Việc giám sát hoạtđộng của các thiết bị mạng, ứng dụng và dịch vụ trong môi trường mạng, với hàng chụchay hàng trăm thiết bị, mà người quản trị thực hiện thủ công sẽ không mang lại hiệu
TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG VÀ GIAO THỨC SNMP
Giới thiệu về hệ thống giám sát mạng
Giám sát mạng là quá trình theo dõi và ghi nhận luồng dữ liệu mạng, cung cấp thông tin để phân tích khi sự cố xảy ra Hệ thống này giúp phát hiện hiệu suất mạng chậm hoặc thiết bị không hoạt động, dựa trên các yếu tố như thông lượng, tỷ lệ lỗi, mất gói, độ trễ, và thời gian phản hồi Khi có lỗi xảy ra, quản trị viên sẽ nhận được thông báo qua các kênh như biểu ngữ cảnh báo, email, hoặc điện thoại.
Để giảm thiểu sự cố gián đoạn trong hệ thống mạng máy tính, người quản trị cần theo dõi "sức khỏe" của các thiết bị và dịch vụ triển khai Hiểu rõ tình trạng hoạt động của thiết bị và kết nối mạng giúp tối ưu hiệu suất hệ thống, đáp ứng nhu cầu người dùng Việc giám sát thủ công hàng chục hoặc hàng trăm thiết bị mạng, ứng dụng và dịch vụ sẽ không mang lại hiệu quả cao.
Cần thiết có phần mềm giám sát mạng tự động để cung cấp thông tin quan trọng, giúp người quản trị theo dõi hoạt động của hệ thống mạng hiệu quả.
Hệ thống giám sát mạng (Network Monitoring System) là phần mềm quan trọng giúp theo dõi hoạt động của hệ thống và các dịch vụ trong mạng Nó thu thập thông tin từ các thiết bị mạng, kết nối, ứng dụng và dịch vụ, cung cấp cái nhìn tổng quan cho người quản trị Dựa trên thông tin này, hệ thống có khả năng tạo báo cáo và gửi cảnh báo, giúp người quản trị xử lý sự cố kịp thời và nâng cao hiệu suất mạng Nhờ vào dữ liệu từ hệ thống giám sát, quản trị viên có thể cải thiện thiết bị và dịch vụ, đảm bảo mạng hoạt động ổn định.
1.1.2 Các yếu tố cơ bản trong giám sát mạng Để việc giám sát mạng đạt hiệu quả cao nhất, cần xác định các yếu tố cốt lõi của giám sát mạng như:
Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát
Các trang thiết bị, giải pháp, phần mềm thương mại phục vụ giám sát
Xác định các phần mềm nội bộ và phần mềm mã nguồn mở phục vụ giám sát
Ngoài ra, yếu tố con người, đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng
1.1.3 Tầm quan trọng trong giám sát mạng
Giám sát mạng là một yếu tố thiết yếu trong công việc của doanh nghiệp, không chỉ đảm bảo an toàn và bảo mật dữ liệu mà còn giúp tiết kiệm chi phí sửa chữa và giảm thiểu thời gian gián đoạn hệ thống khi gặp sự cố Hệ thống giám sát mạng đảm bảo tính thông suốt cho toàn bộ hệ thống, từ đó nâng cao hiệu quả hoạt động của doanh nghiệp Những tiêu chí dưới đây sẽ làm rõ hơn tầm quan trọng của giám sát mạng đối với các doanh nghiệp.
Tính bảo mật là yếu tố quan trọng trong giám sát mạng, giúp đảm bảo thông tin không bị lộ ra ngoài Tính năng này theo dõi biến động trong hệ thống mạng và cảnh báo kịp thời cho quản trị viên khi có sự cố xảy ra Qua màn hình giám sát, quản trị viên có khả năng xác định các vấn đề khả nghi và tìm ra giải pháp phù hợp nhất để xử lý.
Khả năng xử lý sự cố là một trong những lợi thế quan trọng của giám sát mạng, giúp tiết kiệm thời gian trong việc chẩn đoán sai lệch Nhờ vào giám sát viên, người quản lý mạng có thể xác định chính xác thiết bị gặp vấn đề và xử lý kịp thời, trước khi người dùng phát hiện ra sự cố.
Sử dụng phần mềm giám sát giúp tiết kiệm thời gian và chi phí, vì nó cho phép nhanh chóng phát hiện và sửa lỗi hệ thống chỉ trong vài giây, thay vì mất nhiều thời gian tìm kiếm Việc này không chỉ giảm thiểu chi phí mà còn nâng cao năng suất lao động Nhờ đó, doanh nghiệp có thể tập trung vào các công việc khác, từ đó gia tăng lợi nhuận.
Giám sát mạng giúp người quản lý theo dõi tình trạng thiết bị, xác định những thiết bị sắp hỏng và cần thay thế Nhờ vào công cụ giám sát này, các giám sát viên có thể lập kế hoạch và thực hiện các thay đổi cần thiết cho hệ thống mạng một cách dễ dàng và hiệu quả.
Các chức năng của hệ thống giám sát mạng
Thành phần của hệ thống giám sát có vai trò quan trọng trong việc thu thập dữ liệu nhật ký từ nhiều nguồn khác nhau trong mạng công ty, bao gồm máy chủ, cơ sở dữ liệu, ứng dụng, tường lửa, bộ định tuyến và hệ thống đám mây Các nhật ký này ghi lại tất cả các sự kiện diễn ra trên thiết bị hoặc ứng dụng cụ thể và được lưu trữ tại một vị trí tập trung hoặc kho dữ liệu.
