Ep. 4: Überwachung von Netzwerkgeräten via SNMP
Hinweis: Alle Videos sind im deutschen Originalton und verfügen über englische Untertitel. Zudem stellen wir für alle Inhalte die Transkripte auf Englisch zur Verfügung.
| [0:00:03] | Heute überwachen wir Switche. |
| [0:00:15] | Willkommen in einer neuen Folge vom Checkmk-Channel. |
| [0:00:18] | Heute ist das Thema: SNMP. |
| [0:00:20] | SNMP bedeutet Simple Network Management Protocol und das ist ein Protokoll, dass sehr viele Switche, Router, Drucker, USVs, Hardware-Sensoren und andere Geräte implementiert haben mit dem Zweck, dass man diese einfach überwachen kann. |
| [0:00:35] | Das Gute ist jetzt, ihr müsst in Checkmk überhaupt keine Agenten installieren. |
| [0:00:38] | Ihr müsst bei diesen Geräten den Zugriff nur via SNMP freischalten. |
| [0:00:43] | Der Rest in Checkmk ist dann sehr einfach und wie das geht, das zeige ich euch jetzt. |
| [0:00:48] | Ich möchte jetzt einen Switch ins Monitoring aufnehmen, den ich schon vorbereitet habe, das heißt wo ich SNMP-Zugriff schon freigeschaltet habe |
| [0:00:55] | Dazu gehe ich einfach wie immer in das WATO-Menü, Hosts lege mit dem Knopf 'New host' einen neuen Host an. |
| [0:01:04] | Wie nenne ich den Switch? Ich bin einfallslos. Sagen wir einfach mal switch1. |
| [0:01:08] | Die IP-Adresse muss ich hier manuell vergeben weil das ein einfach ausgedachter Name ist, der nicht auflösbar ist. |
| [0:01:16] | Und jetzt kommt das Wichtige bei SNMP, dass ihr den Checkmk-Agent abwählt, weil auf dem Switch kein Agent installiert ist und ihr auch keinen braucht, und stattdessen ihr SNMP einschaltet, und zwar die Einstellung SNMP v2 oder v3. |
| [0:01:32] | Die Einstellung SNMP v1 braucht man extrem selten, das wäre nur, wenn ihr ein Gerät habt, dass schon mindestens fünf oder zehn Jahre alt ist. |
| [0:01:42] | Passiert sehr selten. Aber, wenn es der Fall wäre, habt ihr hier die Option. |
| [0:01:48] | Wichtig sind auch noch die Credentials: in der Regel arbeitet man mit SNMPv2 und Credentials sind einfach eine Art Passwort und das nennt sich bei SNMP Community. |
| [0:01:59] | Und die Community tragt ihr ein, da wo ihr den SNMP-Zugang freischaltet bei dem Gerät. |
| [0:02:05] | Oft ist es so, dass ein Default-Passwort public heißt, also könnt ihr einfach probieren, ob public funktioniert, wenn ihr keine explizierte Einstellung gemacht habt. |
| [0:02:16] | Ich gehe dann erstmal weiter zu 'Save and Test', um zur Diagnoseseite zu kommen. |
| [0:02:23] | Auf der Diagnoseseite wird der Host wie üblich angepingt, er wird auch versuchen, den Checkmk-Agenten abzurufen, aber das sollte normalerweise nicht erfolgreich sein. |
| [0:02:32] | Interessante sind die Einträge, die ihr hier unten seht: SNMPv1, SNMPv2c und so weiter. |
| [0:02:37] | Ich klappe mal die Seitenleiste zu, dann sieht man das besser, ihr seht also, dass Checkmk, obwohl wir v2 eingestellt haben, trotzdem alle verschiedenen Varianten des Protokolls durchprobiert. |
| [0:02:49] | Damit habt ihr einfach einen schnellen Überblick, was euer Gerät unterstützt. |
| [0:02:52] | Wichtig ist, dass hier bei SNMPv2c eine Antwort kommt. |
| [0:02:55] | Ihr seht zum Beispiel SysDescr, die System-Description, das ist sein Text, die jeder Hersteller selber vorgibt. |
| [0:03:02] | Die anderen drei Sachen sind Sachen, die ihr im Switch eingetragen habt. Zum Beispiel eine Kontaktadresse, einen Namen und so weiter. |
| [0:03:10] | Das sieht jetzt alles sehr gut aus, deshalb werde ich jetzt hier einfach speichern mit 'Save & Exit'. |
| [0:03:16] | Jetzt brauchen wir wie immer unsere Service-Konfiguration, dazu gehe ich auf Services. |
| [0:03:22] | Und Checkmk schaut sich jetzt auf dem Gerät um, macht seinen sogenannten SNMP-Scan und findet jetzt eine ganze Liste von Dingen, die nicht überwacht sind – bis jetzt, weil wir haben ja noch gar nichts in der Überwachung drinnen. |
| [0:03:36] | Und da sag ich jetzt einfach wieder mal Monitor bei allen Undecided Services, das heißt, alles wird ins Monitoring aufgenommen. |
| [0:03:46] | Und was das genau ist, werden wir uns später gleich anschauen. |
| [0:03:48] | Ich mach meine Activate Changes, das kennen wir jetzt schon und nach kurzer Zeit habe ich meinen dritten Host im Monitoring. |
| [0:03:56] | Jetzt kann ich die Seitenleisten wieder aufklappen. |
| [0:03:58] | Wir sehen, wir haben drei Hosts und wenn ich jetzt auf meinen Switch drauf gehe, dann werden wir eine ganze Liste von Services finden, die wir uns gleich mal anschauen werden. |
