Nadzor IT infrastrukture
Hitra rast IT okolij, virtualizacija in vse več različnih sistemov postaja prava mora za sistemske upravitelje, saj se kar naenkrat nakopiči kup stvari, na katere je treba biti pozoren, jih nadzirati, vzdrževati, posodabljati in, ne nazadnje, upravljati.
V trenutnih časih, ko so proračuni za IT zmanjšani, vlaganja majhna, strokovnjaki za IT pa kadrovsko podhranjeni, je rešitev, ki omogoča središčni nadzor, tako imenovani 360-stopinjski pregled nad IT infrastrukturo in aplikacijami, nujno potrebna.
S takimi orodji želimo preprečiti delen ali pa popoln izpad storitev, saj lahko ob pomoči dobro pripravljenega scenarija take izpade skoraj v celoti preprečimo ali pa vsaj toliko omilimo, da v primeru, če se že zgodi, ni prevelike škode in smo na to pripravljeni. To ponavadi zmanjša čas, v katerem napake odpravimo. Še posebej je pomembno nadzorovati hrbtenične storitve, kot so glavne povezave, stikala, podatkovni in spletni strežniki ter druga oprema.
Pomembno pa je tudi spremljati obremenjenost posameznih sklopov, saj lahko v primeru spletne trgovine uporabnik dobi slabo izkušnjo, ker sistem v danem trenutku ni bil dovolj odziven in ga naslednjič ne bo več k nam. S podatki o obremenjenosti pa lahko načrtujemo širitev infrastrukture tja, kjer je potrebna, in s tem zmanjšamo potrebo po naložbah kar na oko.
Podatki, ki jih s takšno programsko opremo pridobimo, nam omogočajo, da izboljšamo varnost celotne infrastrukture, saj lahko po eni strani spremljamo stanje nameščanja varnostnih popravkov na ciljne sisteme, preverimo stanje in revizijo podpisov proti virusnih programov, ustreznost sestav požarnih pregrad z različnimi standardi, poskuse vdorov v naša omrežja iz spleta ali pa lokalno, z napadi na brezžične dostopne točke.
Po drugi strani pa imamo tudi kup podjetij, ki se ukvarjajo z vzdrževanjem opreme za IT pri različnih strankah in bi jim taka rešitev pomagala tudi pri uporabi enotne programske opreme. To bistveno pohitri delo in s tem tudi izboljša odnose s strankami ter obenem poceni celoten proces, saj potreba po nameščanju, vzdrževanju in licencah različnih programskih orodij zaradi poenotenega procesa in podpore odpade. Programska oprema za nadzor, ki jo uporabljajo ta podjetja, je malce specifična, saj mora pogled osnovnih stvari, ki jih ponuja, omogočati tudi dodajanje strank in opreme ter, najvažnejše, imeti mora agente, ki varno komunicirajo na eni strani s sistemom, ki ga nadzorujejo, in na drugi strani s sistemom, ki zbira podatke in jih prikazuje podpornemu osebju.
Pri izbiri nadzornega sistema je pomembno, da se zavedamo, kaj bomo kupili oziroma implementirali. Nekatere odprtokodne rešitve so odlične, če imamo v podjetju osebje, ki se bo ukvarjalo s samo implementacijo, dodatki in znajo napisati kakšen skript v perlu. Po drugi strani pa lahko uporabniki, ki želijo z najmanj truda sistem spraviti v pogon, posežejo po kakšni komercialni rešitvi, ki vsebuje veliko predlog za različne naprave, ima lep grafični vmesnik, integracijo z drugimi pomožnimi programi in funkcionalnostjo, ki deluje »out of the box«. Temu primerne so seveda tudi cene, saj take rešitve niti niso tako poceni, navadno pa se licencirajo na število naprav, ki jih bomo nadzorovali in/ali številu uporabnikov, ki bodo sistem uporabljali.
Pred vzpostavitvijo takega sistema je dobro, da na napravah, ki imajo možnost vklopa protokola SNMP tega vzpostavimo, pripravimo si račun, v katerega kontekstu bo delovalo avtomatsko iskanje, saj le s pravimi prijavnimi podatki lahko pridobimo vse parametre ciljnega sistema, bodisi prek WMI za okolja Windows ali pa prek SSH za Linux. Smiselno pa si je na začetku tudi napraviti seznam kritičnih aplikacij, servisov in spletnih naslovov, ki jih bomo nadzorovali, saj jih lahko že na začetku razdelimo v logične skupine, kaj lahko kasneje s pridom uporabimo pri dnevnih opravilih.
Sisteme, ki smo jih preizkusili, lahko namestimo na večino priljubljenih operacijskih sistemov, nekateri pa so že pripravljeni in predkonfigurirani tako, da jih lahko gladko uvozimo v naše virtualno okolje, pa naj bo to Microsoftov Hyper-V, VMware ali katera od drugih različic hipervizorjev. Večina jih ponuja podobne funkcionalnosti, nekateri katero več, drugi manj. Seveda je sistemov, ki omogočajo nadzor, precej več, kot smo jih opisali v spodnjih vrsticah, a smo se odločili, da vzamemo pod lupo le nekaj najbolj priljubljenih, saj je bi lahko napolnili več kot pol revije samo z različnimi kloni Nagiosa.
■ GFI MAX Remote Management
Gfi Max je oblačna storitev, ki nam omogoča nadzor naprav v omrežju. Podprti so operacijski sistemi Windows, Linux, OSX, Android in IOS.