Các kỹ thuật thu thập nhật ký khác nhau bao gồm:
Thu thập nhật ký dựa trên tác nhân (Agent-based log collection)
Trong kỹ thuật này, một tác nhân được cài đặt trên mọi thiết bị mạng để tạo ra và thu thập nhật ký Tác nhân này không chỉ chuyển tiếp nhật ký đến máy chủ trung tâm mà còn có khả năng lọc dữ liệu ở cấp độ thiết bị dựa trên các tham số đã được xác định Ngoài ra, chúng còn phân tích cú pháp và chuyển đổi nhật ký sang định dạng phù hợp trước khi chuyển tiếp, giúp tối ưu hóa việc sử dụng băng thông.
Phương pháp thu thập nhật ký dựa trên tác nhân chủ yếu được sử dụng trong các khu vực kín và an toàn, nơi giao tiếp bị hạn chế.
Thu thập nhật ký không cần tác nhân (Agentless log collection)
Kỹ thuật thu thập nhật ký không cần tác nhân cho phép các thiết bị mạng như bộ chuyển mạch, bộ định tuyến và tường lửa gửi nhật ký đến máy chủ trung tâm một cách an toàn mà không cần cài đặt các công cụ bên thứ ba Điều này không chỉ giúp giảm tải cho thiết bị mạng mà còn khắc phục vấn đề thiếu hỗ trợ cho việc thu thập dữ liệu nhật ký thông qua các tác nhân.
Thu thập nhật ký dựa trên API (API-based log collection)
Trong kỹ thuật thu thập nhật ký, nhật ký được lấy trực tiếp từ thiết bị mạng thông qua giao diện lập trình ứng dụng (API) Phần mềm ảo hóa cung cấp API, cho phép thu thập nhật ký từ các máy ảo từ xa Khi các công ty chuyển sang giải pháp đám mây, việc đẩy nhật ký trực tiếp đến hệ thống giám sát trở nên khó khăn do thiếu kết nối với cơ sở hạ tầng vật lý Trong trường hợp này, các giải pháp đám mây sử dụng API làm trung gian để thu thập và truy vấn nhật ký mạng.
Các giải pháp giám sát mạng tích hợp phân tích bảo mật với các bảng điều khiển trực tiếp hiển thị dữ liệu bảo mật qua đồ thị và biểu đồ Những bảng điều khiển này tự động cập nhật, giúp nhóm bảo mật nhanh chóng phát hiện hoạt động độc hại và xử lý các vấn đề bảo mật Nhờ vào các bảng điều khiển, các nhà phân tích có thể nhận diện bất thường, mối tương quan, mô hình và xu hướng trong dữ liệu, từ đó thu thập thông tin sâu sắc về các sự kiện theo thời gian thực Ngoài ra, các giải pháp này cũng cho phép người dùng tạo và tùy chỉnh bảng điều khiển riêng của họ.
Một khía cạnh quan trọng của phân tích bảo mật là các báo cáo được xác định trước, thường có sẵn trong các giải pháp giám sát mạng Những báo cáo này cung cấp khả năng hiển thị các sự kiện bảo mật, phát hiện mối đe dọa và hỗ trợ các cuộc kiểm toán bảo mật cũng như tuân thủ Được xây dựng chủ yếu dựa trên các chỉ số xâm phạm đã biết (IoC), các báo cáo này có thể được tùy chỉnh để đáp ứng nhu cầu bảo mật cụ thể của tổ chức.
Hầu hết các giải pháp giám sát mạng cung cấp cho người dùng khả năng lọc, tìm kiếm và phân tích chi tiết các báo cáo Người dùng có thể đặt lịch tạo báo cáo theo nhu cầu, xem dữ liệu dưới dạng bảng và biểu đồ, đồng thời xuất báo cáo ở nhiều định dạng khác nhau.
1.2.3 Correlation and security event monitoring
Công cụ tương quan là thành phần thiết yếu trong giám sát mạng, sử dụng quy tắc tương quan để phân tích dữ liệu nhật ký và phát hiện mối quan hệ giữa các hoạt động mạng Chúng giúp kết hợp các sự cố bảo mật, cung cấp cái nhìn toàn diện về các cuộc tấn công và phát hiện dấu hiệu hoạt động đáng ngờ, xâm phạm hoặc vi phạm tiềm ẩn ngay từ đầu, đồng thời tạo cảnh báo cho các hoạt động này.
Khi người dùng đăng nhập thành công sau nhiều lần thử không thành công trong thời gian ngắn, hệ thống nên kích hoạt cảnh báo.
Hầu hết các giải pháp giám sát mạng sử dụng các quy tắc tương quan dựa trên IoC, nhưng với sự phát triển liên tục của các kỹ thuật tấn công, những quy tắc này cần được cập nhật thường xuyên để tránh bị lỗi thời Việc xây dựng quy tắc tương quan hiệu quả đòi hỏi sự hiểu biết sâu sắc về hành vi và chiến thuật của kẻ tấn công.
Phân tích nguyên nhân gốc rễ và báo cáo sự cố là thành phần quan trọng của giải pháp giám sát mạng, cung cấp cái nhìn sâu sắc về các nỗ lực tấn công hoặc cuộc tấn công đang diễn ra Điều này giúp doanh nghiệp nhanh chóng thực hiện các hành động khắc phục cần thiết.
Mặc dù doanh nghiệp có hệ thống phòng thủ mạnh mẽ, họ vẫn không thể ngăn chặn hoàn toàn các cuộc tấn công mạng Để ứng phó, doanh nghiệp có thể thực hiện phân tích pháp y nhằm tái hiện hiện trường vụ án và xác định nguyên nhân gốc rễ của vi phạm Dữ liệu nhật ký, với các bản ghi về mọi sự kiện xảy ra trên thiết bị hoặc ứng dụng, có thể được phân tích để phát hiện dấu vết do kẻ tấn công độc hại để lại.
Hệ thống giám sát mạng là công cụ quan trọng giúp nhóm bảo mật phân tích nhật ký, tạo báo cáo pháp y và xác định thời điểm vi phạm bảo mật Nó cho phép phát hiện hệ thống và dữ liệu bị xâm phạm, cũng như xác định tin tặc và điểm xâm nhập trong các hoạt động độc hại.
Thành phần này hỗ trợ doanh nghiệp trong việc tuân thủ các yêu cầu pháp lý, bao gồm việc lưu trữ dữ liệu nhật ký lâu dài và thực hiện điều tra pháp y đối với dữ liệu đó.
Mô-đun giám sát mạng này tập trung vào việc phát hiện sự cố bảo mật, bao gồm các hành vi xâm phạm dữ liệu từ bên không được ủy quyền hoặc vi phạm chính sách bảo mật của tổ chức Những sự cố phổ biến như tấn công từ chối dịch vụ, sử dụng sai dữ liệu, leo thang đặc quyền trái phép và tấn công lừa đảo cần được phát hiện và phân tích kịp thời Các tổ chức phải thực hiện các biện pháp thích hợp để giải quyết vấn đề bảo mật mà vẫn đảm bảo tính liên tục của hoạt động kinh doanh Mục tiêu là giữ thời gian trung bình để phát hiện (MTTD) ở mức thấp nhất nhằm giảm thiểu thiệt hại từ các cuộc tấn công.
Phát hiện sự cố có thể được thực hiện bằng các kỹ thuật sau:
Sự tương quan sự kiện
Phân tích hành vi của người dùng và thực thể (UEBA)
TỔNG QUAN VỀ MÃ NGUỒN MỞ ZABBIX
Giới thiệu về phần mềm mã nguồn mở Zabbix
Zabbix, được sáng lập bởi Alexei Vladishev, hiện đang được phát triển và hỗ trợ tích cực bởi Zabbix SIA, là một giải pháp giám sát phân tán nguồn mở cấp doanh nghiệp.
Zabbix là phần mềm giám sát hiệu quả cho mạng và máy chủ, cung cấp khả năng theo dõi nhiều thông số quan trọng Với cơ chế thông báo linh hoạt, người dùng có thể dễ dàng cấu hình cảnh báo qua email cho hầu hết các sự kiện, giúp phản ứng nhanh chóng với sự cố Zabbix cũng nổi bật với tính năng trực quan hóa dữ liệu và báo cáo xuất sắc, dựa trên dữ liệu đã lưu trữ, làm cho nó trở thành công cụ lý tưởng cho việc lập kế hoạch dung lượng.
Zabbix hỗ trợ cả phương pháp polling và trapping, cho phép truy cập tất cả báo cáo, thống kê và tham số cấu hình qua giao diện người dùng web Giao diện này giúp người dùng đánh giá trạng thái mạng và máy chủ từ bất kỳ đâu Khi được cấu hình đúng cách, Zabbix đóng vai trò quan trọng trong việc giám sát hạ tầng CNTT, phù hợp với cả tổ chức nhỏ với vài máy chủ và các công ty lớn có nhiều máy chủ.
Zabbix là phần mềm miễn phí được phát triển và phân phối theo giấy phép GPLv2, cho phép người dùng truy cập và sử dụng mã nguồn một cách tự do.
2.1.2 Cơ chế hoạt động của Zabbix
Zabbix giám sát các thiết bị qua Zabbix agent hoặc qua các giao thức SNMP…
Các agent, bao gồm thiết bị mạng và server được cài đặt SNMP hoặc Zabbix agent, sẽ gửi sự kiện liên quan đến thiết bị tới Zabbix server Tại đây, Zabbix server sẽ phân tích dữ liệu thu thập được và dựa vào các trigger do quản trị viên thiết lập để đưa ra cảnh báo ở các mức độ khác nhau như critical, warning, hoặc information Hình thức cảnh báo có thể được thực hiện qua SMS, email hoặc Telegram.
Hình 2.2 Cơ chế hoạt động của Zabbix 2.1.3 Các ưu điểm của phần mềm Zabbix
Hỗ trợ SNPM (Simple Network Management Protocol)
Dùng để trao đổi thông tin quản lý giữa các thiết bị mạng
Giám sát cả Server và thiết bị mạng
Dễ dàng thao tác và cấu hình
Hỗ trợ máy chủ Linux, Solaris, FreeBSD …
Đáng tin cậy trong việc chứng thực người dùng
Linh hoạt trong việc phân quyền người dùng giao diện web đẹp mắt
Thông báo sự cố qua email và SMS
Biểu đổ theo dõi và báo cáo
Mã nguồn mở và chi phí thấp
Các yêu cầu để cài đặt phần mềm
Zabbix yêu cầu tối thiểu 128MB RAM và 256MB không gian trống trên ổ đĩa cứng Số lượng ổ cứng cần thiết phụ thuộc vào số lượng hosts và các thông số được giám sát Tài nguyên tối thiểu mà Zabbix yêu cầu sẽ thay đổi dựa trên số lượng hosts được giám sát.
Bảng 2.1 Các yêu cầu để cài đặt phần mềm
Name Platform CPU/Memory Database Monitored hosts Small Ubuntu
RAIN10 MySQL InnoDB or PostgreSQL
Fast RAID10 MySQL InnoDB or PostgreSQL
Giao diện Zabbix
Bảng điều khiển trong Zabbix cung cấp thông tin chi tiết về giám sát môi trường, đóng vai trò là trung tâm hiển thị các tiện ích như bản tóm tắt, bản đồ, biểu đồ và thời gian.
