(mis) Herramientas de monitorización (favoritas)

Las herramientas de monitorización que recogen información de la red y de los equipos que en ella habitan son hoy en día casi imprescindibles para cualquier administrador de sistemas que se precie y su importancia crece de forma exponencial con el número de hosts que tenga que mantener. Algunas de ellas te permitirán, además, hacer pequeñas (o grandes) actuaciones sobre las fuentes de la información que recogen pero esto, al menos para mi, no es tan importante. En esta categoría yo escojo herramientas que me permitan centralizar información de determinadas fuentes, que dicha información sea fiable, que me permita distintas vistas de la misma y que sean capaz de dispararme alertas ante determinadas circunstancias. Mención aparte merecen aquellas que, además, son capaces de correlacionar la información de diferentes fuentes y presentarte los resultados. En este posts os voy enumerar cuales son las que yo uso y para que. Todas ellas son herramientas de software libre salvo en las que se hace mención expresa.

NagiosNagíos. Se trata de una evolución del también muy conocido NetSaint. De hecho, Nagios es un acrónimo de “Nagios Ain’t Gonna Insist On Sainthood”. Se trata de una herramienta para monitorizar el estado de los hosts de nuestra red y los servicios que corren en ella: servicios web, SMTP, POP3, FTP, bases de datos de casi cualquier fabricante… y, en realidad una lista casi interminable gracias a las contribuciones de sus usuarios incondicionales. Envía alertas por mail o SMS (con el hardware adecuado) y su popularidad es tal que, incluso, existen dispositivos externos para medir temperatura, humedad, etc. concebidos para integrarse con el. Algunas empresas, como la fundación Mozilla, hacen pública la salida de sus Nagios a través de internet para que usuarios externos a la organización puedan ver el estado de sus redes. La instalación es sencilla y existen muchos documentos al respecto en la red incluso en castellano (yo suelo usar este guía-burros como referencia para mis instalaciones pero hay muchos más). Por último, tiene una inmerecida fama de ser complejo de configurar, pero a mi no me lo ha parecido nunca… tal vez un poco tedioso, pero nada que no se pueda solventar con unas plantillas y un poco de corta y pega. No obstante, para el que así lo prefiera existe Nagat, un asistente gráfico para la configuración de Nagios. Sólo existen versiones para sistemas UNIX o LINUX aunque, lógicamente, puede monitorizar hosts y servicios de cualquier tipo.

NtopNTop. Network Top nació con la idea de ser precisamente eso: algo parecido al comando Top pero centrado en protocolos y tráfico de red. Pero el proyecto ha crecido tanto que ya es bastante más. Es preciso ser un verdadero experto para sacarle todo el jugo a esta herramienta pero es bastante fácil sacarle partido aún quedándonos en la superficie de la cantidad de información que nos ofrece. Muchos cortafuegos basados en LINUX lo implementan como herramienta de información y estadísticas, así que no es difícil que nos encontremos con el en alguno de nuestros dispositivos aún sin habernos propuesto instalarlo. Existe una versión limitada para windows (la versión completa es de pago para este sistema) pero puesto que se trata de un programa de fuente abierta si quieres hacerlo funcionar bajo windows sólo tienes que bajarte el código y compilarlo. La instalación en LINUX es tan trivial que ni merece la pena hablar de ello y, si quieres enterarte que es lo que se hace en tus redes (y quien lo hace) nada mejor que colocar unos nodos con ntop en puntos estratégicos de la misma.

MRTGMRTG. El Multi Router Traffic Grapher es otro clásico. Recoge estadísticas de tráfico mediante SNMP de cualquier dispositivo que admita y tenga habilitado este protocolo. Si estás acostumbrado a trabajar entre routers posiblemente no tenga nada que decirte de él. MRTG recoge los datos que le envían los diversos dispositivos por SNMP y con ellos construye gráficos de tráfico de entrada y salida quese actualizan periódicamente y se publican a través de un servidor web. Ni más ni menos, pero nadie que no los use se puede imaginar cuan útil puede llegar a ser a la hora de detectar y diagnosticar problemas de red. Funciona correcta y completamente tanto en sistemas UNIX como Windows. La instalación es ridiculamente simple y, quizás, el único problema que puedes encontrarte puede ser la configuración de los dispositivos cuyos datos quieres recopilar si no estás muy familiarizado con el protocolo SNMP. Si es así, te recomiendo que previamente leas este documento. En esta otra wiki de Gentoo encontraras información detallada de como instalar MRTG en LINUX.

