Uživatel:Bodik/monitoring

TODO JE STARA NEAKTUALIZOVANA DOKUMENTACE

Různé

• https://wiki.metacentrum.cz/metawiki/Seznam_pridelenych_sitovych_rozsahu
• https://aiglos.zcu.cz/icinga/
• https://pakiti.ics.muni.cz/

centralni syslog

• na kazdem stroji metacentra by mel bezet rsyslog s doporucenym nastavenim
  • github.com/bodik/rsyslog2/puppet/rsyslog/
  • provoz dostava balicky ktere na stroje instaluje, puppetem aktivuje nastaveni pro vzdalene logovani pres GSS-API

• uklada veskera nashromazdena data na lokalni disk, pri nedostatku mista jsou stare logy presunovany do du.cesnet.cz
• posila data dale ke zpracovani do vyhledavaciho cloudu http://esb.metacentrum.cz

collector-metacentrum.liberouter.org

Sleduje a vyhodnocuje provoz casti metacentra v testovacim rezimu

Sonda je DELL R730 na MUNI: serech.ics.muni.cz, alias meter-metacentrum.liberouter.org. Sonda je nasazena na IP lince (trunk 2x10GE) z brnenske site Metacentra (147.251.3/24, 147.251.9/24,147.251.11/25,147.251.252/22) do PE routeru site Cesnetu. Mela by by zachytit IP provoz mezi 147.251.253/25 a svetem, nezachyti komunikaci s ostatnimi zminenymi podsitemi a nezachyti provoz na VLAN, ktere jsou protazene do Plzne skrz DWDM/VPLS.

Na sonde je nainstalovan:

• flowmonexp

NFSEN collector bezi na collector-metacentrum.liberouter.org. Na collectoru je nainstalovan:

• NfSen
• MongoDB
• Nemea (nemea-2.0.2.tar.gz https://www.liberouter.org/wp-content/uploads/2014/12/nemea-2.0.2.tar.gz, ale nektere moduly byly aktualizovany z git)
• latex a podpurne utility pro latex

IPFIX collector bezi na collector-metacentrum-ipfix.liberouter.org. Ten prijima ipfix data ze sondy v metacentru a analyzuje je systemem Nemea. Zaroven se zaznamy ukladaji do Fastbit databaze (ukladaji se pouze posledni 2 mesice). Na collectoru je nainstalovan:

• ipfixcol
• Nemea (nemea-2.0.2.tar.gz (https://www.liberouter.org/wp-content/uploads/2014/12/nemea-2.0.2.tar.gz, ale nektere moduly byly aktualizovany z git)

Udalosti detekovane v Nemea se ukladaji do MongoDB, ktera bezi collector-metacentrum. Webove gui bezici na collector-metacentrum dela rozcestnik nad nfsen gui, nad reporty a nad udalostmi.

Na lince se meri rozsirene zaznamy o tocich, konkretni rozsireni jsou http, voip a dns. Odesila se to pres IPFIX na collector-metacentrum-ipfix, a bez aplikacnich polozek se data odesilaji pres NetFlow v9 do NfSen na collector-metacentrum.

Kolektor collector-metacentrum-ipfix ma rozpoznat na zaklade analyzy zaznamu o tocich nasledujici udalosti:

• NEMEA_hoststats (horizontalni sken, dos utok, bruteforce)
• NEMEA_amplification_detection (dns amplifikacni utok)
• NEMEA_brute_force_detector (bruteforce na ssh, rdp, telnet)
• NEMEA_ipblacklistfilter (jakakoliv komunikace s blackllistovanou IP adresou, seznam blacklistu: ZEUS_TRACKER,PALEVO_TRACKER,FEODO_TRACKER,SPAMHAUS,TOR)