Hình 2.3 Màn hình Dashboards của Zabbix 2.3.2 Monitoring
Trong Monitoring → Problems có thể xem hiện hệ thống đang gặp phải vấn đề gì.
Hình 2.4 Thông tin các sự cố mà hệ thống gặp phải 2.3.2.2 Host
Máy chủ Zabbix là thiết bị quan trọng trong việc giám sát các hệ thống như máy chủ, máy trạm và switch Việc tạo máy chủ là nhiệm vụ đầu tiên cần thực hiện trong quá trình giám sát với Zabbix.
Để giám sát các tham số trên máy chủ 'x', trước tiên cần tạo một máy chủ mang tên 'Server X' Sau khi hoàn tất, bạn có thể thêm các mục giám sát vào máy chủ này Các máy chủ (Hosts) được phân loại và tổ chức thành các nhóm máy chủ (Host groups).
Bạn có thể kiểm tra dữ liệu đầu vào bằng cách truy cập vào tab Monitoring → Latest Data Tại đây, bạn sẽ thấy thời gian và giá trị của tất cả các thông số hoạt động trên máy tính Hãy xem tab Monitoring → Latest Data để xem dữ liệu được cập nhật trực tiếp từ hệ thống.
Hình 2.6 Thông tin metric của các hosts tại Latest data 2.3.2.4 Items
Mỗi item đại diện cho một số liệu khác nhau, được sử dụng để thu thập dữ liệu thực tế Sau khi cấu hình máy chủ, bạn có thể thêm các items để lấy dữ liệu Để tiết kiệm thời gian, hãy đính kèm các mẫu đã được xác định trước vào máy chủ Tuy nhiên, để tối ưu hóa hiệu suất hệ thống, cần tinh chỉnh các mẫu để theo dõi nhiều mục và thực hiện việc này thường xuyên nếu cần thiết.
Hình 2.7 Thông tin Items 2.3.2.5 Triggers
Triggers là những biểu thức logic dùng để đánh giá dữ liệu thu thập từ các items, phản ánh trạng thái hiện tại của hệ thống Mặc dù các items có vai trò quan trọng trong việc thu thập dữ liệu, việc theo dõi liên tục những thông tin này để phát hiện tình trạng đáng báo động là không khả thi Do đó, công việc đánh giá dữ liệu có thể được giao cho các triggers để tự động kích hoạt các biểu thức cần thiết.
Biểu thức kích hoạt giúp xác định ngưỡng trạng thái dữ liệu 'có thể chấp nhận được' Khi dữ liệu đến vượt quá ngưỡng này, trình kích hoạt sẽ được 'kích hoạt', dẫn đến việc thay đổi trạng thái thành PROBLEM.
Hình 2.8 Thông tin Triggers của hosts 2.3.2.6 Graph
Thông tin được biểu diễn dạng biểu đồ
Hình 2.9 Thông tin biểu diễn dưới dạng biểu đồ
Media types là kênh phân phối được sử dụng để gửi thông báo và cảnh báo từZabbix qua Email, Telegram, SMS
Hình 2.10 Các phương thức cảnh báo đến users, groups
Các thành phần cơ bản của Zabbix
Hình 2.11 Kiến trúc của Zabbix
Kiến trúc của Zabbix bao gồm 4 thành phần cơ bản: Zabbix server, Zabbix proxy, Zabbix agent, Zabbix Web intrerface.
2.4.1 Zabbix Server Đây là thành phần trung tâm của phần mềm Zabbix Server có thể kiểm tra các dịch vụ mạng từ xa (web server và mail server) sử dụng kiểm tra dịch vụ đơn giản, nhưng nó cũng là thành phần trung tâm mà Agent sẽ báo cáo thông tin và thống kê về tính khả dụng và tính toàn vẹn Server sẽ lưu trữ tất cả cấu hình và dữ liệu thống kê và vận hành, đồng thời là thực thể trong phần mềm Zabbix sẽ chủ động cảnh báo cho quản trị viên khi có sự cố phát sinh trong bất kỳ hệ thống nào được giám sát.
Zabbix cũng có thể thực hiện giám sát không có tác nhân (agent-less) và cũng có thể giám sát các thiết bị mạng bằng SNMP agents.
Proxy là một thành phần tùy chọn trong việc triển khai Zabbix, có nhiệm vụ thu thập dữ liệu về hiệu suất và tính khả dụng Dữ liệu này được lưu trữ trong bộ nhớ đệm trước khi được chuyển đến máy chủ Zabbix.
Zabbix Proxy là một giải pháp lý tưởng để giám sát tập trung các địa điểm, chi nhánh, mạng từ xa không có quản trị viên cục bộ.
Zabbix Proxies có khả năng phân phối tải cho một Zabbix server duy nhất, giúp tối ưu hóa hiệu suất Chỉ có Proxy thu thập dữ liệu, điều này làm giảm đáng kể mức tiêu thụ CPU và I/O đĩa trên Server.
Zabbix Proxy có thể được dùng để:
Giám sát các host từ những nơi khác
Giám sát các host từ những nơi có kết nối không ổn định
Giảm tải cho Zabbix server khi phải giám sát nhiều thiết bị
Đơn giản hóa cho việc bảo trì và giám sát
Zabbix Proxy chỉ cần một kết nối TCP đến Zabbix server vì vậy phải cho phép kết nối này khi có tường lửa giữa Zabbix Proxy và Zabbix Server.
Agent là một thành phần được cài đặt trên máy chủ và các thiết bị mạng cần giám sát Nó có nhiệm vụ thu thập thông tin hoạt động như ổ cứng, bộ nhớ và bộ xử lý từ hệ thống mà nó đang chạy Dữ liệu này sau đó được gửi đến Zabbix server để xử lý Khi phát hiện lỗi, chẳng hạn như ổ cứng đầy hoặc tiến trình bị ngừng, Zabbix server sẽ gửi cảnh báo cho người quản trị về các sự cố này.
2.4.4 Web interface Để dễ dàng truy cập dữ liệu theo dõi và sau đó cấu hình từ giao diện web cung cấp Giao diện là một phần của Zabbix Server, và thường chạy trên các máy chủ.
Các chức năng cơ bản trong Zabbix
2.5.1 Giám sát các dịch vụ mạng
Giám sát dịch vụ là một giải pháp giám sát doanh nghiệp giúp cung cấp cái nhìn tổng quan về toàn bộ cây dịch vụ của hạ tầng CNTT, từ đó xác định các điểm yếu và tính toán SLA cho các dịch vụ khác nhau Nó tập trung vào tính khả dụng tổng thể của dịch vụ thay vì các chi tiết cấp thấp như dung lượng đĩa hay tải bộ xử lý Từ phiên bản Zabbix 6.0, tính năng giám sát dịch vụ còn cho phép xác định nguyên nhân cốt lõi của sự cố khi dịch vụ không hoạt động như mong đợi.
Một cấu trúc dịch vụ rất đơn giản có thể trông giống như:
Zabbix có khả năng gửi thông báo hoặc tự động thực thi tập lệnh trên máy chủ khi phát hiện thay đổi trạng thái dịch vụ Người dùng có thể thiết lập các quy tắc linh hoạt để xác định xem dịch vụ gốc có nên chuyển sang 'Trạng thái có sự cố' dựa trên tình trạng của các dịch vụ con Dữ liệu về sự cố dịch vụ này sau đó có thể được sử dụng để tính toán SLA và gửi báo cáo SLA dựa trên các điều kiện linh hoạt đã được định nghĩa.
Giám sát dịch vụ được định cấu hình trong menu Dịch vụ, bao gồm các phần sau:
Dịch vụ cho phép bạn xây dựng một hệ thống phân cấp cơ sở hạ tầng được giám sát hiệu quả, thông qua việc thêm các dịch vụ gốc và sau đó là các dịch vụ con vào những dịch vụ gốc đó.
Bài viết này không chỉ hướng dẫn cách cấu hình cây dịch vụ mà còn cung cấp cái nhìn tổng quan về toàn bộ cơ sở hạ tầng, giúp người dùng nhanh chóng xác định các sự cố có thể gây ra thay đổi trạng thái dịch vụ.
Trong phần này, có thể xác định các thỏa thuận cấp độ dịch vụ và đặt mục tiêu cấp độ dịch vụ cho các dịch vụ cụ thể.
Trong phần này có thể xem báo cáo SLA
Hình 2.14 Giám sát các dịch vụ trên mạng Zabbix 2.5.2 Khám phá mạng
Zabbix cung cấp chức năng khám phá mạng tự động hiệu quả và linh hoạt, cho phép bạn thiết lập và tối ưu hóa quá trình khám phá mạng một cách dễ dàng Với tính năng này, bạn có thể tự động phát hiện các thiết bị và dịch vụ trong mạng, giúp quản lý hạ tầng IT một cách hiệu quả hơn.
Tăng tốc độ triển khai Zabbix
Đơn giản hóa việc quản trị
Sử dụng Zabbix trong môi trường thay đổi nhanh chóng mà không cần quản lý quá mức
Khám phá mạng Zabbix dựa trên thông tin sau:
Tính khả dụng của các dịch vụ bên ngoài (FTP, SSH, WEB, POP3, IMAP, TCP)
Thông tin nhận được từ Zabbix agent (chỉ hỗ trợ chế độ không được mã hóa)
Thông tin nhận được từ SNMP agent
Khám phá mạng về cơ bản bao gồm hai giai đoạn: khám phá và hành động.
Zabbix thực hiện quét định kỳ các dải IP theo quy tắc khám phá mạng đã được xác định, với tần suất kiểm tra có thể tùy chỉnh cho từng quy tắc Mỗi quy tắc khám phá được xử lý bởi một quy trình khám phá duy nhất, đảm bảo rằng phạm vi IP không bị phân chia giữa nhiều quy trình khác nhau Đối với mỗi quy tắc, một bộ kiểm tra dịch vụ cụ thể sẽ được thực hiện cho dải IP tương ứng.
Mỗi lần kiểm tra dịch vụ và máy chủ (IP) do mô-đun khám phá mạng thực hiện sẽ tạo ra một sự kiện khám phá.
Hình 2.15 Trạng thái theo dõi services Hành động
Các sự kiện khám phá có thể là cơ sở cho các hành động liên quan, chẳng hạn như:
Thêm máy chủ vào một nhóm
Xóa máy chủ khỏi nhóm
Liên kết máy chủ với/hủy liên kết khỏi mẫu
Thực thi các tập lệnh từ xa
2.5.3 Thu thập dữ liệu (Data gathering)
Zabbix nổi bật với hiệu suất cao trong việc thu thập dữ liệu và khả năng mở rộng cho các môi trường quy mô lớn Nó hỗ trợ nhiều phương pháp thu thập dữ liệu, bao gồm các Zabbix Agent gốc và các tùy chọn không có tác nhân như SNMPv1, SNMPv2, SNMPv3, IPMI, WMI, bẫy, SSH, Telnet và kiểm tra web.
Kiểm tra hiệu suất và tính khả dụng
Thu thập dữ liệu mong muốn theo các khoảng thời gian tùy chỉnh
Được thực hiện bởi máy chủ/proxy và bởi các agents
Hình 2.16 Thu thập dữ liệu trên Zabbix 2.5.4 Thông báo
Zabbix không chỉ thu thập, lưu trữ và phân tích thông tin về môi trường giám sát mà còn thông báo cho nhân viên về các sự cố xảy ra thông qua nhiều phương pháp khác nhau.
