Вверх

 
  • Комплексное ИТ обслуживание Вашего бизнеса 24 часа 7 дней в неделю!
  • IP телефония со знанием дела. Установка и настройка.
  • Поставки оборудования по выгодным ценам

28.09.2019 - Настройка мониторинга Kaspersky Security Center 11 в Zabbix

В нашей практике обслуживания серверов и ИТ-аутсорсинга мы активно применяем автоматический мониторинг состояния серверов и критичных для бизнеса наших клиентов узлов их ИТ-инфраструктуры на базе Zabbix. Мы дорабатываем его под задачи наших клиентов, чтобы качество оказываемого нами сервиса стало ещё лучше, а наши любимые клиенты ещё счастливее, работая с нами! На очереди встал вопрос мониторинга Kaspersky Security Center.

В Kaspersky Security Center доступен мониторинг состояния Сервера администрирования и управляемых им продуктов. Данные с серверов Kaspersky Security Center собираются посредством службы SNMP.

SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора.

Настройку мониторинга Kaspersky Security Center в Zabbix условно можно разделить на два этапа:

  1. Подготовка сервера Windows
  2. Настройка мониторинга в Zabbix.

На первом этапе необходимо предварительно подготовить сервер на котором планируется развертывание Kaspersky Security Center для настройки мониторинга событий Kaspersky Security Center в системе мониторинга Zabbix.

В первую очередь на сервере развертывания KSC необходимо установить и настроить службу SNMP. Сделать это можно перейдя в оснастку управления сервером, где выбрать пункт «добавить роли и компоненты». В меню выбора компонентов отметить службу SNMP и установить ее.

Рисунок 1

После установки службы SNMP, ее необходимо корректно настроить, открыв консоль управления компьютером и найдя в разделе «службы» службу SNMP. Далее необходимо открыть свойства службы SNMP и во вкладках «Ловушки» и «Безопасность» произвести настройку параметров.

Рисунок 2

 

В полях «Имя сообщества» и «Адрес назначения ловушки» вкладки «Ловушки» укажите public и IP-адрес компьютера, на котором установлен сервер Zabbix. В нашем примере IP-адрес сервера Zabbix - 192.168.43.140

Рисунок 3

 

В параметрах вкладки «Безопасность» установите флаг «Отправлять ловушку проверки подлинности» и добавьте определенное на вкладке «Ловушки» имя сообщества с правами READ ONLY.  Далее установим флажок «Принимать пакеты SNMP только от этих узлов» и укажем IP-адрес компьютера, на котором развернут сервер Zabbix.

Далее следует установить Kaspersky Security Center в соответствии с официальным руководством по внедрению. При установке важно обязательно выбрать компонент «Агент SNMP», как это показано на скриншоте.

Рисунок 4

Если же Kaspersky Security Center был установлен до добавления службы SNMP на сервер, то Вам необходимо в разделе «Программы и компоненты» изменить Kaspersky Security Centr, выбрав установку SNMP агента.

Первый этап настройки мониторинга состояния Kaspersky Security Center в системе мониторинга Zabbix на этом завершен, и мы можем переходить ко второму этапу.

На втором этапе мы произведем непосредственную настройку мониторинга состояний Kaspersky Security Centr, которая будет заключаться в добавлении наблюдаемого узла сети в Zabbix, настройки источников данных и нескольких триггеров для интересующих нас событий.

Для добавления нового узла сети необходимо перейти в меню «Настройка» >> «Узлы сети» и нажать кнопку «Создать узел сети». На открывшейся странице указываем имя узла сети, группу в которую входит узел сети, IP-адрес узла сети с соответствующим интерфейсу портом. При необходимости добавляем описание узла сети, ставим флажок в поле «Активировано» и жмем на кнопку «Добавить». Узел сети готов!

Рисунок 5

Далее приступаем непосредственно к созданию шаблона для Kaspersky Security Center 11. Переходим в меню «Настройка» >> «Шаблоны», жмем «Создать шаблон». Вводим имя шаблона, в моем случае KSC11 SNMP, указываем группу которой принадлежит шаблон (создаем новую или выбираем из существующих) и жмем кнопку «Добавить».

После добавления находим наш новый шаблон в списке существующих и заходим в него. Во вкладке «Группа элементов данных» добавляем название группы которой будут принадлежать позднее созданные нами элементы данных.

Следует отметить, что по сравнению с KSC 10 список наблюдаемых событий в KSC 11 значительно расширился, и состоит из 30 контролируемых параметров вместо 14.

Показатель

Тип значений

OID

Описание

deploymentStatus

INTEGER { ok(0), info(1), warning(2), critical(3) }

.1.3.6.1.4.1.23668.1093.1.1.1

Статус развертывания.

remoteInstallTaskFailed

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.1.2.2

Уведомляет о завершении задачи удаленной установки с ошибкой на устройствах.

licenceExpiring

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.1.2.3

Уведомляет о скором истечении лицензии на устройствах.

licenceExpired

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.1.2.4

Уведомляет об истекшей лицензии на устройствах.

hostsInGroups

Counter32

.1.3.6.1.4.1.23668.1093.1.1.3

Количество устройств в группах Сервера администрирования.

hostsWithAntivirus

Counter32

.1.3.6.1.4.1.23668.1093.1.1.4

Количество устройств с установленным антивирусным программным обеспечением.

hostsRemoteInstallFailed

Counter32

.1.3.6.1.4.1.23668.1093.1.1.5

Количество устройств, на которых задача удаленной установки завершилась с ошибкой.

licenceExpiringSerial

OCTET STRING

.1.3.6.1.4.1.23668.1093.1.1.6

Серийный номер истекающей лицензии. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней.

