28.09.2019 - Настройка мониторинга Kaspersky Security Center 11 в Zabbix 
В нашей практике обслуживания серверов и ИТ-аутсорсинга мы активно применяем автоматический мониторинг состояния серверов и критичных для бизнеса наших клиентов узлов их ИТ-инфраструктуры на базе Zabbix. Мы дорабатываем его под задачи наших клиентов, чтобы качество оказываемого нами сервиса стало ещё лучше, а наши любимые клиенты ещё счастливее, работая с нами! На очереди встал вопрос мониторинга Kaspersky Security Center.
В Kaspersky Security Center доступен мониторинг состояния Сервера администрирования и управляемых им продуктов. Данные с серверов Kaspersky Security Center собираются посредством службы SNMP.
SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора.
Настройку мониторинга Kaspersky Security Center в Zabbix условно можно разделить на два этапа:
- Подготовка сервера Windows
- Настройка мониторинга в Zabbix.
На первом этапе необходимо предварительно подготовить сервер на котором планируется развертывание Kaspersky Security Center для настройки мониторинга событий Kaspersky Security Center в системе мониторинга Zabbix.
В первую очередь на сервере развертывания KSC необходимо установить и настроить службу SNMP. Сделать это можно перейдя в оснастку управления сервером, где выбрать пункт «добавить роли и компоненты». В меню выбора компонентов отметить службу SNMP и установить ее.
После установки службы SNMP, ее необходимо корректно настроить, открыв консоль управления компьютером и найдя в разделе «службы» службу SNMP. Далее необходимо открыть свойства службы SNMP и во вкладках «Ловушки» и «Безопасность» произвести настройку параметров.
В полях «Имя сообщества» и «Адрес назначения ловушки» вкладки «Ловушки» укажите public и IP-адрес компьютера, на котором установлен сервер Zabbix. В нашем примере IP-адрес сервера Zabbix - 192.168.43.140
В параметрах вкладки «Безопасность» установите флаг «Отправлять ловушку проверки подлинности» и добавьте определенное на вкладке «Ловушки» имя сообщества с правами READ ONLY. Далее установим флажок «Принимать пакеты SNMP только от этих узлов» и укажем IP-адрес компьютера, на котором развернут сервер Zabbix.
Далее следует установить Kaspersky Security Center в соответствии с официальным руководством по внедрению. При установке важно обязательно выбрать компонент «Агент SNMP», как это показано на скриншоте.
Если же Kaspersky Security Center был установлен до добавления службы SNMP на сервер, то Вам необходимо в разделе «Программы и компоненты» изменить Kaspersky Security Centr, выбрав установку SNMP агента.
Первый этап настройки мониторинга состояния Kaspersky Security Center в системе мониторинга Zabbix на этом завершен, и мы можем переходить ко второму этапу.
На втором этапе мы произведем непосредственную настройку мониторинга состояний Kaspersky Security Centr, которая будет заключаться в добавлении наблюдаемого узла сети в Zabbix, настройки источников данных и нескольких триггеров для интересующих нас событий.
Для добавления нового узла сети необходимо перейти в меню «Настройка» >> «Узлы сети» и нажать кнопку «Создать узел сети». На открывшейся странице указываем имя узла сети, группу в которую входит узел сети, IP-адрес узла сети с соответствующим интерфейсу портом. При необходимости добавляем описание узла сети, ставим флажок в поле «Активировано» и жмем на кнопку «Добавить». Узел сети готов!
Далее приступаем непосредственно к созданию шаблона для Kaspersky Security Center 11. Переходим в меню «Настройка» >> «Шаблоны», жмем «Создать шаблон». Вводим имя шаблона, в моем случае KSC11 SNMP, указываем группу которой принадлежит шаблон (создаем новую или выбираем из существующих) и жмем кнопку «Добавить».
После добавления находим наш новый шаблон в списке существующих и заходим в него. Во вкладке «Группа элементов данных» добавляем название группы которой будут принадлежать позднее созданные нами элементы данных.
Следует отметить, что по сравнению с KSC 10 список наблюдаемых событий в KSC 11 значительно расширился, и состоит из 30 контролируемых параметров вместо 14.