SMS cho các cảnh báo đáng tin cậy sử dụng modem USB / Cổng SMS trực tuyến
Hình 2.17 Cảnh báo thông qua email 2.5.5 Khả năng mở rộng giám sát (Scalability)
Zabbix có khả năng quản lý tới 100.000 thiết bị và máy chủ thông qua việc triển khai bổ sung Zabbix proxies Hệ thống này cho phép mở rộng quy mô để thu thập hàng triệu chỉ số từ hàng trăm nghìn thiết bị, dịch vụ và ứng dụng Việc triển khai Zabbix proxies rất đơn giản, mang lại khả năng mở rộng theo chiều dọc không giới hạn.
Ủy quyền thu thập số liệu cho Zabbix proxies
Triển khai số lượng Zabbix proxies không giới hạn
Giám sát hàng ngàn địa điểm từ xa, chi nhánh công ty, trung tâm dữ liệu
Triển khai Zabbix proxies từ các gói, bộ chứa hoặc hình ảnh trên cloud
Giảm chi phí mạng - lưu lượng giữa phụ trợ Zabbix server trung tâm và proxies được nén
Chúng tôi luôn tuân thủ các tiêu chuẩn bảo mật cao nhất thông qua việc sử dụng TLS PSK hoặc mã hóa chứng chỉ, đảm bảo toàn quyền kiểm soát các thuật toán bảo mật được phép.
2.5.6 Hỗ trợ giám sát thời gian thực
Zabbix cung cấp khả năng cảnh báo tức thì cho người quản trị viên qua email, SMS khi phát hiện sự cố trong hệ thống giám sát Ngoài ra, Zabbix còn lưu trữ hồ sơ chi tiết về các thông tin giám sát, giúp quản lý và phân tích hiệu quả hơn.
2.5.7 Các tùy chọn hình ảnh hóa (Visualisation)
Zabbix mang đến khả năng trực quan hóa phong phú, giúp bạn làm việc với dữ liệu một cách nhanh chóng và thông minh hơn Với Zabbix, bạn có thể dễ dàng truy cập và phân tích thông tin, từ đó nâng cao hiệu quả quản lý và giám sát hệ thống.
Màn hình và trình chiếu do người dùng xác định
Vẽ đồ thị (Graphing) (bao gồm biểu đồ hình tròn)
Hình 2.18 Hình ảnh hóa với Zabbix dạng biểu đồ 2.5.8 Khả năng tự động phát hiện
Người dùng có khả năng thiết lập các quy tắc trong Zabbix để tự động phát hiện địa chỉ IP, dịch vụ và thiết bị SNMP, từ đó nâng cao hiệu quả giám sát hệ thống.
Cho phép tìm kiếm các phần tử mạng, tự động thêm thiết bị mới và loại bỏ các thiết bị không còn tồn tại trong mạng Hệ thống cũng thực hiện phát hiện các giao diện mạng, cổng và hệ thống tệp tin.
Auto discovery giúp xác định trạng thái hiện tại của mạng bằng cách phát hiện các thiết bị và dịch vụ có sẵn Nó cũng đóng vai trò quan trọng trong bảo mật, cho phép xác minh các cổng đang được kích hoạt.
Giám sát an ninh mạng trong Zabbix
Các active agents kết nối với Zabbix Server để nhận danh sách các mục đã được kiểm tra Chúng sử dụng tham số ServerActive trong tệp zabbix_agentd.conf để lấy thông tin cần thiết cho hoạt động của Server.
RefreshActveChecks kiểm soát tần suất agent yêu cầu danh sách từ Server , mặc định là
Zabbix yêu cầu 120 giây để cập nhật các thay đổi trong cấu hình do quản trị viên thực hiện Sau đó, cần thêm 60 giây để làm mới bộ nhớ cache (CacheUpdateFrequency).
Các active agent tận dụng lợi thế từ bộ nhớ đệm, cho phép lưu trữ dữ liệu trong 5 giây Quản trị viên có khả năng tăng thời gian lưu trữ này bằng cách điều chỉnh tham số BufferSend.
Hình 2.21 Hoạt động của Active Agent
Khi sử dụng active agent , nó có thể gửi các danh mục đã kiểm tra cho nhiều hơn
1 zabbix Server hoặc Proxy Điều này sẽ thực hiện bằng cách thêm các IP vào tham sốServerActive.
Passive agent sẽ chờ Server hoặc Proxy yêu cầu các dữ liệu như tải CPU, dung lượng trống của ổ cứng và các mục tương tự.
Hình 2.22 Hoạt động của Passive Agent
Quản trị viên có thể thêm nhiều địa chỉ IP Server hoặc Proxy vào tập tin cấu hình, cho phép các Server hoặc Proxy này yêu cầu thông tin từ Passive Agent, tương tự như cách hoạt động của active agent.
2.6.3 Thành phần Extending agents Đi sâu hơn vào khía cạnh giám sát của agent , một hệ thống sẽ nhanh chóng đạt giới hạn nếu không tính tới các khả năng mở rộng Doanh nghiệp có thể yêu cầu kiểm tra cụ thể một phần nào đó trên hệ thống mà không có sẵn trong các agent của zabbix Có một số cách để mở rộng zabbix, một trong số những cách đó là làm việc với các tham số người dùng.
Mở rộng agent khi zabbix vượt quá giới hạn bằng cách thay đổi tham số UserParameter trong tệp tin cấu hình:
là tùy ý nhưng phải duy nhất đối với mỗi Server , command sẽ được thực hiện bởi các agent.
