SISR5 – Supervision des réseaux · Ce TP sera basé sur Shinken qui est utilisable sous Linux et Windows, il permet une supervision ... Nous sélectionnons l'onglet services,

Foucart Digeon SISR5 - Mise en place d'un outil de supervision 15/11/2013

SISR5 – Supervision des réseaux Mise en place d'un outil de supervision

-Page 1 -


SommaireSchéma réseaux....................................................................................................................................3Plan d'adressage ...................................................................................................................................3Objectif du TP ......................................................................................................................................4Mise en place des serveurs supervisés..................................................................................................4

Serveur web.....................................................................................................................................4Serveur de supervision.....................................................................................................................4Serveur FTP.....................................................................................................................................5

Mise en place du réseaux et tests de connectivité .....................................................................5Installation et configuration de base du serveur de supervision...........................................................6Utilisation de Shinken, supervision des serveurs.................................................................................7

Découverte de l'interface.................................................................................................................7Mise en place de contrôles de supervision d'un service ..................................................................12Mise en place de contrôles de supervision d'un serveur sous Windows ............................................17Serveur Shinken..................................................................................................................................22Supervision de matériels ....................................................................................................................23Supervision d'un routeur ....................................................................................................................24Supervision d'un commutateur...........................................................................................................26

-Page 2 -


Schéma réseaux

Plan d'adressage

Appareils Adresse IP Masque Passerelle Port

RTR 172.16.40.254 255.255.0.0 / FE0/0

192.16.40.2 255.255.0.0 / S0/0

COM / / / FE0/1

/ / / FE0/2

/ / / FE0/3

/ / / FE0/4

Serveur Shinken 172.16.40.1 255.255.0.0 172.16.40.1 /

SRV1-Linux 172.16.40.10 255.255.0.0 172.16.40.254 /

SRV2-W2003 172.16.40.40 255.255.0.0 172.16.40.254 /

-Page 3 -


Objectif du TP Tout au long de ce TP nous allons apprendre a mettre en place un outil de supervision.

Ce TP sera basé sur Shinken qui est utilisable sous Linux et Windows, il permet une supervision distribuée et hautement disponible.

Mise en place des serveurs supervisésNous allons mettre en place deux serveurs Linux sous Debian 6, un sera le serveur web l'autre le serveur de supervision et un sous Windows serveur 2003 pour le FTP. Il seront virtualiser sous Esxi 5.1.

Serveur web

Nous créons le serveur sous Esxi, on lui installe Debian 6 et on le nomme SRV1-Linux.

Nous mettons à jour la liste des packagesapt-get update

Nous allons installer sur ce serveur un package SNMP (protocole de supervision)

apt-get install snmpd

Une fois installé, nous lui affectons sont adresse IP définitive et nous l’éteignons pour éviter les conflits d'adresse avec les autres groupes.

Serveur de supervision

Nous mettons à jour la liste des packagesapt-get update

Nous allons installer sur ce serveur un package SNMP (protocole de supervision)

apt-get install snmpd

Une fois installé installé, nous lui affectons sont adresse IP définitive et nous l’éteignons pour éviter les conflits d'adresse avec les autres groupes.

-Page 4 -


Serveur FTP

Nous créons le serveur sous Esxi, on lui installe Windows Server 2003 et on le nomme SRV-W2003

Nous installons le rôle FTP(ajout composant Windows), nous testons la connexion depuis un autre poste en utilisant Filezilla.

Nous bloquons les mises à jour.

Mise en place du réseaux et tests de connectivité

Nous relions tout les matériels comme sur le schéma ci-dessus.Ensuite nous configurons le routeur en lui attribuant son nom RTR, son mot de passe (class) pour les liaisons console/vty et (admin) pour le mode enable.Nous configurons l'interface FastEthernet0/0 et Serial0/0 puis nous vérifions la connectivité sur tout les segments.Nous configurons le commutateur en lui attribuant son nom COMM1, son mot de passe (class) pour les liaisons console/vty et (admin) pour le mode enable.Nous configurons l'adresse IP du VLAN1 du commutateur COMM1.Nous allumons SRV1-Linux, ensuite nous attribuons l'adresse définitive au serveur SRV2-W2003 et pour finir nous testons la connectivité.