Ker je Gfi Max oblačna storitev, namestitev ni potrebna. Za registracijo in prvi vpis smo porabili manj kot minuto. Za naprave, ki jih želimo nadzorovati, imamo na voljo agenta, ki ga namestimo na vsako od teh naprav. Že med namestitvijo izberemo, kaj bomo nadzorovali. Omogočeno spremljanje porabe procesorskih virov, uporabo pomnilnika, zasedenost diskov, s pingom lahko preverimo, ali se naprava odziva po omrežju, prav tako lahko preverjamo storitve v okolju Windows, pregledovalnike dogodkov, spremljamo lahko rast in velikost datotek ter map in dosegljivost spletnih strani. Preko protokola SNMP pa je na voljo tudi preverjanje zasedenosti pasovne širine na povezavah usmerjevalnikov WAN.
Nadzorovane naprave lahko razvrstimo po strankah ali lokacijah. To je še posebej dobrodošlo za podjetja, ki se ukvarjajo s podporo IT za druge stranke (MSP – Managed Service Provider). Agenta lahko za posamezni strežnik naložimo samostojno, lahko pa si naložimo paket, ki ga v omrežju distribuiramo prek skupinskih politik in s tem optimiziramo namestitev v vse računalnike v omrežju. Agenti za Linux so na voljo v osrednjem skladišču in so na voljo za distribucije CentOS 5 in 6, Debian 5-7, Fedora 15-18, Red Hat 4-6, SuSe 10 in 11, OpenSUSE 11.4-12.3 in XUbuntu 10.04-13.04.
Za prijavo na nadzorno ploščo imamo na voljo tri stopnje, in sicer upravitelj, superuporabnik in uporabnik, med seboj pa se ločijo po tem, kaj lahko s katerim počnemo. V upraviteljskem načinu konfiguriramo obnašanje celotnega ekosistema, z drugima dvema stopnjama pa imamo na voljo le omejeno število upraviteljskih nalog.
Za proaktivni nadzor ima Gfi Max tehnologijo 24x7, ki jo vklopimo pri nastavitvah agentov. Tam lahko tudi določimo interval preverjanja. Privzeto je preverjanje vseh opravil na 15 minut.
Poleg tehnologije 24x7 pa imamo na voljo še DSC – Daily Safety Check – dnevni varnostni pregled, ki se zažene enkrat na dan ob določeni uri ter pregleda še dodatne stvari, kot so posodabljanje protivirusnega programa, uspešnost izvedbe varnostnih kopij, spremlja pa tudi število neuspešnih poskusov prijav, kar nam omogoča, da preprečimo poskuse nasilnih vdorov (brute force) ali poskusov vdora z uporabo slovarjev (dictionary attack).
Če uporabljamo druga orodja za avtomatizacijo, kot so ConnectWise, Autotask in podobna, je v Gfi Max že vgrajena podporo zanje, prav tako lahko z dodatno licenco nameščamo in upravljamo protivirusni program Vipre ali pa uporabljamo dnevno shranjevanje na daljavo (Remote backup).
Ko Gfi Max zazna, da so nekatere vrednosti senzorjev onkraj limitov ali pa je naprava ali storitev nedosegljiva, lahko pošlje skrbniku elektronsko sporočilo, zažene preddefinirano opravilo, skripto ali pa kratko sporočilo. Če nastavimo delovni čas in dežurstvo, pa lahko ločeno pošiljamo alarme tehnikom glede na čas.
Ker vemo, da so največja grožnja varnosti v omrežjih aplikacije in operacijski sistemi z dnevno odkritimi ranljivostmi, imamo na voljo tudi iskanje in nameščanje manjkajočih popravkov. Nabor popravkov je na voljo le v angleščini. To je za naše jezikovno področje le delno uporabno, imamo pa možnost nameščati tudi popravke drugih izdelovalcev, kot so Adobe (PDF, Flash), Oracle (Java) in drugi. Vse potrjene popravke lahko namestimo ročno ali pa avtomatsko po prej določenem urniku.
Za potrebe popisa strojne in programske opreme imamo na voljo v poročilih Asset report, s katerim spremljamo število kopij nameščene programske opreme ter dosegamo podrobne podatke o strojni opremi.
Korak naprej pa je naredil Gfi z možnostjo dostopa do nadzorovanih računalnikov na daljavo. Za uporabo takega nadzora sta na voljo dva načina, in sicer Take Control Viewer in Remote Support Viewer. Lahko pa uporabimo tudi klasični dostop RDP, RDP prek gatewaya, VNC in dostop NetSupport. Z nadzorom nad službenimi napravami pa lahko vidimo tudi, kje natančno je naprava, seznam klicev, sporočil in količino prenesenih podatkov. Če napravo določimo kot zasebno, teh podatkov nimamo na voljo.
Za uporabo lastnih programskih rešitev ponudi Gfi Max tudi vmesnik API (Application Program Interface), prek katerega lahko naša aplikacija prebere želene parametre, ki jih Gfi Max nadzoruje. Vmesnik API pa lahko uporabimo tudi za integracijo z drugimi izdelki iz družine Gfi Max, kot so na primer Gfi Max MailArchive, MailProtection, ServiceDesk, Managed Antivirus in Backup.
GFI MAX Remote Management
Nadzor na daljavo, upravljanje in pomoč.
Kje: www.gfimax.com/remote-management
Prodaja: www.nestec.hr.
Cena: 12,95 USD za strežnik/mesec in 1 USD za delovno postajo/mesec, možni različni paketi in popusti.
✓ Celovita oblačna rešitev, primerna predvsem za MSP in podjetja z oddaljenimi lokacijami.
