R: [ml] nagios e NRPE

> -----Messaggio originale-----
> Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx]Per conto
> di killemall
> Inviato: mercoledi 9 febbraio 2005 11.25
> A: ml@xxxxxxxxxxxxx
> Oggetto: [ml] nagios e NRPE
>
>
> siccome mi e' stato espressamente chiesto  di monitorare ogni ids su
> network diversi , ma utilizzando solo un nagios centralizzato , senza
> altre stazioni nagios nelle varie lan ,  e' possibile farlo solo
> utilizzando NRPE ? , altra domanda , il server NRPE  da installare su
> ogni ids , necessita anche dell'intsllazione dei plugin di nagios in
> locale oppure non e' necessaria lo loro presenza sulla macchina da
> monitorare ?
> Grazie dell-attenzioe  e buon lavoro a tutti
>

[prologo. se qualche purista storce il naso a leggere, riscriva il messaggio
in una forma migliore.]

nagios utilizza i concetti di controllo attivo o passivo, per controllare la
gerarchia di hosts.
la gerarchia e piu o meno una struttura ad albero.
(piu o meno perche i nodi vengono sia agganciati tramite una voce "parent"
per avere un'idea di ereditarieta,
poi dal modo in cui si configurano i controlli).

l'obiettivo (il best case) e quello di avere tutti controlli attivi.
la distinzione tra controllo attivo e controllo passivo e la seguente.
1) attivo
[HOST_NAGIOS] -> [HOST_1] (raggiungibile).
[HOST_NAGIOS] -> [HOST_NRPE] (raggiungibile)
			[ -> plugin locale ] -> [HOST2] (non raggiungibile da HOST_NAGIOS, ma da
HOST_NRPE]
2) passivo
[HOST_1] -> [HOST_NAGIOS] (monitoraggio passivo).

HOST_NAGIOS utilizza una serie di plugin in base al protocollo da
controllare.

un plugin che si puo utilizzare fa parte di una struttura client/server
chiamata NRPE (nagios remote plugin execute).

NRPE e un demone che agisce insieme al plugin relativo per nagios,
per quanto riguarda la sua sicurezza e possibile criptare via ssl il canale
di
comunicazione.

se [HOST_NAGIOS], [HOST_1] e [HOST_2] sono sulla stessa lan, e banale.
se [HOST_NAGIOS], [HOST_1] sono sulla stessa lan e [HOST_1] routa anche
nella lan di [HOST_2] o ha la possibilita di contattare
in maniera attiva [HOST_2], allora NRPE puo essere adatto allo scopo.

un caso reale.

abbiamo HOST_1 che e pubblico su internet e fa parte di una DMZ di una sede
abbiamo HOST_2 che e pubblico su internet e fa parte di una DMZ di un'altra
sede.
abbiamo HOST_3 che e privato nella seconda sede.

allora, se le regole di firewalling permettono da HOST_2 di pingare (o di
raggiungere) HOST_3, va bene NRPE.
se invece si puo', si puo' utilizzare NSCA e NRPE installati entrambi su
HOST_2 e su HOST_3 un NSCA_client.
il loro funzionamento e il seguente.
HOST_3 invia tramite nsca_client un messaggio (di performance, di
informazioni) a HOST_2 tramite NSCA.
NSCA scrive su una pipe quelle informazioni che riceve, si scrive un demone
(l'ho fatto in php) o un programma che apre quel pipe file, dal quale si
ottengono le informazioni scritte da NSCA e le si scrive da qualche parte
(un file di stato)

quando HOST_1 vuole contattare HOST_3, contatta HOST_2 via NRPE, HOST_2 a
sua volta lancia un controllo su quel file di stato che HOST_3 ha generato
su HOST_2 quando viene lanciato su HOST_3 il client nsca.

nel tuo caso, la situazione, a quanto ho capito e la seguente.

[HOST_NAGIOS]
	[IDS1]
	[IDS2]
	[IDS3]
...

se devi controllare direttamente la raggiungibilita di IDS1,IDS2... allora
non ti serve NRPE.
altrimenti, installi nrpe su tutti gli IDS, installi check_nrpe su
HOST_NAGIOS (controlla che nrpe e check_nrpe si parlino correttamente, puoi
eseguire da HOST_NAGIOS check_nrpe -H IDS1 per vedere se ritorna la versione
di nrpe, per fare una prova, e se invece da un errore, allora potrebbero
essere compilati in modo diverso (parlo di supporto ssl)), installi i plugin
standard di nagios su gli IDS e procedi.

bye

Dimitri Giardina