Để phát hiện và ngăn chặn các sự cố, cần thiết việc có một hệ thống giám sát mạng network monitor system.. Hệ thống giám sát mạng sẽ phân tích hoạt động và hiệu suất của công nghệ, đồng
Trang 1TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT
BỘ MÔN MẠNG MÁY TÍNH _
TIỂU LUẬN MÔN HỌC
QUẢN TRỊ HỆ THỐNG + BTL
Họ và tên:
Mã số sinh viên: 1
Lớp:
Cán bộ giảng dạy :
Hà Nội - 2021
Trang 2MỤC LỤC
MỤC LỤC 1
LỜI MỞ ĐẦU 2 CHƯƠNG 1 TÌM HIỂU VỀ GIÁM SÁT MẠNG 3 1.1 Giới thiệu về giám sát mạng 3
1.2 Hệ thống giám sát mạng 3
1.2.1 Các thành phần 3
1.2.2 Cơ chế hoạt động 4
1.2.3 Yêu cầu với hệ thống mạng 6
1.3 Vai trò 6
1.4 Yêu cầu với hệ thống giám sát mạng 7
CHƯƠNG 2 TRIỂN KHAI SỬ DỤNG CÔNG CỤ MICROSOFT NETWORK MONITOR TRÊN WINDOWS SERVER 2016 9 2.1 Giới thiệu về Network Monitor 9
2.2 Cài đặt Network Monitor 9
2.3 Sử dụng Network Monitor 10 KẾT LUẬN 18
TÀI LIỆU THAM KHẢO 19
Trang 3LỜI MỞ ĐẦU
Ngày nay, việc áp dụng công nghệ vào các doanh nghiệp trở nên phổ biến hơn bao giờ hết Trong hầu hết các trường hợp, việc các thiết bị, mạng và hệ thống hoạt động tốt cũng trở thành chìa khóa giúp cho doanh nghiệp hoạt động hiệu quả Tuy nhiên, ngay cả khi công nghệ là yếu tố thiết yếu trong công việc của một doanh nghiệp, điều đó không có nghĩa là nó luôn luôn hoạt động an toàn và ổn định Những lỗi làm phát sinh các sự cố nghiêm trọng có thể xuất hiện bất cứ lúc nào Do cơ sở hạ tầng máy tính đóng vai trò vô cùng quan trọng, cho nên chúng ta cần phải kiểm soát hoạt động chính xác của nó, để khi xảy ra lỗi không gây ảnh hưởng đến các dịch vụ được cung cấp cho người dùng
Để phát hiện và ngăn chặn các sự cố, cần thiết việc có một hệ thống giám sát mạng (network monitor system) Các hệ thống giám sát chịu trách nhiệm kiểm soát công nghệ được công ty sử dụng (bao gồm: phần cứng, mạng, thông tin liên lạc, hệ điều hành, ứng dụng, ) Hệ thống giám sát mạng sẽ phân tích hoạt động và hiệu suất của công nghệ, đồng thời phát hiện và cảnh báo về các lỗi có thể xảy ra Một hệ thống tốt có thể giám sát các thiết bị, cơ sở hạ tầng, ứng dụng, dịch vụ và thậm chí cả quy
trình kinh doanh Chính vì thế, em quyết định lựa chọn đề tài: “Nghiên cứu và triển
khai công cụ giám sát mạng trên Windows Server 2016”.
Trang 4CHƯƠNG 1 TÌM HIỂU VỀ GIÁM SÁT MẠNG
1.1 Giới thiệu về giám sát mạng
Giám sát mạng là thuật ngữ thường được sử dụng trong quản trị mạng máy tính Giám sát mạng cung cấp cho người quản trị mạng (qua email, tin nhắn SMS hoặc các báo động khác) để xem liệu mạng hiện tại có đang hoạt động tối ưu hay không Các quản trị viên mạng dựa vào hệ thống giám sát mạng để giúp họ nhanh chóng phát hiện các lỗi thiết bị hoặc kết nối hoặc các vấn đề như tắc nghẽn lưu lượng hạn chế luồng dữ liệu, đồng thời có thể phân tích hiệu suất mạng dựa trên thông tin chi tiết thiết thực Khi phát hiện có vấn đề phát sinh trong hệ thống mạng hoặc có mối đe dọa từ bên ngoài
Thông thường một hệ thống mạng máy tính thường có rất nhiều thành phần, thiết
bị kết nối lại với nhau Do đó, việc giám sát mạng đóng vai trò quan trọng để có thể duy trì hệ thống mạng hoạt động một cách ổn định, trơn tru và hiệu quả
1.2 Hệ thống giám sát mạng
1.2.1 Các thành phần
Một hệ thống giám sát mạng gồm có nhiều thành phần: Máy trinh sát (Sensor), Máy thu thập (Collector), Cơ sở dữ liệu trung tâm và Công cụ phân tích (Analysis tool) Mỗi một thành phần bao gồm các chức năng riêng, cùng các phương pháp thu thập, phân tích và liệt kê nhằm đảm bảo đánh giá và phản hồi sự kiện xảy ra trong hệ thống mạng một cách nhanh chóng và chính xác nhất:
Máy trinh sát (Sensor): là những máy trạm làm nhiệm vụ trinh sát Thành phần này sẽ tiếp cận, tương tác với các hệ thống và dịch vụ cần giám sát để nhận biết trạng thái của những dịch vụ đó Trong quá trình triển khai hệ thống, thành phần này sẽ được phân tán nằm rải rác nhiều nơi trên mạng để thu thập thông tin từ những nguồn khác nhau như: Tường lửa, Bộ định tuyến, File nhật ký…
Máy thu thập (Collector): Một điều đáng chú ý trong hệ thống giám sát mạng là các hệ thống, các dịch vụ cần giám sát có thể khác nhau Điều này đồng nghĩa với việc thông tin thu được cũng có nhiều dạng khác nhau Để có được thông tin một cách đồng nhất nhằm mục đích xử lý và thống kê, cần có một thành phần làm nhiệm vụ chuẩn
Trang 5hóa thông tin Máy thu thập sẽ đọc những thông tin thu được từ các máy trinh sát và chuẩn hóa thông tin dựa trên những quy tắc chuẩn hóa biết trước Thông tin đầu ra sẽ
có định dạng giống nhau và được lưu vào cơ sở dữ liệu trung tâm
Cơ sở dữ liệu trung tâm: là nơi lưu trữ dữ liệu của toàn bộ hệ thống giám sát Các
dữ liệu ở đây đã được chuẩn hóa nên có thể sử dụng để tính toán các số liệu thống kê trên toàn hệ thống
Công cụ phân tích (Analysis tool): Thành phần này sẽ đọc các dữ liệu từ cơ sở dữ liệu trung tâm và tính toán để tạo ra bản báo cáo số liệu thống kê trên toàn hệ thống
Nó có thể theo dõi các khía cạnh khác nhau của mạng và hoạt động của nó, chẳng hạn như lưu lượng, sử dụng băng thông và thời gian hoạt động
1.2.2 Cơ chế hoạt động
Mỗi máy trinh sát sẽ có một danh sách những đối tượng mà máy trinh sát đó cần giám sát Những đối tượng này có thể là file nhật ký hoạt động trên một máy tính, có thể là một dịch vụ trên hệ thống khác, cũng có thể là thành phần báo cáo trạng thái của Tường lửa/Bộ định tuyến… Dựa vào bản danh sách này, Máy trinh sát sẽ gửi truy vấn đến đối tượng để truy vấn thông tin Thông tin thu thập được sẽ gửi đến Máy thu thập
để chuẩn hóa trước khi lưu trữ vào cơ sở dữ liệu trung tâm Tùy theo thiết kế của hệ thống, nếu những thông tin mà Máy trinh sát thu thập được có định dạng giống nhau thì sẽ không cần đến thành phần Máy thu thập
Trong một số trường hợp khác, các Máy trinh sát cũng có thể kiêm luôn vai trò của Máy thu thập thực hiện việc chuẩn hóa dữ liệu trước khi lưu trữ Tại cơ sở dữ liệu trung tâm, mọi dữ liệu thu được đã có định dạng rõ ràng Bộ phân tích sẽ đọc thông tin tại đây để tính toán và đưa ra những số liệu thống kê tạo thành một bản báo cáo hoàn chỉnh Báo cáo này sẽ được gửi tới người quản trị mạng Trong một số hệ thống giám sát, để nâng cao mức độ tự động hóa, Bộ phân tích có thể có thêm chức năng phát hiện dấu hiệu xác định trước để phát ra cảnh báo Ví dụ, sau khi lấy thông tin từ file nhật ký ghi nhận lại những lần đăng nhập không thành công vào hệ thống, nếu phát hiện thấy
có 3 lần đăng nhập không thành công liên tiếp trong vòng 5 phút thì Bộ phân tích phát
ra cảnh báo tới người quản trị Cảnh báo này có thể là thư điện tử, tin nhắn SMS gửi tới điện thoại di động…
Trang 6Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình trạng hoạt động của các thiết bị trong hệ thống mạng Tuy nhiên, trong những hệ thống mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một địa điểm mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau Các thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác nhau Có 2 phương pháp để thu thập dữ liệu:
Phương pháp đẩy: Các sự kiện từ các thiết bị, các máy trạm, Server sẽ được tự động chuyển về các Máy thu thập theo thời gian thực hoặc sau mỗi khoảng thời gian phụ thuộc vào việc cấu hình trên các thiết bị tương ứng Các Máy thu thập sẽ thực hiện việc nghe và nhận các sự kiện khi chúng xảy ra
Phương pháp kéo: Các Máy thu thập thu tập các sự kiện được phát sinh và lưu trữ trên chính các thiết bị và sẽ được lấy về bởi các bộ Máy thu thập
Khi đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện những điều bất thường, những mối đe dọa của hệ thống Dựa trên những thông tin về lưu lượng truy cập, trạng thái truy cập, định dạng request…
Tiếp theo là phát hiện và phản ứng Phát hiện và phản ứng là hai thành phần quan trọng trong các yếu tố của tiến trình Sau khi phân tích các thông tin và phát hiện các
sự cố liên quan đến phần cứng, phần mềm hay các cuộc tấn công bên ngoài , ta sẽ cần phải nhanh chóng đưa ta giải pháp xử lý sự cố một cách nhanh và hiệu quả nhất
Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được việc tiếp theo là thực hiện việc đánh giá, đưa thông tin cảnh báo tới người quản trị và thực hiện những công tác nhằm chống lại những mỗi đe dọa, khắc phục các sự cố có thể sảy ra
Cảnh báo có thể thông qua email, SMS, hoặc thực thi các mã script nhằm hạn chế hậu quả của sự cố Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, sms cho người quản trị và cũng có thể chạy script để thêm một địa chỉ IP có biểu hiện tấn công và danh sách đen của Firewall Việc này đòi hỏi người quản trị mạng phải có hiểu biết sâu
và kinh nghiệm về hệ thống
Trang 71.2.3 Yêu cầu với hệ thống mạng
Do khối lượng dữ liệu được trao đổi giữa các thành phần trong giám sát mạng là
vô cùng lớn, vậy nên ngoài vấn đề về việc quản trị viên cần bao quát được hệ thống,
đủ khả năng vận hành và sử dụng hệ thống giám sát tập trung, thì hạ tầng triển khai giám sát tập trung cần phải đủ mạnh và đáp ứng được các yêu cầu khi hệ thống giám sát tập trung hoạt động:
Yêu cầu về thiết bị: Cần có cấu hình phù hợp để vận hành và xây dựng hệ thống giám sát tập trung Đối với Core Switch phải có tốc độ xử lý cao, hỗ trợ cổng có băng thông lớn Một số dòng đáp ứng nhu cầu như các dòng cao cấp của Cisco Server phân tích thông tin cần quan tâm đến cấu hình của CPU, RAM, bộ nhớ trong tùy theo nhu cầu bài toán đặt ra Về CPU thì nên chọn CPU có nhiều lõi, tốc độ xử lý cao (nên chọn CPU có lõi ưu tiên hơn tốc độ xử lý để gia tăng khả năng xử lý) RAM tùy theo nhu cầu Riêng thiết bị ổ cứng thì ta phải xem xét lượng dữ liệu thu thập sẽ đổ về server Chẳng hạn trong 1 ngày trung bình khoảng 10GB dữ liệu đổ về và ta cần lưu trữ dữ liệu thu thập được trong ít nhất 30 ngày (trên 30 ngày tự động xóa) thì ít nhất ổ cứng phải có dung lượng 500GB trở lên (gồm dung lượng hệ điều hành, dữ liệu thu thập được và một khoảng dung lượng phát sinh nếu có)
Yêu cầu về băng thông đường truyền: Lượng thông tin cần truyền qua lại giữa các thiết bị trong hệ thống giám sát tập trung là vô cùng nhiều nên băng thông đường truyền phải đủ lớn để các luồng dữ liệu di chuyển trong hệ thống không bị tắc nghẽn Tùy theo tình hình thực tế, cần sử dụng những dây có băng thông phù hợp với nhu cầu Lưu ý khi sử dụng cáp truyền thì băng thông cần phải đồng bộ với cổng trên các thiết
bị Switch và Router
1.3 Vai trò
Giám sát lưu lượng mạng: Đây là vai trò cơ bản trong giám sát mạng, bao gồm quá trình xem xét, phân tích và quản lý lưu lượng mạng cho bất kỳ sự bất thường hoặc quy trình nào có thể ảnh hưởng đến hiệu suất, tính khả dụng và tính bảo mật của mạng
Khả năng phát hiện và báo cáo lỗi của thiết bị hoặc kết nối: Khi phát hiện lỗi, các
hệ thống này gửi các thông báo được gọi là cảnh báo đến các vị trí được chỉ định như
Trang 8máy chủ quản lý, địa chỉ email hoặc số điện thoại để thông báo cho quản trị viên hệ thống
Tiết kiệm thời gian, chi phí: Việc phát hiện lỗi nhanh chóng sẽ giúp giảm thời gian
hệ thống bị ảnh hưởng, đồng thời giảm chi phí khắc phục sự cố Ngoài ra các tài nguyên mạng có thể tập trung vào các nhiệm vụ làm việc thay vì liên tục tìm kiếm lỗi
Dự tính sớm về nhu cầu cơ sở hạ tầng trong tương lai: Hệ thống giám sát mạng có thể cung cấp báo cáo về hoạt động của các thành phần mạng trong một khoảng thời gian xác định Từ các báo cáo này, quản trị viên có thể dự tính có nên nâng cấp cơ sở
hạ tầng mới hay không
Xác định sớm các mối đe dọa bảo mật: Khi hoạt động bất thường xảy ra, chẳng hạn như lưu lượng mạng tăng đột ngột, quản trị viên sẽ dễ dàng xác định vấn đề một cách nhanh chóng và xem nó có thể là một mối đe dọa bảo mật hay không
Một số phần mềm giám sát mạng có thể tự động khắc phục một số lỗi
1.4 Yêu cầu với hệ thống giám sát mạng
Tổ chức ISO (International Organization for Standardization) đã thiết kế một mô hình được gọi là FCAPS nhằm định hướng rõ những việc mà hệ thống giám sát cần phải quản lý FCAPS là một mô hình quản lý mạng viễn thông và cũng là kiến trúc quản lý mạng FCAPS sẽ phân nhóm các đối tượng quản lý mạng vào 5 mức (hay mô đun): Fault management (F), Configuration management (C), Accounting management (A), Performance management (P) và Security management (S)
Quản lý lỗi (Fault management): Các vấn đề mạng phải được phát hiện và sửa
chữa Các vấn đề tiềm tàng nguy hiểm với hệ thống mạng cần được xác định và có biện pháp để ngăn chặn chúng xảy ra Nếu việc quản lý lỗi hoạt động hiệu quả, hệ thống mạng sẽ hoạt động ổn định và thời gian chết được giảm tối thiểu
Quản lý cấu hình (Configuration management):Các thay đổi về cấu hình có thể
gây những ảnh hưởng rất lớn đến việc giám sát mạng Việc cấu hình thiết bị, bộ định tuyến, tường lửa và thiết bị chuyển mạch phù hợp mà không ảnh hưởng đến chức năng của hệ thống Quản lý cấu hình cũng có thể được sử dụng để sao lưu và thực hiện các thay đổi cấu hình hàng loạt Điều này giúp tiết kiệm thời gian và ngăn chặn các thay đổi trái phép dẫn đến đánh cắp dữ liệu, tấn công và mất an toàn bảo mật nghiêm trọng
Trang 9Quản lý tài khoản (Accounting management): Được sử dụng để phân phối các
tài nguyên một cách tối ưu giữa các người dùng mạng Điều này giúp sử dụng hiệu quả nhất các hệ thống mạng sẵn có, giảm thiểu chi phí vận hành
Quản lý hiệu năng (Performance management): Đảm bảo băng thông được tối
ưu, ổn định, không bị tắc nghẽn mạng và xử lý được các vấn đề tiềm tàng
Quản lý bảo mật (Security management): Xử lý những mối nguy cơ đến an
ninh, an toàn mạng gây ra bởi tin tặc, những người truy cập trái phép hoặc các công cụ, thiết bị phá hoại Tính bảo mật thông tin người dùng cần được duy trì được đảm bảo một cách tốt nhất Hệ thống giám sát cũng cho phép quản trị viên kiểm soát từng cá nhân có quyền làm và không được làm những gì với hệ thống mạng
Trang 10CHƯƠNG 2 TRIỂN KHAI SỬ DỤNG CÔNG CỤ MICROSOFT NETWORK MONITOR TRÊN WINDOWS SERVER 2016
2.1 Giới thiệu về Network Monitor
Micosoft Network Monitor là một ứng dụng phân tích lưu lượng mạng ra đời đã khá lâu Nó cho phép chụp, xem và phân tích dữ liệu mạng cũng như giải mã các giao thức mạng Nó có thể được sử dụng để khắc phục sự cố mạng và các ứng dụng trên mạng Ban đầu được thiết kế và phát triển bởi Raymond Patch, một kỹ sư điều khiển thiết bị giao thức mạng và bộ điều hợp mạng thuộc nhóm phát triển Microsoft LAN Manager
Một số tính năng chính của Network Monitor 3.4 bao gồm:
Theo dõi lưu lượng mạng theo thời gian thực
Cho biết những thiết bị đang ảnh hưởng đến lưu lượng mạng
Hỗ trợ hơn 300 giao thức công khai và độc quyền của Microsoft
Cho phép dùng bộ filter để chọn lọc các lưu lượng theo giao thức, địa chỉ,
Yêu cầu phần cứng của ứng dụng này cũng khá đơn giản: tối thiểu CPU tốc độ 1GHz, 1GB RAM, 60MB ổ cứng cho việc capture Ứng dụng chỉ được cài trên hệ điểu hành Windows
2.2 Cài đặt Network Monitor
Dowload Network Monitor phiên bản 3.4 tại đường dẫn:
https://www.microsoft.com/en-us/download/4865
Trang 11Sau khi tải về thành công thì tiến hành cài đặt như bình thường.
2.3 Sử dụng Network Monitor
Chuẩn bị:
Một máy Windows Server 2016 đã cài đặt Network Monitor, địa chỉ IP là 192.168.1.5
Trang 12 Một máy Client Windows 7, địa chỉ IP là 192.168.1.10