Tải bản đầy đủ

Nghiên cứu giải pháp tập trung và ứng dụng quản lý hệ thống mạng trường đại học Hà Nội (tt)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

NGUYỄN THỊ HÀ LY

NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG VÀ ỨNG DỤNG
QUẢN LÝ HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI

CHUYÊN NGÀNH :
MÃ SỐ

:

KHOA HỌC MÁY TÍNH
8.48.01.01

TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT

HÀ NỘI - 2018



Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS. TRẦN QUANG ANH

Phản biện 1: …………………………………………………………
Phản biện 2: ………………………………………………………..

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học
viện Công nghệ Bưu chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

MỞ ĐẦU
Giám sát hệ thống mạng luôn là một vấn đề vô cùng quan trọng đối với bất kỳ
hệ thống mạng nào trên thế giới. Việc cập nhật được tình trạng của từng thành phần
bên trong hệ thống giúp ta chủ động hơn để ứng phó với bất kì vấn đề nào có thể nảy
sinh trong quá trình hệ thống hoạt động. Nếu không có sự giám sát, các hệ thống của
cơ quan tổ chức sẽ luôn thụ động trước những sự cố xảy ra hay đặc biệt hơn là những
can thiệp trái phép từ bên ngoài, gây ra những tổn thất không thể nào đo đếm được.
Ngày nay, các hệ thống mạng thường có những biện pháp bảo vệ an ninh mạng
như firewall, phần mềm diệt virus,... nhưng các giải pháp đó chỉ có tác dụng ở vòng
đai ngoài của hệ thống mạng, nó vô hiệu với các cuộc tấn công backdoor. Hay dù cho
IDS/IPS – hệ thống phát hiện và phòng chống xâm nhập thì cũng không thể phát hiện
những sự cố phát sinh từ bên trong như nghẽn băng thông, sập máy chủ, sập Router,..
Điều đó càng chỉ rõ rằng một hệ thống mạng bất kỳ luôn cần một hệ thống giám sát
phù hợp, cung cấp thông tin định kỳ của hệ thống, giúp người quản trị mạng luôn sẵn
sàng phát hiện các sự cố nhằm khắc phục chúng nhanh nhất và kịp thời nhất, giảm
thiểu chi phí và quy mô sự cố xuống thấp nhất có thể.
Để có thể thực hiện việc giám sát một cách hiệu quả, ISO (International
Organization for Standardization) đã thiết kế một mô hình được gọi là FCAPS [3]
nhằm định hướng rõ những việc mà hệ thống quản lý cần phải thực hiện:
- Quản lý lỗi
- Quản lý cấu hình
- Quản lý tài khoản


- Quản lý hiệu năng
- Quản lý bảo mật
Và bằng các giải pháp giám sát hệ thống mạng thích hợp, hệ thống quản lý sẽ
thu thập được thông tin, dữ liệu và các báo cáo định kì từ các thiết bị được phần mềm
theo dõi, trên cơ sở đó để quản lý toàn bộ hệ thống.
Từ nhu cầu về giám sát hệ thống mạng của các tổ chức, doanh nghiệp và cơ
quan, học viên xin chọn đề tài nghiên cứu “NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT
TẬP TRUNG VÀ ỨNG DỤNG QUẢN LÝ HỆ THỐNG MẠNG TRƯỜNG ĐẠI
HỌC HÀ NỘI”.
2. Tổng quan vấn đề nghiên cứu
Giám sát hệ thống mạng là việc sử dụng một hệ thống để liên tục theo dõi một
thành phần trong mạng máy tính, xem xét tình trạng hoạt động của thành phần đó bên
trong mạng, báo lại cho quản trị viên khi thành phần đang được giám sát phát sinh
vấn đề, sự cố để từ đó đề xuất phương án giải quyết.
Thông thường một mạng máy tính tối thiểu cần có máy chủ (server), đường
truyền, các thiết bị kết nối (Repeater, Hub, Switch, Bridge,...), máy tính người dùng


2

(client), card mạng (Network Interface Card – NIC) để kết nối các máy tính lại với
nhau.
Một hệ thống giám sát gồm có nhiều thành phần: Máy trinh sát (Sensor), Máy
thu thập (Collector), Cơ sở dữ liệu trung tâm và Công cụ phân tích (Analysis tool).
Mỗi một thành phần bao gồm các chức năng riêng, cùng các phương pháp thu thập,
phân tích và liệt kê nhằm đảm bảo đánh giá và phản hồi sự kiện xảy ra trong hệ thống
mạng một cách nhanh chóng và chính xác nhất.
Các sự kiện diễn ra trong các thiết bị đều được ghi lại trong “log”. Log ghi lại
chính xác mọi hoạt động của thiết bị và tình trạng hoạt động của thiết bị. Nhiệm vụ
của hệ thống giám sát mạng là sử dụng máy trinh sát đến các thiết bị cần theo dõi, thu
thập log và gửi về cơ sở dữ liệu trung tâm. Thông qua công cụ phân tích để xác định
sự cố và báo lại cho quản trị viên nhằm có các hành động thích hợp để ứng phó.
Ở một số công ty, doanh nghiệp hiện nay vẫn chưa có hệ thống giám sát nên
khi xảy ra sự cố sẽ gây ra những tổn thất nặng nề. Một vài nơi khác thì đã triển khai
hệ thống giám sát nhưng nó vẫn chưa đủ để đáp ứng nhu cầu của hệ thống. Chẳng
hạn hệ thống Zabbix thì quản lý rất tốt hiệu năng nhưng không thể quản lý các dịch
vụ và hạ tầng. Cacti thì quản lý được hạ tầng, dịch vụ nhưng không thể quản lý được
hiệu năng,... Tựu chung các hệ thống giám sát được xây dựng hiện nay vẫn chưa đủ
khả năng để quản lý toàn vẹn các nhu cầu mà hệ thống đề ra. Do đó, ta cần phải có
một giải pháp giám sát tập trung để có thể đáp ứng được tất cả các bài toán giám sát,
từ đấy có thể quản lý hệ thống một cách hiệu quả.
Tóm lại, giải pháp giám sát tập trung sẽ giải quyết được tất cả các vấn đề mà
một hệ thống giám sát cần phải thực hiện. Với giải pháp này, hệ thống quản lý sẽ
được hoàn thiện hơn bao giờ hết. Và để hiểu rõ giải pháp quản lý tập trung, cần phải
nghiên cứu cả về mặt lý thuyết lẫn triển khai ứng dụng.
3. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của luận văn là khảo sát các yêu cầu và giải pháp giám sát
tập trung, để đưa ra giải pháp giám sát tập trung cho hệ thống mạng tại trường Đại
Học Hà Nội có khả năng triển khai áp dụng trong thực tế.
4. Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu của luận văn là giám sát tập trung và các vấn đề liên
quan tới giám sát tập trung.
Phạm vi nghiên cứu của luận văn là các giải pháp giám sát tập trung và ứng
dụng cho mạng nội bộ trường đại học Hà Nội…
5. Phương pháp nghiên cứu của đề tài.
- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu liên quan đến
giám sát tập trung.
- Về mặt thực nghiệm: Khảo sát hệ thống mạng Trường Đại học Hà Nội và
ứng dụng giải pháp giám sát tập trung phù hợp với nhu cầu của nhà trường.


3

6. Bố cục luận văn
Luận văn được trình bày trong 3 chương:
Chương 1: TỔNG QUAN VỀ GIÁM SÁT TẬP TRUNG VÀ CÁC YÊU
CẦU GIÁM SÁT HỆ THỐNG MẠNG
Nội dung chương 1 của luận văn sẽ khảo sát tổng quan về giám sát tập trung và
các yêu cầu giám sát hệ thống mạng.
Chương 2: NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG
Chương 2 của luận văn tập trung nghiên cứu các giải pháp giám sát, từ đó sẽ
đưa ra giải pháp giám sát tập trung.
Chương 3: XÂY DỰNG HỆ THỐNG GIÁM SÁT TẬP TRUNG CHO HỆ
THỐNG MẠNG CỦA ĐẠI HỌC HÀ NỘI
Chương này nghiên cứu về hệ thống mạng trường Đại Học Hà Nội và đề xuất
ứng dụng giải pháp giám sát tập trung thông qua nghiên cứu từ chương 2 cho hệ
thống mạng nội bộ của trường Đại Học Hà Nội


4

Chương I. TỔNG QUAN VỀ GIÁM SÁT TẬP TRUNG VÀ CÁC YÊU
CẦU GIÁM SÁT HỆ THỐNG MẠNG
1.1 Các yêu cầu giám sát hệ thống mạng
1.1.1 Giới thiệu chung
Giám sát hệ thống mạng là việc sử dụng một hệ thống để liên tục theo dõi một
thành phần trong mạng máy tính, xem xét tình trạng hoạt động của thành phần đó bên
trong mạng, thông báo lại cho quản trị viên khi thành phần đang được giám sát phát
sinh vấn đề.
Thông thường một mạng máy tính tối thiểu cần có máy chủ (Server), đường
truyền, các thiết bị kết nối (Repeater, Hub, Switch, Bridge,...), máy tính người dùng
(Client), card mạng (Network Interface Card – NIC) để kết nối các máy tính lại với
nhau.
Một hệ thống giám sát gồm có nhiều thành phần: Máy trinh sát (Sensor), Máy
thu thập (Collector), Cơ sở dữ liệu trung tâm và Công cụ phân tích (Analysis tool).
- Máy trinh sát (Sensor): là những máy trạm làm nhiệm vụ trinh sát. Thành
phần này sẽ tiếp cận, tương tác với các hệ thống và dịch vụ cần giám sát để nhận biết
trạng thái của những dịch vụ đó.
- Máy thu thập (Collector): Máy thu thập sẽ đọc những thông tin thu được từ
các máy trinh sát và chuẩn hóa thông tin dựa trên những quy tắc chuẩn hóa biết trước.
- Cơ sở dữ liệu trung tâm: là nơi lưu trữ dữ liệu của toàn bộ hệ thống giám sát.
- Công cụ phân tích (Analysis tool): Thành phần này sẽ đọc các dữ liệu từ cơ
sở dữ liệu trung tâm và tính toán để tạo ra bản báo cáo số liệu thống kê trên toàn hệ
thống.
Giới thiệu về log
Log ghi lại liên tục các thông báo về hoạt động của cả hệ thống hoặc của các
dịch vụ được triển khai trên hệ thống và file tương ứng. Log file thường là các file
văn bản thông thường dưới dạng “clear text”, có thể dễ dàng đọc được bằng các trình
soạn thảo văn bản (vi, vim, nano...) hoặc các trình xem văn bản thông thường (cat,
tailf, head...) là có thể xem được file log. Các file log có thể cung cấp các thông tin
cần biết, để giải quyết các vấn đề với các ứng dụng, tiến trình được ghi vào log.
Công dụng của Log


5

- Phân tích nguyên nhân khi có sự cố xảy ra.
- Giúp cho việc khắc phục sự cố nhanh hơn khi hệ thống gặp vấn đề.
- Giúp cho việc phát hiện, dự đoán một vấn đề có thể xảy ra đối với hệ thống.
1.1.2 Các yêu cầu chung khi giám sát hệ thống mạng
Về yêu cầu khi giám sát hệ thống mạng, ISO (International Organization for
Standardization) đã thiết kế một mô hình được gọi là FCAPS nhằm định hướng rõ
những việc mà hệ thống giám sát cần phải quản lý. FCAPS là một mô hình quản lý
mạng viễn thông và cũng là kiến trúc quản lý mạng. FCAPS sẽ phân nhóm các đối
tượng quản lý mạng vào 5 mức (hay mô đun):
- Fault management (Quản lý lỗi)
- Configuration management (Quản lý cấu hình)
- Accounting management (Quản lý tài khoản)
- Performance management (Quản lý hiệu năng)
- Security management (Quản lý bảo mật)
1.2 Tổng quan về giám sát tập trung
Khi giám sát hệ thống mạng, máy chủ giám sát cần phải giám sát rất nhiều các
thành phần để đáp ứng yêu cầu từ hệ thống đặt ra, các thành phần đó là: Người dùng,
Hạ tầng, Dịch vụ, An ninh.
Những thành phần được liệt kê phía trên đều rất quan trọng và cần thiết, nhưng
không phải hệ thống giám sát nào cũng có thể giám sát được tất cả chúng, đó là lúc
giám sát tập trung ra đời. Giám sát tập trung chính là giám sát hệ thống mạng, nhưng
giám sát tập trung sẽ giám sát tất cả các thành phần mà giám sát hệ thống mạng cần
phải giám sát.
Giám sát tập trung cũng có các thành phần tương tự như các hệ thống giám sát
bình thường khác: Máy trinh sát (Sensor), Máy thu thập (Collector), Cơ sở dữ liệu
trung tâm và Công cụ phân tích (Analysis tool) và cách thức hoạt động là hoàn toàn
giống nhau. Tuy nhiên, các thành phần của giám sát tập trung đều cần phải mạnh hơn
rất nhiều so với giám sát từng thành phần chuyên biệt.
1.3 Ứng dụng của giám sát tập trung
Giám sát tập trung được ứng dụng trong việc giám sát tất cả các vấn đề xuất
hiện bên trong hệ thống mạng, giải quyết tất cả các yêu cầu có thể nảy sinh trong vấn
đề giám sát. Giám sát tập trung giúp máy chủ giám sát giải quyết những bài toán sau:


