Externes Überwachungssystem konfigurieren

Kaspersky Web Traffic Security stellt Daten über das SNMP-Protokoll für jeden Cluster-Knoten separat bereit. Zur Speicherung, Aggregation und Analyse dieser Daten wird ein externes Monitoringsystem eingesetzt (nachfolgend auch Monitoringsystem genannt).

Externes Überwachungssystem für den Betrieb über das SNMP-Protokoll konfigurieren

So konfigurieren Sie ein externes Überwachungssystem:

  1. Wenn Ihr Überwachungssystem den Import von MIB-Dateien unterstützt, importieren Sie die Informationen der MIB-Objekte von Kaspersky Web Traffic Security.
  2. Fügen Sie dem Überwachungssystem alle Cluster-Knoten von Kaspersky Web Traffic Security als überwachte Geräte (Netzwerkknoten) hinzu.
  3. Geben Sie für jedes überwachte Gerät Verbindungsparameter mithilfe des SNMPv3-Protokolls an:
    • Verbindungsadresse
    • Port
    • Protokoll
    • Anmeldedaten des Benutzers: Benutzername, Authentifizierungsalgorithmus, Authentifizierungskennwort, Verschlüsselungsalgorithmus, Verschlüsselungskennwort

      Verwenden Sie die Daten des Benutzerkontos, das bei der Konfiguration des snmpd-Dienstes auf dem Cluster-Knoten von Kaspersky Web Traffic Security erstellt wurde.

  4. Geben Sie für jedes überwachte Gerät eine Liste der über das SNMP-Protokoll übertragenen Daten an. Verwenden Sie die symbolischen Namen der MIB-Objekte oder deren numerische Bezeichner. Geben Sie für jedes Datenelement seinen Typ (Ganzzahl oder Zeichenfolge), die Abfragehäufigkeit und den Speicherzeitraum an.
  5. Konfigurieren Sie Zeitpläne, Auslöser und Warnungen auf der Grundlage der über das SNMP-Protokoll übertragenen Daten.
  6. Erstellen Sie für jeden Cluster-Knoten von Kaspersky Web Traffic Security ein Benutzerkonto, um SNMPv3-Traps zu empfangen.

    Geben Sie die Anmeldedaten der Benutzer in den Einstellungen des Dienstes "snmpd" auf den Cluster-Knoten an (trapsess-Direktive).

  7. Geben Sie für jedes überwachte Gerät eine Liste der als SNMPv3-Traps empfangenen Ereignisse an. Verwenden Sie die symbolischen Namen der MIB-Objekte oder deren numerische Bezeichner. Erstellen Sie für Ereignisse, die Sie für wichtig halten, entsprechende Auslöser.

snmptrapd-Dienst für den Empfang von SNMP-Traps konfigurieren

Einige Überwachungssysteme (z. B. Zabbix, LibreNMS) nutzen den snmptrapd-Dienst des Betriebssystems als Agent zum Empfang von SNMP-Traps. Der snmptrapd-Dienst speichert Informationen über empfangene Ereignisse in einer Log-Datei, die anschließend vom Überwachungssystem gelesen wird.

Der snmptrapd-Dienst wird auf dem Computer konfiguriert, auf dem der Überwachungsdienst installiert ist.

So richten Sie den snmptrapd-Dienst ein:

  1. Stellen Sie sicher, dass der snmptrapd-Dienst und die grundlegenden MIB-Dateien auf dem Betriebssystem installiert sind.

    Wenn der snmptrapd-Dienst fehlt, installieren Sie die entsprechenden Pakete:

    • Führen Sie auf den Betriebssystemen Red OS®, Red Hat® Enterprise Linux®, CentOS und Rocky Linux den folgenden Befehl aus:

      yum install net-snmp net-snmp-utils

    • Führen Sie auf den Betriebssystemen Debian, Ubuntu und Astra Linux Special Edition den folgenden Befehl aus:

      apt install snmp snmptrapd

    So installieren Sie die grundlegenden MIB-Dateien:

