6-5. سرویس های مانیتورینگ

1-6-5- پیکربندی سرویس NetFlow

NetFlow یک پروتکل شبکه‌ است که برای جمع‌آوری اطلاعات ترافیک و جریان های IP طراحی و تولید شده ‌است.

تجهیزاتی که از NetFlow پشتیبانی میکنند، قادر هستند تا اطلاعات ترافیک IP را بر روی اینترفیس هایی که NetFlow بر روی آنها فعال است، جمع آوری کنند و آنها را به یک سرور خارجی برای آنالیز اطلاعات ارسال کنند.

NetFlow دارای دو جزء کلیدی است :

  • NetFlow Cache : منبع داده ای که اطلاعات جریان IPرا ذخیره می کند
  • NetFlow Export : مکانیزم انتقالی که اطلاعات NetFlow را به یک سرور خارجی جهت گزارش گیری و آنالیز اطلاعات ارسال می کند .

از این دستور در سطح پیکربندی اینترفیس برای فعال کردن NetFlow بر روی اینترفیس مورد نظر استفاده می شود. اجرای این دستور باعث می شود که مسیریاب، اطلاعات ترافیک IP را بر روی اینترفیس مورد نظر جمع آوری کند. برای غیر فعال کردن NetFlow بر روی اینرتفیس از شکل no دستور استفاده میشود.

از این دستور در سطح پیکربندی سراسری برای تعیین نسخه NetFlow استفاده میشود.  برای حذف دستور از شکل no آن استفاده میشود.

این دستور در سطح پیکربندی سراسری برای تعیین و معرفی سرور NetFlow استفاده میشود.

میتوان سرور را به کمک آدرس IP و یا نام آن در دستور درج کرد. در ادامه دستور باید شماره پروت UDP مورد استفاده توسط سرور نیز درج شود که میتواند عددی بین 1 تا 65535 باشد. از طریق این پورت اطلاعات به سرور NetFlow جهت آنالیز ارسال میشوند

مثال :

پیکربندی های زیر NetFlow را بر روی اینترفیس gbeth 1 مسیریاب فعال میکند و سپس سرور NetFlow به آدرس 192.168.10.1 را با شماره پورت 2000 برای مسیریاب معرفی میکند. همچنین نسخه NetFlow نسخه 9 در نظر گرفته شده است

2-6-5- نمایش وضعیت NetFlow

با استفاده از دستور زیر میتوان جریان های فعال را مشاهده کرد.

با استفاده از نرم افزارهای NetFlow analyzer در سیستم مقصد نیز میتوان به بررسی جریان ها پرداخت .

3-6-5- پیکربندی سرویس Syslog

Syslog پروتکل لاگ گیری از پیام ها است. این پیام ها پیام های اطلاع رسانی وقایع و رویدادهای مربوط به مسیریاب هستند که به کمک پروتکل Syslog به یک سرور خارجی برای تحلیل، بررسی و ثبت شدن ارسال میشوند.

سرویس Syslog به صورت پیشفرض بر روی مسیریاب ژرف فعال است.

 

از دستور زیر برای معرفی و پیکربندی سرور Syslog به مسیریاب استفاده میشود.

برای معرفی سرور Syslog به کمک این دستور میتوان از آدرس IP آن و یا نام آن استفاده کرد. توجه داشته باشید که مسیریاب باید به آدرس سرور دسترسی داشته باشد.

برای حذف دستور از شکل no آن استفاده میشود.

به کمک این دستور مشخص میشود چه پیام هایی باید به سرور Syslog ارسال شوند. برای حذف آن از فرمت no دستور استفاده می گردد.

هنگامی که رویدادی در شبکه اتفاق می افتد، تجهیزات شبکه میتوانند این اتفاق را در قالب یک پیغام به سرور syslog ارسال کنند .این پیغام ها دارای سطوح مختلفی هستند که اصطلاحا به آنها درجه ی Severity گفته میشود.

این سطوح از 0 تا 7 شماره گذاری شده اند و هر سطح پیام های خاص همان سطح را تولید و ارسال میکند.

نوع پیغام و شماره آن در زیر لیست شده است :

  • Level 0 : Emergency
  • Level 1 : Alert
  • Level 2 : Critical
  • Level 3 : Error
  • Level 4 : Warning
  • Level 5 : Notification
  • Level 6 : Informtional
  • Level 7 : Debuggingتوجه داشته باشید که فعال کردن هر سطح از Severity باعث فعال شدن سطوح پایین تر نیز میشود. برای مثال اگر سطح 4 فعال شود سطوح 1 ، 2 و 3 نیز فعال خواهند شد. بنابراین فعال کردن سطح 7 که مربوط به پیام های دیباگ است باعث تولید حجم بسیار بالایی از پیام های Syslog خواهد شد.در این دستور میتوان نوع پیام را هم بر اساس شماره آن و هم بر اساس نام آن مشخص کرد .به عنوان مثال دو دستور زیر معادل هم می باشند:

    سرویس audit یک سرویس امنیتی محسوب می شود که هدف از آن، بررسی رفتار کاربران در هنگام استفاده از روتر است. این رفتارها به صورت لاگ ذخیره می شوند. از جمله این رفتارها میتوان به ورود و خروج کاربران، لاگین های موفق و ناموفق، لیست دستورات اجرا شده توسط هر کاربر، نوع اتصال به روتر اعم از کنسول ، Telnet و  SSH ، و زمان و آدرس IP کاربرخواهد بود که در ادامه به بررسی هر یک از این موارد خواهیم پرداخت.

    ابزارهای مورد نیاز برای این تست عبارتند از :

    • Syslog watcher
    • Putty
    • Bitvise SSH Client

     

    این سرویس به دو صورت لاگ ­ها را مدیریت میکند.

    به این صورت که میتواند لاگ ها را به یک سرور Syslog ارسال کند و یا 20 لاگ آخر را به صورت محلی ذخیره کند که البته این لاگ ها در حافظه RAM نگهداری شده و پس از ریبوت تجهیز پاک خواهند شد.

    برای تست این سرویس ابتدا باید یک سرور Syslog را برای مسیریاب پیکربندی کنید  و سپس سرویس Audit را فعال کنید:

    Zharf (config)# logging host 192.168.0.61

    Zharf (config)# logging trap debugging

     

    Zharf (config)# service audit enable

    با فعال شدن سرویس ، باید پیغام Audtit service enble به سرور Syslog ارسال شده باشد. با disable شدن آن نیز پیغام مناسب ثبت خواهد شد.

    برای تست لاگین های موفق و ناموفق کاربران باید نمونه تست هایی با Telnet ، SSH و کنسول انجام شود به صورتی که در هر مرتبه رمز عبورهای صحیح و غلط برای هر تست وارد شود تا نتیجه لاگ آن قابل مشاهده باشد. به لاگ زیر دقت کنید.