6

- Giám sát hiệu năng hoạt động của máy chủ
- Giám sát lưu lượng, băng thông của đường truyền
- Giám sát người dùng
- Giám sát dịch vụ hệ thống
- Giám sát database
- Giám sát hệ điều hành
- Giám sát an ninh hệ thống mạng
Sử dụng giám sát tập trung, quản trị viên hoàn toàn có thể giám sát mọi vấn đề
trên toàn bộ hệ thống mạng, nhanh chóng xác định, phát hiện sự cố và khắc phục xử
lý.
1.4 Các yêu cầu chung cho giám sát tập trung
Do khối lượng dữ liệu được trao đổi giữa các thành phần trong giám sát tập
trung là vô cùng lớn, vậy nên ngoài vấn đề về việc quản trị viên cần bao quát được hệ
thống, đủ khả năng vận hành và sử dụng hệ thống giám sát tập trung, thì hạ tầng triển
khai giám sát tập trung cần phải đủ mạnh và đáp ứng được các yêu cầu khi hệ thống
giám sát tập trung hoạt động.
- Yêu cầu về thiết bị: Cần có cấu hình phù hợp để vận hành và xây dựng hệ
thống giám sát tập trung.
- Yêu cầu về băng thông đường truyền: Lượng thông tin cần truyền qua lại
giữa các thiết bị trong hệ thống giám sát tập trung là vô cùng nhiều nên băng thông
đường truyền phải đủ lớn để các luồng dữ liệu di chuyển trong hệ thống không bị tắc
nghẽn.
1.5 Tình hình triển khai hệ thống giám sát mạng tại Việt Nam và các vấn
đề liên quan đến giám sát hệ thống mạng trong thực tế.
Ngày nay ở Việt Nam, các tổ chức, doanh nghiệp đều xây dựng, vận hành một
hệ thống mạng của riêng mình. Hệ thống mạng giúp gia tăng khả năng làm việc giữa
các nhân viên, ban ngành với nhau, gia tăng hiệu suất và giúp công ty, tổ chức hoạt
động một cách hiệu quả. Tuy nhiên, khi vận hành hệ thống mạng, có rất nhiều vấn đề
có thể phát sinh làm ảnh hưởng đến khả năng hoạt động của hệ thống. Những vấn đề
đó đến từ nhiều nguyên nhân khác nhau, có thể là hỏng hóc máy móc thiết bị hay lỗi
do người dùng tạo ra. Hệ thống càng lớn, các hoạt động diễn ra bên trong hệ thống
càng nhiều, thì các vấn đề nảy sinh cũng càng tăng theo. Do đó, hệ thống mạng luôn


7

cần có một hệ thống giám sát túc trực, quản lý, dễ dàng phát hiện các sự cố xảy ra
bên trong hệ thống, thông qua đó quản trị viên sẽ đưa ra các biện pháp ứng phó.
Nhưng hiện tại, nhiều doanh nghiệp tại Việt Nam đã hoàn toàn bỏ qua vấn đề giám
sát hệ thống. Theo số liệu thống kê, chỉ có khoảng 30% các công ti, doanh nghiệp
hiện nay sử dụng hệ thống giám sát. Điều này làm cho hệ thống mạng của công ty,
doanh nghiệp luôn luôn trong trạng thái bị động, khi xảy ra sự cố không thể ngay lập
tức ứng phó, gây rất nhiều hậu quả và tổn thất nặng nề. Hiện nay, trên thị trường đã
có những giải pháp cung cấp cho công ti, doanh nghiệp phần mềm xây dựng hệ thống
giám sát. Tuy nhiên, với hệ thống giám sát tính phí (như Splunk) thì họ không muốn
phải bỏ ra một khoản tiền lớn đề đầu tư vào đó. Do đó các công ti, doanh nghiệp hiện
nay đang có xu hướng sử dụng phần mềm giám sát mã nguồn mở như Zabbix,
Nagios,... Nhưng các công cụ mã nguồn mở phổ biến hiện nay còn đang rất sơ sài,
chưa được tối ưu hóa, khả năng sử dụng còn nhiều yếu kém, chưa giám sát bao quát
được toàn bộ hệ thống.
Từ tình hình trên, việc xây dựng hệ thống giám sát mạng, đặc biệt là giám sát
tập trung để quản lý hệ thống mạng đang ngày cảng trở nên cấp thiết hơn bao giờ hết.
1.6 Kết luận
Trong chương 1, luận văn đã nghiên cứu tổng quan về giám sát tập trung và
các yêu cầu giám sát hệ thống mạng, cũng như các vấn đề liên quan đến xây dựng hệ
thống giám sát trong thực tế.
Trên cơ sở các nội dung đã trình bày trong chương 1, các bài toán giám sát mà
hệ thống giám sát tập trung có thể giải quyết sẽ được đề ra và nghiên cứu trong
chương 2 của luận văn.


8

Chương II. NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG
2.1 Các giải pháp giám sát
2.1.1 Giải pháp giám sát hiệu năng hoạt động của máy chủ
Giám sát hiệu năng của máy chủ là giám sát lượng tài nguyên đang được sử
dụng bên trong máy chủ, từ đó phát hiện các sự cố liên quan đến hiệu năng hoạt động
và đề ra các phương án giải quyết. Nói đến các tài nguyên phần cứng của máy chủ,
cần phải xét tới những thành phần như CPU, RAM và Ổ cứng. Mỗi 1 thành phần đều
có một mức ngưỡng riêng được đặt ra để quản trị viên có thể phát hiện thành phần
đang xét có gặp sự cố hay không. Sử dụng công cụ giám sát, quản trị viên sẽ theo dõi
và nhanh chóng phát hiện đưa ra biện pháp xử lý thích hợp khi có vấn đề xảy ra liên
quan đến hiệu năng hoạt động của máy chủ.
2.1.2 Giải pháp giám sát lưu lượng và băng thông đường truyền
Giám sát lưu lượng và băng thông đường truyền là một giải pháp cho phép
người quản trị có thể kiểm soát được lưu lượng dữ liệu đang được sử dụng trên
đường truyền, phát hiện ra những node chiếm nhiều băng thông đường truyền gây ra
tắc nghẽn mạng, từ đó đề ra phương pháp giải quyết vấn đề. Khi giám sát lưu lượng
trong hệ thống mạng, quản trị viên cần phải giám sát lưu lượng vào ra của các máy
chủ. Khi cài đặt công cụ giám sát, công cụ sẽ thu thập các thông tin liên quan đến số
lượng các gói tin (traffic) mà máy chủ đã gửi đi và nhận được. Từ những thông tin
trên, quản trị viên có thể tính toán và đặt mức ngưỡng để cảnh báo khi sự cố xảy ra.
2.1.3 Giải pháp giám sát người dùng
Giải pháp giám sát người dùng là giám sát những hoạt động được thực hiện tại
các thiết bị đầu cuối bên phía người dùng. Quản trị viên cần quản trị những thông số
sau: số lần đăng nhập, thời gian sử dụng dịch vụ và các hoạt động truy cập dịch vụ.
Từ đó xây dựng nên các phương pháp xử lý cụ thể.
2.1.4 Giải pháp giám sát dịch vụ
Giải pháp giám sát dịch vụ là giải pháp giám sát các trạng thái hoạt động của
dịch vụ và số lượng phiên kết nối từ người dùng đến dịch vụ. Quản trị viên sẽ đặt
cảnh báo khi một dịch vụ nào đó ngưng hoạt động thông qua công cụ giám sát, tìm
hiểu nguyên nhân tại sao dịch vụ không hoạt động và xử lý. Về số lượng phiên kết


9

nối từ người dùng đến dịch vụ, tùy vào mức độ số lượng phiên mà từng dịch vụ có
thể tiếp nhận để đặt mức ngưỡng cảnh báo phù hợp.
2.1.5 Giải pháp giám sát Database
Giải pháp giám sát database là giải pháp giám sát hệ cơ sở dữ liệu trong hệ
thống mạng. Khi nói đến hệ cơ sở dữ liệu, nó bao gồm 2 thành phần là cơ sở dữ liệu
và hệ quản trị cơ sở dữ liệu.Vậy khi giám sát hệ cơ sở dữ liệu, quản trị viên cần phải
giám sát được 2 thành phần trên. Do hệ quản trị cơ sở dữ liệu được sử dụng nhằm
mục đích quản lý cơ sở dữ liệu nên hệ thống giám sát chỉ cần giám sát được hệ quản
trị cơ sở dữ liệu thì sẽ giám sát được cơ sở dữ liệu nằm bên trong. Từ các chức năng
của hệ quản trị cơ sở dữ liệu, những hoạt động cần được giám sát là truy vấn (đọc,
sửa, xóa,...), lưu trữ và đăng nhập. Thông qua các hoạt động này, quản trị viên sẽ đặt
ngưỡng và đề ra phương pháp xử lý khi có sự cố.
2.1.6 Giải pháp giám sát hệ điều hành
Giải pháp giám sát hệ điều hành là giải pháp giám sát các vấn đề liên quan đến
hệ điều hành. Hệ điều hành được phân ra thành 2 loại là hệ điều hành mã nguồn mở
(Linux) và hệ điều hành Windows. Mỗi một loại hệ điều hành đều có cách giám sát
khác nhau. Sau khi đã thu thập được các thông tin, sự kiện diễn ra trong hệ điều hành,
quản trị viên cần đặt cảnh báo khi xuất hiện các sự kiện báo lỗi được gửi về máy chủ
giám sát, từ đó đưa ra biện pháp xử lý thích hợp.
2.1.7 Giải pháp giám sát an ninh hệ thống mạng
Giải pháp giám sát an ninh hệ thống mạng là giải pháp giám sát các vấn đề liên
quan đến tình trạng an ninh hệ thống, các kết nối trái phép, các cuộc tấn công vào hệ
thống,... Những vấn đề này phụ thuộc vào những giải pháp bảo mật an ninh mà hệ
thống mạng đang triển khai và sử dụng. Các giải pháp bảo mật an ninh mạng mà các
hệ thống thường sử dụng là firewall và IDS/IPS. Mỗi một giải pháp đề có cách riêng
để thu thập thông tin cũng như sự khác nhau về các đối tượng cần giám sát. Quản trị
viên cần đặt những ngưỡng để phát hiện sự cố và cách xử lý riêng khi gặp sự cố đối
với mỗi giải pháp bảo mật khi giám sát an ninh hệ thống mạng.


10

2.2 Giới thiệu một số công cụ giám sát:
2.2.1 Splunk
Splunk là một phần mềm giám dựa trên việc phân tích Log. Splunk thực hiện
các công việc tìm kiếm, giám sát và phân tích các dữ liệu lớn được sinh ra từ các ứng
dụng, các hệ thống và các thiết bị hạ tầng mạng. Splunk được xây dựng dựa trên nền
tảng Lucene và MongoDB với một giao diện web hết sức trực quan cùng rất nhiều
các tính năng hữu ích khác: hỗ trợ nhiều loại log, thu thập được từ nhiều nguồn, cơ sở
dữ liệu thời gian thực,... Tuy nhiên, Splunk là phần mềm trả phí, cần phải chi trả một
khoản kinh phí lớn. Dù cho Splunk có phiên bản miễn phí, nhưng thiếu chức năng và
không thể tùy chỉnh.
2.2.2 Zabbix
Zabbix là một phần mềm doanh nghiệp mã nguồn mở giám sát mạng và ứng
dụng, được tạo ra bởi Alexei Vladishev và được công bố lần đầu tiên vào năm 2001.
Nó được thiết kế để giúp quản trị mạng giám sát và theo dõi tình trạng của các dịch
vụ mạng, máy chủ và phần cứng mạng khác một cách thông minh nhằm đảm bảo hệ
thống luôn luôn được ổn định. Zabbix có nhiều tính năng như giám sát cả máy chủ
lẫn thiết bị mạng, dễ thao tác, cấu hình, mã nguồn mở nên chi phí thấp,… nhưng hiệu
suất hoạt động còn thấp, chỉ mạnh trong giám sát hiệu năng mạng và không thể tùy
chỉnh.
2.2.3 Nagios
Nagios là 1 công cụ giám sát nguồn mở giúp giám sát hạ tầng mạng. Phần
mềm ra mắt vào năm 1999, được bảo trợ bởi Nagios Enterprises. Nagios có thể đưa
ra cảnh báo tới người dùng khi hệ thống gặp sự cố. Phần mềm được thiết kế với khả
năng mở rộng, tính linh hoạt cao, plugin đơn giản, dễ phát triển nhưng Nagios chỉ
giám sát được dịch vụ mạng và các host, khả năng tối ưu hóa không cao và không thể
tùy chỉnh.
2.2.4 HP ArcSight Logger
HP ArcSight Logger là một sản phẩm trong bộ sản phẩm ArcSight của Hp. Nó
cung cấp một giải pháp hiệu quả về trong việc quản lý log. Nó có khả năng thu thập,
phân tích và lưu trữ với một khối lượng Log lớn với nhiều loại định dạng khác nhau.


11

Nó hỗ trợ việc triển khai hệ thống dưới nhiều hình thức như thiết bị, phần mềm, máy
ảo hoặc các dịch vụ đám mây. Nhưng một nhược điểm lớn của sản phẩm này là hiệu
năng xử lý phụ thuộc vào thiết bị giám sát của hãng cung cấp, muốn nâng cấp phải
mua thiết bị mới, làm chi phí đầu tư tốn kém, đắt đỏ.
2.2.5 PRTG Network Monitor
PRTG Network Monitor là 1 sản phẩm của tập đoàn công nghệ phần mềm
Paessler, thành lập từ năm 1997. Hiện nay PRTG đang có mặt trên thị trường quốc tế
tại nhiều thị trường, hỗ trợ các đối tác và khách hàng trên toàn cầu. PRTG Network
Monitor là hệ thống giám sát mạng, server nói chung & lưu lượng băng thông nói
riêng nổi tiếng trên thế giới thuộc công ty Paessler AG, có trụ sở đặt tại thành phố
Nuremberg, Đức. Có hai phiên bản của PRTG đó là Network Monitor và Traffic
Grapher. Cả hai sản phẩm này đều có các phiên bản miễn phí và phiên bản thương
mại. Tuy vậy, bản miễn phí thiếu xót rất nhiều chức năng và không thể tùy chỉnh.
2.2.6 ELK stack
ELK là viết tắt của tập hợp 3 phần mềm cốt lõi đi kèm với nhau, phục vụ cho
công việc giám sát hệ thống. Ba phần mềm này lần lượt là Elasticsearch, Logstash và
Kibana. Đây là bộ công cụ giám sát tập trung mã nguồn mở rất mạnh, có thể xử lý rất
nhiều bài toán quản lý hệ thống mạng nên rất được các công ty, tổ chức tin dùng.
Lý do chọn phần mềm ELK stack:
- ELK stack là phần mềm mã nguồn mở, không tốn nhiều chi phí khi triển khai.
- ELK mới được phát triển mạnh gần đây, nên cộng đồng hỗ trợ rất đông đúc
và mạnh mẽ.
- Thu thập được log từ rất nhiều nguồn khác nhau: log hệ thống, log ứng dụng,
log thiết bị mạng, log snmp, log từ các hệ thống API (Application Programming
Interface)…
- Khả năng tương thích cao, dễ dàng tích hợp với các hệ thống khác mà không
gặp khó khăn.
- Giao diện Kibana trực quan, sinh động.
- Phương tiện cảnh báo đa dạng, tích hợp với email, sms, slack, các ứng dụng
OTP (One Time Password) như Telegram, Whatsapp,...


12

- Hiệu năng xử lý cao, có thể chịu tải được một lượng lớn dữ liệu (log) đẩy về
mà không phải quá phụ thuộc vào khả năng xử lý của phần cứng.
- Giải quyết được hầu hết các bài toán trong giám sát hệ thống mạng: giám sát
hạ tầng, giám sát dịch vụ, giám sát an ninh, giám sát người dùng,... Đây là đặc điểm
chính giúp cho ELK trong tương lai sẽ được các công ty và tổ chức sử dụng để triển
khai hệ thống giám sát tập trung bên trong hệ thống mạng của họ.
Các thành phần chính trong ELK stack gồm 4 thành phần:
- Elasticsearch: Dùng để tìm kiếm và query log
- Logstash: Tiếp nhận log từ nhiều nguồn, sau đó xử lý log và ghi vào cơ sở
dữ liệu.
- Kibana: Giao diện để quản lý, thống kê log. Đọc thông tin từ Elasticsearch.
- Beats: Một tập các công cụ chuyên dùng để thu thập dữ liệu cực mạnh.
Elasticsearch
Đầu tiên cần hiểu ElasticSearch là một công cụ tìm kiếm cấp doanh nghiệp
(enterprise-level search engine). Mục tiêu của nó là tạo ra một công cụ, nền tảng hay
kỹ thuật tìm kiếm và phân tích trong thời gian thực (ý nói ở đây là nhanh chóng và
chính xác), cũng như cách để nó có thể áp dụng hay triển khai một cách dễ dàng vào
nhiều nguồn dữ liệu (data sources) khác nhau. Nguồn dữ liệu nói ở trên trên bao gồm
các cơ sở dữ liệu nổi tiếng như MS SQL, PostgreSQL, MySQL, ...
Một số đặc điểm về ElasticSearch:
- Elasticsearch là một search engine.
- Elasticsearch được xây dựng để hoạt động như một server cloud
- Phát triển bằng ngôn ngữ Java.
- Là phần mềm open-source được phát hành theo giất phép của Apache
License.
- Elasticsearch có thể tích hợp được với tất cả các ứng dụng sử dụng các loại
ngôn ngữ: Java, JavaScript, Groovy, .NET, PHP, Perl, Python, Ruby
Logstash
Logstash là một công cụ thu thập dữ liệu mã nguồn mở với khả năng
pipelining thời gian thực. Logstash có thể tự động thu thập dữ liệu từ nhiều nguồn


13

khác nhau và chuẩn hóa dữ liệu đó phụ thuộc vào đích đến của dữ liệu. Logstash
thường sử dụng giao thức Syslog hay SNMP để có thể thu thập log. Đây là 2 giao
thức chính thường được sử dụng trong các hệ thống giám sát nhằm thu thập các thông
tin và đẩy dữ liệu về máy chủ giám sát.
Syslog là một giao thức client/server. Đây là giao thức dùng để chuyển log và
thông điệp đến máy nhận log. Máy nhận log thường được gọi là syslogd, syslog
daemon hoặc syslog server. Syslog có thể gửi qua UDP hoặc TCP. Các dữ liệu được
gửi dạng cleartext. Syslog dùng cổng 514.
SNMP viết tắt của Simple Network Management Protocol, là một giao thức
chuyên được sử dụng trong vấn đề quản lý, giám sát hệ thống mạng. SNMP có những
quy định riêng, những thành phần riêng để các thành phần trong hệ thống mạng có
thể tuân theo, từ đó thu thập được các log trong hệ thống mạng để quản lý, giám sát.
SNMP sử dụng UDP, chạy trên cổng 161 hoặc 162.
Kibana
Kibana là một nền tảng phân tích và trực quan mã nguồn mở được thiết kế để
làm việc với Elasticsearch. Ta sử dụng Kibana để tìm kiếm, xem và tương tác với dữ
liệu được lưu trữ trong Elasticsearch. Từ đó dễ dàng thực hiện phân tích dữ liệu và
trực quan hóa dữ liệu của mình thông qua biểu đồ, bảng.
Kibana giúp nắm bắt nhanh chóng các dữ liệu có khối lượng lớn. Giao diện
đơn giản, dựa vào trình duyệt cho phép nhanh chóng hiển thị các thay đổi khi truy
vấn Elasticsearch trong thời gian thực.
Beats
Beats là một tập hợp các công cụ thu thập thông tin chuyên dụng, được biết
đến như là các Shipper (người vận chuyển) giúp thu thập và gửi dữ liệu từ Client tới
máy chủ ELK.
Trong Beats có rất nhiều các Beat “con”, cụ thể:
- Filebeat: đây là công cụ chuyên dùng để thu thập log và gửi log về cho hệ
thống ELK.


14

- Metricbeat: đây là công cụ chuyên dùng để thu thập hiệu năng của máy chủ.
Ngoài hiệu năng phần cứng máy chủ, Metricbeat có thể khai thác thông tin các dịch
vụ hay của database.
- Packetbeat: công cụ này sử dụng để giám sát lưu lượng và băng thông trên
các máy chủ.
- Winlogbeat: thu thập những sự kiện xảy ra bên trong hệ điều hành Windows.
- Auditbeat: Auditbeat giúp quản lý các folder, các tập tin hệ thống trong hệ
điều hành Linux.
- Heartbeat: công cụ Heartbeat được sử dụng nhằm giúp cho hệ thống giám
sát có thể biết được trạng thái dịch vụ đó có còn hoạt động hay không.
Tổng kết
Sử dụng các Beats, Logstash – thông qua giao thức Syslog và SNMP, để thu
thập nhiều loại thông tin, Elasticsearch giúp việc tìm kiếm trở nên hiệu quả hơn cùng
Kibana với khả năng phân tích mạnh mẽ và biểu diễn trực quan, ELK stack là một
công cụ tuyệt vời trong giám sát hệ thống mạng nói chung và giám sát tập trung nói
riêng.
2.3 Kết luận
Trong chương 2, luận văn đã nghiên cứu các giải pháp giám sát mà giám sát
tập trung cần phải đáp ứng và thực hiện. Mỗi một giải pháp sẽ giám sát một thành
phần nhất định trong hệ thống mạng. Từ các thành phần cần giám sát, luận văn đã
đưa ra giải pháp áp dụng công cụ để giám sát tập trung trong thực tế.
Trong chương 3, luận văn sẽ ứng dụng giải pháp giám sát tập trung để xây
dựng hệ thống giám sát cho hệ thống mạng trường Đại học Hà Nội.


15

Chương III. XÂY DỰNG HỆ THỐNG GIÁM SÁT TẬP TRUNG
CHO HỆ THỐNG MẠNG CỦA ĐẠI HỌC HÀ NỘI
Chương 3 của luận văn sẽ nghiên cứu đề xuất một số giải pháp giám sát tập
trung cho hệ thống mạng của đại học Hà Nội. Luận văn cũng thực hiện một số thử
nghiệm đánh giá hiệu quả các giải pháp giám sát tập trung. Kết quả thử nghiệm
được trình bày trong phần phụ lục.
3.1 Khảo sát mạng nội bộ Đại Học Hà Nội (sau khi đã xin phép nhà
trường và được sự đồng ý từ ban giám hiệu)
3.1.1 Mô hình kiến trúc, các chức năng và trang thiết bị mạng hiện có của
hệ thống mạng trường Đại học Hà Nội
Mô hình mạng nội bộ của trường Đại học Hà Nội:

Hình 3.1: Mô hình hoạt động của hệ thống mạng hiện tại trường Đại học Hà Nội
Hệ thống sử dụng kiến trúc mô hình mạng Client - Server nhằm chia sẻ dữ liệu
từ các máy chủ tới các máy con. Đồng thời với kiến trúc mạng hình sao ở các tầng, ta
sẽ đạt được tốc độ nhanh nhất có thể, kiểm soát tốt khi xảy ra lỗi cũng như mở rộng
tùy ý muốn.
Hạ tầng mạng được phân cấp: máy tính của các phòng ban sẽ kết nối tới các
Switch của các tầng, từ Switch các tầng kết nối tới Switch tổng của tòa nhà. Sau đó


16

Switch tòa nhà sẽ kết nối tới Switch tổng. Switch tổng kết nối tời Firewall rồi mới tới
thiết bị cần bằng tải và ra ngoài Internet.
Hệ thống máy chủ Web, Mail, File và máy chủ giám sát tập trung dự kiến sẽ
kết nối vào Core Switch. Hệ thống Core Switch đặt sau Firewall nên rất an toàn. Từ
Firewall sẽ thông qua thiết bị cân bằng tải để ra ngoài Internet.
Về trang thiết bị và số lượng người sử dụng:
- Số lượng phòng ban và các khoa sử dụng máy tính là 52.
- Tổng số máy tính cho cán bộ nhân viên là 1200, tổng máy tính cho sinh viên
học là 800, chia làm 6 phòng học đặt ở tòa nhà D1 có 2 phòng, nhà C có 3 phòng,
Thư viện có 1 phòng.
- Số lượng máy chủ là 13 máy đặt tập trung: 2 máy quản lý File Server, 3 máy
quản lý đề thi, 2 máy quản lý nhân sự, 3 máy chủ chạy Website của nhà trường và các
phòng ban, 2 máy chủ chạy Email, 1 máy chủ chạy DHCP và DNS
- Số lượng thiết bị cân bằng tải đường truyền Internet là 1: PBL 210.
- Số lượng Firewall là: 2 Fortinet FG-600D chạy cân tải HA Firewall
- Số lượng Switch layer 3 là: 2 Switch 3850 chạy Stack Switch
- Số lượng Switch ở các tòa nhà và các tầng là 54 Access Switch và 8
Distribution Swich.
- Số lượng tổng đài nội bộ dùng IP là 1
- Số lượng Camera sử dụng 300 chiếc.
- Số lượng đường truyền là 2 ra ngoài Internet: Viettel và Fpt
3.1.2 Yêu cầu sử dụng
- Hệ thống phải luôn kết nối được Internet.
- Hệ thống Firewall phải bảo vệ hệ thống máy chủ và người dùng 24/7 .
- Các dịch vụ File, Mail, Web luôn phải ổn định để Sinh viên cũng như các cán
bộ trong trường có thể sử dụng. Luôn luôn kiểm soát được số lượng người truy cập
dịch vụ.
- Dữ liệu tại các phòng ban phải được tập trung, không phân tán, dễ quản lý,
được phân quyền phù hợp với chức trách.


17

- Khả năng cung ứng cao, đáp ứng được một lượng lớn kết nối vào trong hay ra
ngoài mạng mà vẫn giữ được sự ổn định.
- Có khả năng mở rộng trong tương lai.
3.1.3 Hiện trạng các vấn đề liên quan trong quá trình vận hành, khai thác
mạng nội bộ tại trường Đại học Hà Nội
- Do một số tòa nhà có số lượng người dùng lớn dẫn tới lưu lượng sử dụng đổ
về Switch tổng cao nhưng không giám sát được phòng ban nào dùng nhiều, gây tắc
nghẽn và treo ở một số tòa nhà.
- Vào thời gian cao điểm từ 8h30 tới 10h sáng, số lượng người truy cập máy
chủ là rất lớn, nhưng không đo lường, kiểm soát được hiệu năng của máy chủ dẫn tới
không phân luồng kịp thời lưu lượng về máy chủ gây ra chậm hoặc treo ở một số thời
điểm.
- Một số phòng ban máy tính bị Virus nhưng không phát hiện được kịp thời
dẫn tới rất dễ lây lan toàn hệ thống nhà trường.
3.2 Đề xuất giải pháp giám sát tập trung cho mạng nội bộ tại trường đại
học Hà Nội
Để giám sát tập trung, đồng thời kịp đánh giá các trạng thái hoạt động cho hệ
thống mạng, em đề xuất giải pháp cài đặt bộ công cụ giám sát tập trung ELK stack để
xử lý các bài toán cần phải giám sát. Máy chủ cài đặt ELK cần xây dựng bên trong hệ
thống máy chủ, cạnh các máy chủ dịch vụ khác như Web, Mail, File như sơ đồ ở
phần trên. Làm như vậy vừa để bảo vệ máy chủ giám sát do có Firewall ở sau Core
Switch, vừa thuận tiện cho việc giám sát các máy chủ, dịch vụ,... của nhà trường.
3.2.1 Giám sát hiệu năng phần cứng máy chủ
- Sử dụng công cụ Metricbeat thu thập các thông tin về hiệu năng của phần
cứng.
3.2.2 Giám sát lưu lượng băng thông, đường truyền
- Sử dụng công cụ Packetbeat thống kê lưu lượng và băng thông mà các máy
chủ đang sử dụng.
- Cấu hình Switch, Router tự động gửi syslog về máy chủ ELK.


18

3.2.3 Giám sát người dùng
- Sử dụng Winlogbeat kiểm soát các lượt đăng nhập của người dùng trên các
dịch vụ cần đăng nhập như dịch vụ AD (Active Directory).
3.2.4 Giám sát dịch vụ
- Sử dụng Metricbeat giám sát dịch vụ web, dịch vụ chạy trên hệ điều hành
Windows,...
3.2.5 Giám sát Database
- Sử dụng Metricbeat giám sát Database.
3.2.6 Giám sát Hệ điều hành
- Sử dụng Winlogbeat để thu thập log hệ điều hành Windows, Filebeat để thu
thập log hệ điều hành Linux.
3.2.7 Giám sát an ninh
- Cấu hình Firewall Fortinet gửi syslog về các sự kiện diễn ra trên nó đến máy
chủ ELK.
3.3 Thử nghiệm và đánh giá một số giải pháp bảo mật đề xuất
3.3.1 Nội dung thử nghiệm
Luận văn thực hiện thử nghiệm một số nội dung sau đây
- Cài đặt máy chủ giám sát tập trung ELK.
- Cài đặt Metricbeat giám sát hiệu năng phần cứng, dịch vụ, database.
- Cài đặt Packetbeat giám sát lưu lượng băng thông máy chủ
- Cài đặt Filebeat giám sát hệ điều hành Linux
- Cài đặt Winlogbeat giám sát truy cập người dùng đến Active Directory, hệ
điều hành Windows.
- Cấu hình Switch, Router gửi syslog về máy chủ ELK.
- Cấu hình Firewall Fortinet gửi syslog về máy chủ ELK.
- Cấu hình ngưỡng, cảnh báo trong ELK.
Mục đích của thử nghiệm là thực hiện một số cài đặt phần mềm nhằm mô
phỏng giải pháp giám sát tập trung thông qua bộ công cụ giám sát tập trung ELK. Từ
đó có cơ sở để đề xuất triển khai trong thực tế.


19

(1) Cài đặt máy chủ giám sát tập trung ELK
Ta sẽ tiến hành cài đặt máy chủ ELK, nơi sẽ nhận lượng thông tin đổ về từ các
máy thu thập, lưu trữ và phân tích chúng. Ta cần phải đảm bảo đường truyền mạng
ổn định, các kết nối tới các máy giám sát đều không gặp trục trặc.
(2) Cài đặt Metricbeat giám sát hiệu năng phần cứng, dịch vụ, database
Ta sẽ cài đặt công cụ Metricbeat và cấu hình để thu thập các thông tin về hiệu
năng máy chủ, dịch vụ web, database và gửi về máy chủ giám sát ELK để phân tích.
(3) Cài đặt Packetbeat giám sát lưu lượng băng thông máy chủ
Ta sẽ cài đặt công cụ Packetbeat và cấu hình để thu thập các thông tin về lưu
lượng băng thông máy chủ và gửi về máy chủ giám sát ELK để phân tích.
(4) Cài đặt Filebeat giám sát hệ điều hành Linux
Ta sẽ cài đặt công cụ Filebeat và cấu hình để thu thập các thông tin về hệ điều
hành Linux và gửi về máy chủ giám sát ELK để phân tích.
(5) Cài đặt Winlogbeat giám sát truy cập người dùng đến Active Directory,
hệ điều hành Windows.
Ta sẽ cài đặt công cụ Winlogbeat và cấu hình để thu thập các thông tin về hệ
điều hành Windows, truy cập của người dùng đến máy chủ Active Directory và gửi
về máy chủ giám sát ELK để phân tích.
(6) Cấu hình Switch, Router gửi syslog về máy chủ ELK
Switch, Router đã có sẵn hệ thống syslog lưu trữ sự kiện bên trong thiết bị.
Nhiệm vụ của ta là cấu hình để Switch, Router có thể gửi syslog về cho máy chủ
ELK. Ngoài ra, cần cấu hình máy chủ ELK để có thể nhận được syslog của Switch và
Router gửi tới.
(7) Cấu hình Firewall Fortinet gửi syslog về máy chủ ELK
Thử nghiệm sẽ cấu hình syslog của Firewall Fortinet gửi về cho máy chủ ELK.
Ta cũng cần phải cấu hình máy chủ ELK để nhận syslog của Firewall Fortinet.
(8) Cấu hình ngưỡng, cảnh báo trong ELK
Thử nghiệm sẽ trình bày cách cấu hình đặt ngưỡng, cảnh báo khi vượt ngưỡng
trên máy chủ ELK thông qua Module X-pack. Tuy nhiên Module này cần phải mất


20

phí và chỉ có 30 ngày dùng thử. Việc sử dụng trong thực tế tùy thuộc về quyết định
của nhà trường.
Chi tiết của nội dung thử nghiệm, cách cài đặt và các bước tiến hành thử
nghiệm được trình bày trong phần phụ lục.
3.3.2 Kết quả thử nghiệm và đánh giá
Chi tiết kết quả thử nghiệm trình bày trong phần phụ lục. Tất cả các thử
nghiệm trên đều cho kết quả khả quan cũng như vận hành tốt, ổn định, đáp ứng được
các yêu cầu giám sát tập trung.
Các giải pháp đã thử nghiệm có thể ứng dụng cho mạng nội bộ tại trường Đại
học Hà Nội và đáp ứng được các nhu cầu của quá trình đào tạo, quản lý trong nhà
trường.
3.4 Kết luận chương 3
Chương 3 của luận văn đã khảo sát mạng nội bộ tại trường Đại học Hà Nội,
các vấn đề nảy sinh trong quá trình sử dụng và các yêu cầu trong giám sát hệ thống
mạng nhằm đáp ứng nhu cầu đào tạo của nhà trường.
Luận văn cũng đề xuất giải pháp giám sát tập trung cho hệ thống mạng nội bộ của
trường Đại học Hà Nội. Các kết quả thử nghiệm cho thấy các giải pháp bảo mật đề
xuất có thể triển khai trong thực tế và phù hợp với các yêu cầu đề ra.


21

KẾT LUẬN
Các kết quả đạt được của luận văn:
Với mục tiêu nghiên cứu giải pháp giám sát tập trung và ứng dụng tại Trường
Đại học Hà Nội, luận văn đã đạt được một số kết quả sau đây:
- Khảo sát các giải pháp giám sát tập trung
- Khảo sát các yêu cầu xây dựng hệ thống giám sát tập trung
- Nghiên cứu các giải pháp giám sát tập trung
- Đề xuất giải pháp giám sát tập trung có thể triển khai cho hệ thống mạng
trường Đại Học Hà Nội.
Hướng phát triển tiếp theo:
Học viên sẽ tiếp tục nghiên cứu, hoàn thiện giải pháp giám sát tập trung để có
thể triển khai một cách hiệu quả trong thực tế.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×