CONTEXTE GSB - MISSION NUMBER TEN ETUDE d un outil de SUPERVISION (PRTG) Préambule M10 GSB veut choisir un outil pour superviser son réseau. Il hésite entre différentes solutions. PRTG est une solution propriétaire qui a le mérite d être simple à mettre en œuvre dans une première approche. Le responsable de la cellule réseau vous demande de mettre en place une maquette d évaluation du produit qui permettra de tester les fonctionnalités de base. Organisation Vous travaillerez par binôme, chaque binôme disposant : De deux machines réelles, une par étudiant D un switch et d un routeur, un actif géré par chaque étudiant Par ailleurs, sur chaque machine réelle, vous trouverez une machine virtuelle 2008-R2-DeBase. Voici la maquette de test que l on souhaite obtenir : Commutateur CISCO VLAN1 : 172.16.XX.5 Routeur CISCO Fa0/0 : 172.16.YY.1 /16 Le routeur n est pas le routeur principal de GSB. Il est présent pour en avoir un par binôme. XX = ID étudiant n 1 YY = ID étudiant n 2 Serveur-PRTG 172.16.XX.100 /16 PC1-SEVEN Adr : 172.16.XX.10 Mk : 255.255.0.0 Gw : 172.16.0.1 PC2-SEVEN Adr : 172.16.YY.20 Mk : 255.255.0.0 Gw : 172.16.0.1 Serveur-2008R2 172.16.YY.200 /16 PC3-LINUX Adr : 172.16.YY.30 Mk : 255.255.0.0 Gw : 172.16.0.1 Prérequis MACHINE REELLE ETUDIANT n 1 MACHINE REELLE ETUDIANT n 2 La passerelle par défaut est celle habituelle de GSB, mais elle ne sera pas vraiment utilisée. Dupliquer ou cloner la machine virtuelle 2008-R2. Vérifier sur la machine 2008-R2 que les mises à jour et les envois de rapports d erreurs sont désactivés Modifier l adresse IP de la machine en respectant le plan d adressage proposé Modifier le nom des machines pour éviter les doublons. Installer les tools s ils ne sont pas déjà installés NB : vos machines seront bridgées pour permettre la communication avec les actifs et entre elles.
Installation de PRTG (sur un des 2 serveurs virtuels) (les 2 étudiants suivent l installation) Téléchargement ici : http://www.fr.paessler.com/prtg ou dans ProfsEleves Choisir la version gratuite à vie, limitée à 30 capteurs, elle suffit pour une initiation Cliquer sur l installateur (fichier exécutable.exe) Choisir l installation en français Permet une notification par mail, mais ne sera pas utilisée dans le cadre de cette 1 ère approche La clé n est pas nécessaire si on utilise cette option : version limitée à 30 capteurs. Cliquer sur le lien permettant d utiliser la version Freeware «limitée à 30 capteurs» Laisser le répertoire par défaut Attendre la fin de l installation
Une fois l installation terminée, il est conseillé : 1/ D utiliser le navigateur Firefox plutôt que IE 2/ D administrer à distance, depuis le poste SEVEN, pour éviter les restrictions du navigateur sur le serveur Dans tous les cas, le certificat n étant pas certifié par un tiers de confiance, il faut ajouter une exception : Ici on a commencé l administration avec IE, en local sur le serveur On peut poursuivre... On sait ce que l on fait! Poursuivre avec ce site web Rappel : cet avertissement signale simplement qu'il s'agit d'un certificat non officiel, donc non certifié par un tiers. Ajouter l exception On peut rencontrer assez vite des problématiques de sécurité ou de composant non disponible. Cliquer sur ajouter D où la recommandation d utiliser Firefox et depuis un poste client. Désactiver la sécurité ou utiliser une machine cliente Pour pouvoir utiliser les fonctionnalités SNMP d une machine Windows, il faut installer la fonctionnalité ou le composant/service SNMP. Pas nécessaire dans un 1 er temps, mais autant le faire tout de suite. Sur un serveur 2008 Sélectionner "Fonctionnalités" Cliquer ici Sélectionner les services SNMP On utilise l'item "Ajouter des fonctionnalités"
Cliquer sur Installer Patienter pendant l'installation L'installation est réussie SNMP fait bien partie des fonctionnalités installées Puis il faut autoriser l accès SNMP à la machine au serveur de surveillance (serveur PRTG pour nous) Accéder au propriétés du service (clic droit / Propriétés) Par défaut seul localhost est autorisé Ajouter le serveur PRTG s'il s'agit d'un serveur distinct.
