Neste artigo você vai ficar sabendo tudo sobre monitoramento de rede. Mas, antes de começar, já ouviu falar da tríade da CIA? Não? Então, acho que agora é um bom momento. Entre os profissionais de segurança da informação, a tríade de segurança é:
- Confidencialidade;
- Integridade;
- Disponibilidade.
É um clichê? Sim. Contudo, é um clichê sagrado. Afinal, cada um é tão importante quanto o outro ao projetar um sistema de processamento de dados.
Na verdade, no mundo de hoje, quase todas as organizações dependem de sistemas de processamento eletrônico. Portanto, a necessidade de hiper-disponibilidade e hiper-resiliência, no caso de uma falha, tornou-se cada vez mais exigente.
Exemplo
Considere o surto de ransomware WannaCry no verão de 2017. Nele. organizações inteiras, incluindo o sistema de saúde do Reino Unido, tiveram seus sistemas eletrônicos interrompidos. Ou seja, esse evento levou à:
- Paralisação das linhas de produção;
- Cancelamento de operações médicas;
- Impossibilidade de as redes de transporte receberem o pagamento dos viajantes.
Contudo, ataques maliciosos são apenas uma das muitas dinâmicas. Ao menos quando se trata de manter altos níveis de disponibilidade do sistema. Afinal, outros problemas podem incluir:
- Hardware antigo;
- Gargalos na infraestrutura de rede;
- Capacidade de atendimento.
Mantenha a consistência
Portanto, o que une todas essas questões é a necessidade de monitoramento de rede constante e consistente. Afinal, o monitoramento de rede permite detectar problemas em seus estágios iniciais quando são menos impactantes. Então, é possível traçar alguma forma de plano de resposta ou ação para quando algo der errado.
O que é uma solução de monitoramento de rede?
Você não precisa ser muito criativo para decifrar o que é monitoramento de rede. Afinal, trata-se de uma solução que monitora a rede da sua empresa. Simples assim! Contudo, o monitoramento de rede tem como princípio não só monitorar a integridade geral das redes. Mas também quaisquer alterações que possam indicar um problema.
Todas as soluções de monitoramento de rede tendem a conter a funcionalidade principal:
Discovery
É a pesquisa de dispositivos presentes na rede ou em um ambiente de nuvem de sua propriedade.
Monitoramento
Trata-se do monitoramento contínuo de aspectos críticos do dispositivo. Por exemplo, tempo de atividade, espaço em disco e uma porta de rede aberta.
Mapeamento
Consiste na criação de uma exibição rápida que pode fornecer uma visão geral da integridade dos dispositivos monitorados.
Relatórios e análises
São relatórios exportáveis, históricos e comparativos para entender tendências e mudanças de longo prazo.
Ações de alerta e corretivas
Servem para corrigir problemas. Está relacionado à alterações, problemas de saúde e possíveis tarefas de remediação.
Vale lembrar que não há problema em não conhecer a funcionalidade principal das soluções de monitoramento de rede ou com alguns dos termos usados até agora. Afinal, esclareceremos tudo isso e muito mais mais adiante neste artigo.
Por que usar uma solução de monitoramento de rede?
Por que usar uma solução de monitoramento de rede para manter altos níveis de disponibilidade? Pois bem, o veterano da indústria GFI Software cita dez benefícios claros e importantes em usar uma solução de monitoramento de rede.
1. Mantenha-se informado
Com o monitoramento em tempo real você consegue detectar uma falha ou irregularidade mais rápido. E essa informação chega até você por meio de métodos como SMS, pager, e-mail ou mensagem na rede.
2. Planeje a mudança
Soluções de monitoramento de rede permitem estudar um problema constante com um olhar mais atento. Por exemplo, considere que uma peça de hardware está constantemente desarmando. Provavelmente chegou o momento de substituir esse hardware.
3. Diagnosticar problemas
Imagine um cenário em que um dos sites da sua empresa caia. Sem o monitoramento de rede, você pode não ser capaz de dizer se o problema é apenas com o site. Afinal, a falha pode estar no servidor da web ou aplicativos.
4. Problemas de relatórios
Relatórios de monitoramento de rede ajudam aidentificar tendências no desempenho do sistema. Isso, além de demonstrar a necessidade de atualizações ou substituições. Tudo isso para provar seu valor. Afinal, documenta o trabalho de outra forma invisível que mantém os sistemas de TI gerenciados em sua melhor forma.
5. Corrigir desastres
Foi notificado imediatamente de que há um problema com um de seus sistemas? Então, você pode usar o tempo para trazer um sistema de backup e substituir a falha atual. Dessa forma, conseguirá fornecer um serviço eficiente e contínuo para o seu usuários e seus clientes.
6. Garantir a operação dos sistemas de segurança
As empresas gastam muito dinheiro, tempo e recursos em software e hardware de segurança. Contudo, sem uma solução de monitoramento de rede, elas não podem ter certeza de que os dispositivos de segurança estão funcionando como desejado.
7. Mantenha o controle de seus aplicativos da web
Muitos dos serviços que sua empresa oferece aos usuários e clientes são provavelmente aplicativos da web. Então, as soluções de monitoramento de rede lhe permitem ficar por dentro dos problemas do site. Contudo, também viabiliza a detecção de problemas antes que seus clientes percebam. Portanto, você pode remediar os problemas rapidamente.
8. Resolva problemas a qualquer hora e em qualquer lugar
Os produtos modernos de monitoramento de rede contém recursos de acesso remoto. Ou seja, eles oferecem suporte remoto com um clique para qualquer servidor ou estação de trabalho em seu ambiente.
9. Garanta o tempo de atividade
O monitoramento de rede maximiza a disponibilidade da rede. Afinal, monitora todos os sistemas em sua rede, incluindo servidores, estações de trabalho e dispositivos e aplicativos de rede. Portanto, sempre que uma falha for detectada, você será notificado imediatamente por meio dos alertas.
10. Economize dinheiro para a sua empresa
As soluções de monitoramento de rede corrigem problemas mais rapidamente com alertas instantâneos. Contudo, também são capazes de detectar problemas pequenos e grandes. Dessa forma, eliminam a necessidade de verificações manuais em logs de eventos, sistemas de backup, sistemas antivírus, discos rígidos e outros dispositivos. Isso facilita a redução de custos e a geração de receita.
Termos e protocolos principais
Monitoramento de rede, resposta a incidentes e segurança de TI em geral podem ser difíceis de entender. Afinal, usam abreviações infinitas e termos específicos de recursos. Então, para ajudá-lo a comparar e compreender os benefícios das soluções de monitoramento de rede, compilamos um glossário para você começar.
SNMP (Simple Network Management)
É o avô de todas as coisas de monitoramento de rede. Afinal é usado para monitorar aplicativos, sistemas operacionais baseados em UNIX e dispositivos de rede, como roteadores e switches.
Ele é dividido em dois mecanismos, SNMP regular na porta 161 e traps SNMP e porta 162. O último dos dois, traps SNMP são mensagens de alerta enviadas do dispositivo monitorado para a solução de monitoramento de rede. Ou seja, visa chamar a atenção para um problema. Por exemplo, uma matriz de disco rígido em um servidor pode ser configurada para enviar traps SNMP a uma solução de monitoramento de rede quando a replicação dos discos falhar.
SNMP regular
Contudo, o SNMP regular é uma tecnologia de consulta. Nela, o fluxo de trabalho é revertido. Ou seja, ao invés de enviar um alerta, a solução de monitoramento de rede consulta o dispositivo monitorado quanto ao status de integridade.
OIDs ou IDs de objeto são referências numéricas usadas pela parte SNMP de uma ferramenta de monitoramento de rede para consultar partes muito específicas do dispositivo monitorado. Afinal, a resposta dada pode ser comparada a uma boa resposta conhecida para indicar saúde. Contudo, há potencialmente milhares de OIDs por dispositivo monitorado. E são todos específicos para o dispositivo que está sendo monitorado. Então, os fabricantes de dispositivos criam bibliotecas OID que podem ser importadas para soluções de monitoramento de rede para tornar as coisas mais fáceis. Estes são conhecidos como MIBs (Management Information Base).
É seguro?
