miércoles, 1 de marzo de 2017

OSSIM 28. Usando el servidor NAGIOS en OSSIM de manera sencilla.

Estimados amigos de Inseguros !!!

Este y más artículos sobre OSSIM bajo la etiqueta correspondiente.

En el artículo de hoy voy a intentar explicar un poco el modo monitorización de OSSIM sobre Nagios. 
Aunque es bastante sencillo, muchos de vosotros me escribís para preguntarme como se implementa y es muy sencillo, tienes que tener claros los conceptos de OSSIM y de NAGIOS, por separado. Con eso, "juntarlos" es muy sencillo.

En la primera parte del proyecto vamos a usar la capacidad gráfica de OSSIM para configurar una monitorización básica de equipos y servicios mediante click, click, click.
Lo primero que vamos a hacer en OSSIM, en activos, seleccionar que equipo vamos a empezar a monitorizar, y habilitar la opción. Por defecto, el único equipo que se monitoriza es el propio OSSIM.

 
 

Bien vale, ahora tenemos dos equipos monitorizados. Podemos apreciar como localhost, el servidor OSSIM identifica 6 servicios, en la imagen los puedes ver, como 5 en ok y 1 en warning.
Si queremos realizar lo mismo con nuestro equipo monitorizado, tan sencillo como irnos otra vez a la pestaña de Activos (Assets) y en la sección de servicios, incluir los servicios que queremos monitorizar. 


Como pasos previos, por eso decía lo de los conceptos de OSSIM y NAGIOS, tenemos que tener nuestro inventario de equipos controlado bajo ASSETS/ACTIVOS y tener programado un descubrimiento de servicios para la red/subred que queramos, con el fin de tener lo más completa posible la información de nuestra infraestructura.

El resultado de la acción.


Si estás pensando en migrar un sistema previo, recuerda que podemos importar nuestra lista de equipos en CSV en OSSIM.

Bien ahora otro punto básico para la monitorización es la notificación. Vamos a configurar el perfil del contacto asociado a las alertas, algo tan facil como añadir nuestra dirección de correo al fichero  contacts_nagios2.cfg de /etc/nagios3/conf.d/ 

Hasta el momento, no hemos usado nada más que no podamos hacer con un nmap para comprobar si un equipo/servicio está activo. 

Ahora es cuando empieza realmente la parte de NAGIOS. Si quieres saber cuanto espacio tienes en un disco duro, o cuanta memoria, o cualquiera de las configuraciones que se te ocurran monitorizar, tendrás que tener alguna manera de obtener esa información. En otros sistemas como PRTG se usan protocolos de comunicación con los equipos como WMI y SSH para hacer de estos sistemas monitorización sin agente. 


El caso de NAGIOS no es ese, y se necesita de un agente que mediante el protocolo NRPE se comunique con el servidor NAGIOS para pasarle todo el settings.

A diferencia de otros sistemas engorrosos, en los debian-based, como es el caso de OSSIM, con un apt-get install nagios-nrpe-server tenemos instalada la parte servidora de este protocolo.

En el servidor accedemos al fichero de servicios que es donde definimos qué queremos comprobar y sobre qué grupo queremos hacerlo./etc/nagios3/conf.d/services_nagios2.cfg

Es el turno de instalar un cliente Nagios en el sistema, bien sea Windows o Linux. En este caso accede a la web de Nagios e instala el cliente Nagios sin mayor complicación. Eso sí, pon un contraseña y guárdala.

Antes de seguir configurando, y para delimitar errores de redes y firewalls, vamos a realizar una comprobación desde OSSIM para conectarnos al cliente Windows "a pelo". Debes pasar por este paso antes de seguir con la parte de NAGIOS en el servidor.

 /usr/local/nagios/libexec/check_nrpe -H ip_del_servidor_Windows.

Con este ejemplo, tenemos que indicar que el comando recibe una contraseña, que es la que se configuró en la instalación del cliente Windows. Accedemos y configuramos correctamente el comando en el fichero /etc/nagios-plugins/config/nt.cfg

define command {
        command_name    check_nt
        command_line    /usr/lib/nagios/plugins/check_nt -H '$HOSTADDRESS$' -p 12489 -n -s clave  -v $ARG1$ $ARG2$
}

Ahora en voy a dar de alta el servicio que quiero comprobar, lo hago en  /etc/nagios3/conf.d/services_nagios2.cfg de esta manera, para un par de equipos.

define service {
    use                 generic-service
    host_name           equipo1,equipo2
    service_description NSClient++ Version
    check_command       check_nt!CLIENTVERSION
}

Ahora el turno de un reinicio y ver si todo ha ido bien.

Si todo ha ido bien, procedemos a configurar realmente los servicios asociados a Windows, porque hasta solo hemos configurado la conexión con el client Windows. Algunos ejemplos:

define service {
    use                 generic-service
    host_name           
    service_description W3SVC
    check_command       check_nt!SERVICESTATE!-d SHOWALL -l W3SVC
}

define service {
    use                 generic-service
    host_name           
    service_description Memory Usage
    check_command       check_nt!MEMUSE!-w 80 -c 90
}
define service {
    use                 generic-service
    host_name           
    service_description CPU Load
    check_command       check_nt!CPULOAD!-l 5,80,90
}

Las opciones a monitorizar y como las organices es cosa tuya, de la parte que debes aprender de NAGIOS. El propósito de este post es que veas lo fácil que es montar tu infraestructura NAGIOS bajo el servidor OSSIM y ahorrarnos una máquina :-)


Como puedes ver, hay que tener claros los conceptos de OSSIM para genere el inventario y los conceptos de NAGIOS para conectar al servidor y definir los equipos y servicios.

Sobre esto hay un mundo de literatura, como siempre, espero sembrar la semilla para que desarrolles tu proyecto.

Espero que te guste, gracias por leerme !!!



7 comentarios:

  1. Excelente Muchas Gracias Por esta Publicación, Gracias Kino.
    Atte.
    Juan Carlos

    ResponderEliminar
  2. Buenas tarde, estamos trabajando con las instalación y sucede que: Estamos probando de implementar Nagios con OSSIM en nuestra red y me encontré con una dificultad durante la configuración.

    A la hora de configurar la conexión con un agente de un host, queriendo ingresar a la ruta:
    /usr/local/nagios/etc/object donde están los archivos de configuración y querer agregar los objetos para monitorear, el sistema me arroja un error diciendo que la ruta no existe. Actualizamos el sistema a la última versión pero no figura el directorio de Nagios en /usr/local/

    Quería consultar si en últimas versiones se cambiaron las rutas los directorios o la forma de configurar el sistema. O si ese directorio faltante se puede descargar de algun sistio.
    Muchas Gracias, aguardo indicaciones.

    ResponderEliminar
    Respuestas
    1. /etc/nagios3/
      en qué parte exacta está teniendo el error?

      Eliminar
  3. Muchas Gracias por tu ayuda, Acerco mas detalle del problema original y también vimos que no se presenta una opción indicada en el documento"Osim 28".
    Aca van las consultas:
    Buenas Tardes KINO.
    De la página de Nagios bajamos los pasos para poder levantar los agentes de Nagios para el l Ossim y qu este los vea.

    Consulta UNO: Dentro de un documento, bajado de la página de Nagios, se observa que:

    Configuramos nuestro servidor NAGIOS
    ------------------------------------

    A continuación configuramos Nagios en OSSIM Server:
    Ingresamos en “Jailbreak System”

    # cd /etc/nagios3/conf.d/

    En una terminal, estando como root, nos dirigimos al siguiente
    path: /usr/local/nagios/etc/object <====Flecha Azul===
    #cd /user/local/nagios/etc/objects

    Aquí se encuentran los archivos de configuración y es donde agregamos un objeto por cada servidor a monitorear.
    Todos los archivos de configuración terminan en .cfg y es muy importante recalcar que hay que tener cuidado con las Mayusculas y minisculas, es recomendable utilizar solo minúsculas para no tener inconvenientes.

    Utilizamos la plantilla llamada windows.cfg para nuestro servidor windows10.

    #cp windows.cfg windows10.cfg

    Ahora editamos el nuevo archivo generado , podemos utilizar vim, o de manera gráfica con kwrite
    #kwrite windows10.cfg

    Como escribia en el mail anterior, no se crea esta ruta indicada con la flecha AZUL.

    -------------------------------------------Fin de la consulta UNO----------------------------------------------


    Consulta DOS:
    Hemos notado que no llegamos a este paso de la guia que nos acercaste:

    Si queremos realizar lo mismo con nuestro equipo monitorizado, tan sencillo como irnos otra vez a la pestaña de Activos (Assets) y en la sección de servicios, incluir los servicios que queremos monitorizar.

    ACA LA CAPTURA DE PANTALLA: EDIT SERVICE "la del circulo rojo"

    Como pasos previos, por eso decía lo de los conceptos de OSSIM y NAGIOS, tenemos que tener nuestro inventario de equipos controlado bajo ASSETS/ACTIVOS y tener programado un descubrimiento de servicios para la red/subred que queramos, con el fin de tener lo más completa posible la información de nuestra infraestructura.

    Revisamos y no sabemos si es por un tema de la red, o que nos esta faltando algo, ya que no tenemos, no se presenta la opcion (columna monitorizacion) para activar o desactivar monitorizacion a un activo.
    -------------------------------------------Fin de la consulta DOS----------------------------------------------

    Nuevamente agradecemos y aguardamos tu gentil ayuda


    ResponderEliminar
    Respuestas
    1. Paciencia, esto no es fácil xD.

      La ruta de los equipos está en:/etc/nagios3/conf.d/ossim-configs/hosts
      PERO deben meterse mediante ASSETS como indico.

      click en ENtorno--->assets (Tenéis aquí assets?)
      click en el cuadrado de la izquierda del nombre del asset.
      se aparece a la derecha ACCIONES.click
      Enable availibility monitoring.

      suerte, dime qué tal.

      Eliminar
  4. Hola Kino que tal?
    Estoy configurando nagios en ossim, como explicas en la guía, en mi red y me surgió un problema al querer realizar la comprobación desde ossim para conectarme al cliente en windows
    En mi servidor ossim parece estar faltando la ruta /usr/local/nagios/
    y al llegar a este paso:
    /usr/local/nagios/libexec/check_nrpe -H ip_del_servidor_Windows.
    se me presenta el inconveniente, no pidiendo continuar, ya que no puedo acceder al directorio.
    Desde ya muchisimas gracias!
    Saludos!!!
    Atte Lucas Gonzalez

    ResponderEliminar

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...