Kort en krachtig: Er zijn slechts drie algemene en gestandaardiseerde informatiebronnen (*1) voor inzage in netwerk performance en de beveiliging van IT-infrastructuren. Deze kunnen worden gezien als de drie musketiers. Dit zijn:
- SNMP
- NetFlow
- Syslog
Deze drie informatiebronnen dienen gelaagd (in stapjes) te worden aangebracht en geven dan een soort van 3D MRI scan van de IT-voorzieningen.
De implementatie is specifiek voor elke organisatie omdat elke organisatie een andere informatiebehoefte heeft om zijn IT-infratructuur te beheren en te beheersen.
1. SNMP
Alleen het gedeelte SNMP kan al behoorlijk complex worden (*2). Koppeling op basis van SNMP om statische informatie te verzamelen (ITAM), alsmede basis configuratie informatie en dynamische informatie voor de verzameling van netwerkstatistieken zijn onderdeel van alle netwerk monitoring systemen.
Een enterprise systeem zal echter slim de data ophalen en deze opslaan in een database. Inzage wordt verkregen door de data slim te correleren en te presenteren in “out of the box” grafieken en display’s. Er zijn veel verschillende systemen die data kunnen verzamelen van netwerk apparatuur (Routers, Switches, Loadbalancers en meer). De verkregen data slim presenteren en correleren (ook met andere data) geeft de kracht van een netwerk monitoring systeem aan.
2. NetFlow
NetFlow is na ruim 20 jaar nog steeds een vergeten kindje als het gaat om (diepe) inzage in de netwerkverkeersstromen. (note: in 1996 door Cisco opgenomen en in 2009 is NetFlow v5 algemeen aanvaard als de defacto standaard).
Veel leveranciers doen NetFlow “erbij” als zij ook netwerkmonitoring doen. Netwerkbeheerders kunnen de techniek gebruiken om fouten of verkeersstromen op te sporen die men niet verwacht zoals back-ups of andere batched transport mechanismen die gebruik maken van de infrastructuur.
Applicaie Performanceproblemen als gevolg van ongepland of ongewenst netwerkverkeer kunnen met NetFlow eenvoudig worden opgespoord. SNMP monitoring geeft deze mogelijkheid niet.
Naast de simpele toepassing van bandbreedte gebruik (“Who is eating the cake”) kan NetFlow worden ingezet als bijzonder krachtig concept om de informatiebeveiliging en compliance verplichtingen in te richten. <Lees meer NetFlow als security concept, PS: link is 23 december 2019 actief>
Referenties:
https://en.wikipedia.org/wiki/NetFlow
Alle dagen Internet beheersen door beheren (Prof. Dr. Ir. Aiko Pras)
Leuk boekje in begrijpbare termen (rede uitgesproken tijdens de aanvaarding van het ambt als hoogleraar in november 2014)
3. Syslog
Syslog biedt heel veel informatie. De syslog berichten kunnen heel selectief naar een monitoring systeem worden gestuurd zodat deze informatie kan worden gebruik voor specifieke alarmeringen. Dit is dan vaak een aanvulling op netwerk en systeem monitoring net zoals het instellen van SNMP traps.
Syslog is bijzonder uitgebreid en het “aanzetten” van deze logging en daadwerkelijk ontvangst door een systeem met een Syslog receiver (deamon) kan grote gevolgen hebben voor de database van deze ontvanger (LOG systeem of monitoring systeem).
Voor een monitoring systeem wordt de retentie vaak ingesteld op een paar dagen. Voor bijvoorbeeld SolarWinds is dit standaad 7 dagen.
(*1) Fabrikant specifieke technieken (proprietary) om inzage te verkrijgen wordt in dit artikel voor de eenvoud niet behandeld.
(*2) Hierop gaan we in dit artikel niet dieper in.