Entretanto, o SNMP está sob escrutínio desde sua criação devido à falta de segurança inerente. Afinal, o SNMP v1 e v2c não têm recursos de autenticação fora de suas strings de comunidade. Isso, embora forneçam informações de diagnóstico e até mesmo permitam mudanças remotas na configuração quando o modo de gravação está habilitado. Portanto, o SNMPv3 procurou curar esse problema introduzindo criptografia e autenticação. Contudo, está longe de estar totalmente disponível, além de ser considerado complexo.
No entanto, onde SNMPv3 estiver disponível, é recomendado que seja usado. Onde não estiver, a recomendação é alterar a string de comunidade padrão e nunca habilitar o modo de gravação.
WMI
Trata-se de um protocolo de estilo SNMP desenvolvido para sistemas operacionais Windows desde o Windows Server 2000.
O objetivo do WMI (Instrumento de Gerenciamento do Windows) é definir um conjunto proprietário de especificações. Estes permitem que as informações de gerenciamento sejam compartilhadas com uma solução de monitoramento de rede de consulta. Ele fornece acesso de consulta a todos os tipos de funções do sistema operacional. É o caso de serviços, compartilhamentos de arquivos, integridade de hardware e propriedades de arquivos.
A solicitação inicial de WMI é feita usando a porta 135. Contudo, a comunicação subsequente em relação a essa solicitação específica é feita em uma porta aleatória.
Como o SNMP não é ativado por padrão, o padrão de fato para monitorar dispositivos Windows é o WMI. No entanto, observe que o WMI também pode ser usado para consultar OIDs SNMP. Ou seja, o SNMP e WMI são os dois protocolos principais usados no monitoramento de dispositivos.
Com agente e sem agente
Os fornecedores de soluções de monitoramento de rede escolherão um de dois métodos para monitorar dispositivos, com ou sem agente.
Um agente é um pequeno aplicativo ou software. Ele é instalado em um dispositivo a ser monitorado. Então, o agente deve consultar o dispositivo em busca de informações de saúde e passá-las de volta para a solução de monitoramento de rede.
A alternativa é que nada seja instalado no dispositivo monitorado. Então, ao invés disso, a solução de monitoramento de rede é fornecida com credenciais para os dispositivos que deve monitorar. Dessa forma, é possível fazer logon remotamente e coletar informações de diagnóstico.
Prós e contras
Existe uma combinação das duas soluções disponíveis. Entretanto, as soluções baseadas em agentes em uma indústria são geralmente vistas como uma desvantagem por uma série de razões:
- Os agentes têm uma sobrecarga de recursos que pode afetar negativamente o dispositivo monitorado;
- Podem usar estruturas como Java que precisam ser atualizadas;
- Pode haver incompatibilidades com o software instalado em dispositivos monitorados e o agente;
- Há uma distribuição inicial de instalação de agentes que pode ser trabalhosa e demorada;
- Se a solução de monitoramento de rede for encerrada, os agentes precisarão ser removidos.
Por conta disso, o monitoramento de rede sem agente ou baseado em credencial geralmente é preferido tanto por usuários quanto por fornecedores.
Monitores
No nível do aplicativo, os monitores são as consultas de saúde individuais que a solução de monitoramento de rede realiza. Por exemplo, o ping usado para monitorar o tempo de atividade da placa de rede de um dispositivo é um monitor individual.
O monitoramento normalmente assume uma das três formas:
- Ativo;
- Passivo;
- Desempenho.
Alerta
Quando o estado de um dispositivo muda, ele gera um alerta positivo ou negativo para notificar alguém ou várias pessoas sobre essa mudança de estado.
Notificações por e-mail ou SMS são comuns. No entanto, a maioria das ferramentas modernas de monitoramento de rede oferecem vários tipos de notificações diferentes. Alguns, inclusive, com recursos de integração.
Os tipos de alerta incluem:
- E-mail;
- SMS;
- Alertas de pager;
- IFTTT;
- Syslog;
- Ações de script;
- Integrações com VMware;
- Ações SSH;
- Integrações ServiceNow.
Contudo, existem outras que vão além das mudanças no estado. Ferramentas de monitoramento de rede onfiguradas para coletar e armazenar informações de desempenho podem gerar notificações com base em limites. Por exemplo, listar todos os dispositivos que usaram mais de 90% da capacidade do disco rígido disponível na semana anterior.
Alertas como esse são úteis na previsão de eventos futuros. Mas também na capacidade de corrigi-los antes que causem uma falha na rede ou no serviço.
Descoberta, mapeamento e monitoramento
Com todas as soluções de monitoramento de rede o ponto de partida inicial é descobrir dispositivos para monitoramento. Portanto, a fase de descoberta cobre toda a rede conhecida ou uma sub-rede especificada. Tudo dependendo do escopo do projeto e do que for descoberto. No caso de monitoramento de rede sem agente, um dispositivo é classificado como descoberto quando responde a um dos três testes.
- Ping;
- SNMP;
- WMI.
A varredura de descoberta pode ser emparelhada com parâmetros de conectividade SNMP (string de comunidade) ou credenciais. Contudo, independentemente disso, a varredura tentará identificar o tipo de dispositivo. Então, exibirá o fabricante do dispositivo, a versão do software e o tipo do dispositivo.
Varreduras
Portanto, as varreduras são o primeiro passo. Afinal, servem para descoberta inicial antes do monitoramento completo. Entretanto, devem ser configuradas para execução automática e frequente. Afinal, isso revelará quaisquer novos dispositivos adicionados à rede. E isso é especialmente útil quando essas adições de dispositivos não forem autorizadas.
Os resultados da varredura podem frequentemente ser produzidos em relatórios recorrentes. Estes, por sua vez, podem ser usados como registros de ativos. Esse recurso é muito útil para um bom gerenciamento de TI e drivers de conformidade, como ISO 27001 e o programa Cyber Essentials do Reino Unido.
Mapas de monitoramento de rede
Considere uma rede descoberta e um conjunto inicial de dispositivos registrados. Aqueles que devem ser monitorados são marcados como tal. Então, são movidos para o modo monitorado. Depois os dispositivos são exibidos em alguma forma de tela de status. Esta, geralmente é representada como um mapa.
Os mapas de rede têm várias funções e são úteis para equipes de TI e centros de operação pelos seguintes motivos:
- Os mapas fornecem uma tela geral de saúde com indicadores codificados por cores;
- Mostram os links físicos e lógicos entre os dispositivos na rede e até mesmo a integridade dessas conexões;
- São interativos e clicar em um dispositivo individual pode abrir um controle de diagnóstico adicional ou exibições de informações suplementares;
- Eles também podem ser combinados com mapas geográficos ou projetos de construção para mostrar a localização física.
Ou seja, na maioria das soluções, a função de mapeamento é dinâmica. Afinal, reage às mudanças nas condições da rede. Por isso é muito comum ver esses mapas em grandes monitores na equipe de TI ou nos escritórios do centro de operações.
5 coisas para procurar em um mapa de solução de monitoramento de rede
Está procurando a solução de monitoramento de rede certa para sua organização? Então saiba que a adequação da função de mapeamento é crucial. Afinal, é provável que seja a função mais usada no dia a dia.
Considere nossos cinco principais recursos de mapeamento ao procurar soluções:
- Indicadores codificados por cores para cada monitor em um dispositivo para indicar a saúde;
- Mapas agrupados, nos quais você pode visualizar um subconjunto da rede. Por exemplo, um mapa que mostra apenas roteadores ou dispositivos de limite localizados nos escritórios dos EUA;
- Interatividade, sejam ferramentas como SSH ou informações detalhadas sobre o dispositivo selecionado;
- Links lógicos e físicos, mostrando virtualização e relacionamento entre APs WiFi e WLC. Isso, além de os dispositivos conectados uns aos outros com um cabo;
- Utilização de link e monitoramento de largura de banda. Afinal, dispositivos não são as únicas coisas que precisam de monitoramento, assim como os links de conexão para gargalos.
Monitores ativos, passivos e de desempenho
As soluções de monitoramento de rede normalmente têm três tipos de monitores. Contudo, também podem ser usadas combinadas. Afinal, isso dá uma ideia geral e abrangente da integridade do dispositivo.
Monitores ativos
São usados para exibir a integridade imediata. Portanto, os monitores ativos pesquisam um dispositivo em busca de uma porta aberta, status de serviço ou resposta de ping. Então, compara isso a um valor bom ou saudável conhecido. Monitores ativos podem sondar a cada 60 segundos para manter o status do monitor o mais atualizado possível.
Contudo, os monitores ativos não têm inteligência real. Ou seja, estão em um nível básico: “você está vivo?” testes.
Monitores passivos
Ao contrário de um monitor ativo, um monitor passivo é alertado pelo dispositivo monitorado para uma condição que ele registrou. Dependendo do tipo de dispositivo, pode ser um trap SNMP, uma mensagem syslog ou um log de eventos da Microsoft.
Então, a ferramenta de monitoramento de rede será configurada para procurar códigos de erro específicos ou IDs de eventos de interesse e sinalizá-los. Ela o faz usando um tipo de alerta quando eles aparecerem.
- Exemplos de uso de monitor passivo podem ser:
- Atualizações de software sendo instaladas,
- Reinicialização de serviços;
- Alterações de licença;
- Eventos de logon administrativo.
Monitores de desempenho
Ao contrário dos monitores ativos e passivos, os monitores de desempenho não são indicadores de integridade imediata. Afinal, eles coletam dados de longo prazo relacionados ao hardware, como espaço em disco, utilização de RAM e uso de CPU. Isso pode então ser plotado em gráficos e outras ferramentas de análise para fins de tendência.
Portanto, monitores de desempenho são mais focados em longo prazo.
Monitoramento de desempenho de longo prazo
O monitoramento de desempenho fornece uma visão abrangente da integridade dos dispositivos de rede por longos períodos de tempo. Isso é feito por meio de painéis e relatórios.
Qualquer monitor ativo pode ser transformado em um monitor de desempenho. No entanto, os tipos de monitores de desempenho mais comuns incluem:
- Latência e disponibilidade do ping;
- Utilização da CPU, disco, memória ou RAM;
- Estatísticas de desempenho do UPS, como carga total;.
- Estatísticas do Hyper-V e VMware.
Eestatísticas de desempenho de longo prazo são muito úteis. Afinal, podem ser transformadas em alertas de limite. Estes, por sua vez, permitem que limites violados sejam monitorados. Por exemplo, você pode receber um alerta a cada mês para dispositivos que consumiram mais de 90% de sua capacidade de disco disponível. Esse tipo de informação rápida é inestimável ao evitar uma grande interrupção devido ao espaço em disco esgotado em um recurso crítico.
Monitoramento de nuvem e redes híbridas
A rede de hoje raramente carece de algum elemento de infraestrutura em nuvem. Seja para desenvolvimento, hospedagem de um serviço externo ou para reduzir a pegada de seu data center. As redes estão se tornando cada vez mais híbridas e alinhadas à nuvem.
Existem vários provedores de nuvem que oferecem opções de hospedagem hoje. Alguns dos mais populares incluem:
- Microsoft Azure;
- Amazon AWS;
- Google Cloud.
Então, não importa qual provedor de nuvem você está usando. A infraestrutura que você coloca na nuvem provavelmente terá alguma importância para sua organização e suas atividades de processamento de dados. Portanto, esses dispositivos hospedados em nuvem precisarão incluir algumas das proteções que você esperaria de qualquer outro dispositivo.
Antivírus
Um bom exemplo disso é o software antivírus. Hoje é fundamental ter um software antivírus em servidores hospedados em um data center local. O mesmo vale para a nuvem.
Soluções de monitoramento de rede estão sendo usadas para preencher as lacunas de gerenciamento e monitoramento entre a nuvem e as redes internas. Afinal, as duas já começaram a se fundir. Portanto, a nuvem não é mais vista como nova e em desenvolvimento. Ao invés disso, espera-se que ofereça os mesmos recursos e muito mais.