Sur un poste SEVEN L adresse du serveur PRTG a été ajoutée
Il faut également ajouter l accès SNMP de la part du serveur PRTG :
CONFIGURATION DES EQUIPEMENTS à SURVEILLER On se connecte sur le serveur PRTG, sur le serveur même, ou mieux, depuis le poste SEVEN en tapant son adresse (172.16.XX.100) : Sélectionner un groupe Cliquer sur «Ajouter un appareil Il faut tout d abord ajouter l équipement, en sélectionnant le menu «Ajouter un appareil» Cliquer sur continuer En sélection un groupe de rattachement (un 1 er groupe est créé par défaut) On va ajouter la machine SEVEN comme équipement à surveiller. Donner un nom à l équipement (significatif et différent à chaque fois) Sélectionner IPv4 Donner l adresse de l équipement Sélectionner une icône représentative Laisser les autres paramètres par défaut. Sélectionner "Manuel" pour définir ensuite manuellement le(s) capteur(s).
AJOUT D UN CAPTEUR Il nous faut au moins ajouter un capteur (ou sonde) pour que la surveillance soit effective. NB : Si vous avez choisi "Recherche automatique d'équipement, un capteur par défaut (ping) est automatiquement installé. Cliquer sur Ajouter un capteur, après avoir sélectionné l équipement On a une liste de ce que l on peut surveillées, avec les suggestions. Cliquer sur AJouter On va surveiller la connectivité, en effectuant un ping régulier sur la machine.* Cliquer sur Ajouter au niveau du capteur Ping. Cf. détails de la configuration sur page suivante.
Voici un exemple de configuration simple : Donner un nom significatif au capteur Par défaut c est une série de 5 ping qui est envoyée Laisser les autres paramètres par défaut et cliquer sur Continuer Le test n a pas encore été effectué, d où l état «Inconnu»
Lorsque les tests sont effectués, on a des alertes successives : avertissement, puis erreur fatale Si c'est le cas, cela est dû au pare-feu activé sur le poste (ou bien vous aurez tout de suite le message ok, comme indiqué ci-dessous) Après désactivation du pare-feu (dans les faits, il faudrait plutôt ajouter des exceptions), le problème disparait : On remarque ici que tous les capteurs sont au vert! L équipement est disponible : le ping est réussi (couleur verte) On peut obtenir le détail, en cliquant sur le nom du capteur : Le temps écoulé depuis le dernier test OK Le taux de disponibilité A quand remonte la dernière erreur
Si on désactive la carte du client (ou qu on le débranche), on obtient après quelques secondes/minutes un avertissement (l avertissement n apparaît pas au 1 er échec) : Un warning! Le reste est au vert! Puis l avertissement devient une alerte : Une alerte (un vrai problème)! Le reste est au vert! Si le client devient de nouveau en ligne, dans les entrées du journal, alors qu il était «unreachable» à plusieurs reprises, il redevient «disponible» :
Changement du nom de groupe On peut changer le nom du groupe qui regroupe les équipements : Accéder à l objet «Groupe» Modifier son nom : Mettre un nom en rapport avec les protagonistes (membres du binôme) On reste en manuel On remarque (mais on ne le fera pas) qu on peut faire une recherche automatique de capteurs sur les équipements
Surveillance d un switch Nous allons faire une surveillance de base, juste un capteur de type ping (vous ferez un TP SNMP sur les actifs vendredi) Le 1 er étudiant prend en charge cet actif et affecte une adresse IP (172.16.XX.5) au switch, sur l interface vlan 1. Le 2 ème étudiant s occupe du routeur pendant ce temps Suivre les étapes suivantes : Pour modifier le paramétrage (ci-dessus, on avait tapé 172.16.0.5 au lieu de 172.16.10.5), on peut cliquer sur l onglet paramètres et modifier l adresse IP (par exemple) : Ajouter ensuite un capteur de type ping (et vérifier qu il passe au vert) NB : Pour l'instant, on ne s'occupe que de tester la présence de l'équipement. Vous pourrez approfondir la gestion des capteurs sur les actifs quand vous aurez fait le TP concernant les sondes SNMP possibles sur les équipements de type switch ou routeur CISCO.
Surveillance du routeur NB : Procéder pour le routeur de manière similaire au le switch : Configuration de l actif : Attribuer une adresse (172.16.YY.1 /16) à l interface fa0/0 Relier cette interface au switch Configuration dans PRTG Ajouter l équipement Ajouter un capteur de type ping (et vérifier qu il passe au vert) NB : Dans le cadre de ce tutoriel, le routeur n'est là qu'a des fins de surveillance. On n'a pas souhaité complexifié l'infrastructure de GSB, si ce n'est pour permettre à chaque binôme de pouvoir travailler de manière autonome et indépendante.
SURVEILLANCE D UN SERVICE Pour effectuer cette surveillance, vous installerez XAMPP sur le poste SEVEN. NB : Les deux étudiants peuvent effectuer l opération, ou bien le 2 ème peut procéder à la configuration du 2 ème serveur, qui sera un serveur 2008-R2 à surveiller (cf. étape suivante) Une fois l installation de XAMPP terminée, et les 2 services démarrés, on passe aux choses sérieuses. Ajout d un capteur pour serveur http Initialement, on n a qu un capteur «Ping» Cliquer sur Ajouter sur la proposition HTTP Nommer le capteur avec précision Préciser l url à tester laisser la méthode par défaut qui correspond à ce que l on souhaite (Vous verrez en SI6 à quoi cela correspond ;-) Laisser les autres paramètres par défaut (hérités du «parent») On note qu on a défini l URL, en précisant un sous-répertoire «website».
Comme le sous-répertoire n est pas encore créé, on obtient un avertissement : Et même un une alerte (Il devient rouge) : Mais après ajout du répertoire «website» dans dans C:\xampp\htdocs, les voyants passent au vert : C:\xampp\htdocs est le répertoire "racine" du serveur WEB. On suit une procédure similaire pour le serveur MySQL : Cliquer sur Base de données NB : On note que si on sélectionne une catégorie, les capteurs proposés sont en rapport puis choisir MySQL
Nommer le capteur Cliquer sur Manuel, juste pour voir qu on peut le faire si le port est spécifique Le port proposé automatiquement est quand même celui par défaut, mais on peut le modifier. Préciser le nom de la base de données à tester ainsi que l utilisateur. On peut même préciser une requête précise Faites le comme indiqué On va même mettre des règles de signalement sur le résultat de la requête AVERTISSEMENT si le nombre d enregistrements est >5 ALERTE si aucun enregistrement dans la table NB : Ce sont des seuils complètement hypothétiques, choisis plus ou moins au hasard pour pouvoir faire des tests. Mais on peut tout à fait souhaiter surveiller la taille d'une base de données, l'atteinte d'un seuil, des suppressions intempestives, etc... Avant 1 er test Gris : pas encore de données récupérées
Test effectué Rouge : Alerte avec un message précisant que la BD n est pas accessible On a 2 problèmes : Par défaut xampp n est pas autorisé depuis une adresse externe, surtout si l utilisateur root n a pas de mot de passe. La base de données n est pas créée Permission d accès au SGBD depuis le serveur PRTG On modifie l accès en indiquant un utilisateur et un mot de passe différent de root On crée la base de données (ex : basedd) On donne des droits restreints à un utilisateur sur cette base de données Cf. Page suivante
On est sur la nouvelle base de données Cliquer sur «Ajouter un utilisateur» On est sur la nouvelle base de données On indique la machine autorisée à se connecter avec cet utilisateur. Attention! c'est l'adresse de la machine serveur PRTG donc dans notre cas. On peut éventuellement définir des privilèges moins importants (mais ce n est pas le but du tutorial) L erreur est maintenant différente : La table client n existe pas! On crée la table (Par exemple 2 champs - Id et Nom - et 3 enregistrements) :
Le capteur passe au vert : On obtient la valeur 3 comme attendu On ajoute encore 3 enregistrements pour dépasser le seuil : Le message est clair! Suppression de tous les enregistrements Le voyant passe au rouge Le message est clair également!
SURVEILLANCE d un PORT PARTICULIER On va surveiller le port 443, également ouvert par XAMPP, juste pour le fun (pour voir un autre type de capteur en fait). Voici le capteur proposé qui permet de répondre à ce besoin : Nommer le capteur Définir le port à surveiller Cliquer sur Continuer
SURVEILLANCE d un élément par WMI On va surveiller un disque DATA sur le serveur. NB1 : Les 2 étudiants peuvent effectuer la manipulation : elle est prévue pour être faite au moins sur le serveur non PRTG, géré par le 2 ème étudiant, mais on peut le faire sur le serveur PRTG. On verra alors que la surveillance est redondante parce qu'elle est déjà prévue dès l'installation de PRTG. NB2 : Sur le serveur 2008 de base, vous avez un 2 ème disque prévu, vous pouvez activer et initialiser, faire une petite partition de 150 ou 200 Mo pour faire les manipulations proposées dans ce tutoriel. Ajouter un équipement : Serveur-PRTG (172.16.XX.100) ou autre Serveur-2008 (172.16.YY.200) Si on essaie d ajouter un capteur, il est grisé ; Sélectionner la catégorie Sélectionner le type d OS cible C est plus facile pour trouver les capteurs! Le capteur est grisé, parce qu il nécessite une authentification Il faut donner des informations d authentification pour accéder au serveur (sur l objet) Il faut modifier les paramètres sur l objet «équipement» : Décocher la case «Hérité» Renseigner les 3 champs. Par simplification, on utilise le compte administrateur, mais ce n'est pas forcément la bonne solution. On peut utiliser un compte dédié à la surveillance.
Le capteur devient alors accessible : Sélectionner l OS Sélectionner la catégorie On peut cliquer sur Ajouter Nommer le capteur Spécifier la lettre du lecteur Cliquer sur Continuer
Les paramètres par défaut sont : 25 % d espace libre pour l avertissement 10 % d espace libre pour la mise en erreur Rappel : Sur le serveur, on a activé le 2 ème disque et créé une petite partition F: de 150 Mo, dans laquelle on va copier le fichier prtg.zip, qui fait 133 Mo. Avant copie du fichier : 94% disponible Après copie du fichier de 133 Mo : <25% Après saturation :
En fait il y a deux alertes ici, parce que le serveur PRTG était déjà surveillé en tant qu équipement du "probe" (ce ne devrait pas être le cas pour l autre serveur) : NB : "Probe" cela pourrait être traduit par "sonde", mais PRTG a conservé le mot "probe" y compris dans l'interface traduite en français. Si on accède au détail de la 1 ère ligne, on voit que tous les disques du serveur PRTG sont surveillés : Si on accède au paramètres, on peut vérifier que ce sont bien tous les disques qui sont surveillés :
RECAPITULATIF de fin de PPE Voici un récapitulatif plus ou moins complet de ce que vous devriez obtenir : Au moins 4 équipements surveillés (normalement 6) Prolongation possible pour les plus rapides : Ajouter un client linux, en utilisant les manipulations vues en TP pour l installation de SNMP. Vous pouvez au moins surveiller l'espace libre d'un disque, et sous LINUX ce sera via l'agent SNMP vraiment, car Linux ne connait pas WMI...