✗ Omejen nadzor naprav, na katere ne moremo namestiti agenta.
■ Manage Engine OpManager
OpManager je paradni konj podjetja Manage Engine, ki v svojem portfejlu ponuja več različnih pripomočkov za nadzor omrežij, aplikacij in procesov.
OpManager je preprosto namestiti. Po končani namestitvi se zažene čarovnik, ki ob pomoči protokolov SNMP 1,2 in 3, WMI ali SSH poišče naprave v našem omrežju. Iskanje je zelo hitro, pohvalno pa je tudi to, da v nadzorovane naprave ni treba nameščati nobenih agentov. Uspešnost raziskanega je seveda odvisna od uporabniških podatkov, ki jih vnesemo v profile SNMP, WMI in SSH.
OpManager je v našem omrežju razvrstil naprave glede na zaznavo. Strežnike posebej, usmerjevalnike posebej, tudi tiskalnike je pravilno označil, nekaj težav je imel le z nekaterimi strežniki, za katere ni vedel, v katero kategorijo naj jih postavi.
Nadzorna plošča je pregledna in hitro lahko vidimo, če katera od naprav ne deluje najbolje, oziroma ima kakšne druge težave. Za boljšo preglednost si jo lahko konfiguriramo sami in nanjo pripnemo samo elemente, za katere želimo, da so nam na voljo na prvi strani. Tako lahko shranimo več predlog in vsako dodelimo bodisi enemu uporabniku ali pa skupini.
Če nadzorujemo IT naprave na širšem geografskem območju, nam pride prav pogled, ki je integriran v Google Maps in nam hitro grafično pokaže, na kateri lokaciji so težave in morebitne težave na podatkovnih povezavah med lokacijami. Če pa želimo mikro upravljanje, lahko vizualiziramo tudi naš fizični podatkovni center in razdelimo opremo po virtualnih omarah, kot jo imamo v resnici. S tem si precej pomagamo pri vizualizaciji težav, ko nastopijo.
OpManager zna narediti avtomatsko topologijo omrežja glede na plasti 2 in 3. To precej pomaga pri pripravi dokumentacije in nadaljnjem razvoju omrežja. V omrežjih, kjer se uporablja telefonija VOIP, lahko nadziramo latenco povezav, vidimo morebitne izgube paketkov po različnih poteh, morebitne alarme in porabo pasovne širine. To nam omogoča, da s pasovno širino uporabljamo smotrno, v skladu s porabo, in nam pomaga, da optimiziramo poti, po katerih poteka največ komunikacije.
Prav tako lahko spremljamo kakovost zunanjih povezav (WAN), pasovno širino in latenco. Za zahtevnejše je na voljo dodatek za analizo protokola Netflow, s katerim lahko natančno vidimo porabo omrežnih sredstev na posameznem vmesniku ali pa aplikaciji. Za večja omrežja lahko z dodatkom IPAM nadzorujemo in upravljamo IP naslovni prostor in posamezna vrata na stikalih. Za naprave, ki jih OpManager nima v bazi, pa lahko vpišemo svoje parametre MIB, s katerimi jih kasneje nadzorujemo.
Strežnike lahko nadzorujemo samo na ravni dela/ne dela, lahko pa tudi na ravni posamezne storitve, procesa ali aplikacije. OpManager nam v lični obliki predstavi zasedenost procesorja, diskov, pomnilnika, odzivnosti in skupne dosegljivosti. Alarme lahko sami definiramo in tako ustvarimo ekosistem, skladen s pogodbenimi določili, če jih imamo (SLA).
Kot smo že omenili, lahko spremljamo posamezno storitev, spletni naslov, zmogljivost posameznih sklopov, procese, datoteke in mape ter izvajanje skriptov. Za vse si lahko nastavimo mejne vrednosti, pri katerih se sproži bodisi alarm ali pa že določen proces, ki lahko samostojno reši preprosto težavo. Vsi senzorji znajo prebrati opozorila iz sistemskega dnevnika Windowsa. Pri strežnikih, ki so hkrati tudi domenski kontrolerji, pa zna OpManager preverjati število sej LDAP, stanje in količino replikacijskih podatkov ter porabo drugih virov aktivnega imenika. Za podatkovne strežnike SQL imamo na voljo pregled celotnega zdravja strežnika in podpornih procesov, pa tudi velikost baz, uporabo transakcijskih dnevnikov, odstotek uporabe predpomnjenih podatkov ter število transakcij z vsako bazo. Pri nadzoru strežnikov Exchange imamo pregleda nad številom uporabnikov, povezav, številom poslanih in prejetih sporočil, velikostjo vrste, sporočili, ki zaradi različnih vzrokov niso bila oddana, in pregled na javnimi mapami ter spletnim dostopom do poštnih predalov (OWA). Čeprav so uradno podprte samo različice Exchangea od 2000 do 2010, OpManager preverjeno deluje tudi z zadnjo različico.
Za zdravje virtualnih strežnikov in njihovih bremen v okoljih Hyper-V in VMware je na voljo poseben razdelek, kjer vidimo porabo sistemskih virov vsakega virtualnega strežnika in prav tako gostitelja.
OpManager poskrbi tudi za inventurni pregled naprav in programske opreme na njih, tako da lahko imamo na voljo poročila po vrstah naprav, kategorijah, profilih, ki so v uporabi na določenih napravah, vmesnikih in pasovni širini.
Z uporabo dodatnih modulov pa lahko v OpManager integriramo tudi nadzor nad aplikacijami in življenjsko dobo posameznih naprav (CMDB).
Ena boljših stvari, ki nam jih ponuja OpManager, so poročila. Zgledov poročil je veliko, če pa le ne bi našli takega, ki nam ustreza, si lahko naredimo svojega. Poročila lahko sistem sestavlja periodično in jih pošilja tudi na elektronsko pošto. Alarme lahko sistem pošilja na vmesnik SMS, elektronsko pošto, lahko zažene kakšen program ali pa eskalira na višjo raven glede na pravila, ki jih določimo.
OpManager je celovita rešitev, katere vrednost še povečajo dodatni moduli, s katerimi nadzorujemo naprednejše možnosti naprav.
Manage Engine OpManager
Sistem za nadzor in upravljanje sistema IT.
Kje: www.opmanager.com
Prodaja: www.viris.si
Cena: Od 7995 USD za 500 naprav in naprej/leto ali 1995 USD za 50 naprav in naprej (stalna licenca) in 399 USD letno vzdrževanje.
✓ Out of box rešitev za celotno infrastrukturo IKT.
✗ Dodatni moduli so precej dragi.
■ Microsoft Intune
Microsoftov oblačni Intune je namenjen predvsem nadzoru in upravljanju računalnikov z Microsoftovim operacijskim sistemom in aplikacijami. Če imamo v organizaciji že Microsoft System Center 2012 SP1, pa je zanj na voljo vtičnik Intune, s katerim ga lahko upravljamo iz oblaka.
Intune zna, tako kot tudi druge Microsoftove oblačne storitve, uvoziti podatke iz aktivnega imenika in s tem omogočiti tudi enotno prijavo (Single Sign-On).
S krajevno nameščenim odjemalcem lahko namestimo posodobitve, ki jih je pripravil in odobril upravitelj, namestimo aplikacije, preiščemo računalnik, ali ima kaj okužb in neželene programske opreme, ali pa pošljemo upravitelju zahtevo za dostop do našega računalnika na daljavo. Za aplikacije je v osnovni naročnini na voljo 20 GB prostora v oblaku.
Nadzorna plošča je značilna Microsoftova in je logično razdeljena na podsklope. Računalnike in uporabnike lahko razdelimo v skupine za lažje upravljanje.
Za namestitev in pripravo varnostnih popravkov in servisnih paketov imamo na voljo podoben vmesnik, ki smo ga vajeni iz Microsoftovega strežnika WSUS. Pripravimo pa lahko tudi posodobitve za nekaj najbolj znanih programskih paketov, ki ne prihajajo iz Microsofta.
Z Intunom lahko zaženemo Microsoftov protivirusni program Security Essentials oziroma Endpoint Security, kot ga imenujejo v tej različici. Za nadzor nad mobilnimi napravami, aplikacijami in računalniki je treba ustvariti posebne politike, s katerimi potem krajevna namestitev Intuna preverja sistem in pošilja podatke v oblak.
Poleg nadzora nam Intune omogoča še popoln nadzor licenc, ki jih imamo v podjetju, pa naj bodo klasične, ki smo jih dobili ob nakupu računalnikov, ali pa kateri izmed drugih količinskih licenčnih programov, ki jih ponuja Microsoft.
Intune pa tudi pomaga nastavljati naprave, saj lahko ob pomoči čarovnikov nastavimo in vklopimo požarne pregrade, obvezen vklop gesel za mobilne naprave (Windows Phone 8, Android 4+ in IOS 6+), izklapljamo kamere, naredimo seznam dovoljenih aplikacij, ki jih je mogoče na mobilnih napravah zagnati, kriptiramo podatke na napravah in podobno.
Na voljo imamo tudi kup poročil, s katerimi lahko naredimo inventuro strojne in programske opreme, preverimo, ali so nameščene vse posodobitve, in preverimo, ali imamo dovolj licenc in prave.
Microsoftovemu Intunu manjka precej tistega, kar imajo drugi preizkušeni programi, pa vendar bodo njegove funkcionalnosti za nekatera manjša podjetja čisto dovolj. Za vse druge, ki si zaželijo močnejšega orodja, pa ima Microsoft na voljo Configuration Manager, orodje iz zbirke System Center, ki omogoča več funkcionalnosti.
Microsoft Intune
Oblačna storitev za nadzor osebnih računalnikov in mobilnih naprav v Microsoftovem okolju.
Kje: www.microsoft.com/en-us/server-cloud/products/windows-intune
Prodaja: www.microsoft.si.
Cena: 6 USD na uporabnika/mesec ali 11 USD na uporabnika/mesec s pogodbo Software Assurance.
✓ Oblačna storitev, hiter zagon.
✗ Majhen nabor nadzorovanih naprav.
■ Nagios XI
Nagios je že dolgo prisotno okolje (framework) za nadzor infrastrukture IT. Nagios je na voljo v plačljivi, pa tudi v brezplačni, tako imenovani community različici.
Nagios smo preizkusili kar v različici, ki je že nameščena in je na voljo kot virtualni disk za strežnik VMware. Prva sestava je dokaj trivialna, lahko pa se malo zatakne, in uporabniki, ki niso vešči okolja Linux, lahko naletijo na manjše začetne težave. Težave lahko hitro rešimo ob pomoči spleta, saj je skupnost Nagios zelo močna in ima veliko podpore.
Nagios ni za uporabnike, ki so navajeni rešitev »out of the box«. Dobro nam bo služil le, če ga pravilno nastavimo. Zanj je na voljo morje brezplačnih dodatkov, za nadzor nekaterih storitev, kot so Microsoft Exchange, pa na ciljnem strežniku potrebuje nameščen odjemalec NSClient++. Glede na konkurenco, opisano v tem članku, je bil Nagios najbolj mazohističen izdelek, kar smo jih preizkusili, saj smo porabili kar nekaj časa in prebrali precej dokumentacije, da smo nastavili nadzor tako, kot ga imajo konkurenčni izdelki že privzetega. Kljub temu Nagios svojo nalogo opravlja odlično.
Na začetku preizkušanja smo imeli nemalo težav s čarovnikom za samodejno iskanje naprav. Čeprav smo ga v razmeroma majhnem okolju pustili iskati več kot 4 ure, je samo vrtel puščico, rezultatov pa ni bilo. Bolje se je odrezal, ko smo izbrali čarovnike za posamezne sklope. Z nekaj kliki in vpisom parametrov je bil čarovnik konfiguriran in je že začel zbirati podatke. Kot smo že omenili, je poleg privzetih v spletu na voljo še kup brezplačnih čarovnikov, ki omogočajo hitrejše in natančnejše profiliranje nadzorovanih naprav in aplikacij.
Nadzorno ploščo si lahko prilagodimo po svojih željah. Objekti, ki jih dodajamo, so funkcionalni, niso pa kak oblikovalski presežek, zato plošča na prvi pogled deluje suhoparno. Večina objektov in alarmov ima na voljo hiperpovezave, ki nam, ko jih kliknemo, prikažejo podrobne podatke o objektu.
Pri nadzoru strežnika Exchange nam je bilo še zlasti všeč preverjanje, ali je strežnik na tako imenovanih črnih listah, ki otežujejo ali pa celo onemogočajo prejemanje pošte, ki jo pošiljatelji pošiljajo prek tega strežnika. Pri tem modulu smo pogrešali več informacij v vrstici Information, saj nekaterih alarmov sploh ne pokaže, če je v skupini več storitev. Tako je iskanje nedelujoče storitev malce zamudnejše.
Pri nadzoru strežnikov imamo takoj na voljo le podatke o procesorski porabi, porabi pomnilnika, zasedenosti diskov in velikosti datoteke swap (pagefile.sys). Dodan je še podatek o dosegljivosti prek protokola ICMP (Ping).
Pri nadzoru strežnikov SQL imamo na voljo več dodatkov, kot so dodatek za preverjanje zdravja strežnika, baz, komunikacije … Ti dodatki so sicer v redu, vendar bi si želeli, da bi bile vse funkcionalnosti vgrajene samo v en vtičnik, saj bi to omogočalo lažjo in hitrejšo namestitev in konfiguracijo.
Za nadzor nad našim usmerjevalnikom pa smo morali malce poseči v drobovje Nagiosa. Osnovni podatki, ki smo jih dobili prek tretje različice protokola SNMP (Simple Network Management Protocol), nam niso bili dovolj. Na spletni strani z dodatki in vtičniki za Nagios, exchange.nagios.org, smo našli vtičnik, ki bi nam povedal kaj več o našem usmerjevalniku. Namestitev ni trivialna, je pa uspešna, če sledimo navodilom. Osnovno znanje Linuxa zadošča za vsa opravila, ki jih moramo narediti, če želimo namestiti in zagnati tak vtičnik. V dobre pol ure nam je uspelo in že smo dobili nadzor nad povezavami IPSec VPN, aktivnimi sejami in splošno obremenjenostjo usmerjevalnika.
Okolje Nagios s podpornimi programi in skripti je po eni strani zelo močno, pokriva vse kote nadzora infrastrukture IT, po drugi pa s svojo zahtevnostjo marsikoga odvrne od uporabe. Zato so se našle do uporabnikov prijazne različice, ki temeljijo na okolju Nagios Core, grafični del in del z avtomatičnim iskanjem pa imajo narejen bolje in do uporabnika prijazneje.
Nagios XI
Popoln sistem za nadzor omrežja, storitev in sistemov.
Kje: www.nagios.com
Prodaja: www.nagios.com
Cena: 1995 USD za največ 100 naprav.
✓ Kup vtičnikov, dobra podpora skupnosti.
✗ Kompleksna nastavitev.
■ SolarWinds Orion
SolarWinds Orion je skupek orodij, ki poskrbijo, da imamo dober pregled, kaj se dogaja z našo infrastrukturo IT.
Network Performance Monitor je modul, ki zazna, diagnosticira in v nekaterih primerih tudi reši težave v omrežju, še preden pride do izpadov. Z njim preverjamo odzivnost in dostopnost omrežnih naprav prek protokola SNMP.
Omogočen imamo nadzor nad brezžičnimi dostopnimi točkami, virtualnimi podatkovnimi nosilci (VSAN), napravami UCS (Unified Computing System), optičnimi povezavami in ne nazadnje tudi nad energetsko porabo objektov, če imamo na voljo takšne senzorje. Ob pomoči protokola NetFlow pridobimo podatke o porabi pasovne širine, obiskanih straneh, aplikacijah, ki se povezujejo v internet, promet po protokolih, tipih povezav in podobnem. Moramo priznati, da so podatki, ki jih dobimo iz NPM, zelo podrobni, obenem pa odlično predstavljeni ob pomoči grafikonov, tako da lahko omrežni skrbniki hitro opazijo morebitne odklone.
