La interacción con KSMG a través de SNMP se logra mediante el servicio "snmpd" del sistema operativo. El servicio snmpd actúa como un agente principal, recibiendo y procesando solicitudes de sistemas de supervisión y otros consumidores externos a través de SNMP. KSMG se conecta al servicio snmpd como subagente sobre el protocolo AgentX a través de un socket UNIX™.
Instalar el servicio snmpd
Asegúrese de que el servicio snmpd esté instalado en el sistema operativo. Si el servicio no está instalado, instale los paquetes adecuados.
Para instalar el servicio snmpd y las utilidades auxiliares
ejecute el siguiente comando:
yum install net-snmp net-snmp-utils
apt install snmp snmpd
Crear una cuenta de usuario para acceder a los datos
Antes de crear la cuenta, detenga el servicio snmpd.
Para garantizar la seguridad del acceso a los datos a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta de usuario en el lado del servicio snmpd con la siguiente información:
Por motivos de seguridad, recomendamos utilizar una cuenta de usuario independiente en cada nodo de clúster de KSMG.
Puede crear una cuenta de usuario de las siguientes formas:
Para crear una cuenta de usuario con la utilidad net-snmp-create-v3-user:
net-snmp-create-v3-user -ro -a <
algoritmo de autenticación
> -x <
algoritmo de cifrado
> <
nombre de usuario
>
Las contraseñas de autenticación y cifrado se solicitan de forma interactiva.
Ejemplo:
|
Para crear una cuenta de usuario sin la utilidad:
touch /var/lib/snmp/snmpd.conf
createUser <
nombre de usuario
> <
algoritmo de autenticación
> "<
contraseña de autenticación
>" <
algoritmo de cifrado
> "<
contraseña de cifrado
>"
Ejemplo:
|
Crear una cuenta de usuario para recibir capturas SNMP
Para recibir capturas SNMP a través de SNMPv3 con autenticación y cifrado, debe crear una cuenta en el lado del sistema de supervisión en el contexto del servicio correspondiente (generalmente, el servicio snmptrapd).
La cuenta debe contener la siguiente información:
Por motivos de seguridad, debe utilizar cuentas de usuario independientes para acceder a los datos y para recibir capturas SNMP.
Recomendamos crear cuentas de usuario independientes para recibir capturas SNMP de cada nodo del clúster de KSMG.
Para obtener instrucciones sobre cómo crear una cuenta de usuario para recibir capturas SNMP, consulte la documentación de su sistema de supervisión.
Configurar el servicio snmpd.
La configuración del servicio snmpd se almacena en el archivo /etc/snmp/snmpd.conf. Puede agregar la información necesaria a un archivo de configuración existente o crear un nuevo archivo de configuración y agregar las líneas enumeradas a continuación, en el orden dado.
Para configurar el servicio snmpd:
chown root:root /etc/snmp/snmpd.conf
chmod 600 /etc/snmp/snmpd.conf
# Listen for incoming SNMP requests via UDP
agentAddress udp:161
# Listen for incoming SNMP requests via UDP
agentAddress udp:127.0.0.1:161
# Listen for subagent connections via UNIX socket
master agentx
agentXSocket unix:/var/run/agentx-master.socket
agentXPerms 770 770 kluser klusers
# Basic system information
sysDescr <
descripción del sistema
>
sysLocation <
ubicación del sistema
>
sysContact <
dirección de correo electrónico del administrador
>
sysServices 72
# Kaspersky Secure Mail Gateway SNMP statistics
view monitoring included .1.3.6.1.4.1.23668.1735
La información sobre el sistema operativo incluye, por ejemplo, información sobre el uso de CPU y RAM, espacio libre en las particiones del disco, carga de interfaces de red; una lista de software instalado; una lista de conexiones de red abiertas; y una lista de procesos en ejecución. Parte de esta información puede ser confidencial.
# SNMPv2-MIB - Basic system information
view monitoring included .1.3.6.1.2.1.1
# HOST-RESOURCES-MIB - CPU, Memory, Filesystems
view monitoring included .1.3.6.1.2.1.25.1
view monitoring included .1.3.6.1.2.1.25.2
view monitoring included .1.3.6.1.2.1.25.3
view monitoring included .1.3.6.1.2.1.25.5
# UCD-SNMP-MIB - Memory and CPU usage
view monitoring included .1.3.6.1.4.1.2021.4
view monitoring included .1.3.6.1.4.1.2021.10
view monitoring included .1.3.6.1.4.1.2021.11
# UCD-SNMP-DISKIO-MIB - Block devices I/O statistics
view monitoring included .1.3.6.1.4.1.2021.13
# IF-MIB - Network interfaces I/O statistics
view monitoring included .1.3.6.1.2.1.2
view monitoring included .1.3.6.1.2.1.31
# Allow access to the whole OID tree
view monitoring included .1
# Access control for SNMPv3 monitoring system user
rouser <
nombre de usuario
> priv -V monitoring
# Send SNMPv3 traps to the monitoring system
trapsess -Ci -v3 -t0.1 -r1 -l authPriv -u <
nombre de usuario para recibir capturas
> -a <
algoritmo de autenticación
> -A "<
contraseña de usuario para recibir capturas
>" -x <
algoritmo de cifrado
> -X "<
contraseña de cifrado
>" udp:<
dirección IP
>:162
Se configurará el servicio snmpd.
Para integrarse con múltiples sistemas de supervisión, cree una cuenta de usuario independientes para cada sistema, especifique el alcance de la información disponible para cada cuenta de usuario (las directivas "ver" y "rouser") y configure el envío de capturas SNMP (la directiva "trapsess").
Ejemplo de un archivo de configuración del servicio snmpd
Iniciar el servicio snmpd con la nueva configuración
Para aplicar la nueva configuración:
systemctl restart snmpd
systemctl status snmpd
El estado debe ser running
.
systemctl enable snmpd
El servicio snmpd está configurado.
Verificar el estado del servicio snmpd
Para probar el servicio snmpd, configure el uso de SNMP en la interfaz web de KSMG y solicite datos SNMP mediante la utilidad "snmpwalk".
Para obtener los alcances de los datos SNMP proporcionados por KSMG:
snmpwalk -v3 -l authPriv -u <
nombre de usuario
> -a <
algoritmo de autenticación
> -A "<
contraseña de autenticación
>" -x <
algoritmo de cifrado
> -X "<
contraseña de cifrado
>" <
dirección IP
> .1.3.6.1.4.1.23668.1735
Ejemplo: snmpwalk -v3 -l authPriv -u MonitoringUser -a SHA -A "MonitoringAuthSecret" -x AES -X "MonitoringPrivSecret" 127.0.0.1 .1.3.6.1.4.1.23668.1735 |