию:
# - для Windows:
# C:\Program Files\Echelon\komrad\<name>-collector\.wal
# - для Linux:
# /var/lib/echelon/komrad/<name>-collector/.wal
# В случае установки нескольких одинаковых коллекторов на один хост необходимо устанавливать
# раздельные пути до хранилища каждого коллектора, путь к хранилищу одного коллектора не должен
# быть вложенным в путь до хранилища другого коллектора.
path: /var/lib/echelon/komrad/komrad-snmp-collector/.wal
# no-copy -- когда равен true включается режим оптимизации работы с памятью,
# изменять значение стоит лишь при рекомендации Службы Поддержки.
no-copy: true
# segment-size -- размер одного сегмента WAL, по умолчанию 4 Кб,
# изменять значение стоит лишь при рекомендации Службы Поддержки.
segment-size: 4MB
# max-length - максимальная длина WAL, если равно 0 длина не ограничена.
max-length: 0
# Настройки вывода логов приложения.
# Сервис может отправлять логи сразу в несколько целей -- файл, системный журнал ОС, консоль, syslog.
# Включить вывод логов в консоль для режима отладки приложения
# - filename: stdout
# format: color
# filter: ""
# levels: [all]
# Включить вывод логов в файл с ротацией.
# ВАЖНО: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.
# - filename: "/var/log/echelon/komrad/service.log"
# format: json
# возможно задать выражение для фильтрации выводимых логов
# filter: ""
# levels: [info, error, warn, panic, fatal]
# Отправлять критические сообщения в Журнал Windows.
# ВНИМАНИЕ: не стоит включать levels (info, warn, debug, error) в windowseventlog , это может
# крайне негативно сказаться на быстродействии и доступности узла.
# - filename: windowseventlog
# format: json
# levels: [panic, fatal]
log:
- filename: systemd/journal
format: json
filter: ""
levels:
- info
- error
- panic
- fatal
- warn
# Настройки дискового хранилища конфигурационной информации коллектора/агента
storage:
# Путь до папки в которой будет храниться конфигурационная информация коллектора/агента.
# Конфигурация хранится в сжатом, зашифрованном виде.
# Если путь не указан, будет выбрана папка по-умолчанию:
# - для Windows:
# C:\Program Files\Echelon\komrad\<name>-collector\.storage
# - для Linux:
# /var/lib/echelon/komrad/<name>-collector/.storage
# В случае установки нескольких одинаковых коллекторов на один хост необходимо устанавливать
# раздельные пути до хранилища каждого коллектора, путь к хранилищу одного коллектора не должен
# быть вложенным в путь до хранилища другого коллектора.
path: /var/lib/echelon/komrad/komrad-snmp-collector/.storage
compress: false
# Включить режим синхронной записи каждого результата на диск, по-умолчанию отключено
sync-writes: false
# Параметры для создания защищённых соединений с источниками событий
auth:
# TLS для создания защищённого соединения с источниками событий
tls:
disable: true
# Имя сервера
server-name: ""
# Корневой сертификат Центра Сертификации
trusted-ca: ""
# Сертификат TLS
cert: ""
# Приватный ключ сертификата TLS
cert-key: ""
ssh:
# Путь до файла с приватным ключом сертификата
private-key: ""
# Парольная фраза для авто ризации по SSH с помощью сертификата при включённой опции
# использования парольной фразы.
# Используется для установки SSH соединения с использованием сертификатов
passphrase: ""
# НЕБЕЗОПАСНО: включение данного флага позволяет игнорировать предупреждения
# безопасности о незащищённом SSH соединении.
allow-insecure: false
# Таймаут SSH соединения, в секундах, по умолчанию 10.
timeout: 10
# Настройки для получения секретов и сертификатов из Hashicorp Vault (в komrad-vault)
vault:
# Адрес vault
addr: null
# Токен доступа к vault
token: null
tls: null
# Путь к базе данных GeoIP
geo-ip:
path: /var/lib/echelon/komrad/komrad-snmp-collector/geoip/db.mmdb
# Проверка на корректность базы данных geoIP при инициализации geodata.
# Полезная опция, чтобы удостоверится, что база mmdb не содержит ошибок.
# Однако верификация длится от 20 секунд до 2х минут в зависимости от ресурсов
# и размера базы геоданных. По умолчанию опция отключена.
verify-on-start: false
# Отключить запись исходного текста события в поле Raw.
# Большинство требований регулятора требуют сохранять текст исходного события.
# Сохранение исходного текста события влияет на размер БД для хранения событий,
# возможно повышение требований в 2-10 раз.
# Коллекторы WMI, SQL, SNMP, xFLOW всё, что получают от протоколов источников
# сбора сохраняют в нормализованные поля события. Поле Raw заполняется
# синтетическими данными -- нормализованные поля в формате JSON.
# Рекомендуется установить `disable-raw-field: true` для коллекторов типа WMI, SQL, SNMP, xFLOW
# для сохранения затрат на хранение избыточных данных.
# Коллекторы Syslog и File имеют доступ к исходному тексту события, отключать запись в Raw
# для этих коллекторов невозможно.
disable-raw-field: false
# Использовать при работе только в локальном автономном режиме
offline: false
events_file: ""
Подключение нового SNMP-коллектора
Предварительные условия:
- Источник событий ИБ поддерживает передачу событий по SNMP
- Наличие лицензии (разрешения) на использование SNMP-коллектора (см. Обзор пользовательского интерфейса ⇒ О программе ⇒ Информация о программе)
- Отсутствуют какие-либо ограничения на передачу трафика по выбранному порту между источником событий ИБ и сервером KOMRAD
Для установки SNMP-коллектора на определенный узел, необходимо:
-
На узле создать директорию, в которую необходимо переместить deb-пакет
komrad-snmp-collector*.deb
из дистрибутива KOMRAD -
Установить из папки
komrad-snmp-collector
командой:sudo apt install ./komrad-snmp-collector*.deb
-
Открыть файл
komrad-snmp-collector.yaml
командой:sudo nano /etc/echelon/komrad/komrad-snmp-collector.yaml
-
Отредактировать параметр
bus-url
, задав IP-адрес сервера KOMRAD:bus:
servers:
- nats://IP_ KOMRAD:3490 -
Сохранить файл и перезагрузить
snmp-collector
командой:sudo systemctl restart komrad-snmp-collector.service
-
Новый SNMP-коллектор отобразится в списке коллекторов в веб-интерфейсе
Подключение новых источников событий
Расположение: manage ⇒ Настройки коллекторов ⇒ Коллекторы ⇒ SNMP
Требования для SNMPv1 и SNMPv2c
SNMPv1 и SNMPv2c очень похожи по своей конфигурации. Администратор настраивает поле, известное как строка сообщества (community string), которая является строкой аутентификации (т.е. паролем), необходимой Серверу SNMP для получения данных от агентов.