Za organizacije, kjer skrbi za opremo več ljudi, je posebnega pomena tudi spremljanje konfiguracijskih nastavitev posameznih naprav, saj je treba vedno imeti možnost vrnitve sestave nekaj različic nazaj. Podprte so vse naprave, ki komunicirajo prek protokola TFTP, prav tako je omogočeno nadgrajevanje njihove programske opreme na daljavo. Za ustreznost s standardi skrbi modul, ki preverja skladnost sestav z veljavnimi predpisi v branži.
Za hitro iskanje naprav v omrežju poskrbi User Device Tracker. Z njim lahko takoj ugotovimo, kje je priključena kakšna naprava, spremljamo lahko napravo in uporabnika, kje se je priklapljal v omrežje, lahko pa z zbranimi podatki tudi načrtujemo morebitno povečanje zmogljivosti v določenem segmentu omrežja.
Aplikativni nadzor je še ena močna stran Oriona. Preverja vse aplikacije, ne glede na to, v kakšnem strežniku so (Linux, Windows), zna podrobno raziskati aktivni imenik in spremljati zdravje celotne topologije aktivnega imenika.
Pri nadzoru strežnikov Microsoft Exchange imamo na voljo vse podatke, ki nam kažejo, kako deluje naša poštna infrastruktura. Od števila povezav na posamezno transportno storitev do velikosti vrst, porabe sistemskih virov. Spremlja pa tudi dostope do Exchangea prek protokola http (OWA) in nas opozori, če prijave trajajo predolgo.
Strežniki SQL zahtevajo še posebno pazljivost, saj je večina podatkov celotnih organizacijah shranjenih v njihovih bazah. Orion je tu še posebej natančen s poročili, saj nam hitro postreže z morebitnimi mrtvimi zankami (Dead locks), ki se pojavijo na posamezni bazi, opozarja na velike transakcijske dnevnike, preveliko porabo procesorja in pomnilnika, morebitne I/O zamaške, uporabo predpomnjenih podatkov v pomnilniku in drugih parametrov, ki vplivajo na gladko delovanje strežnika.Orion tudi prikazuje, kako delujejo naši spletni strežniki IIS. Omogoča pregled nad storitvami, spletnimi mesti, tako imenovanimi application pooli, ki skrbijo, da so spletna mesta izolirana in njihovo nedelovanje ne vpliva na druge in podobno. Za nadzor splošnih storitev in zdravja sistemov Linux Orion uporablja skripte v perlu. Zasledili pa smo tudi nekaj Nagiosovih skript. V okoljih Windows se za dostop do vseh informacij sistema največ uporablja dostop WMI (Windows Management Instrumentation).
Pri nadzoru virtualizacije ima Orion že pripravljene nadzorne plošče z najuporabnejšimi funkcijami posebej za VMware in Hyper-V. Prav tako so že pripravljeni pregledi strežnikov v gručah (cluster), okolja VDI in diskovna polja. Za vsako diskovno polje imamo na voljo podatke o zmogljivosti, zasedenosti, številu virtualnih strežnikov na njem, povprečno število IOPS, latenco in pri poljih, ki podpirajo deduplikacijo, tudi podatek, koliko prostora imamo prihranjenega z njo.
Nadzor požarnih pregrad nam tudi pove, kaj se dogaja na »oni strani« našega omrežja. Poleg preverjanja skladnosti sestav z različnimi standardi pa omogoča tudi spremljanje paketkov z določene destinacije in nanjo, omogoča optimiziranje pravil, ki pospešijo pretok prometa in zmanjšajo obremenjenost požarne pregrade, pregled in urejanje pravil NAT, objektov in vmesnikov.
Pri uporabi tehnologije VOIP moramo predvsem skrbeti, da se uporablja optimalna pot od klicatelja do klicanega, da imamo dovolj pasovne širine, uporabimo prave protokole stiskanja zvoka in imamo minimalno latenco. S tem uporabnikom zagotovimo telefonsko linijo brez šumov in prekinitev. Orion nam tu pomaga z nenehnim merjenjem teh parametrov in nas opozarja, kje prihaja do zamaškov. Tako lahko usmerjamo promet po boljših linijah.
Za skrb nad naslovnim prostorom IP, strežniki DNS in DHCP ima Orion poseben modul, s katerim preverjamo, kako obremenjeni so posamezni strežniki DHCP, kako dobro in hitro delujejo strežniki DNS. Za Orion ne predstavlja nobenih težav mešano okolje, kot so strežniki BIND in Windows, saj zna nadzorovati oboje.
Ne nazadnje moramo omeniti še nadzor nad ranljivostmi v aplikacijah in operacijskih sistemih, saj lahko z Orionovem Patch Managerjem hitro in z dokaj malo truda nameščamo varnostne popravke in s tem odstranimo morebitne ranljivosti, ki ji je predstavljala določena aplikacija ali storitev.
SolarWinds Orion
Popoln sistem nadzora nad omrežjem, napravami, strežniki in računalniki.
Kje: oriondemo.solarwinds.com
Prodaja: www.telprom.si.
Cena: Od 2180 EUR za Network Performance Monitor do 100 naprav in naprej.
✓ Vse, kar potrebujemo za celovit nadzor nad infrastrukturo IT.
✗ Cena modulov.
■ Spiceworks
Spiceworks je z nami že kar nekaj let. V tem času se je okrog njega izoblikovala močna skupnost, ki šteje že kar 5 milijonov uporabnikov in več kot 3000 podjetij IT, ki ga uporabljajo za rutinska dnevna opravila in nadzor.
Pri tem brezplačnem izdelku nas že, odkar smo ga prvič dobili v roke, motijo reklame. Verjetno je to samo avtorjeva osebna preferenca, a ne gre mimo tega.