licenceExpiredSerial

OCTET STRING

.1.3.6.1.4.1.23668.1093.1.1.7

Серийный номер истекшей лицензии.

licenceExpiringDays

Unsigned32

.1.3.6.1.4.1.23668.1093.1.1.8

Количество дней до истечения лицензии. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней.

hostsLicenceExpiring

Counter32

.1.3.6.1.4.1.23668.1093.1.1.9

Количество устройств с истекающей лицензией. Лицензия считается истекающей, если срок ее действия составляет меньше 7 дней.

notUpdatedHosts

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.2.2.2

Уведомляет о том, что на устройствах давно не выполнялась задача обновления.

lastServerUpdateTime

OCTET STRING

.1.3.6.1.4.1.23668.1093.1.2.3

Время последнего обновления сервера.

protectionStatus

INTEGER { ok(0), info(1), warning(2), critical(3) }

.1.3.6.1.4.1.23668.1093.1.3.1

Статус постоянной защиты.

antivirusNotRunning

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.3.2.1

Уведомляет о том, что антивирусное программное обеспечение не запущено на устройствах.

realtimeNotRunning

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.3.2.2

Уведомляет о том, что постоянная защита отключена на устройствах.

 

 

.1.3.6.1.4.1.23668.1093.1.3.2.3

 

notCuredFound

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.3.2.4

Уведомляет о невылеченных объектов на устройствах.

tooManyThreats

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.3.2.5

Уведомляет о большом количестве угроз на устройствах. 

virusOutbreak

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.3.2.6

Отображает статус вирусной эпидемии в системе.

hostsNotCuredObject

Counter32

.1.3.6.1.4.1.23668.1093.1.3.6

Количество устройств, на которых есть невылеченные объекты. 

hostsTooManyThreats

Counter32

.1.3.6.1.4.1.23668.1093.1.3.7

Количество устройств, на которых обнаружено много угроз.

fullscanStatus

INTEGER { ok(0), info(1), warning(2), critical(3) }

.1.3.6.1.4.1.23668.1093.1.4.1

Статус полной проверки.

notScannedLately

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.4.2.1

Уведомляет о наличии устройств, на которых давно не выполнялась проверка. 

notConnectedLongTime

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.5.2.1

Уведомляет о наличии устройств, которые давно не подключались к серверу.

controlLost

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.5.2.2

Уведомляет о том, что устройства не находятся под управлением сервера.

hostsFound

Counter32

.1.3.6.1.4.1.23668.1093.1.5.3

Количество новых устройств, обнаруженных сервером.

groupsCount

Counter32

.1.3.6.1.4.1.23668.1093.1.5.4

Количество групп на сервере.

hostsNotConnectedLongTime

Counter32

.1.3.6.1.4.1.23668.1093.1.5.5

Количество устройств, которые давно не подключались к серверу.

hostsControlLost

Counter32

.1.3.6.1.4.1.23668.1093.1.5.6

Количество устройств, которые не находятся под управлением сервера.

criticalEventOccured

INTEGER { off(0), on(1) }

.1.3.6.1.4.1.23668.1093.1.6.2.1

Уведомляет о критических событиях на сервере.

Каждый из показателей контролируется отдельным монитором. Реализовано три типа мониторов:

  • Монитор для показателя типа INTEGER со статусами Health и Critical (on=1, off=0).
  • Монитор для показателя типа INTEGER со статусами Health, Warning и Critical (OK=0, Info=1, Warning=2, Critical=3).
  • Монитор для показателя типа Counter32 со статусами Health, Warning и Critical.

На все мониторы по умолчанию выставлены пороги:

  • OK. Менее или равно 3;
  • Warning. Более 3 и менее 10;
  • Critical. Более 10.

Приступим к созданию элементов данных в соответствии с таблицей выше перейдя в соответствующую вкладку и нажав кнопку «Создать элемент данных».

Рисунок 6

После того, как мы создали в шаблоне все необходимые нам для наблюдения элементы данных, необходимо присоединить шаблон к узлу сети и проверить поступление данных. Для этого переходим во вкладку «Мониторинг» >> «Последние данные», выбираем узел сети к которому мы только что присоединили шаблон и проверяем поступление данных. Если все сделали правильно, должно получится примерно так…

Осталось добавить триггеры для мониторинга интересующих нас событий. Переходим в меню «Настройка» >> «Шаблоны» и вбираем созданный нами ранее шаблон KSC11 SNMP. В настройках шаблона переходим во вкладку триггеры и жмем на кнопку создать триггер. В открывшемся окне заполняем все необходимые поля. Задаем имя триггера, устанавливаем важность события тля мониторинга в Zabbix, указываем выражение при котором Zabbix будет уведомлять нас о проблеме. В моем примере это - {KSC11 SNMP:tooManyThreats.last()}>0, уведомляющее об обнаружении большого количества угроз на одной или нескольких наблюдаемых в KSC станциях. Разрешаем или нет закрывать триггер проблемы вручную, делаем триггер активным и сохраняем.

Рисунок 7

Таким образом можно создать триггер в Zabbix для любого интересующего Вас наблюдаемого события из Kaspersky Security Center 11.

Теперь мы точно уверены в том,что не пропустим ни одно важное событие в инфраструктуре клиента, а наши клиенты, в свою очередь, в том, что доверили свою ИТ-инфраструктуру в надёжные, профессиональные руки!

Скачать пример готового шаблона можно по ссылке - https://share.zabbix.com/cat-app/anti-virus/kaspersky-security-center-11 это наш, так сказать, вклад в сообщество! Если кому-то поможет - будем рады. 

Вопросы и пожелания для развития шаблона - оставляйте в нашем чате!
 

Комментарии (0)


Есть что сказать? Пишите нам ->

Новости IT рынка