Die einen nennen es Sensoren, die anderen Aktoren, gemeint ist allerdings ein und dasselbe: Dienste oder Komponenten, die sich mithilfe eines geeigneten Software-Tools überwachen lassen, und das sowohl protokolliert über eine längere Dauer oder in Echtzeit zu Reaktionszwecken.
Von diesen Überwachungspunkten gibt es so viele, dass eine Aufzählung aller Sensoren den Rahmen eines üblichen Blogbeitrags sprengen würde. Daher werde ich von heute an immer wieder eine Klasse an Sensoren näher betrachten und die interessantesten etwas genauer erläutern. Damit ihr genau wisst, was sich innerhalb eines Netzwerks alles überwachen lässt.
Den Anfang machen die Standard-Sensoren, die ein besonderes Augenmerk des IT-Admins erfordern. Hierzu zählen die Sensoren HTTP, Ping, Port (Range), SNMP-Traffic sowie SSL-Zertifikat.
Der HTTP-Sensor ist vor allem bei einem unternehmenskritschen Webservice elementar. Dabei werden unterschiedliche Werte wie Ladezeiten, Up- und Downzeiten, etc. gemessen. Es geht also nicht nur um einen Ausfall einer kompletten Webseite, sondern auch um deren Verhalten. Überwacht wird im Allgemeinen die zugehörige URL, alternativ kann aber auch Port 80 kontrolliert werden.
Der Ping-Sensor überprüft in regelmäßigen, fest definierten Abstände, ob der zugeordnete Rechner „live“, also erreichbar. Dabei werden Werte wie die Ping-Zeiten und prozentuale Datenverlust pro Ping oder Ping-Intervall gemessen. Speziell bei geschäftskritischen Prozessen spielt ein zuverlässiges Ping-Verhalten eine große Rolle.
Der Port (Range)-Sensor ist vor allem beim Thema Sicherheit von zentraler Bedeutung. Denn Hacker greifen IT-Infrastrukturen unter anderem mithilfe sogenannter Portscans an, indem sie automatisiert die Firewall einer IT-Umgebung nach offenen oder nicht geschützten Ports untersuchen. Um in diesem Fall über einen möglichen Angriff von außen berichten zu können, überprüft der Port-Sensor regelmäßig, ob ein bestimmter Port offen oder geschlossen ist. Sollte er wider Erwarten offen sein, weist das auf einen möglichen Angriff hin. In diesem Zusammenhang ist auch der Port-Range-Sensor wichtig, da Hacker gerne komplette Port-Bereiche angreifen, die normalerweise unbenutzt und damit nicht überwacht sind.
Der SNMP-Traffic-Sensor kommt bei allen Diensten und Komponenten zum Einsatz, die das Simple Network Management Protocol unterstützen. Überwacht wird vor allem der ein- und ausgehende sowie der komplette Datenverkehr. Damit lassen sich zum einen Anomalien bei der Datenübertragung innerhalb des Netzwerks aufdecken (die auf einen möglichen Angriff von außen hinweisen können). Zum anderen können damit Langzeitprotokolle erstellt werden, die für künftige Anschaffungen neuer Komponenten erforderlich sind. Obendrein können Fehler bei der Datenübertragung sowie abgelehnte Datenpaket dargestellt werden, womit man mögliche Probleme innerhalb der Netzwerkinfrastruktur aufdecken kann.
Der SSL-Zertifikat-Sensor überwacht regelmäßig die Gültigkeit einer SSL-TLS-basierten Verbindung bzw. die Gültigkeit ihres Zertifikats. Dabei werden unter anderem das Ablaufdatum überprüft und ob das Zertifikat widerrufen, als vertrauenswürdig eingestuft oder sogar selbst signiert wurde. All diese Werte erhöhen die Sicherheit einer SSL-Netzverbindung.
Weitere Teile aus der Serie „Netzwerk-Monitoring“
https://www.it-techblog.de/serie-darin-unterscheiden-sich-langzeit-und-realtime-netzwerk-monitoring/11/2017/
https://www.it-techblog.de/serie-netzwerk-monitoring-so-funktioniert-das-ueberwachen-von-komponenten/11/2017/
https://www.it-techblog.de/serie-warum-netzwerk-monitoring-so-wichtig-ist/10/2017/
Pingback:Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring – IT-techBlog.de
Pingback:Serie Netzwerk-Monitoring: So funktioniert das Überwachen von Komponenten – IT-techBlog.de
Pingback:Serie: Warum Netzwerk-Monitoring so wichtig ist – IT-techBlog.de
Pingback:Serie: Weitere wichtige Netzwerk-Monitoring-Dienste im Detail – IT-techBlog: Hightech & Mobile