-Page 5 -


Installation et configuration de base du serveur de supervision

Pour préparer et configurer le serveur, nous allons l'isoler du réseaux local

Nous installation Shinken à l'aide de la commande suivante :

curl -L http://install,shinken-monitoring,org | /bin/bash

La commande curl va récupéré le script d'installation de Shinken qui sera exécute grâce à /bin/bash

Une fois installer, Shinken est fonctionnel mais très incomplet. Nous devons lui installer des addons

et fixer une erreur pour cela nous allons dans le dossier de base de Shinken

Cd/ usr/local/shinken

Nous éditons le fichier de configuration de Shinken

Gedit /usr/local/shinken/install.d/shinken.conf

Nous devons repérez et commentez la ligne ExportNAGPLUGBASEURI=' Jusqu’à $NAGPLUGVERS.tar.gz et copier la ligne suivante

Export NAGPLUGBASEURI='https://www.nagios-plugins.org/download/nagios-plugins-$NAGPLUGVERS.tar.gz

On quitte l’éditeur, maintenant on installe les addons a l'aide des commandes suivantes./install -p nagios-plugins./install -p check_mem./install -p manubulon./install -p multisite./install -p pnp4nagios./install -p nagvis./install -p check_wmi_plus./install -p check_snmp_bandwidth./install -p check_nwc-health./install -p check_esx3./install -p check_netint

-Page 6 -


A présent, nous relançons les services Shinken et nous relions la machine physique qui héberge le service au commutateur COMM1 et lui attribuons son adresse IP définitive.Et à l'aide d'une commande PING, nous vérifions la connectivité entre le serveur et les autres appareils du réseau.

A partir de maintenant, Shinken est complet et fonctionnel :

• Dossier de base Shinken : /usr/local/shinken• Dossier des fichiers de configuration : /usr/local/shinken/etc• Dossier des modèles de supervision : /usr/local/shinken/etc/packs• Dossier de déclaration des hôtes : /usr/local/shinken/etc/hosts• Dossier des plugins : /usr/local/shinken/libexec• Dossier des logs : /usr/local/shinken/var

Utilisation de Shinken, supervision des serveurs

Découverte de l'interface

A partir de la machine qui héberge le serveur, nous vérifions que nous pouvons accéder au serveur avec sa propre adresse IP : 172.16.40.1

Une fois sur la page d'accueil, nous utilisons le compte admin et le mot de passe admin pour accéder à l'interface de Shinken.

-Page 7 -


Une fois dans l'interface nous nous rendons dans le menu all il permet de s'assurer que le serveur est actif sur le réseaux

Tout les service sont OK tout les matériels du serveur sont fonctionnel

-Page 8 -


Nous devons autoriser l’accès au service SNMP, pour cela nous éditons le fichier de configuration de SNMP

Gedit /etc/snmp/snmpd.conf

Nous dé-commentons la ligne de boucle local pour répondre aux requêtes internes

agentAdress udp:127.0.0.1:161

Nous commentons la ligne qui permet au service de répondre aux requête extérieur

# agentAdress udp:161,udp6:[::1]:161

Nous dé-commentons la ligne indiquant le nom de la communauté SNMP locale :

rocommunity public localhost

Maintenant nous vérifions l’état du service SNMP

Service snmpd status

Le service est déjà lancé nous passons a la suite

Nous retournons dans l'interface graphique, nous rafraîchissons l'interface, nous survolons les éléments avec la souris un graphique est généré

Au bout de quelques minutes, tous les éléments doivent être vert

-Page 9 -


Grâce au menu All nous allons relevez des valeurs concernant le serveur

Élément surveillé État Valeur relevée

Fonctionnement du matériel ok 0,025ms

Charge du processeur ok 41 %

Occupation du disque local ok <90 %

Charge du système ok 0,30 0,54 0,48

Occupation de la mémoire ok Ram 60 % swap 1 %

Charge de la carte réseau ok Eth0: up

Ensuite nous sélectionnons localhost qui nous permet d'avoir une vue global de la machine avec une illustration graphique

-Page 10 -


Nous retournons dans All, puis maintenant dans CPU, les informations sur le celui-ci apparaissent

Le CPU est contrôlé toutes les cinq minutes.

Si nous voulons une illustration graphique sur la charge du CPU nous nous rendons dans le menu Graphs.

-Page 11 -


Mise en place de contrôles de supervision d'un service

Nous avons installer des scripts et des plu-gins qui fonctionne comme des sondes.

Chacune de ces sonde test un état particulier du matériel visé.

Nous retournons dans la console administrateur et nous nous plaçons dans le dossier etc/hosts/ de Shinken.