|
Показатель |
Тип значений |
OID |
Описание |
|
deploymentStatus |
INTEGER { ok(0), info(1), warning(2), critical(3) } |
.1.3.6.1.4.1.23668.1093.1.1.1 |
Статус развертывания. |
|
remoteInstallTaskFailed |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.1.2.2 |
Уведомляет о завершении задачи удаленной установки с ошибкой на устройствах. |
|
licenceExpiring |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.1.2.3 |
Уведомляет о скором истечении лицензии на устройствах. |
|
licenceExpired |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.1.2.4 |
Уведомляет об истекшей лицензии на устройствах. |
|
hostsInGroups |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.1.3 |
Количество устройств в группах Сервера администрирования. |
|
hostsWithAntivirus |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.1.4 |
Количество устройств с установленным антивирусным программным обеспечением. |
|
hostsRemoteInstallFailed |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.1.5 |
Количество устройств, на которых задача удаленной установки завершилась с ошибкой. |
|
licenceExpiringSerial |
OCTET STRING |
.1.3.6.1.4.1.23668.1093.1.1.6 |
Серийный номер истекающей лицензии. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней. |
|
licenceExpiredSerial |
OCTET STRING |
.1.3.6.1.4.1.23668.1093.1.1.7 |
Серийный номер истекшей лицензии. |
|
licenceExpiringDays |
Unsigned32 |
.1.3.6.1.4.1.23668.1093.1.1.8 |
Количество дней до истечения лицензии. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней. |
|
hostsLicenceExpiring |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.1.9 |
Количество устройств с истекающей лицензией. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней. |
|
notUpdatedHosts |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.2.2.2 |
Уведомляет о том, что на устройствах давно не выполнялась задача обновления. |
|
lastServerUpdateTime |
OCTET STRING |
.1.3.6.1.4.1.23668.1093.1.2.3 |
Время последнего обновления сервера. |
|
protectionStatus |
INTEGER { ok(0), info(1), warning(2), critical(3) } |
.1.3.6.1.4.1.23668.1093.1.3.1 |
Статус постоянной защиты. |
|
antivirusNotRunning |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.3.2.1 |
Уведомляет о том, что антивирусное программное обеспечение не запущено на устройствах. |
|
realtimeNotRunning |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.3.2.2 |
Уведомляет о том, что постоянная защита отключена на устройствах. |
|
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.3 |
|
|
notCuredFound |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.3.2.4 |
Уведомляет о невылеченных объектов на устройствах. |
|
tooManyThreats |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.3.2.5 |
Уведомляет о большом количестве угроз на устройствах. |
|
virusOutbreak |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.3.2.6 |
Отображает статус вирусной эпидемии в системе. |
|
hostsNotCuredObject |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.3.6 |
Количество устройств, на которых есть невылеченные объекты. |
|
hostsTooManyThreats |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.3.7 |
Количество устройств, на которых обнаружено много угроз. |
|
fullscanStatus |
INTEGER { ok(0), info(1), warning(2), critical(3) } |
.1.3.6.1.4.1.23668.1093.1.4.1 |
Статус полной проверки. |
|
notScannedLately |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.4.2.1 |
Уведомляет о наличии устройств, на которых давно не выполнялась проверка. |
|
notConnectedLongTime |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.5.2.1 |
Уведомляет о наличии устройств, которые давно не подключались к серверу. |
|
controlLost |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.5.2.2 |
Уведомляет о том, что устройства не находятся под управлением сервера. |
|
hostsFound |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.5.3 |
Количество новых устройств, обнаруженных сервером. |
|
groupsCount |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.5.4 |
Количество групп на сервере. |
|
hostsNotConnectedLongTime |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.5.5 |
Количество устройств, которые давно не подключались к серверу. |
|
hostsControlLost |
Counter32 |
.1.3.6.1.4.1.23668.1093.1.5.6 |
Количество устройств, которые не находятся под управлением сервера. |
|
criticalEventOccured |
INTEGER { off(0), on(1) } |
.1.3.6.1.4.1.23668.1093.1.6.2.1 |
Уведомляет о критических событиях на сервере. |
Каждый из показателей контролируется отдельным монитором. Реализовано три типа мониторов:
- Монитор для показателя типа INTEGER со статусами Health и Critical (on=1, off=0).
- Монитор для показателя типа INTEGER со статусами Health, Warning и Critical (OK=0, Info=1, Warning=2, Critical=3).
- Монитор для показателя типа Counter32 со статусами Health, Warning и Critical.
На все мониторы по умолчанию выставлены пороги:
- OK. Менее или равно 3;
- Warning. Более 3 и менее 10;
- Critical. Более 10.
Приступим к созданию элементов данных в соответствии с таблицей выше перейдя в соответствующую вкладку и нажав кнопку «Создать элемент данных».
После того, как мы создали в шаблоне все необходимые нам для наблюдения элементы данных, необходимо присоединить шаблон к узлу сети и проверить поступление данных. Для этого переходим во вкладку «Мониторинг» >> «Последние данные», выбираем узел сети к которому мы только что присоединили шаблон и проверяем поступление данных. Если все сделали правильно, должно получится примерно так…
Осталось добавить триггеры для мониторинга интересующих нас событий. Переходим в меню «Настройка» >> «Шаблоны» и вбираем созданный нами ранее шаблон KSC11 SNMP. В настройках шаблона переходим во вкладку триггеры и жмем на кнопку создать триггер. В открывшемся окне заполняем все необходимые поля. Задаем имя триггера, устанавливаем важность события тля мониторинга в Zabbix, указываем выражение при котором Zabbix будет уведомлять нас о проблеме. В моем примере это - {KSC11 SNMP:tooManyThreats.last()}>0, уведомляющее об обнаружении большого количества угроз на одной или нескольких наблюдаемых в KSC станциях. Разрешаем или нет закрывать триггер проблемы вручную, делаем триггер активным и сохраняем.
Таким образом можно создать триггер в Zabbix для любого интересующего Вас наблюдаемого события из Kaspersky Security Center 11.
Теперь мы точно уверены в том,что не пропустим ни одно важное событие в инфраструктуре клиента, а наши клиенты, в свою очередь, в том, что доверили свою ИТ-инфраструктуру в надёжные, профессиональные руки!
Скачать пример готового шаблона можно по ссылке (5.0) - это наш, так сказать, вклад в сообщество! Если кому-то поможет - будем рады.
Автор vk@oneweb.pro | Просмотров 13301
Комментарии (0)
Есть что сказать? Пишите нам ->