System-Monitoring im Überblick - Aufgaben und Lösungen
Auch Open Source ist geeignet
Für IT-Versorger wird das kontinuierliche Arbeiten an Prozessen, effizientem Change- und Risiko-Management und einer kosteneffizienten Gewährleistung von Service-Level-Agreements immer wichtiger. Der Alltag sieht jedoch meist anders aus: Reaktives Handeln, fehlende Gesamtübersicht und umständliches Monitoring der Systemlandschaft durch einzelne Hersteller-Tools oder auf manuelle Weise sind Zeitfresser und erhöhen den Kosten- und Handlungsdruck.
Was macht System-Monitoring überhaupt aus? Welche Aufgaben fallen bei der Überwachung der IT-Landschaft an? Welche Lösungen hält der Markt derzeit bereit? Die Beantwortung der Fragen kann wertvolle Hilfe für den Alltag des IT-Verantwortlichen liefern. Zunächst gilt es dazu zu klären, welche Informationen sich beim Monitoring gewinnen lassen. Zur Diskussion gehören auch die gängigsten Verfahren zur Datengewinnung.
SNMP
Grundsätzlich lassen sich zwar viele verschiedene TCP/IP-Protokolle zur Übermittlung der Daten verwenden. Zum Beispiel sind dies SSH zum Anstoßen eines lokalen Skripts oder Telnet, das im Vergleich zu SSH aber keine Verschlüsselung nutzt. In der Praxis fällt die Wahl aber meist auf SNMP. Das Protokoll stellt die kleinste gemeinsame Einheit zur Überwachung und Steuerung jeglicher Hardware dar. Es interagiert auf dem Session-Layer mit dem Monitoring-Tool. Neben der Lese- und Schreibfähigkeit unterstützt es die Datenlieferung in SNMP v1 über TCP, SPX oder UPD, allerdings sind die Authentifizierungsmöglichkeiten gering. Schutz bieten lediglich die in „Lese-/Schreibzugriff“ und „reiner Lesezugriff“ aufgeteilten Communities mit ihren eigenen, in Klartext übertragenen Kennwörtern. SNMP existiert bereits in Version 3. Neben allen v2-Funktionen beherrscht dieses 64-Bit-Zähler, Benutzerkonten und Authentifizierung, zusätzlich die Verschlüsselung in DES oder AES unter Nutzung von VACM. Aktuellere Hardware unterstützt meist alle Varianten. Praktiker setzen jedoch meist auf SNMP v1 innerhalb von LANs hinter der Firewall. Die Gründe sind Performance, Einfachheit und Kompatibilität. Bei SNMP v1 sind lediglich ein oder zwei “Community-Namen“ zu konfigurieren. Nur bei besonderem Bedarf – wie etwa der ISO27001-Zertifizierung – ist es sinnvoll, SNMP v3 zu nutzen. Diese Version bietet zwar Abwärtskompatibilität, ist aber sehr komplex und zeitaufwändig zu konfigurieren. Funktionen wie SNMP-WALK prüfen, welche Geräte, Objekte und Informationen sich abfragen lassen. Die anschließende Konfiguration von Parametern, Schwellwerten, Ausführungszeitplänen und das Hinterlegen von verantwortlichen Kontaktpersonen dienen der Auswertung und der Benachrichtigung im Bedarfsfall. Die Benachrichtigung kann über Telefon, E-Mail, SMS oder Instant-Messaging erfolgen. Das Entsenden von aktiven SNMP-Checks durch das Monitoring-Tool liefert Statusdaten in fest konfigurierten Intervallen und validiert sie nach einer fixen Anzahl an Prüfungen von Soft-State- zu Hard-State-Zuständen. Diese so genannten SNMP-GETS fragen Daten im Auftrag der Anwendung aktiv ab. Eine moderne Überwachungslösung sollte jedoch zusätzlich den Empfang von passiven SNMP-TRAPS unterstützen. Bei diesem Verfahren sind die Gerätekomponenten so konfiguriert, dass sie bei zeitkritischem Status selbstständig Ereignisse über einen aktiven Agenten übermitteln. Die Kommunikationsmöglichkeiten zwischen SNMP und Hardware ergeben sich durch die hardwareseitig integrierten und in der Monitoring-Anwendung migrierten MIBs (Management Information Bases, also Beschreibungsdateien) der Hersteller oder sind durch die menschlich lesbaren Object Identifier (OIDs) manuell einzupflegen. OIDs sind meist in umfangreichen Listen im Internet zu finden.
Die Sensorik
Rechenzentren und Server-Räume unterliegen besonderen Sicherheitsvorschriften. Schon ein Kabelbrand im Server-Schrank kann katastrophale Folgen für ein Unternehmen haben. Für entsprechende Hardware oder potenzialfreie Schaltungen – zum Beispiel an Zugangstüren – kann ein System per Agent über SNMP Zustände abfragen, auswerten, validieren und an die hinterlegte Kontaktperson oder -gruppe senden. Um Auskunft über klimatische und räumliche Gegebenheiten, seismografische Aktivitäten, Statusinformationen der USV bis hin zu kompletten Produktionsanlagen zu erhalten, gibt es unterschiedliche Module etwa für Rauch, Gas, Wasser, Erschütterung oder Bewegung. Linux- und Unix-Systeme überwachen: Durch den Einsatz von SSH oder Tool-eigene Daemons lassen sich lokal installierte Skripts (beispielsweise Shell, Perl) mit ihren Commands ausführen, um Antworten zu erhalten. Ein Login kann per Public-Key-Methodik erfolgen. Auch Syslog-Events sind über aktive Checks direkt abfragbar. Eine andere Methode ist der Einsatz eines lokalen Agenten. Der Monitoring-Server fragt aktiv an, sämtliche ungefilterte Informationen zu liefern. Für Linux- und Unix-Umgebungen bietet sich NET-SNMP (bereits in Version 5.x.x) mit eigenem Daemon an. Es enthält eine Vielzahl an nützlichen Kommandozeilen-Tools, Agenten und Bibliotheken, die die Grundlage für die SNMP-Implementierung im Open-Source-Bereich darstellen. Windows-Systeme mit Agenten überwachen: Die Daten des Windows-Eventlogs sind auf eine andere Art als beim Unix-Syslog abzufragen. Dort besteht keine direkte Transfermöglichkeit der Plugins. Grundsätzlich bieten Windows-basierende Systeme unterschiedliche Möglichkeiten zur Abfrage. In Frage kommen zum Beispiel NSclient++, Opmon-Agent oder NC Net. Hinzu kommen die herstellerspezifischen Optionen des jeweiligen Tools. Wichtig dabei ist, dass der entsprechende Agent auf dem Windows-System aktiv ist. WMI – Checks ohne Agenten: Windows-basierende Workstations und Server bringen die WMI-Schnittstelle bereits mit, sodass eine direkte lokale Installation auf dem Client-PC unnötig ist. Die Schnittstelle verfügt über Lese- und Schreibfähigkeit und kann auf fast alle Einstellungen des Systems zugreifen – sowohl auf Betriebs- als auch Anwendungsebene. Zur Überwachung dienen daher häufig Perfmon-Werte, Ereignisseprotokolle, Inventardaten oder Dienste und Prozesse. Die Basis ist eine Query-Language, die eine Anmeldung am System erfordert und für die Administration und Fernwartung besonders hilfreich ist. Voraussetzung ist ein bestehender Windows-Server, auf dem alle WMI-Skripts installiert sind. Er stellt das Kommunikationsprotokoll für die Übermittlung der Daten zwischen WMI-Proxy und Monitoring-Tool bereit. Das Protokoll sorgt dafür, dass die lokalen Plugins die benötigten Parameter erhalten. Applikationen per CCMS: CCMS (Computer Center Management System) ist ein SAP-eigenes Monitoring-Werkzeug, das die zentrale Überwachung der SAP-Netweaver-Komponenten übernimmt. Dadurch lässt sich das Verhalten von SAP-Systemen bewerten und ihre größtmögliche Verfügbarkeit sicherstellen. Der SAP-Alert-Monitor als Monitorsammlung empfängt Daten unter anderem von Agenten der Satellitensysteme, die Auskunft über Performance- oder Zustandsdaten liefern. Dazu gehören zum Beispiel Speicher-/CPU-Auslastung, Disk I/Os, Datenbanken, Antwortzeiten, Ausgabesteuerung oder Security-/Systemlogs. SAP liefert dazu verschiedene sinnvolle Templates, die sich manuell ergänzen lassen. Auf der Monitoring-Seite ist ein Client installiert, der mit aktiven Plugins die CCMS-Daten über eine der RFC-Schnittstellen abfragt. Voraussetzung für den Remote-Zugriff ist die Installation der SAP-Bibliotheken auf Windows und Linux oder Unix. Abhängig vom Tool können auch SLA-Reportings, Business-Process-Monitoring und Trendanalysen zum Funktionsumfang gehören. Systemnahe Applikationen: J2EE-, Web-, Domain-Name-, Mail-, Fileserver, Proxies und entsprechende Queues lassen sich problemlos über die netzwerkfähigen Protokolle SMTP, HTTP, DNS, DIG, POP3, IMAP oder FTP abfragen, und zwar mit oder ohne Verschlüsselung. Nicht jedes Protokoll verfügt über passende Plugins. Individuelle Plugins nutzen die Protokolle, um zu prüfen, ob der TCP- oder UDP-Port offen ist und dort ein Dienst existiert. Für eine detailliertere Überwachung kommen spezifische Agenten zum Einsatz. Die Antworten wertet das Monitoring-Tool aus. Auch ESX-, KVM-, Citrix- oder XEN-Farms lassen sich in Bezug auf die Auslastung einzelner Komponenten überwachen, des Weiteren Traffic, eingeloggte User, Lizenzen oder laufenden Sessions. Abfragen laufen über die vom Hersteller gelieferten APIs, sodass keine zusätzliche systemseitige Installation nötig ist.
Client-based oder Client-less?
Der Vergleich von Client-less oder Client-based Monitoring wirft das grundlegende Problem auf, dass die binäre Implementierung von Client-Software immer einen Eingriff in das bestehende System darstellt und Fehler hervorrufen kann. Daher ziehen viele Praktiker Client-less-Standardmethoden vor. Der Monitoring-Markt bietet viele Lösungen. Während sich in großen Unternehmen meist HP Openview oder IBM Tivoli finden, greift der Mittelstand gerne auf Ipswitch What’s Up Gold oder Solarwind Orion zurück. Das Unix-basierende Openview ist besonders auf große IT-Landschaften ausgelegt und stellt eigentlich eine Suite dar, die sich bei Bedarf um unzählige Einzelwerkzeuge erweitern lässt. In Überwachungsszenarien kommt häufig der HP Network Node Manager zum Einsatz. Er spielt seine Stärken bei HP-Komponenten aus und bietet viele Automatisierungen und eine einfache Konfiguration. Die Kehrseite: Durch die umfangreichen Funktionen und Wertedarstellungen wird die Gesamtlösung schnell komplex, weshalb langwierige Einarbeitungen und Schulung zum Programm gehören. Zu den sehr hohen Lizenzkosten addieren sich Support und Folgekosten, etwa für Subscription oder Zusatzmodule. Gleiches gilt für IBM Tivoli. Bei entsprechender Unternehmensgröße findet sich der Nutzer bei den Kosten schnell im sechsstelligen Bereich wieder. Die ausgeprägte Funktionalität führt also zu einer starken Abhängigkeit vom Hersteller. Firmen mit weniger üppigem Budget bedienen sich daher gerne kleinerer Überwachungsalternativen. Das Windows-basierende What’s Up Gold oder Orion steigen mit wesentlich niedrigeren Lizenzkosten ein. Erweiterungen und Monitoring-Aufwand (etwa die Anzahl zu überwachender Geräte) rechnet der Hersteller zusätzlich ab, genauso wie den kostenpflichtigen Support. Vor diesem Hintergrund stellt Open Source eine interessante Option zu teuren und häufig überdimensionierten kommerziellen Lösungen dar. Dabei kann die ehrliche Beantwortung der Frage „Was brauche ich eigentlich?“ helfen, Kosten zu sparen und gleichzeitig effizienter und flexibler zu werden. Neben quelloffenen Tools wie CACTI, Open NMS oder MRTG sticht das Linux-basierende Framework Nagios hervor. Gründe dafür sind die sehr starke Community, die lange Entwicklungshistorie und eine große Funktionsvielfalt, die zu der hohen Marktakzeptanz und breiten Etablierung auch im Enterprise-Umfeld beigetragen haben. Nagios deckt Anforderungen an halb- oder vollautomatisches Discovery mit Filterregeln, Event-Korrelation oder Visualisierung der Systemlandschaft ebenso ab wie Business-Reportings, Geschäftsprozess-Monitoring, Eskalations-Management oder Recovery. Die Integration von Drittsystemen wie CMDB oder Ticketsysteme ist durch die offenen Schnittstellen jederzeit möglich. Eine auf Nagios basierende Variante ist das relativ neue Projekt Open IT Cockpit. Der Fokus liegt dabei auf der einfachen Überwachung komplexer IT-Landschaften: Das Tool bietet plattformabhängige Visualisierung durch eine eigene intuitive Web-Software, einfache Installer und eine grafische Oberfläche. Dadurch kompensiert es die komplizierte, über Kommandozeilen erfolgende Konfiguration und Installation von Nagios. Neben eigens entwickelten Modulen, individuellem Consulting, Workshops und technischem Support gewährleisten die beteiligten Dienstleister eine sehr gute Projektumsetzung der Anforderungen an die eigene Infrastruktur, ohne dabei allzu tiefgreifendes eigenes Know-how im Linux-Bereich vorauszusetzen. Ob Closed oder Open Source: Die Lösungen unterscheiden sich neben dem Lizenz- und Supportmodell maßgeblich im Funktionsumfang, der Visualisierung (Graphenerstellung, zusammenstellbare Infrastruktur-/Monitoring-Übersicht) und bei der Umsetzung einer einfachen Konfiguration – entscheidende Voraussetzungen für Bedienbarkeit und Leistung. Die eigenen Anforderungen sollte man daher genau mit den der favorisierten Lösung abgleichen. Fazit Gute Monitoring-Lösungen überwachen zentral und einheitlich. Sie helfen, die täglichen Routinearbeiten am System zu automatisieren – und damit letztendlich zu verringern. Die IT bleibt dabei individuell skalierbar und zeigt rechtzeitig bedenkliche Entwicklungen auf. Eine solche Überwachung führt langfristig zu einer wertschöpfenden IT, die Stabilität, Qualität, Effizienz und Transparenz schafft. Neben einer einfachen Konfiguration sollte eine moderne Lösung die Möglichkeit bieten, auch komplexe Prozesse, Dienste oder SLAs übersichtlich zu visualisieren.
Lesen Sie mehr zum Thema
