Việc báo cáo thống kê này được thực hiện theo 3 tiêu chí chính: Thống kê theo thiết bị
Thống kê theo loại hình cảnh báo Thống kê theo tập luật
Thống kê theo thiết bị, sẽ gồm 4 loại biểu đồ:
Thống kê số lượng lỗi gây ra bởi các tập luật khác nhau theo khoảng thời gian thống kê
Thống kê số lượng cảnh báo gây ra bởi các tập luật khác nhau theo khoảng thời gian thống kê
Thống kê tổng số lỗi và cảnh báo gây ra bởi các tập luật khác nhau lên thiết bị đó trong khoảng thời gian thống kê
Thông kê chi tiết tổng số lỗi và cảnh báo theo tập luật chi tiết theo từng giờ thống kê.
Với loại thống kê theo tập luật:
Thống kê tỉ lệ giữa các thiết bị có thông báo lỗi liên quan đến tập luật đó Thống kê tỉ lệ giữa các thiết bị có cảnh báo liên quan đến tập luật đó Thống kê tỉ lệ giữa các thiết bị có liên quan đến tập luật đó
Tổng số thiết bị bị ảnh hưởng theo thời gian chi tiết đến từng giờ Với loại thống kê theo loại hình cảnh báo:
Thống kê tỉ lệ giữa các thiết bị Thống kê tỉ lệ giữa các tập luật
2.1.18. Module sao lƣu cơ sở dữ liệu hệ thống.
Module sao lưu cơ sở dữ liệu hệ thống được xây dựng nhằm liên tục lưu trữ toàn bộ cấu hình, cũng như cảnh báo trên hệ thống, phục vụ công tác khôi phục dữ liệu khi có sự cố xảy ra. Quá trình xây dựng module này được tiến hành thông qua việc ứng dụng chương trình:
mysqldump: chương trình cho phép tạo các file sao lưu cơ sở dữ liệu dưới dạng SQL.
Như vậy, bản chất của quá trình xây module tự động sao lưu dữ liệu hệ thống là quá trình kết hợp hai chương trình trên một cách nhịp nhàng thông qua ngôn ngữ lập trình shell script. Nội dung thực thi trong shell script bao gồm 2 công đoạn.
Sao lưu cơ sở dữ liệu hệ thống.
Xóa dữ liệu đã lỗi thời (một tháng sau khi được tạo).
2.2. Xây dựng phần mềm máy trạm
2.2.1. Module thu thập log trên nền hệ điều hành Windows.
2.2.1.1. Sử dụng WMI trong thu thập thông tin
Thực tế cho thấy, công nghệ WMI được tích hợp sẵn trên hệ điều hành Windows (từ phiên bản 2000 trở đi) đáp ứng đầy đủ các yêu cầu được đề ra. Để thu thập các thông tin mong muốn trên hệ điều hành Windows, cũng như rút ngắn thời gian trong việc ứng dụng công nghệ WMI, module chương trình được xây dựng dưới dạng truy vấn trung gian qua phần mềm Wmic.
Với sự hỗ trợ của công nghệ WMI mà trực tiếp là thông qua chương trình wmic, module thu thập thông tin hệ thống trên máy trạm được xây dựng dựa trên hình 2.26:
Hình 2.26 Sơ đồ hoạt động của module thu thập thông tin trên máy trạm.
2.2.1.2. Sử dụng WMI lấy log hệ thống
Sự kiện ứng dụng (Application Events): Các sự kiện lưu trữ trong mục này được chia làm 3 loại là: lỗi, cảnh báo và thông tin dựa trên mức độ nguy hiểm của sự kiện. Sự kiện ở dạng lỗi là những sự cố tác động đáng kể trên hệ thống như: mất dữ liệu… Sự kiện ở dạng cảnh báo không nguy hiểm như dạng lỗi nhưng có thể dẫn đến lỗi hệ thống trong tương lai. Sự kiện dạng thông tin cung cấp các thời điểm hoạt động thành công chương trình, dịch vụ hay driver.
Sự kiện liên quan tới bảo mật (Security-related Events): Sự kiện dạng này chia làm 2 loại là thành công hoặc thất bại, mô tả các thao tác vận hành hệ điều hành của người dùng. Ví dụ: thao tác đăng nhập hệ thống.
Sự kiện cài đặt ứng dụng (Setup events): Sự kiện này dành riêng cho các máy tính được cấu hình để trở thành một Domain Controller.
Sự kiện hệ thống (System events): Các sự kiện hệ thống được tổ chức tương tự với các sự kiện ứng dụng, điểm khác biệt nằm ở đối tượng phản ánh của sự kiện. Sự kiện dạng này phản ánh các sự cố đến từ các dịch vụ, driver thay vì các chương trình ứng dụng.
Sự kiện chuyển tiếp (Forwarded events): là các sự kiện được gửi tới từ những máy tính khác.
Với việc sử dụng WMI, Windows hỗ trợ lớp NTLogEvent để truy cấp đến Event log của hệ thống. Với việc ứng dụng wmic, việc truy xuất thông tin nhật ký hệ thống trên nền hệ điều hành Windows từ server được thực hiện thông qua hình 2.27:
Quy trình thực hiện của sensor thu thập log hệ thống sẽ được mô tả qua hình 2.28: (adsbygoogle = window.adsbygoogle || []).push({});
Hình 2.28 Sơ đồ thực hiện quy trình lấy log hệ thống rồi gửi trả về máy chủ
2.2.2. Module thu thập thông tin CPU trên máy trạm
Với mô hình client đã nói, sensor đảm nhận việc thu thập thông tin CPU thực hiện thông qua việc sử dụng WMI. Chúng tôi đã đề xuất 2 phương án để lấy thông tin này dựa trên WMI. Một là sử dụng WMI với lớp Win32_Processor.Hai là sử dụng WMIC với lớp là CPU.
+ + - + - + Bắt đầu Tiếp nhận request
Yêu cầu log về application
Yêu cầu log về system
Trả kết quả
Kết thúc
Truy vấn WMIC đến NTEvent
Trích số bản ghi theo yêu cầu Lấy log system
Lấy log khác Lấy log Security Lấy log Application
Yêu cầu log về security
Yêu cầu log khác -
Sơ đồ thuật toán thực hiện việc lấy thông tin CPU của sensor
Hình 2.29 Sơ đồ thực hiện CPU Sensor
Trên *Nix, chúng tôi sử dụng câu lệnh iostat. Nó sẽ trả về giá trị %CPU đang sử dụng trong hệ thống.
2.2.3. Module thu thập thông tin thiết bị lƣu trữ
Vẫn sử dụng WMI làm công cụ thu thập thông tin trên máy trạm, để thu thập thông tin về thiết bị lưu trữ, chúng tôi sử dụng lớp Win32_LogicalDisk. Việc thực hiện cũng tương tự như đối với việc lấy thông tin CPU.
Một số tham số cần chú ý: Name; Tên thiết bị lấy thông tin, FreeSpace: Giá trị ổ lưu trữ còn trống trên ổ cứng đó.
Bắt đầu
Tiếp nhận request
Phân tích tham số
Truy vấn đến tham số cần lấy
Trả về giá trị Phân tích giá trị cần lấy Truy vấn WMI đến CPU
Hình 2.30 Sơ đồ thực hiện việc lấy thông tin thiết bị lưu trữ
Đối với *nix, không có một hệ thống chung để lấy thông tin về ổ cứng. Chương trình sử dụng câu lệnh :du –sh. Kết quả trả về sẽ là dung lượng ổ cứng đã được sử dụng.
2.2.4. Module thu thập thông tin hệ thống
Thông tin hệ thống là các thông tin về hệ điều hành.Điều này sẽ thực hiện được với lớp Win32_OperatingSystem.
Với WMIC sử dụng với tham số WMIC OS get XXXX Một số thông tin quan trọng là Version, Status,…
Như vậy để lấy được những thông tin này, cách thực hiện cũng tương tự như các module khác. (adsbygoogle = window.adsbygoogle || []).push({});
2.2.5.Module thu thập thông tin chƣơng trình ứng dụng và dịch vụ trên máy trạm
Thu thập thông tin các chương trình ứng dụng và dịch vụ trên máy sử dụng lớp Sử dụng WMIC với tham số WMIC Process get XXXX. Khi đó kết quả trả về sẽ liên quan đến thông tin cần lấy của toàn bộ các ứng dụng đang hoạt động.
Ngoài ra để thu thập thông tin về các dịch vụ đang chạy trên hệ thống, sensor sẽ sử dụng lớp service của WMI. Ở đây tôi sử dụng ALIAS Service để lấy thông tin về các
Bắt đầu
Tiếp nhận request
Phân tích tham số
Truy vấn đến tham số cần lấy
Trả về giá trị Phân tích giá trị cần lấy Truy vấn WMI đến LogicalDisk
dịch vụ.Sơ đồ thuật toán thực hiện việc lấy thông tin về dịch vụ cũng như tiến trình tương tự như các module khác.
2.2.6. Module thống kê dữ liệu vào ra mạng
Để lấy thông tin về dữ liệu vào ra mạng, WMI hỗ trợ lấy thông tin thông qua lớp Win32_PerfFormattedData_Tcpip_NetworkInterface
Có thể sử dụng wmic với cú pháp :
Wmic path Win32_PerfFormattedData_Tcpip_NetworkInterface get OutputQueueLength, PacketsReceivedErrors, Name, currentbandwidth để lấy các thông số liên quan đến dữ liệu vào ra máy trạm. Trong đó Name: Tên mạng, currentbandwidth: băng thông hiện tại của máy, PacketsReceivedErrors: Số gói tin nhận bị lỗi.
Trong *Nix, với việc sử dụng câu lệnh: watch -n1 "ifconfig eth0 | grep Mb"
Hệ thống sẽ trả về giá trị băng thông hiện tại của máy trạm sử dụng *Nix làm HĐH. Từ đó sensor sẽ gửi giá trị này về cho máy chủ
2.2.7. Module thu thập thông tin về các thiết bị giao tiếp mạng
Trong trường hợp máy trạm sử dụng nhiều card mạng khác nhau, việc thu thập thông tin của chúng sẽ phức tạp hơn. Trong Windows, HĐH này hỗ trợ việc thu thập thông tin các thiết bị giao tiếp mạng bằng WMI nhờ lớp Win32_NetworkAdapter hoặc với WMIC thì truy xuất đến alias NIC.
Với việc sử dụng lớp này, thông tin thu được sẽ bao gồm danh sách tất cả các thiết bị mạng hiện tại trên máy trạm đó, dù nó có kết nối ra mạng ngoài hay không.
2.2.8. Module thu thập thông tin về các dịch vụ mạng chạy trên máy trạm
Sử dụng thư viện Win32_Service hoặc Win32_Process để lấy thông tin về các dịch vụ không đảm bảo đó là các dịch vụ mạng đang chạy trên máy trạm. Chính vì thế, module này không sử dụng WMI làm cách thức tiếp cận các dịch vụ mạng như các module trên. Thay vào đó, sử dụng command có sẵn của hệ thống có thể đảm bảo được vấn đề theo dõi thông tin các dịch vụ đang kết nối với mạng ngoài. Trong HĐH Windows có hỗ trợ câu lệnh netstat (network statistics). Đây là một công cụ hữu ích được sử dụng bởi quản trị hệ thống để hiện thông tin các kết nối mạng (bao gồm cả kết nối vào và kết nối ra), các bảng định tuyến và cả số lượng các giao diện mạng (trình điều khiển giao diện mạng hoặc giao diện mạng giả lập từ phần mềm) và thống kê các
giao thức Tôi sử dụng lệnh này một phần cũng bởi vị nó sẵn sàng trên tất cả các HĐH khác nhau (Windows, *Nix,..). Quản trị hay dùng công cụ này để tìm kiếm lỗi trong mạng và xác định số lượng lưu lượng trong mạng như là công cụ đo hiệu suất mạng. Do mục đích của module này là lấy thông tin dịch vụ mạng nên chúng tôi sử dụng cú pháp netstat –a để lấy toàn bộ thông tin về các dịch vụ đang kết nối ra ngoài (bao gồm cả cổng, địa chỉ kết nối,..)
Hình 2.31 Sơ đồ thuật toán thực hiện lấy thông tin dịch vụ mạng
2.2.9. Module cho phép thực thi lệnh từ xa trên máy trạm
Module thực thi lệnh từ xa được xây dựng với yêu cầu thực tiễn của công tác quản trị là cấu hình hệ thống tập trung.Việc xây dựng module thực thi lệnh từ xa sẽ cho phép người quản trị có thể nhanh chóng cấu hình lại máy trạm cũng như xử lý, xác định sự cố từ xa thông qua giao diện quản trị.Lợi ích chính mà module thực thi lệnh từ xa là cho phép người quản trị có thể tại vị trí của mình và vẫn khắc phục cũng như điều hành được những máy trạm đặt ở xa về mặt vật lý.Tuy nhiên, để quá trình truy cập từ xa đạt hiệu quả mong muốn mà vẫn đảm bảo yếu tố bảo mật đối với máy trạm. Module được xây dựng dựa trên sự kết hợp của 1 lớp kiểm tra: danh sách trắng (White list).Đó là tập hợp các tập lệnh hợp lệ được phép thực thi trên máy trạm.
Bắt đầu
Tiếp nhận request
Phân tích tham số
Trả về giá trị Phân tích giá trị cần lấy Thực hiện câu lệnh netstat -a
Hình 2.25 Sơ đồ hoạt động module thực thi lệnh từ xa.
2.2.10. Module gửi thông tin cho máy chủ (adsbygoogle = window.adsbygoogle || []).push({});
2.2.10.1. Quản lý kết nối
Để kết nối, chúng tôi sử dụng thư viện mã nguồn mở websocketpp, một thư viện hỗ trợ websocket sử dụng C++. Agent tạo ra một thread để quản lý đường truyền. Thread này sẽ có nhiệm vụ theo dõi có sự kiện nào của websocket xẩy ra hay không. Ví dụ, khi kết nối đến máy chủ bị lỗi, sự kiện on_fail hoặc on_close sẽ được gọi từ hệ thống.Nhận biết được sự kiện này, agent sẽ thực hiện thiết lập lại kết nối mà không làm ảnh hưởng đến toàn bộ hoạt động của chương trình.