| [0:04:11] | So, in der Liste der Services sehen wir wie immer zuerst zwei Checkmk-Services. Vielleicht ganz kurz ein Wort dazu: der erste Service, der einfach nur Checkmk heißt, zeigt euch einfach, ob generell das Überwachen des Switches funktioniert. |
| [0:04:27] | Ihr seht hier einen SNMP-Success, Execution time 1,4 Sekunden, das bedeutet, die Überwachung des Switches hat 1,4 Sekunden gebraucht, also, das Abrufen sämtlicher SNMP-Informationen. |
| [0:04:39] | Im zweiten Service würden ihr eine Warnung bekommen, wenn auf dem Switch Dinge aufgetaucht sind, die momentan nicht überwacht werden. |
| [0:04:46] | Das ist zum Beispiel der Fall für Switch-Ports, die bei der ersten Überwachung nicht aktiv waren und mittlerweile aktiv sind. |
| [0:04:55] | Checkmk ist so vorkonfiguriert, dass, wenn ihr einen Switch in die Überwachung aufnehmt, alle Ports, die jetzt gerade verwendet werden, also die den Link-Status: Up haben, in die Überwachung aufgenommen werden, die anderen nicht. |
| [0:05:07] | Ihr seht es zum Beispiel hier: Interface 1, 4, 5, 13, 17, 18, 19. |
| [0:05:11] | Das sind bei Weitem nicht alle. |
| [0:05:13] | Das Ganze ist natürlich konfigurierbar und wie das geht, steht im Handbuch. |
| [0:05:19] | Und so seht ihr also den Status von diesen Interfaces. |
| [0:05:22] | Wichtig ist, dass ihr nicht nur seht, ob dieses Interface Up oder Down ist, sondern ihr kriegt auch viel mehr Informationen zum Beispiel über die Fehlerrate, Übertragungsgeschwindigkeit und andere wichtige Details. |
| [0:05:34] | Dann gibt es noch den Service SNMP-Info, der ist normalerweise immer OK und der fasst einfach nur die Informationen zusammen, die im Switch konfiguriert sind. Nämlich die Typ-Bezeichnung, dann der Name des Switches, in welchem Raum oder Ort und die Kontaktpersonen. |
| [0:05:50] | Das sind also Daten, die ihr selber eingeben habt. |
| [0:05:53] | Und der letzte Service zeigt euch die Uptime, ihr seht zum Beispiel, dass dieser Switch 107 Tage schon läuft. |
| [0:05:58] | Das ist jetzt aber auch eine Sache, die normalerweise OK ist. |
| [0:06:01] | Ihr könnt den Uptime-Check aber so konfigurieren, dass er euch zum Beispiel warnt, wenn die Uptime sehr kurz ist, weil das heißt, dass das Gerät vor kurzem rebootet wurde und vielleicht wollt ihr das wissen. |
| [0:06:13] | Vorhin haben wir gesehen, dass es neben der SNMPv2 auch eine SNMP Version v3 gibt. |
| [0:06:19] | Der wesentliche Unterschied ist, dass SNMPv3 Security-Features implementiert. |
| [0:06:23] | SNMPv2 ist nämlich unverschlüsselt und jeder, der Zugang zum LAN hat, kann diese Daten mitlesen und sogar diese Community public oder wie auch immer sie heißt, lesen. |
| [0:06:33] | Das ist übrigens auch der Grund, warum die meisten die Community auch bei public lassen, weil das Protokoll sowieso unsicher ist. |
| [0:06:38] | Das Gute an der Stelle ist, die Daten haben nur reinen Lesezugriff, das heißt ein Angreifer könnte nichts an eurem Switch ändern, sondern er könnte nur die Diagnosedaten mitlesen. |
| [0:06:51] | Wenn ihr jetzt ein höheres Sicherheitsniveau braucht oder euch wünscht, könnt ihr SNMPv3 verwenden. |
| [0:06:56] | Es ist, muss ich gleich dazu sagen, deutlich komplexer aufzusetzen und es kostet deutlich mehr Rechenzeit, vor allem auf dem überwachten Gerät selbst. |
| [0:07:03] | Wie das geht, zeige ich euch kurz hier. |
| [0:07:07] | Dazu gehe ich zurück zu der Definition des Hosts in WATO, ich gehe zu den Eigenschaften, zu dem Switch. |
| [0:07:14] | Und der entscheidende Punkt ist jetzt hier bei SNMP-Credentials, und zwar um v3 zu bekommen, muss ich jetzt hier eine von diesen drei Optionen auswählen. |
| [0:07:23] | Interessanterweise gibt es hier verschiedene Sicherheitsabstufungen - die einzig wirklich sichere ist die Letzte, mit Authentifizierung und Verschlüsselung. With authentication and privacy. |
| [0:07:34] | Wenn ich die auswähle, muss ich aber einen ganzen Haufen zusätzlicher Informationen angeben, ich brauche einen Security name, ich brauche ein Passwort, ich brauche eine pass phrase. Diese ganzen Dinge müsst ihr auf dem jeweiligen Switch konfigurieren und einfach diese Werte in diese Felder übertragen. |
| [0:07:49] | Dann muss das Ganze funktionieren, und dann ist es auch sicher. |
| [0:07:55] | So, dass war's für heute. Danke fürs zuschauen und wir sehen uns beim nächsten Mal wieder. |
Wollen Sie mehr über Checkmk erfahren? Dann nehmen Sie an unserem Webinar "Einführung in Checkmk" teil!