Zabbix hỗ trợ nhiều phương pháp giám sát thiết bị, nhưng đôi khi chỉ cần kiểm tra một mục nhỏ mà không cần sử dụng toàn bộ công cụ như agent, IPMI hay SNMP Để đáp ứng nhu cầu này, Zabbix cung cấp zabbix_sender, một công cụ cho phép người dùng gửi dữ liệu theo dõi thông qua các kịch bản tự tạo Thông tin thu thập được sẽ được gửi tới Zabbix Server và được Zabbix Trapper xử lý.
Để cấu hình Server, người quản trị cần tạo thư mục Trapper và cài đặt tham số -z với địa chỉ IP của Server Zabbix cùng với tên Server đã đăng ký trong giao diện Zabbix (-s) Đồng thời, cần thông báo cho Server các thông tin quan trọng mà người quản trị muốn cập nhật (-k) và các giá trị đã cung cấp (-o).
2.6.5 Giám sát cơ sở dữ liệu (Database Monitoring)
Trong Zabbix, để theo dõi cơ sở dữ liệu, bạn có thể sử dụng Open Database Connectivity (ODBC) ODBC hoạt động như một phần mềm trung gian giữa hệ quản trị cơ sở dữ liệu (DBMS) và ứng dụng Zabbix, cho phép Zabbix truy vấn bất kỳ cơ sở dữ liệu nào khi có sự hỗ trợ của unixODBC, đặc biệt là gói unixODBC-devel Zabbix không kết nối trực tiếp với cơ sở dữ liệu mà cần có trình điều khiển ODBC phù hợp để thực hiện việc này.
TRIỂN KHAI GIÁM SÁT MẠNG BẰNG PHẦN MỀM ZABBIX
Triển khai hệ thống Zabbix trong giám sát máy dịch vụ
Hình 3.1 Mô hình triển khai hệ thống
Quá trình cài đặt và thực hiện
To install Apache HTTP Server, first update your package list with `sudo apt update` Then, install Apache using `sudo apt install apache2` You can verify the installation by checking the installed packages with `sudo apt list installed | grep apache2` After installation, restart the Apache service with `sudo systemctl restart apache2`, enable it to start on boot using `sudo systemctl enable apache2`, and check its status by running `sudo systemctl status apache2`.
Cài đặt MariaDB sudo apt install mariadb-server sudo systemctl restart mariadb sudo systemctl enable mariadb sudo systemctl status mariadb sudo mysql_secure_installation
To install PHP-FPM, use the command `sudo apt -y install php-fpm` Next, enable the necessary modules with `sudo a2enmod proxy_fcgi setenvif` and configure PHP-FPM by running `sudo a2enconf php8.1-fpm` Restart both the PHP-FPM and Apache services with `sudo systemctl restart php8.1-fpm apache2` Finally, check the status of PHP-FPM using `sudo systemctl status php8.1-fpm` and verify the PHP version by executing `php -v`.
Zabbix được cài đặt trên Ubuntu 22.04 Zabbix được cài đặt theo hướng dẫn từ trang chủ Zabbix với đường dẫn: http://www.zabbix.com/download.php
Tải zabbix wget https://repo.zabbix.com/zabbix/6.4/ubuntu/pool/main/z/zabbix-release/zabbix- release_6.4-1+ubuntu22.04_all.deb
Cài đặt Zabbix lên Ubuntu : sudo dpkg -i zabbix-release_6.4-1+ubuntu22.04_all.deb
Cập nhật lại hệ thống: sudo apt update
Cài đặt Zabbix Server , frontend, agent sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix- sql-scripts zabbix-agent
To set up MariaDB for Zabbix, first, access the MySQL command line as the root user Create a new database named 'zabbix' with UTF-8 encoding by executing the command: `create database zabbix character set utf8mb4 collate utf8mb4_bin;` Next, create a user for Zabbix with the command `create user zabbix@localhost identified by '123456';`, and grant all necessary privileges on the Zabbix database using `grant all privileges on zabbix.* to zabbix@localhost;` Additionally, enable the logging of function creators by setting `set global log_bin_trust_function_creators = 1;`, then flush the privileges to apply the changes with `flush privileges;` Finally, exit the MySQL prompt with `quit;`.
Thêm database mặc định của Zabbix zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql default-character- set=utf8mb4 -uzabbix -p zabbix
Thiết lập tập tin cấu hình của Zabbix sudo nano /etc/zabbix/zabbix_server.conf
Thay đổi nội dung trong /etc/zabbix/zabbix_server.conf
Thiết lập cấu hình thời gian cho Zabbix sudo nano /etc/php/8.1/fpm/pool.d/www.conf
Hình 3.2 Cấu hình thời gian cho Zabbix
Hình 3.3 Giao diện đăng nhập Zabbix
Hình 3.4 Giao diện quản trị của Zabbix 3.2.1.2 Cài đặt Zabbix Agent
To install the Zabbix Agent packages, first download the Zabbix release package using the command: `wget https://repo.zabbix.com/zabbix/6.4/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.4-1+ubuntu22.04_all.deb` Next, install the downloaded package with `sudo dpkg -i zabbix-release_6.4-1+ubuntu22.04_all.deb`, and finally, update your package list by running `sudo apt update`.
Thiết lập tập tin Zabbix_agentd.conf sudo nano /etc/zabbix/zabbix_agentd.conf
3.2.2.Giám sát mạng thông qua Zabbix Agent
Tạo một host mới để giám sát Điền đầy đủ thông tin của máy cần giám sát như: Host name , Templates , Host Groups , IP address,…
Hình 3.5.Thông tin của host cần tạo
Khi tạo thành công một host thì sẽ có kết quả như hình dưới đây
Hình 3.6 Tạo thành công 1 host
Load Average: Giá trị trung bình tải của hệ thống trong các khoảng thời gian 1 phút, 5 phút và 15 phút.