    • Führen Sie auf den Betriebssystemen Red OS, Red Hat Enterprise Linux, CentOS und Rocky Linux den folgenden Befehl aus:

      yum install net-snmp-libs

    • Führen Sie auf den Betriebssystemen Debian und Ubuntu den folgenden Befehl aus:

      apt install snmp-mibs-downloader

    • Befolgen Sie auf dem Betriebssystem Astra Linux Special Edition die Anweisungen in der Astra Linux-Dokumentation.
  2. Kopieren Sie die MIB-Dateien von Kaspersky Web Traffic Security in ein Verzeichnis mit MIB-Dateien, z. B. /usr/share/snmp/mibs/kwts.
  3. Um MIB-Dateien der Anwendung zu verbinden, fügen Sie die folgenden Zeilen zur Konfigurationsdatei /etc/snmp/snmp.conf hinzu:

    mibdirs +/usr/share/snmp/mibs/kwts

    mibs all

  4. Die snmptrapd-Dienstkonfiguration wird in der Datei /etc/snmp/snmptrapd.conf gespeichert. Sie können die erforderlichen Daten zu einer vorhandenen Konfigurationsdatei hinzufügen oder eine neue Konfigurationsdatei erstellen und dieser die Parameterzeilen eine nach der anderen hinzufügen.

    Wenn Sie eine neue Konfigurationsdatei erstellt haben, stellen Sie sicher, dass nur der Superuser darauf zugreifen kann. Legen Sie bei Bedarf die erforderlichen Berechtigungen mit den folgenden Befehlen fest:

    chown root:root /etc/snmp/snmptrapd.conf

    chmod 600 /etc/snmp/snmptrapd.conf

  5. Geben Sie das Protokoll, die Adresse der Netzwerkschnittstelleund die Portnummer an, auf denen der snmptrapd-Dienst SNMP-Traps empfängt. Um Anfragen auf allen Netzwerkschnittstellen zu akzeptieren, fügen Sie der Konfigurationsdatei die folgende Zeile hinzu:

    snmpTrapdAddr udp:162

  6. Um SNMP-Traps über das SNMPv3-Protokoll mit Authentifizierung und Verschlüsselung zu empfangen, müssen Sie auf der Seite des snmptrapd-Dienstes Benutzerkonten mit den folgenden Daten hinzufügen:
    • Benutzername (Groß-/Kleinschreibung beachten)
    • Authentifizierungsalgorithmus (MD5 oder SHA, SHA empfohlen)
    • Kennwort für die Authentifizierung
    • Verschlüsselungsalgorithmus (unterstützt nur AES)
    • Kennwort für die Verschlüsselung

    Aus Sicherheitsgründen wird empfohlen, verschiedene Benutzerkonten zu erstellen, um SNMP-Traps von verschiedenen Knoten im KSMG-Cluster zu empfangen.

  7. Fügen Sie für jedes von Ihnen erstellte Benutzerkonto die folgenden Zeilen zur Konfigurationsdatei hinzu:

    createUser <Benutzername> <Authentifizierungsalgorithmus> "<Kennwort zur Authentifizierung>" <Verschlüsselungsalgorithmus> "<Kennwort zur Verschlüsselung>"

    authUser log <Benutzername> priv

    Beispiel für eine Konfigurationsdatei:

    snmpTrapdAddr udp:162

    createUser TrapUser SHA "TrapAuthSecret" AES "TrapPrivSecret"

    authUser log TrapUser priv

    createUser TrapUser2 SHA "TrapAuthSecret2" AES "TrapPrivSecret2"

    authUser log TrapUser2 priv
  8. Um die Funktionalität des snmptrapd-Dienstes zu überprüfen, gehen Sie folgendermaßen vor:
    1. Konfigurieren Sie den Dienst "snmpd" auf dem KSMG-Cluster-Knoten, um SNMP-Traps an die Adresse des Überwachungssystems zu senden.
    2. Konfigurieren Sie das Senden von SNMP-Traps in der Web-Oberfläche von Kaspersky Web Traffic Security.
    3. Starten Sie den snmptrapd-Dienst im Debug-Modus und warten Sie auf den Empfang von SNMP-Traps.

      Um den snmptrapd-Dienst im Debug-Modus zu starten, führen Sie den folgenden Befehl aus:

      snmptrapd -f -Lo

    Wenn alles richtig konfiguriert ist, erhalten Sie innerhalb von 5-10 Minuten eine SNMP-Trap mit einem KSN-Statusereignis in der Anwendung:

    DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (4504) 0:00:45.04

    SNMPv2-MIB::snmpTrapOID.0 = OID: KWTS-EVENTS-MIB::ksnConnectionStatusEvent

    KWTS-EVENTS-MIB::sourceNode = STRING: kwts01.example.com

    KWTS-EVENTS-MIB::status = STRING: KsnDisabled

  9. Konfigurieren Sie die Integration des snmptrapd-Dienstes mit dem Überwachungssystem.

    Befolgen Sie dazu die Anweisungen in der Dokumentation Ihres Überwachungssystems.

Der snmptrapd-Dienst wird konfiguriert.

Nach oben