robimassa

Another Subtext Powered Blog
posts - 17, comments - 0, trackbacks - 0

My Links

News

Archives

Zenoss (4.2.x) gestire le trap SNMP inviate da Cisco ASA

 

Zenoss è un sistema di monitoraggio molto flessibile, ben integrato con Windows per mezzo di WMI ed SNMP.

Tramite questo protocollo è un ottimo sistema di controllo per dispostivi di rete, sistemi operativi ed oggetti che utilizzano l’SNMP come protocollo di gestione/controllo.

Un plugin di estensione dello Zenoss è scritto per interpretare alcuni counter disponibili sui devices Cisco ASA Firewall.

Le informazioni raccolte, possono riportare in un grafico il numero di sessioni VPN attive e la loro durata.

In questo modo è immediato il colpo d’occhio sullo stato degli accessi al sistema. Se il Firewall viene configurato per inviare trap SNMP allo Zenoss, a fronte degli eventi scaturiti dalle autenticazioni, avremo il dettaglio di ogni connessione, con riportati Utente, ip di provenienza ora e durata della connessione.

E’ possibile poi configurare il sistema di gestione degli eventi di Zenoss affinchè invii una mail al verificarsi di determinate condizioni.

fig.1index

Quello riportato qui sotto è un estratto della trap che viene inviata dall’Ios ASA al collettore Zenoss.

Il messaggio viene ricevuto ed immagazzinato in relazione all’oggetto monitorato.

Con alcune piccole modifiche ai default delle notifiche dei messaggi è possibile far inviare parte della trap tramite Email per eventuali allarmi.

fig.2

image

Dalla console eventi bisogna creare un trigger che venga attivato alla ricezione di una trap che contenga nel messaggio clogMessageGenerated.

image

Successivamente sulla base del trigger definire una notifica, avendo cura di modificare od aggiungere una variabile che comprenda il campo con il rapporto sulla connessione, campo che si desume dal dettaglio della trap in fig.2 ossia clogHistMsgText  che dovrà essere impostato nel seguente modo ${evt/clogHistMsgText} all’interno del “Body Format” della notifica.

Di default nelle notifiche vengono inviati più campi, che in questo caso possono essere eliminati in quanto contengono dati non utili allo scopo.

image

Nel passo successivo dovrà essere selezionato uno o più Subscriber che altro non è che un utente di Zenoss con la propria informazione relativa alla email.

image

Da questo momento ogni ricezione da parte di Zenoss di un messaggio di questo tipo produce l’invio alla mail definita per l’utente di parte del messaggio contenente l’informazione sull’evento relativo all’accesso in VPN sull’ASA.

 

image

Importante ancora notare che nella parte dedicata alla Notifcation bisogna rimuovere la spunta su “Send only on Initial Occurrence” altrimenti verrà soltanto inviato il primo messaggio alla prima connessione e per i successivi non verrà inviata ulteriore notifica.

Lo Zenpack (plugin) utilizzato per il monitoraggio del Cisco ASA è stato rilasciato e testato sulle versioni 3.x di Zenoss ma gli esempi e le informazioni contenute nel post si riferiscono allo stesso Zenpack installato sulla versione 4.2.1

Riferimenti:

 http://www.zenoss.com

http://wiki.zenoss.org/ZenPack:Cisco_Adaptive_Security_Appliance

Print | posted on Friday, September 20, 2013 10:42 PM |

Feedback

No comments posted yet.

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 2 and 5 and type the answer here:

Powered by:
Powered By Subtext Powered By ASP.NET