Pour travailler via le protocole SNMP avec KSMG, le service snmpd du système d'exploitation est utilisé. Le service snmpd agit comme un agent maître, acceptant et traitant les demandes des systèmes de surveillance et d'autres consommateurs externes via le protocole SNMP. KSMG se connecte au service snmpd en tant que sous-agent en utilisant le protocole AgentX via un socket UNIX™.
Créez un compte utilisateur pour accéder aux données
Arrêtez le service snmpd avant de créer un compte.
Pour accéder en toute sécurité aux données à l'aide du protocole SNMPv3 avec authentification et chiffrement, vous devez créer un compte côté service snmpd avec les données suivantes :
Pour des raisons de sécurité, il est recommandé d'utiliser des comptes distincts sur différents nœuds du cluster KSMG.
Vous pouvez créer un compte à l'aide de l'utilitaire net-snmp-create-v3-user.
Pour créer un compte utilisateur à l'aide de l'utilitaire net-snmp-create-v3-user :
net-snmp-create-v3-user -ro -a <algorithme d'authentification> -x <algorithme de chiffrement> <nom d'utilisateur>
Les mots de passe pour l'authentification et le chiffrement seront demandés de manière interactive.
Exemple :
|
Création d'un compte utilisateur pour recevoir les interruptions SNMP
Pour recevoir des interruptions SNMP utilisant le protocole SNMPv3 avec authentification et chiffrement, vous devez créer un compte côté système de surveillance dans le contexte du service correspondant (généralement le service snmptrapd).
Le compte doit contenir les informations suivantes :
Pour des raisons de sécurité, vous devez utiliser différents comptes pour accéder aux données et recevoir des interruptions SNMP.
Il est recommandé de créer des comptes distincts pour recevoir les interruptions SNMP des différents nœuds du cluster KSMG.
Pour obtenir des instructions sur la création d'un compte utilisateur pour recevoir des interruptions SNMP, consultez la documentation de votre système de surveillance.
Configuration du service snmpd
La configuration du service snmpd est stockée dans le fichier /etc/snmp/snmpd.conf. Vous devez créer un nouveau fichier de configuration et y ajouter séquentiellement les lignes ci-dessous.
Pour configurer le service snmpd :
mv -f /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.backup
touch /etc/snmp/snmpd.conf
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
# Listen for incoming SNMP requests via UDP
agentAddress udp:161
# Listen for incoming SNMP requests via UDP
agentAddress udp:127.0.0.1:161
# Listen for subagent connections via UNIX socket
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# Basic system information
sysDescr <system_description>
sysLocation <system_location>
sysContact <contact_address>
sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics
view monitoring included .1.3.6.1.4.1.23668.1735
Les informations sur le système d'exploitation comprennent, par exemple, des données sur l'utilisation du processeur et de la mémoire vive, des données sur l'espace libre sur les partitions de disque, la charge sur les interfaces réseau, une liste des logiciels installés, une liste des connexions réseau ouvertes et une liste des processus en cours d’exécution. Ces informations peuvent contenir des données sensibles.
# SNMPv2-MIB - Basic system information
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB - CPU, Memory, Filesystems
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB - Memory and CPU usage
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB - Network interfaces I/O statistics
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
# Allow access to the whole OID tree
view monitoring included .1
# Access control for SNMPv3 monitoring system user
rouser <nom d'utilisateur> priv -V monitoring
# Send SNMPv3 traps to the monitoring system
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <nom d'utilisateur> -a <algorithme d'authentification> -A "<mot de passe d'authentification>" -x <algorithme de chiffrement> -X "<mot de passe de chiffrement>" udp:<adresse IP>:162
Le service snmpd sera configuré.
Pour intégrer plusieurs systèmes de surveillance, créez un compte distinct pour chaque système, spécifiez la zone de données disponibles pour les comptes (directives view et rouser) et configurez l'envoi des informations SNMP (directive trapsess).
Exemple de fichier de configuration du service snmpd : # Listen for incoming SNMP requests via UDP agentAddress udp:161
# Listen for subagent connections via UNIX socket master agentx agentXSocket unix:/var/run/agentx-master.socket agentXPerms 770 770 kluser klusers
# Basic system information sysDescr Example Mail Gateway Server, Node 05 sysLocation Example Datacenter, Ground floor, B23-U45 sysContact Mail system administrator <admin@example.com> sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics view monitoring included .1.3.6.1.4.1.23668.1735
# SNMPv2-MIB - Basic system information view monitoring included .1.3.6.1.2.1.1 # HOST-RESOURCES-MIB - CPU, Memory, Filesystems view monitoring included .1.3.6.1.2.1.25.1 view monitoring included .1.3.6.1.2.1.25.2 view monitoring included .1.3.6.1.2.1.25.3 view monitoring included .1.3.6.1.2.1.25.5 # UCD-SNMP-MIB - Memory and CPU usage view monitoring included .1.3.6.1.4.1.2021.4 view monitoring included .1.3.6.1.4.1.2021.10 view monitoring included .1.3.6.1.4.1.2021.11 # UCD-SNMP-DISKIO-MIB - Block devices I/O statistics view monitoring included .1.3.6.1.4.1.2021.13 # IF-MIB - Network interfaces I/O statistics view monitoring included .1.3.6.1.2.1.2 view monitoring included .1.3.6.1.2.1.31
# Access control for SNMPv3 monitoring system user rouser MonitoringUser priv -V monitoring
# Send SNMPv3 traps to the monitoring system trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u TrapUser -a SHA -A "TrapAuthSecret" -x AES -X "TrapPrivSecret" udp:10.16.32.64:162 |
Démarrage du service snmpd avec une nouvelle configuration
Pour appliquer la nouvelle configuration :
systemctl restart snmpd
systemctl status snmpd
L'état doit être running
.
systemctl enable snmpd
Le service snmpd sera lancé.
Vérification de la fonctionnalité du service snmpd
Pour vérifier la fonctionnalité du service snmpd, configurez l'utilisation de SNMP dans l'interface Web KSMG et interrogez les données SNMP à l'aide de l'utilitaire snmpwalk.
Pour obtenir les étendues de données SNMP fournies par l'application KSMG, exécutez la commande :
snmpwalk -v3 -l authPriv -u <nom d'utilisateur> -a <algorithme d'authentification> -A "<mot de passe d'authentification>" -x <algorithme de chiffrement> -X "<mot de passe de chiffrement>" <adresse IP> .1.3.6.1.4.1.23668.1735
Exemple : snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |