No hi ha una manera millor, sinó una manera més adequada.
Amb aquest mantra al cap anem a presentar cinc maneres de monitoritzar Windows, totes elles igual de vàlides.
Aquestes formes de monitorització Windows la considerem actives, que significa que és la servidor de monitorització qui pregunta a l’equip Windows que volem monitoritzar.
Anem a descartar la monitorització passiva, que tractarem més endavant en un altre post. La monitorització passiva té en compte esdeveniments, logs, etc.
1. Amb agent
És potser la opció més fàcil d’implementar, i amb els que ens encoratgen els desenvolupadors d’eines. Es tracta d’instal•lar un agent (petita aplicació) en el sistema operatiu.
Amb aquesta aplicació es desplega un servei i s’obre un port.
Des de l’equip de monitorització es realitzarà una connexió a aquest port, i es demanarà al servei que executi una funció o script que ens retornarà un resultat o estat de l’element monitoritzat.
Què s’ha de tenir en compte quan s’apliquen polítiques de seguretat en el port?
- llistes de control d’accés
- autentificació
- o qualsevol altre mètode que ens restringi l'accés al servei.
També hem de pensar en l’usuari que executa el servei. L’usuari ha de tenir permisos suficients, però no excessius.
L’avantatge d’aquest sistema és que no implica accions addicionals més enllà d’una instal•lació i configuració d’un simple agent.
Una altra avantatge és que l’ús de recursos a l’hora del càlcul d’estat. Es necessiten menys recursos en la part del servidor de monitorització, ja que s’executa en el costat de l’equip a monitoritzar.
El seu principal inconvenient és que s’ha de mantenir aquests agents actualitzats. Si volem fer alguna modificació massiva a tots els equips, com afegir una nova funcionalitat, igual ens toca passar-nos per tots els equips (si no tenim alguna eina d’orquestració).
2. Amb Powershell
Aquí utilitzarem Powershell (consola o shell de Windows) per connectar-nos des del servidor de monitorització a l’equip Windows que vulguem monitoritzar.
El principal inconvenient és que moltes plataformes de monitorització utilitzen Linux. Existeix una versió de Microsoft de Powershell per Linux, encara presenta encara algunes incompatibilitats.
És una opció sols en cas que tinguem una eina de monitorització basada en Windows.
La gran avantatge: podem personalitzar a fer els scripts que considerem. No ens acotarem a les funcionalitats que ens dóna un agent. Amb aquesta opció, el límit del que vulguem monitoritzar queda reduït a la nostra imaginació i coneixement de Powershell.
3. Per SNMP (Simple Network Management Protocol)
SNMP és un protocol amb el que podem obtenir informació del sistema mitjançant consultes a OIDs (identificador d’objecte en anglès). Aquest servei, encara que és natiu en equips Microsoft ve per defecte en els sistemes operatius sense activar. La seva instal•lació i configuració és senzilla.
El principal problema d’aquesta forma és que ens limitem als OIDs que ens ofereix Microsoft, Si volem monitoritzar coses més detallades potser no disposem dels OIDs.
A l’igual que amb l’agent (i amb la resta dels protocols) hem d’afegir afegir totes les capes de seguretat que podem.
Com a part negativa ens aporta menys funcionalitats que un agent i quasi el mateix treball.
4. Per WMI (Windows Management Instrumentation)
Es tracta d’un servei que per defecte ja tenim actiu en l’equip Windows.
Aquest servei es presenta pel port 135, port habilitat per altres funcionalitats. Aquí ens identifiquem amb un usuari del sistema (o domini), que ha de tenir privilegis suficients en el propi servidor, per poder llençar “querys”.
Hem posat les “querys” (o consultes) entre cometes ja que realment no tenim taules, sinó que tenim “classes”. Aquestes classes se’ns presenten en format “taula” amb el que llencem una espècie de querys.
Realment el llenguatge utilitzat és WMI Query Language (WQL), però nod eixa de ser molt semblant a SQL.
Té dos inconvenients importants, encara que es poden assumir:
- S’ha de configurar un usuari amb permisos suficients (però no excessius). Microsoft no és molt clar en això, ja que els permisos afronten a diferents serveis interns.
- Si monitoritzes des d’una plataforma basada en Linux, s’utilitza WMIC (un binari). Aquest binari pot no ser compatible amb els dels protocols Microsoft en les seves versions més recents (que no allibera documentació).
5. SCOM (System Center Operations Manager)
Per acabar i tenint en compte que Windows és un producte de Microsoft, no podem deixar de banda SCOM.
System Center Operations Manager és la eina que ha desenvolupat Microsoft específicament per monitoritzar els seus propis productes.
La principal avantatge és que hauria de ser 100% compatible amb Windows. El seu principal problema és que afegir equips que no siguin de productes Microsoft no entra dins les seves característiques.
Diríem doncs que és un producte a tenir en compte si disposem d’una infraestructura majorment Microsoft i on no volem monitoritzar altres dispositius.
5 maneres de monitoritzar Windows i més…
Hi ha més de 5 formes de monitoritzar Windows. I molts matisos en les que hem presentat, però preteníem exposar una guia ràpida.
Serveis com SSH o RDP (entre altres) ens permeten utilitzar-los també per extreure informació i portar-los a una eina de monitorització
Tornem al nostre mantra: No hi ha una manera millor, sinó una manera més adequada.
És important recordar que les necessitats ens decantaran més cap a una solució que una altra, i aquesta ens conduirà a una eina o altra. Abans d’optar per una eina, valorem la seva idoneïtat.