Nous créons le fichier de configuration de notre premier hôte à surveiller

Gedit SRV1-linux.cfg

Nous complétons le fichier créé par une déclaration de notre hôte

Define host{use httphost_name SRV1-Linuxaddress 172.16.193.10}

Nous relançons le processus arbiter qui va lire et repartir les fichiers de configuration

Service shinken-arbiter restart

Nous retournons dans l'interface web, dans le menu all , nous remarquons que http est passe

Tout est fonctionnel

-Page 12 -


Nous éditons le fichier linux,cfg

Gedit SRV1-linux.cfg

Nous ajoutons le modèle Linux

Define host{use http, linuxhost_name SRV1-Linuxaddress 172.16.193.10icon_set server}

Nous enregistrons et quittons

Nous éditons le fichier de configuration de SNMP

Gedit /etc/snmp/snmpd.conf

Nous commentons la ligne de boucle locale

# agentAddress udp:127.0.0.1:161

Nous dé-commentons la ligne qui permet au service de répondre aux requête extérieur

agentAdress udp:161,udp6:[::1]:161

Nous commentons la ligne indiquant la communauté SNMP par défaut

# rocommunity public default -V systemonly

Nous ajoutons en dessous la ligne indiquant la communauté du réseau

Rocommunity public 172.16.0.0/16

Maintenant nous vérifions l’état du service SNMP

Service snmpd status

Le service est déjà lancé nous passons a la suite

-Page 13 -


On retourne dans ServeurShinken et vérifié que le nom de communauté SNMP définit dans Shinken est bien public en éditant le fichier

Gedit resource.cfg

On vérifie la présence de ces ligne

Nous quittons le fichier de configuration, on lance un test de connexion SNMP

Snmpwalk -v 1 -c public 172.16.40.10

Cela correspond a ce qui est afficher dans le menu all de Shinken, le Shinken se contente de mieux présenté ces données pour qu'elles soit lisible.

-Page 14 -


Nous relançons le processus arbiter et nous retournons dans l'interface web, dans le menu all

Tous les contrôles sont fonctionnels nous cliquons sur SRV1-Linux nous accédons en détails a l’état du serveur

-Page 15 -


Nous sélectionnons l'onglet services, pour vérifié que le protocole HTTP est bien surveilles (plusieurs service a la fois peuvent être surveiller ).

Nous sélectionnons l'onglet impact Graph pour nous monter graphiquement les contrôles qui dépendent du serveur SRV1-Linux

Nous cliquons sur System pour afficher les composants système surveilles de SRV1-Linux

-Page 16 -


Mise en place de contrôles de supervision d'un serveur sous Windows

Nous allons maintenant nous intéresser a notre serveur Windows et son service FTP

Nous créons des fichiers de configuration de l’hôte à surveiller

Gedit SRV2-Windows.CFG

On saisie la déclaration de votre hôte

Define host{use ftp, windowshost-name SRV2-Windows address 172.16.40.40}

Nous enregistrons et quittons Gedit

Maintenant nous ajoutons un utilisateur qui s'appellera wmiagent

Clique-droit sur poste de travail>Gérer>Utilisateur et Groupes locaux>Utilisateurs>nouvelle utilisateur.

-Page 17 -


Notre nouvelle utilisateur doit pouvoir accéder à DCOM

Pour permettre l’accès aux informations du système nous la lançons la commande DCOMCnfg.exe.

Ensuite nous sélectionnons Services de composants>ordinateurs>Poste de travail.

Nous effectuons un clique droit sur Poste de travail>Propriétés>Sécurité COM.

Nous cliquons sur Modifier les limites dans Autorisations d’accès.

Nous cliquons sur Ajouter, nous saisissons wmiagent puis nous cliquons sur vérifier les noms et validons.

-Page 18 -


Nous sélectionnons wmiagent qui vient d’être ajouté à la liste.

Nous autorisons l’accès local et l’accès distant, puis validons.

Toujours dans le menu Propriétés de poste de travail, nous cliquons sur modifié les limites de la fonctionnalité Autorisations d’exécution et d'activation

Nous cliquons sur modifier les limites dans Autorisation d’exécution

Nous cliquons sur ajouter, nous saisissons wmiagent puis nous cliquons sur Vérifier les noms et validez

-Page 19 -


Nous autorisons l'Exécution locale, l'Exécution à distance et l'Activation à distance.

Notre nouvelle utilisateur wmiagent doit pouvoir retourné les données WMI en accédant a l'espace CIMV2

Dans exécuter nous lançons la commande WMI mgmt.msc, ensuite clique-droit sur Contrôle WMI(local), puis nous choisissons Propriétés.

Nous cliquons sur l'onglet Sécurité, déployer root, nous cliquons sur CIMV2 puis sur Sécurité.