Number of CPUs: Số lượng CPU trên hệ thống.
Hình 3.7 Giao diện hệ thống máy chủ
CPU Guest Time: Thời gian CPU xử lý các tiến trình người dùng không phải root.
CPU Nice Time: Thời gian CPU dành cho các tiến trình có ưu tiên thấp.
CPU SoftIRQ Time: Thời gian CPU dành cho các xử lý ngắt mềm.
CPU Interrupt Time: Thời gian CPU dành cho các ngắt phần cứng.
CPU Steal Time: Thời gian mà CPU bị tạm dừng bởi máy ảo.
CPU I/O Wait Time: Thời gian CPU chờ đợi các hoạt động I/O hoàn tất.
CPU User Time: Thời gian CPU dành cho các tiến trình người dùng.
CPU System Time: Thời gian CPU dành cho các tiến trình hệ thống.
Hình 3.8 Giao diện thông tin CPU của máy chủ Linux
Bộ nhớ tổng: Tổng bộ nhớ RAM có sẵn trên hệ thống là khoảng 1.88 GB.
Bộ nhớ khả dụng: Khoảng 1.01 GB bộ nhớ vẫn khả dụng cho các ứng dụng.
Thời gian: Biểu đồ hiển thị sự thay đổi trong việc sử dụng bộ nhớ từ 01:07 đến 02:07 vào ngày 30 tháng 9.
Mức sử dụng bộ nhớ được thể hiện bằng phần màu cam, cho thấy lượng bộ nhớ đã được sử dụng, trong khi phần màu xanh lá cây biểu thị bộ nhớ còn lại có sẵn.
Hình 3.9 Thông tin bộ nhớ trên máy chủ Linux
Lưu lượng nhận được: Phần màu xanh lá cây thường biểu thị lưu lượng dữ liệu được nhận (received).
Lưu lượng gửi đi: Phần màu đỏ có thể đại diện cho dữ liệu được gửi (transmitted).
Thời gian: Biểu đồ cho biết lưu lượng mạng trong khoảng thời gian nhất định (ví dụ: giờ vừa qua, hôm qua, tháng này, v.v.).
Hình 3.10 Biểu đồ lưu lượng mạng
Thêm Templates để giám sát dịch vụ Apache của Web Server trên Zabbix Server
Load Average: Giá trị trung bình tải của hệ thống trong các khoảng thời gian 1 phút, 5 phút và 15 phút.
Number of CPUs: Số lượng CPU trên hệ thống.
Hình 3.12 Thông tin giao diện máy chủ khi thêm templates
CPU Guest Time: Thời gian CPU xử lý các tiến trình người dùng không phải root.
CPU Nice Time: Thời gian CPU dành cho các tiến trình có ưu tiên thấp.
CPU SoftIRQ Time: Thời gian CPU dành cho các xử lý ngắt mềm.
CPU Interrupt Time: Thời gian CPU dành cho các ngắt phần cứng.
CPU Steal Time: Thời gian mà CPU bị tạm dừng bởi máy ảo.
CPU I/O Wait Time: Thời gian CPU chờ đợi các hoạt động I/O hoàn tất.
CPU User Time: Thời gian CPU dành cho các tiến trình người dùng.
CPU System Time: Thời gian CPU dành cho các tiến trình hệ thống.
Hình 3.13 Giao diện thông tin CPU máy chủ khi thêm Templates
Hình 3.14 Giao diện thông tin bộ nhớ của máy chủ khi thêm templates
Hình 3.15 Lưu lượng mạng của máy chủ khi thêm templates
3.2.3 Giám sát thông qua Windows Server 2016 bằng giao thức SNMP
Cài đặt dịch vụ SNMP trong Add Roles and Features trên Windows Server 2016 Thiết lập địa chỉ của máy Windows Server 2016
Hình 3.16 Địa chỉ IP của máy Windows Server 2016
Thiết lập SNMP Service Trong Security
Add một tên Community (chọn READ ONLY)
Chọn host để nhận thông tin về SNMP :chọn địa chỉ của Zabbix Server
Hình 3.17 Thiết lập Security trong SNMP Service
Chọn Community name:chọn cái vừa thiết lập ở mục Security
Chọn Trap destinations: Chọn IP của Zabbix Server
Hình 3.18 Thiết lập Traps trong SNMP Service
Tạo một host mới Tạo một host mới để giám sát Điền đầy đủ thông tin của máy cần giám sát như: Host name , Templates , Host Groups , IP address,…
Hình 3.19 Thông tin của host cần tạo
Hình 3.20 Tiếp nhận máy client của Zabbix Server
Utilization (màu cam): Mức sử dụng bộ nhớ dao động quanh 53.91%, cho thấy rằng khoảng một nửa bộ nhớ vật lý đang được sử dụng.
Cảnh báo về mức sử dụng bộ nhớ cao (trên 90%) đã được kích hoạt, cho thấy cần theo dõi thường xuyên để tránh tình trạng thiếu bộ nhớ.
Hình 3.21 Mức độ sử dụng bộ nhớ trên máy chủ
Utilization (màu xanh lá): Mức sử dụng CPU dao động quanh 53.5%, cho thấy rằng khoảng một nửa công suất CPU đang được sử dụng.
Trigger: Có một cảnh báo rằng mức sử dụng CPU cao (trên 90%) có thể được kích hoạt, cho thấy cần theo dõi để tránh tình trạng quá tải
Hình 3.22 Mức độ sử dụng CPU trên Windows
Hình 3.23 Biểu đồ thông tin lưu lượng mạng