Hình 2.26 Sơ đồ thuật toán thực hiện việc quản lý kết nối
2.2.10.2. Mã hóa và đóng gói dữ liệu
-
-
-
+
Lấy thông số cấu hình Bắt đầu
Kết nối máy chủ Tồn tại?
Kết nối?
Đợi sự kiện từ máy chủ
Mất kết nối? Có yêu cầu từ máy chủ? Gửi thông tin đến
sensor tương ứng
Có yêu cầu gửi tới máy chủ?
Agent tắt?
Kết thúc Gửi kết quả đến máy
chủ + + + + + - - -
Để tương thích với máy chủ, thông tin trước khi gửi đi được đóng gói bằng protobuf.Định dạng gói tin được thống nhất chung giữa máy chủ và máy trạm, sau đó nó sẽ được biên dịch dưới dạng thư viện C++.
Dữ liệu đóng gói sẽ được mã hóa sử dụng AES (CFB Mode) với khóa được sinh ra tự động từ máy chủ khi máy trạm đăng ký hoạt động với hệ thống.Chúng tôi sử dụng thư viện mã nguồn mở Crypto++ để thực hiện việc mã hóa này. Thư viện này được cộng đồng phát triển hỗ trợ hầu hết các thuật toán mã hóa hiện đại.Ngoài ra thư viện này còn được sử dụng trong chương trình như là cách thức hữu hiệu để bảo vệ thông tin về cấu hình được lưu trên máy trạm, trong đó thông tin về clientID do máy chủ sinh ra duy nhất cho máy trạm được là thông tin quan trọng nhất.
2.2.11. Module tự động cập nhật phiên bản mới.
Module tự động cập nhật phiên bản mới được xây dựng dựa trên công nghệ chia sẻ tệp tin trên giao thức FTP.Quá trình tự động cập nhật phiên bản mới về bản chất là quá trình tải tệp tin và cài đặt vào đúng vị trí đã định. Để thực hiện được điều này, chương trình dựa vào 2 tệp tin hỗ trợ sau:
conf.ini: chứa thông tin phiên bản đang chạy tại máy trạm, ip của máy chủ và
tên tệp tin chứa danh sách file cần nâng cấp.
winlist.ini: Tệp tin chứa danh sách các file cần nâng cấp đối với hệ điều hành Windows.
linuxlist.ini: Tệp tin chứa danh sách các file cần nâng cấp đối với hệ điều hành Linux.
Quy trình thực hiện của module tự động cập nhận phiên bản mới được mô tả theo hình 2.32:
Hình 2.32 Sơ đồ thực thi module tự động cập nhật phiên bản mới.
Nội dung chương này đã mô tả chi tiết thiết kế cơ sở dữ liệu, thuật toán, giải thuật các module của chương trình. Hiện tại chương trình này được triển khai tại phòng Thông tin Quân Sự tại cơ quan Viện khoa học và công nghệ Quân Sự - Bộ Quốc Phòng – 17 Hoàng Sâm. Phần sau tôi xin trình bày kết quả đạt được khi triển khai chương trình này.
CHƢƠNG 3. KẾT QUẢ VÀ HƢỚNG PHÁT TRIỂN (adsbygoogle = window.adsbygoogle || []).push({});
Chương trình “Giám sát mạng” là một giải pháp công nghệ thông tin, được xây dựng nhằm hỗ trợ người quản trị trong công tác quản lý thiết bị trong mạng nội bộ một cách tập trung, chuyên nghiệp. Đồng thời với đó là khả năng cảnh báo sự cố nhằm hỗ trợ người quản trị xử lý sự cố, khoanh vùng thiết bị và tìm nguyên nhân khắc phục. Chương trình “Giám sát mạng” đã tận dụng tốt công nghệ sẵn có trên nhiều nền tảng hệ điều hành nhằm tăng tính tương thích của hệ thống. Khả năng mô hình hóa của chương trình tạo ra giao diện trực quan đối với người quản trị trong công tác quản lý.
Các kết quả đạt được khi triển khai phần mềm tại phòng Thông tin Quân Sự tại cơ quan Viện khoa học và công nghệ Quân Sự - Bộ Quốc Phòng – 17 Hoàng Sâm
3.1 Quản lý nút mạng
Hình 3.1 Giao diện chính của chương trình
Phần mềm hiển thị các thiết bị trong cơ sở dữ liệu dưới dạng sơ đồ nhằm hỗ trợ việc theo dõi hệ thống mạng một cách trực quan nhất. Bên cạnh đó, việc cấu hình các