Por exemplo, o preço da infraestrutura hospedada em nuvem é baseado no tamanho da infraestrutura hospedada. Isso, em termos de seus requisitos de recursos e no tempo em que está no estado online. Contudo, esse não é o caso típico de equipamentos hospedados na rede. Portanto, há uma necessidade adicional de monitorar o custo da nuvem.
Métricas
Esses recursos são, obviamente, todos alcançáveis usando as APIs fornecidas pelo provedor de serviços de hospedagem em nuvem. No caso do Azure, a Microsoft fornece uma chave de API. Ela alimenta uma ferramenta de monitoramento de rede de suporte. Dessa forma, você pode ler as propriedades dos dispositivos hospedados na nuvem.
Confira algumas métricas úteis a seguir:
- Largura de banda;
- Integridade do dispositivo, como espaço em disco;
- Estados online e offline;
- Custo total acumulado por um período de tempo;
- Usuários conectados;
- Serviços em execução.
Então, você pode monitorar sua infraestrutura de nuvem de maneira semelhante aos dispositivos da rede. Contudo, também pode se beneficiar dos mesmos recursos de alerta e resposta a incidentes. Como alertas por e-mail sobre mudanças de estado, limites que indicam problemas iminentes sendo atendidos e ações corretivas sendo executadas.
O que é Netflow?
Netflow é um protocolo de diagnóstico e análise, originalmente criado pela gigante do setor Cisco. É usado para coletar e registrar todo o tráfego IP que vai de e para um dispositivo de rede que tenha a função ou capacidade netflow ativada. Esses dados de pacote coletados são encaminhados para um analisador de fluxo de rede ou solução de monitoramento de rede. Então, são agrupados e apresentados em um formato legível.
Portanto, o Netflow é incrivelmente revelador. Afinal, o monitoramento de dispositivos de rede usando SNMP pode revelar problemas de hardware ou utilização de interface de rede. Contudo, o netflow pode revelar informações detalhadas sobre os próprios pacotes de dados, como:
- Fonte;
- Destino;
- Tamanho;
- Número da porta;
- Protocolo;
- Classe de serviço;
- Erros.
Esses dados podem ser apresentados em um formato que destaca áreas problemáticas ou tendências. Por exemplo, picos de tráfego durante a noite para uma solução de backup baseada em nuvem usando HTTPS.
Como funciona o Netflow?
O Netflow consiste em dois componentes principais. O cache netflow e o exportador netflow.
O cache é um espaço de retenção temporário na memória do sistema. Ele mantém os fluxos de dados antes de entregá-los ao exportador para entrega ao seu analisador netflow configurado ou ferramenta de monitoramento de rede.
Então, o Netflow tenta identificar fluxos ou sequências de pacotes de rede relacionados ao invés de tratar cada um individualmente. Isso ajuda a entender o contexto das conversas da rede.
A origem, destino, números de porta, protocolo, byte TOS e entrada de um pacote recebido por um dispositivo de rede são analisados para determinar o fluxo ao qual pertence. Uma vez identificado, ele é adicionado ao seu respectivo fluxo e armazenado no cache do netflow.
Mas o que acontece quando o cache do netflow atinge seu tamanho máximo ou seu valor de tempo de vida expira? Nesse caso, exporta-se o conteúdo do cache do netflow para um destino configurado determinado por você. Pode ser uma ferramenta de análise de fluxo de rede dedicada ou um conjunto completo de gerenciamento de rede que aceita o fluxo de rede como um recurso complementar.
As soluções de monitoramento de rede incluem uma extensão para análise de fluxo de rede. Com relatórios detalhados e painéis em tempo real, você tem visibilidade completa do tráfego da rede.
Como ativar o Netflow
Em primeiro lugar, consulte as orientações do fabricante.
Contudo, as soluções de monitoramento de rede são passivas ao tráfego de fluxo de rede. Normalmente os envios ocorrem nas portas 9999 ou 9995. Entretanto, algumas soluções de monitoramento de rede permitem que você utilize sua conexão existente com o dispositivo de rede via SNMP para configurar e habilitar o fluxo de rede. Isso evita a necessidade de encontrar as instruções do fabricante.
Benefícios de usar o Netflow
Embora existam alguns analisadores gratuitos, eles têm funcionalidade limitada e geralmente restringem o número de fontes. Então, você ficará se perguntando se é bom ter ou não pagar por uma solução ou um plug-in para o netflow se vale a pena investir.
Existem várias razões para investir:
- Compreender porque as velocidades da rede diminuem em horários específicos do dia;
- Descobrir quanto tráfego está relacionado à navegação na Internet durante o horário de trabalho;
- Monitoramento de grandes transferências de arquivos ou backups destinados à nuvem durante a noite;
- Entender a composição do tráfego na rede;
- Descobrir e corrigir gargalos;
- Encontrar rotas de saída, algumas das quais se pensava que estavam fora de uso.
Resposta e alerta de incidente
Para quase todos os projetos de solução de monitoramento de rede existe um objetivo principal. E este é o alerta proativo da interrupção do serviço antes que ela ocorra. Afinal, assim pode-se evitar ou conter a interrupção. As funções de alerta tendem a fornecer duas formas principais de alerta:
- Imediato;
- De limite.
Alerta imediato
Neste caso, envia-se uma mensagem de alerta sobre um estado atual ou alteração. Por exemplo, se um comutador de rede não responder a pacotes ICMP ou ping em uma janela de 60 segundos. Então, o estado é considerado inativo e um alerta imediato é enviado.
Alerta de limite
Avisa quando limites estão sendo atingidos. Afinal isso pode indicar um problema em desenvolvimento em um futuro próximo. Um exemplo disso pode ser um disco rígido em um servidor atingindo 90% da capacidade. O servidor ainda está operacional, porém foi sinalizado como um dispositivo que pode precisar de alguma ação corretiva para evitar uma futura interrupção. Isso também é um tipo de análise de tendência preditiva.
Em ambos os casos, o mecanismo de entrega do alerta pode variar de uma das seguintes ações:
- O e-mail;
- SMS;
- Alerta de pager;
- Syslog;
- SNMP trap;
- Arquivo de log;
- Interação IFTTT;
- Integração com uma solução de terceiros, como ServiceNow;
- Publicação no Slack ou em outro utilitário de bate-papo da equipe;
- Notificação push em um aplicativo de smartphone.
Quem recebe o alerta?
Contudo, equipes diferentes mantém dispositivos diferentes. Ou seja, as pessoas certas devem receber os alertas. Além disso, é importante que o alerta seja crescente. Por exemplo, se um VMware ficar indisponível, primeiro envie um e-mail para a equipe de virtualização. Se o VMware permanecer indisponível por mais 30 minutos, envie um SMS para o gerente da equipe de virtualização.
Afinal, mobilizar equipes de apoio no momento da interrupção torna a retomada do serviço mais rápida. Sem mencionar as correções preventivas feitas por esses alertas baseados em limite.
As soluções de monitoramento de rede podem se tornar ferramentas de resposta a incidentes e executar ações corretivas. Por exemplo, se um serviço problemático conhecido do Windows ficar desligado, uma solução de monitoramento de rede pode detectar isso e reiniciá-lo, resultando em impacto mínimo.
Ações corretivas
A seguir estão algumas das possíveis ações corretivas:
- Execute um script do PowerShell;
- Realize uma ação baseada em VMware;
- Execute um arquivo em lote;
- Interaja com uma API;
- Reinicie um serviço;
- Dê um comando SSH ou um comando de gravação SNMP.
Quase tudo pode ser classificado como uma ação corretiva com o uso de APIs ou scripts.
Veja outro exemplo de dois servidores de fornecimento de serviço. Um ficou offline acidentalmente. Uma solução de monitoramento de rede pode detectar isso e enviar um SSH para o comando a um roteador crítico. Então, este muda o caminho de roteamento do servidor offline para outro que está em um site de backup frio.
Manter altos níveis de disponibilidade para os serviços internos e públicos é muito importante. Os funcionários exigem capacidades de trabalho remoto, o que está levando a um aumento nas horas de trabalho não padrão. Além disso, a presença online de uma organização significa que se espera que ela forneça um serviço 24 horas por dia.
Esse estilo de hiper-disponibilidade acabou levando à necessidade de hiper-resiliência diante de ameaças cibernéticas e perda de serviço.
Princípios de Licenciamento
Então você está interessado em usar uma solução de monitoramento de rede? Então, a questão é:
Devemos escolher uma solução comercial pronta para uso; ou uma opção de freeware?
A opção freeware / open source / DIY é uma questão que surge em qualquer novo projeto como forma de redução de custos. Afinal, boas soluções de software não são baratas e justificar a necessidade para os gerentes seniores pode ser uma arte em si.
Opções DIY
A construção DIY de uma solução de monitoramento de rede geralmente não é planejada formalmente. Ela apenas começa e evolui de acordo com suas necessidades. Com o tempo, geralmente torna-se responsabilidade de um número muito pequeno de pessoas ou mesmo de um único indivíduo. Então, este se torna o proprietário da solução desenvolvida em casa.
Contudo há uma coisa com a qual todas as organizações que adotam freeware ou criam suas próprias soluções concordam. Trata-se da manutenção contínua de tais soluções. Afinal, ela pode consumir uma quantidade considerável de várias pessoas. Organizações menores relataram que, em média, um de seus funcionários qualificados de operações de TI precisa gastar até 40% de seu tempo na manutenção de sua ferramenta doméstica.
Opções de freeware e código aberto
Ferramentas gratuitas de monitoramento de rede são populares entre organizações menores. Afinal, elas têm mais dificuldade para justificar os gastos com TI.
Entretanto, empresas que usam opções de freeware tendem a retornar às ofertas comerciais prontas mais tarde na vida. Seja porque têm orçamentos maiores ou tiveram uma experiência ruim. Algumas das razões citadas são:
- Dificuldade significativa em customização. Afinal, demanda profundo conhecimento de script;
- Falta de suporte para quando as coisas dão errado ou uma personalização é necessária;
- Vulnerabilidades permanecem sem solução nas soluções muito depois da divulgação;
- Falta de suporte para novos dispositivos;
- Dificuldades em atualizar ou migrar;
Portanto, freeware e software de código aberto podem ser uma vitória rápida para o departamento financeiro ou de compras. No entanto, essas dificuldades causam o abandono de vários projetos de monitoramento de rede.
Software comercial pronto para uso
O software de monitoramento de rede comercial oferecido por fornecedores da indústria oferece a melhor opção. Afinal, conta com suporte dedicado, desenvolvimento de rotina da solução e redução de custos contínuos. As soluções de monitoramento de rede são licenciadas principalmente de duas maneiras:
- Monitor;
- Licenciamento de dispositivo.
Licenciamento baseado em monitor
Neste, cobra-se por monitor aplicado a um dispositivo. Por exemplo, se você quiser monitorar todas as portas em um switch padrão de 48 portas, precisará levar em consideração um custo de 48 x o preço do monitor. O preço de um monitor normalmente é muito menor, mas você precisará comprar mais deles.
Licenciamento baseado em dispositivo
Este considera que todos os monitores são gratuitos. Desde que haja uma licença para um determinado dispositivo disponível, é claro. Ou seja, cobra 100 x o preço do dispositivo. Contudo, cada dispositivo pode ser monitorado com um número ilimitado de monitores. É claro que isso torna o preço de uma licença de dispositivo mais alto do que uma licença de monitor. No entanto, você precisará de menos deles.
Então, qualquer que seja a opção mais adequada, é importante levar em consideração um plano de preços de cinco anos com expectativas de crescimento. Afinal, assim você pode garantir que está investindo na ferramenta certa. Com muitas soluções oferecendo licenciamento perpétuo, o investimento no ano 1 é alto. Portanto, cometer um erro na escolha da solução é caro.
Alternativa segura e econômica
Você pode também investir em uma parceria de TI. Afinal, dessa forma, a contratada se encarregará de avaliar as necessidades da sua empresa e sugerir a melhor solução. Dessa forma, você economiza dinheiro, tempo e garante um serviço de qualidade. Afinal, a empresa de TI assume toda a parte burocrática do monitoramento de rede. A Infonova tem bastante experiência nessa frente, por exemplo. Atendendo vários clientes de médio e grande porte, obtivemos expertise na área e satisfação total do cliente.