Netzwerk-Monitoring in der Praxis
Technische Grundlagen des Netzwerk-Monitorings
von Thomas Bär - 30.07.2015
In der Frühzeit der Computertechnik konnten IT-Profis selten auf eine einheitliche Software-Entwicklung zurückgreifen. Alles, vom Anwendungsprogramm über den Druckertreiber bis hin zur Auswertungssoftware, musste speziell für eine bestimmte Maschine gekauft werden. Heutzutage gibt es selbst bei Überwachungs- und Systemmeldungen etablierte Standards. Während unter Windows typischerweise WMI zum Einsatz kommt, verwenden Linux/Unix-Administratoren und Netzwerk-Admins SNMP zur Überwachung.
Das Simple Network Management Protocol ist ein sehr einfaches Netzwerkprotokoll von der IETF (Internet Engineering Task Force) zur Steuerung und Überwachung von Netzwerksystemen. Statt nur Daten zu liefern, bietet SNMP über sogenannte Traps eine Technik, mit der sich Geräte im Fehlerfall selbstständig bei einem SNMP-Empfänger melden. Der Transfer geschieht über UDP (User Datagram Protocol).
Das Syslog-Protokoll ist ein weit verbreitetes De-facto-Standard-Protokoll zur Übermittlung von Log-Meldungen in IP-Netzen. Die maximal 1 KByte großen Textnachrichten sendet das jeweilige Gerät über den UDP-Port 514 an den Syslog-Empfänger. Eine Verschlüsselung dieser Daten sieht der Standard nicht vor. Die Nachricht besteht aus drei Komponenten: Selektor, Header und Inhalt. Der Selektor stellt dabei einen besonders wichtigen Teil dar, da er die Priorität der Meldung repräsentiert: von Notfall- (0) bis Debug-Information (7).
Windows Management Instrumentation (WMI) ist eine Erweiterung des Common Information Models (CIM) durch Microsoft. Dabei handelt es sich um eine Kernfunktionalität des standardisierten Web Based Enterprise Managements (WBEM) für Windows. WMI ermöglicht den Schreib- und Lesezugriff auf beinahe alle Einstellungen von Windows-Systemen. Es wurde im Windows-Umfeld zu einer der wichtigsten Schnittstellen für die Administration und Fernwartung von Windows-Computern, ganz gleich ob es sich dabei um PCs oder Server-Systeme handelt. Die Technik basiert auf COM und DCOM (Distributed Component Object Model) und ist seit dem Jahr 2000 integraler Bestandteil der Windows-Systeme.
SNMP ist für die Software-Entwickler leicht zu implementieren, doch in der noch weit verbreiteten Version 2c eher unsicher, da die Kommunikation im Klartext über das Protokoll UDP (User Datagram Protocol) erfolgt. Auch Windows-Server können bei Bedarf mit SNMP überwacht werden. Hierzu muss der Administrator lediglich den SNMP-Agent aktivieren (siehe https://aaronwalrath.wordpress.com/2010/06/02/, englische Kurzanleitung von Aaron Walrath). Der Vorteil von WMI gegenüber SNMP liegt in der höheren Flexibilität und Sicherheit. Daher gilt es, Windows-Server per WMI zu überwachen und Linux/Unix-Maschinen und aktive Netzwerkkomponenten mit SNMP.
Überwachung per Agent
VMware Hyperic: Manche Überwachungslösungen, beispielsweise Hyperic, setzen auf zusätzliche Agent-Software.
Warum greifen dann Hersteller wie VMware bei Hyperic zu einer Agent-Software, die zunächst installiert sein muss? Die Gründe hierfür sind: konsequent verschlüsselte Verbindungen, Unabhängigkeit von Protokollunzulänglichkeiten und statusbehaftete Kommunikation.
Das Ausbringen einer speziellen Agent-Komponente erzeugt natürlich einen administrativen Mehraufwand und sollte nur dann in Kauf genommen werden, wenn die Software Anwendungs-Server überwachen kann, die mit Standardmitteln nicht zu kontrollieren sind. In beinahe allen Fällen reichen jedoch Ping, WMI und SNMP vollkommen aus.