-Page 20 -


Pour finir, nous cliquons sur Ajouter, saisissez wmiagent puis cliquer sur Vérifier les noms et valider, puis nous sélectionnons wmiagent

Nous autorisons Activer le compte et Appel à distance autorisé

Nous validons puis nous passons à l’étape suivante

-Page 21 -


Serveur Shinken

Nous retournons dans ServeurShinken et placez-vous dans le dossier libexec/ de Shinken

Nous testons l’accès aux données de WMI en saisissant la commande

Wmic -U domain/wmiagent%wmiagent -W WORKGROUP //172.16.40.39 ''SELECT * from Win32_ComputerSystem''

Nous allons paramétrez le compte d’accès au domaine que nous avons choisi en éditant le fichier situé dans le dossier etc/ de Shinken

Gedit ressource.cfg

Nous recherchons, dé-commentons et complétons les lignes comme ci-dessous

Une fois terminé nous relançons le processus arbiter


-Page 22 -


Nous retournons dans l'interface web, dans le menu All et nous attendons que les sondes passent de UNKNOWN à OK ou UP

Supervision de matériels Nous retournons dans la console d'administration et nous nous plaçons dans le dossier etc/hosts de Shinken.

Nous créons le fichier de configuration de l'imprimante a surveiller

gedit XEROX-Phaser6280.cfg

Nous déclarons notre hôte de la manière suivante


Nous relançons le service arbiter et nous relions temporairement l'imprimante au COMM1

-Page 23 -


Nous vérifions dans l'interface web que la sonde est UP.

Ensuite nous débranchons l'imprimante et nous retournons dans l'interface web

L'imprimante passe en DOWN.

Supervision d'un routeur Nous retournons dans la console administrateur et nous nous plaçons dans le dossier etc/hosts/ de Shinken.

Nous créons le fichier de configuration du routeur à surveiller

gedit RTR.cfg



Sur le routeur RTR, nous passons en mode de configuration globale

Nous créons une access-list reteignant l’accès au seul serveur de supervision

access-list 1 permit 172.16.40.1

Nous activons le service SNMP en lecture seul sur la communauté public et pour le serveur déclaré dans l'access-list 1.

Snmp-server communuty public ro 1

-Page 24 -


Ensuite nous vérifions en mode enable, la bonne configuration du service

Show snmp community

Pour finir nous retournons dans le dossier etc/shinken du serveur Shinken

Nous relançons le processus arbiter


Pour finir nous retournons dans l'interface web, dans le menu all, nous attendons que les sondes passent au UP ou OK.

-Page 25 -


Supervision d'un commutateurNous retournons dans le dossier etc/hosts/ de Shinken

Nous créons le fichier de configuration du commutateur à surveiller

Gedit COMM1.cfg


Ensuite sur le commutateur COMM1 nous passons en mode configuration globale

Nous créons une access-list reteignant l’accès au seul serveur de supervision

access-list 1 permit 172.16.40.1

Nous activons le service SNMP en lecture seul sur la communauté public et pour le serveur déclaré dans l'access-list 1.

Snmp-server communuty public ro 1

-Page 26 -


Ensuite nous vérifions en mode enable, la bonne configuration du service

Show snmp community

Pour finir nous retournons dans le dossier etc/shinken du serveur Shinken

Nous relançons le processus arbiter


Pour finir nous retournons dans l'interface web, dans le menu all, nous attendons que les sondes passent au UP ou OK.

-Page 27 -


Nous retournons dans le dossier libexec/ de Shinken

Nous testons manuellement la sonde d'état des interfaces

./check_nwc-health --hostname 172.16.40.253 --timeout 60 –community public --mode interface-status

Nous testons manuellement la sonde d'état des interfaces mais cette fois-ci seul l'interface FastEthernet0/1 apparaît

./check_nwc-health --hostname 172.16.40.253 --timeout 60 –community public --mode interface-status --name FastEthernet0/1

-Page 28 -


Nous retournons dans le dossier etc/ de Shinken Nous éditons les commandes définies pour le modèle switch Gedit packs/network/switch/commands.cfg

Nous ajoutons l'attribut –name au prototype de la commande check_switch_interfaces_status pour que seul le port FastEthernet0/1 soit surveiller par le serveur Shinken

Nous éditons le fichier qui appelle la commande et l'attribue au modèle switch Gedit packs/network/switch/services/interface_status.cfg

Pour finir nous relançons le processus arbiter, retournons dans l'interface web, dans le menu all

Dorénavant seules l'interface FastEthernet0/1 sera supervisée par un contrôle dédie.

-Page 29 -

Documents

SISR5 – Supervision des réseaux · Ce TP sera basé sur Shinken qui est utilisable sous Linux et Windows, il permet une supervision ... Nous sélectionnons l'onglet services,