Takoj po kratki namestitvi se zažene čarovnik, s katerim preiščemo naše omrežje. Iskanje v omrežju/24 z največ 254 napravami (mi smo jih imeli 31) je trajalo dobrih 15 minut, kar ni najhitreje. Pri koncu iskanja nam je bilo všeč, da smo dobili seznam naprav, na katere se Spiceworks ni mogel prijaviti, in možnost, da popravimo prijavne podatke ter še enkrat raziščemo naprave, do katerih v prvem poskusu ni mogel.
Na trenutke je bil Spiceworks zelo počasen, saj je za kakšno operacijo potreboval tudi več minut. Ko preišče celotno omrežje, nam ponudi vse podrobne podatke o strojni opremi, programih, ki so nameščeni, in podobno.
Všeč nam je bilo, da smo za naše strežnike HP videli podatke o poteku garancijskega roka (Spiceworks se poveže na HPjevo stran in preveri veljavnost garancije glede na serijsko številko produkta) in tudi predvsem porabo električne energije, ki jo dobi iz strežnikovih senzorjev ILO (Integrated Lights-Out).
Za nadzor strežnika Microsoft Exchange bo treba namestiti posebno skripto, saj brez nje zazna le dolžino vhodne in izhodne vrste in število poslanih in prejetih poštnih sporočil v minuti. Šele ko je skript nameščen v strežnike Exchange, dobimo prave podatke o tem, kaj se na njih dogaja.
Za spremljanje, kaj se dogaja na strežnikih SQL, je treba namestiti vtičnik. Omeniti je treba, da je Spiceworks zelo integriran s spletno stranjo in skupnostjo, tako da lahko iz osrednje konzole dostopamo do strani z vtičniki, skripti in pomočjo. Ko je vtičnik nameščen, pregleda celotno omrežje za morebitnimi instancami strežnikov SQL in nam ponudi, da za vsakega vpišemo dostopne podatke, z njimi pa potem preverja porabo pomnilnika, procesorja, opozarja na morebitne zamaške, predolga izvajanja queryjev in podobno. Skratka vse, kar želimo vedeti, da ohranimo strežnik SQL v optimalnem stanju.
Spiceworks pa omogoča tudi nadzor mobilnih naprav z operacijskimi sistemi Android, IOS in Windows, kar je dobrodošlo, če imamo v podjetju politiko BYOD. Omogoča spremljanje, katere naprave so se prijavile v omrežje, lahko pa si naredimo tudi opozorila, kadar se v omrežje prijavijo naprave, ki ji iz kateregakoli razloga ne želimo v njem.
Podatki, ki jih dobimo iz stikal in usmerjevalnikov, so bolj osnovni. Na voljo so podatki o napravi, vmesnikih, prometu po vmesnikih in napravah, ki so povezane na te vmesnike – te podatke Spiceworks dobi iz tabele ARP. Na voljo so nam tudi podatki o virtualnih omrežjih VLAN, če jih imamo. Prikazati zna tudi nekaj grafov o prometu po posameznem vmesniku.
Spiceworks omogoča tudi preverjanje povezljivosti v internet in spremljanje kakovosti povezave, spremlja, kdaj poteče registracija naših domen, preverja stanje morebitnih naročnin na Google Apps ali Office 365 ter zasedenost poštnih predalov, nadzorujemo pa lahko tudi račune Dropbox Pro in dobimo podatke, koliko so zasedeni, in centralno nadziramo lokalne namestitve AVG protivirusnega programa ob pomoči AVG CloudCare.
Z orodjem za mapiranje lahko hitro vizualiziramo celotno topologijo omrežja, kakor ga Spiceworks zazna, na voljo pa nam je še kup preddefiniranih poročil in možnost ustvarjanja lastnih oziroma možnost uvoza že narejenih. Za vsa poročila lahko naredimo tudi urnik izvajanj in jih natisnemo ali pa izvozimo v obliko PDF, CSV ali Excel.
Dodaten modul, ki bo nekatere prepričal, pa je vgrajeni helpdesk. Z njim upravljamo incidente, ki nam jih bodisi pripravi nadzorni sistem ali pa pošljejo uporabniki, ki naletijo na težave. Tehnik lahko vidi celotno zgodovino zahtevka, lahko spremlja prioriteto, želeni čas rešitve in doda komentarje. Na voljo je integracija z Logmein, ki omogoča neposredno povezavo na uporabnikovo namizje kar iz osrednje konzole. Spiceworks nam postreže tudi z najboljšimi praksami, kako začeti s helpdeskom. Za heldesk je na voljo tudi precej dodatnih vtičnikov, od takih, ki omogočajo vklop prikaznih oken, ko pride nova zahteva, do raznih drugih dodatkov, ki olajšajo delo tehnikom na heldesku.
Spiceworks omogoča dovolj dober nadzor nad napravami v omrežju, ima vgrajen helpdesk, za seboj močno skupnost in je zastonj, a se bodo uporabniki, ki si želijo podrobnejših informacij in hkrati ne želijo biti posiljevani z reklamami, ozrli za izdelki drugih izdelovalcev.
Spiceworks
Orodje za nadzor in upravljanje omrežij in naprav.
Kje: www.spiceworks.com
Prodaja: www.spiceworks.com
Cena: Brezplačno.
✓ Integrirani helpdesk.
✗ Moteče reklame, razmeroma počasen.
■ Ipswitch WhatsUp Gold
Ipswitch WhatsUp Gold je bil na preizkusu edini program, ki je na trenutke odpovedal. Čeprav je všečna rešitev za nadzor infrastrukture IT, je s svojim nestabilnim delovanjem na našem preizkusu pustil grenak priokus, saj je nedopustno, da tako kritična rešitev, ki je namenjena nadzoru, preprosto odpove. Prav tako smo imeli nemalo težav z licenco, ki je en dan delovala, naslednji pa sporočala, da je licenca napačna.
Nadzorna plošča je dokaj intuitivna in si jo lahko z gradniki sami prilagodimo. Pri vsaki napravi imamo možnost neposrednega povezovanja prek protokola http, izvedemo lahko preizkus s pingom, lahko se nanjo povežemo prek protokola telnet, zaženemo traceroute, se povežemo prek protokola RDP, če naprava to podpira, preverimo naslov MAC naprave in si ogledamo zagnane procese.
Napravi ali pa skupini naprav lahko dodelimo enake senzorje, ki bodo spremljali procese na teh napravah. Če si logično omislimo skupine, lahko s tem prihranimo kar precej časa pri sestavi. Vsaki napravi pa lahko dodelimo vrsto naprave, ki jo ima WhatsUp Gold v bazi, in s tem omogočimo že prej pripravljene senzorje. Za vsako različno vrsto alarma lahko izberemo ali naredimo skript, ki omogoča avtomatizacijo pogostih opravil. Če se, recimo, ustavi storitev Print Spooler, jo lahko WhatsUp Gold poskusi nekajkrat zagnati in, če ni uspešen, sproži alarm naprej.
Generalno lahko nastavimo avtentikacijo za protokole SNMP, WMI, ADO, Telnet, SSH in WMware, ki jih WhatsUp Gold uporabi ob prijavi na ciljne sisteme. Protokole lahko vklapljamo ali izklapljamo za posamezne skupine in s tem pohitrimo raziskovanje naprav, saj ni smiselno, da se program trudi z avtentikacijo WMI in VMware pri pridobivanju podatkov iz usmerjevalnika.
Pri nadzoru usmerjevalnika in požarne pregrade nam je WhatsUp Gold lepo pokazal grafe s prometom po posameznih vmesnikih. Prav tako je prikazal vse trenutno vzpostavljene povezave VPN in podatke o zdravju usmerjevalnika.
Za nadzor strežnika Exchange smo morali ročno dodati senzorje, ki so potem prebrali in prikazali vse želene podatke. Enako je bilo za strežnik SQL. Ročno dodajanje aktivnih in pasivnih senzorjev je včasih prav nerodno delo, saj bi lahko pri Ipswitchu naredili še kakšno predlogo več za bolj uporabljane aplikacije in storitve.
V WhatsUp Gold je vgrajena tudi analiza protokola NetFlow in implementacija Ciscovega orodja NBAR. To mu omogoča, da nam sporoča o zasedenosti pasovne širine, aplikacijah, ki to pasovno širino uporabljajo, ciljih, do katerih uporabniki dostopajo, in podobno. Servis CBQoS pa preverja učinkovitost politik omejevanja pasovne širine.
Pri nadzoru brezžičnih dostopnih točk lahko preverimo obremenjenost posameznih točk, nariše nam zemljevid povezav, prikaže povezane odjemalce in morebitne tuje dostopne točke (rogue AP), ki v našem omrežju nimajo kaj početi. Te dostopne točke navadno nepridipravi uporabljajo za generiranje brezžičnega prometa, ki ga nato shranijo in kasneje poskusijo z metodo brute force ugotoviti gesla za pristop v brezžično omrežje.
WhatsUp Gold pa lahko uporabimo tudi kot strežnik Syslog in vanj usmerimo zapise iz naših naprav, ki to podpirajo, prav tako zna prebrati vse sistemske dnevniške zapise v okoljih Windows.
Na voljo imamo tudi že prej pripravljena poročila, ki jih lahko tudi avtomatiziramo, lahko pa jih prikažemo bodisi tekstovno ali pa v grafih. Če s temi poročili nismo zadovoljni, si lahko ustvarimo svoja po lastnih željah.
WhatsUp Gold ima pripravljeno integracijo še z eno Ipswitchevo rešitvijo, ki se imenuje AlertFox in omogoča spremljanje zmogljivosti spletnih strani.
Lahko rečemo, da je WhatsUp Gold dober izdelek, manjka mu edino stabilnost, saj je edini na preizkusu večkrat zatajil.
Ipswitch WhatsUp Gold
Orodje za nadzor in upravljanje okolja IT.
Kje: www.whatsupgold.com
Prodaja: www.src.si, www.snt.si, www.arrowecs.si.
Cena: Za osnovno standardno edicijo od 1842 EUR za do 100 naprav.
✓ Hitro iskanje naprav.
✗ Nestabilno delovanje.
In?
Zgoraj opisani programi vsi dobro opravljajo svoje poslanstvo. Nekateri so zapleteni za nastavljanje in potem delujejo kot urica, nekateri so kompleksni za upravljanje, nekateri pa so preprosto odlični. Kljub temu si je pred dokončno izbiro programske opreme smiselno postaviti stvarne cilje: kaj bomo nadzirali? Koliko je teh naprav? Koliko ljudi bo skrbelo za to? Ali nam želena rešitev pokrije vse potrebe po nadzoru? Ali moramo in želimo sami kaj spremeniti v našem sistemu, da bomo lahko uporabljali programsko opremo za nadzor z najmanjšimi stroški »out of the box«? In ne nazadnje: ali nam sredstva omogočajo nakup želene programske opreme?