Netzwerküberwachung Colan 3 im Test
Monitoring-Appliance für KMU
In kleineren und mittleren Unternehmen mangelt es oft an der Zeit oder am nötigen Know-how, um sich eine ausgefeilte Netzwerküberwachung aufzubauen. Netzwerkspezialist Netfox hat mit Colan 3 seine neue Monitoring- und Analyselösung vorgestellt, in der er die bekanntesten Open-Source-Tools zusammenfasst. Wir untersuchten, wie sich dieses mit einem vierstufen Sicherheitssystem ausgestattete Gerät in der Praxis bewährt.Es vergeht einiges an Zeit, bevor ein Administrator Werkzeuge wie Nagios, Cacti oder Nagvis so eingerichtet hat, dass er damit Engpässe vorhersehen und Fehlerquellen direkt ermitteln kann. Der Berliner Anbieter Netfox fasst diese Programme in seiner Lösung unter einer einheitlichen Oberfläche und auf einem Server zusammen. Dies soll den Einsatz einer IT-Überwachung deutlich beschleunigen.
Zu den wichtigsten Neuerungen der aktuellen Version zählt der Hersteller das neue Web-Frontend, das mit einer insgesamt übersichtlich gestalteten Menüstruktur aufwarten soll. Eine ebenfalls neu entwickelte Filter-Engine soll dem Anwender zudem die Auswertung von Syslog-Einträgen sowie die Suche nach Host- und Diensteüberwachung mit dem integrierten Nagios-System deutlich erleichtern.
Schnelle und einfache Installation
Alle Administratoren, die schon einmal Nagios oder eine ähnliche Software aufgesetzt haben, kennen die Tücken einer solchen Einrichtung, die sehr viel Wissen erfordert. Netfox bietet Anwendern bei dieser Lösung deshalb auch in drei verschiedene Varianten an, die alle eine weitaus einfachere Installation und Inbetriebnahmen ermöglichen: als klassischer Installer für Linux-Umgebungen, als fertig konfigurierte Appliance oder als virtuelle Appliance auf Basis von Suse Linux Enterprise Server 11 SP1 (64-Bit).
Allerdings setzt gerade der Einsatz der virtuellen Appliance sehr genaue spezifizierte Hard- und Software voraus: Der Anwender benötigt für die Virtualisierung eine ESX?, ESXi- oder Xen-Umgebung. Bei der Hardware wird ein Dual-Core-System mit 2,0 GHz Taktfrequenz und mindestens 2 GByte zugewiesenem Arbeitsspeicher sowie 100 GByte Festplattenspeicher erwartet. Schließlich müssen auf der Seite des Netzwerks mindestens zwei Netzwerkkarten zum Einsatz kommen, die mit einer 100-MBit/s-Anbindung oder schneller arbeiten. Das Produkt kann den IT-Administrator bei Notfällen typischerweise per E?Mail-Versand oder über ein optionales SMS-Gateway benachrichtigen. Die Integration einer solchen SMS-Benachrichtigung erfordert mindestens ESX 4.1 mit USB-Port-Unterstützung. Somit kann hier die kostenfreie ESXi-Variante nicht zum Einsatz kommen, da sie keine USB-Unterstützung bietet.
Wir haben die Software ohne Komplikation innerhalb einer VMware Workstation 7 installiert, die auf einem Windows-7-x64-Host lief - eine Konstellation, die so nur für Testzwecke geeignet ist. Das Einrichten besteht dabei aus dem Herunterladen des ISO-Images, dem Anlegen der virtuellen Maschine und dem anschließendem Start vom ISO-Image. Danach mussten wir eine feste IP-Adresse vergeben, das Gateway eintragen und das Administrator-Kennwort festlegen. Die Gesamtdauer dieser Installations- und Einrichtungsaufgaben betrug keine zehn Minuten, danach war das System per Web-Browser erreichbar.
Dürre Dokumentation
Vor dieser aktuellen Version war die Software lediglich als Managed Service im Angebot. Der Hersteller vertreibt sie erst seit dem Sommer 2011 als eigenständiges Produkt. Entsprechend dünn fällt wohl deshalb auch die mit 58 Seiten eher bescheidene Produktdokumentation aus. Diese beschreibt zwar die an sich simple Installation in einer ESX-Umgebung bild- und detailreich. Leider findet der Administrator wenig mehr als einen erklärenden Satz in der Dokumentation, wenn es darum geht, Host-Rechner in Nagios einzubinden oder gar einen Abgleich mit einem LDAP-Verzeichnisdienst durchzuführen. Allerdings sind Funktionsweise und grundlegende Bedienung der Programme Nagios, Nagvis, Cacti und Ntop auf diversen Seiten im Internet ausführlich dokumentiert, da es sich bei ihnen um etablierte Werkzeuge handelt.
Auch ohne Blick ins Handbuch sind die ersten Schritte bei der Annäherung an die Software selbsterklärend: Der Administrator gelangt durch die Eingabe der zuvor festgelegten IP-Adresse in den Browser auf die Web-Oberfläche der Software. Leider machte uns bei diesem Test der aktuelle Microsoft Internet Explorer 9 im Zusammenspiel mit der Lösung einen Strich durch die Rechnung: Das Untermenü mit den Schaltflächen zur Konfiguration war einfach nicht sichtbar. Im Mozilla Firefox oder in Googles Chrome waren sie dann aber wiederum zu sehen. Auf Nachfrage versicherte uns der Hersteller, er werde diesen ihm bereits bekannten Missstand mit einem Patch abstellen.
Die Web-Oberfläche selbst öffnet zunächst ein grafisch ansprechendes Dashboard (Bild 1). Hier ist jedoch nicht etwa der Status der Netzwerkumgebung optisch aufbereitet, sondern es handelt sich schlicht um die Eckdaten des Colan-3-Servers. Unter "Konfiguration" finden sich Optionen wie der Sprachwechsel zwischen Deutsch und Englisch, die Möglichkeit, ein regelmäßiges Backup-Ziel zu hinterlegen, oder auch die Definition von E?Mail- und SMS-Benachrichtigungen.
Die Web-Oberfläche teilt sich in die vier Bereiche Logging, Monitoring, Analyzing und Scanning. Hinter jeder Schaltfläche im Menü verbirgt sich eines der eingangs erwähnten Open-Source-Netzwerk-Tools. Laut Hersteller arbeiten 17 verschiedene Produkte der unabhängigen Software-Entwicklungsgemeinschaft - vom Betriebssystem bis zur MySQL-Datenbank - in dieser Appliance zusammen. Bei der gut gelungenen grafischen Oberfläche, die auf PHP und Ajax basiert, handelt es sich um eine Eigenentwicklung des Herstellers.
Erste Praxistests: Monitoring
Wir starteten unsere Tests mit dem Menü "Monitoring", der zentralen Nagios-Komponente. Ein Discovery-Feature, das einem Administrator bei der Suche nach aktiven Netzwerkgeräten hilft, suchten wir leider vergeblich: Es ist in der aktuell vorliegenden Version 3.0 noch nicht integriert. Laut Hersteller kommt es Anfang 2012 mit der Version 3.1. Somit bleibt dem Anwender derzeit nur die manuelle Eingabe der Geräte über "Add Host" direkt in Nagios. Dabei entspricht die Bedienung der Lösung genau der Bedienung der Originalsoftware aus dem Open-Source-Umfeld: Der Administrator trägt die zu überwachenden Geräte ein, definiert die Überwachungsparameter, gibt etwaige Abhängigkeiten von anderen Komponenten per Dropdown-Box ein und lädt die veränderte Konfiguration hoch.
In der Standardauslieferung bietet Colan die Überwachung von 31 "Checks" an, die von Ping und SNMP bis hin zu WMI reichen. Eigene dieser Monitore kann der Benutzer Nagios-üblich über das Web-Interface unter "Monitoring ? Konfiguration ? Checkcommands ? Add" anlegen. Um beispielsweise einen Microsoft Exchange Server zu überwachen, wählt der Administrator das "check_nt"-Kommando aus und passt es für die entsprechende Überwachung an. Grundsätzlich muss auf jeder Windows-Maschine allerdings der kostenfreie NSClient++ installiert sein, um Windows-Systeme überhaupt mit Nagios überwachen zu können.
Das Browser-Fenster zeigt den aktuellen Host- und Service-Status in selbsterklärenden Ampelfarben. Zudem stellt die Software die gefundenen Probleme grafisch abgesetzt in verschiedenen Hierarchien dar. Optisch noch ansprechender geht es mit Nagvis, einer unter der freien Lizenz GNU GPL veröffentlichten Nagios-Erweiterung zur Darstellung der Statusinformationen. Die vier in dieser Software mitgelieferten Demokarten können einem Administrator dabei gut als Anschauungsobjekt dienen. Zudem kann er über viele Parameter steuern, wie sich Nagvis bei Veränderungen verhalten soll.
Für die Abbildung einer komplexen Netzwerklandschaft gehen auf diese Weise jedoch einige Stunden ins Land. Leider zeigt hier die "Default-Automap" nicht alle zuvor in Nagios definierten Systeme an, sondern bringt lediglich den "Localhost" ohne weitere Verknüpfung auf den Bildschirm. Eine weitere freie Web-Anwendung kommt zum Einsatz, wenn es darum geht, die gesammelten Messwerte wie beispielsweise die Auslastung von NICs oder der CPU grafisch darzustellen: Hier nutzt Colan die bekannte Lösung Cacti.
Übersicht im Syslog bewahren
Neben der Nagios-Integration verfügt die Appliance auch über ein Web-Frontend zur Analyse und Auswertung von Syslog-Daten. Dabei entspricht die Darstellung dem gewohnten Standard von Programmen wie Kiwi. Sobald aktive Komponenten ihre Syslog-Nachrichten an die virtuelle Maschine senden, kann ein Administrator diese Daten dort in Echtzeit abrufen. Besonders gut gefiel die erweiterte Filtermöglichkeit, die einfach und schnell gelingt: Wählt der Anwendern einen Eintrag durch einen Mausklick an, so erscheint an dieser Stelle eine kleine "Plus/Minus"-Schaltfläche, über die man den Filter um den gewählten Wert herauf- oder heruntersetzt. Dies ermöglicht dem Administrator den einfachen "Drill-Down" innerhalb der Syslog-Meldungen. Ebenfalls sehr hilfreich: Das Hauptmenü bietet farbig markierten Schaltflächen für die Syslog-Werte DEBUG, INFO, NOTICE, WARNING, ERR, CRIT, ALERT und EMERG. Klickt der Administrator beispielsweise auf WARNING, so werden nur Meldungen mit dieser oder höherer Priorität angezeigt.
Was die zu überwachenden Geräte so alles im Netzwerk "plaudern", identifiziert die Software mittels Ntop. Das Analyse-Tool unterstützt eine Vielzahl von Protokollen wie TCP/UDP/ICMP, (R)ARP, IPX, NetBIOS, AppleTalk, SMTP/POP/IMAP und SNMP. So beantwortet die Lösung Fragen nach den durchschnittlichen Paketgrößen, der Verteilung von Broadcast oder danach, ob sich bereits IPv6-Pakete im Netzwerk befinden. Leider erwies sich die Erkennung der Geräte in unserem Testnetzwerk als nicht sonderlich zielsicher: So hielt die Software einen aktuellen Imac für einen PC unter Windows XP. Diese Fehleinschätzung kann der Benutzer nicht einmal korrigieren, da das Feld "OS" schreibgeschützt ist.
Sieht man von diesem kleinen Fehler ab, so liefert die Auswertung in der grafischen Analyse interessante Daten. Die Grafiken erlauben es dem Benutzer, über die Eingabe von Uhrzeit und Datum einen Betrachtungszeitraum festzulegen, eine Bereichsauswahl per Mausklick ist möglich. Allerdings sorgten die Presets in der Auswahl, beispielsweise "letzte Stunde", während unseres Tests konsequent für den Hinweis, dass die gewünschte Webseite nicht gefunden werden konnte.
Fazit: Gutes Konzept, einige Schwächen
Das grundsätzliche Konzept von Colan 3 gefällt durchaus: Man nehme etablierte Open-Source-Netzwerk-Überwachungsprogramme und verknüpfe diese zu einer einheitlichen Software. Dabei können die gemeinsame Oberfläche und die teilweise schon verzahnte Konfiguration die Arbeit für den Administrator deutlich leichter machen. So muss er beispielsweise einen Host nur einmal in Nagios anlegen, damit er ihn Ntop als solchen wiedererkennt. Die Roadmap des Herstellers zeigt, dass die Verzahnung noch vorangetrieben wird - und das muss sie auch: Hier und da fanden wir noch handwerkliche Schnitzer wie die fehlenden Buttons im Internet Explorer oder auch Links, die ins Nichts führten.
Der Preis von rund 5.240 Euro für eine virtuelle Appliance ohne Wartungsvertrag ist im Vergleich zur Monitoring-Konkurrenz für das KMU-Segment auf den ersten Blick hoch. Zudem würde man bei einem solchen Preis eine entsprechend umfangreiche Dokumentation erwarten: IT-Verantwortliche, die eine solche Summe ausgeben, wollen sich nicht die Hintergründe für die Bedienung im Internet zusammensuchen müssen. Wer die Fähigkeiten der Syslog- und Network-Traffic-Analyse nicht benötigt, ist zudem möglicherweise mit Einzelwerkzeugen besser bedient. Der Hersteller bietet den Colan-Nutzern ergänzend zu der Appliance auch einen Managed-Security-Service mit Fernüberwachung der eingebundenen Systeme an. Dabei übernimmt er die Fernüberwachung inklusive Reporting und den technischen Dienstleistungen.
Thomas Bär auf LANline.de: BÄR
Frank-Michael Schlede auf LANline.de: Frank-Michael Schlede
Info: Netfox
Tel.: 033203/290600
Web: www.netfox.de
Lesen Sie mehr zum Thema