WSUSWSUS Windows Server Update Services es una aplicación de Microsoft (no es software libre pero si se trata de una aplicación gratuita) que actúa como servidor local de Windows Update para una empresa. Las ventajas son muchas: reducimos el ancho de banda necesario para la descarga de actualizaciones (ya sabeis que los segundos martes de cada mes tenemos bastante tráfico debido a esto…) y por otro lado controlamos que realmente los pc’s de nuestra empresa estén actualizando los parches críticos. La herramienta es bastante funcional y permite hacer grupos de forma que aprobemos la actualización primero en unos y luego en otros, realiza informes e incluso permite, con la ayuda de scripts externos, forzar la actualización de determinados clientes. La instalación es bastante ‘lechera’ (para que luego digan). Primero te marea con los prerequisitos (que si MSDE, .NET versión tal…) y luego una vez montado te puedes encontrar que no es capaz de ver ningún equipo de la red. Desistalas para empezar desde cero, sigues exactamente los mismos pasos y resulta que ahora si funciona… ¿inexplicable? No: Microsoft. Y, por supuesto, sólo funciona en windows con IIS y MSDE.

Officescan Si nuestro parque principal de equipos está compuesto por máquinas windows nos es imprescindible otra utilidad: un antivirus con consola de gestión centralizada. Yo he usado diversos y últimamente estoy bastante contento con el OfficeScan de Trend Micro, pero existen muchos productos similares. Lo fundamental es que nos permita ver si los equipos actualizan correctamente las firmas y nos alerte por mail de las nuevas infecciones para poder actuar en consecuencia. El resto, al menos yo, los considero extras.

OSSIMOSSIM (Open Source Infrastructure for Security Monitoring) es una fabulosa herramienta que correlaciona los datos de múltiples herramientas de seguridad y networking (Snort, Nessus, nmap, MRTG, ntop, etc.) y nos presenta los datos de los mismos en una consola única. Se trata de una herramienta de software libre desarrollada por la consultora IT Deusto única en su clase (creo ¿conoceis algo similar?) cuyo principal inconveniente, a mi juicio, es que maneja tanta información que a veces la forma de presentarla no resulta demasiado intuitiva. Yo hice un primer acercamiento a esta herramienta y la verdad es que no acabé muy convencido: la documentación no era buena y sólo instalarla resultaba un infierno. Ese aspecto ha mejorado muchísimo y en su wiki puedes encontrar verdaderos guía-burros para que no encuentres ningún problema. No puedo decir que aún le haya sacado partido real porque no he tenido mucho tiempo de jugar con ella, pero creo sinceramente que se trata de una herramienta muy prometedora.

8 comentarios en “(mis) Herramientas de monitorización (favoritas)”

  1. Hola, buenos días,

    sólo comentar que OSSIM ha evolucionado bastante y que de la herramienta OS se ha convertido en una solución profesional con todas las de la ley ( sigue habiendo una versión OS no obstante) la evolución se llama AlienVault

    Un saludo.

    M.

  2. ¿Has visto si las máquinas se ven correctamente? La primera prueba es comprobar si desde la máquina cliente ves la interface web de administración del servidor dónde tienes el wsus y con eso sabrás si te resuelve correctamente el nombre o la IP (según lo que hayas indicado en la configuración del cliente). Luego mira que no esté bloqueado el puerto que esté usando WSUS por ningún cortafuegos (el 80 o el 8350 según la instalación que hayas hecho). Y si todo esto funciona y sigue sin enviar las actualizaciones al cliente me quedo un poco perplejo porque, por lo que me dices, has configurado otros clientes y eso me hace suponer que sabes hacerlo y que no hay ningún error por esa parte…

    En cuanto a si es posible utilizarlo… pues creo que si pero si te soy sincero no he tenido nunca la necesidad de hacer este tipo de instalación. Si no es indiscrección ¿para que es esta configuración tan inusual?

  3. Josemaria:
    Te hago una consulta, en verdad es una inquietud para no seguir buscando y buscando la solución sin demasiada suerte.
    El tema es el siguiente, tengo un wsus (server) corriendo en mi equipo virtualizado que es un windows 2003.
    En mi otras máquinas virtualizadas dentro de mi LAN funciona perfecto, es decir, detecta las máquinas y estas lo detectan a él y por ende se actualizan, ahora el problema se sucede cuando quiero incluir una máquina que no esta en mi LAN sino fuera y que ve, en teoria al wsus a traves de su dominio asignado por dyndns, porque esta no detecta las actualizaciones y el server tampoco la detecta a la maquina.
    Es posible utilizar el wsus de esa forma o estoy loco ?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *