Recopilación y monitoreo de capturas SNMP

Las capturas SNMP son la forma de mensaje SNMP que comúnmente más se usa. Las operaciones SNMP normales designan que los agentes de dispositivo toman roles pasivos, lo que significa que solo enviarán mensajes SNMP si el administrador de SNMP envía una solicitud. Sin embargo, si un agente detecta ciertas condiciones o eventos de emergencia, enviará una notificación de advertencia al gerente sin una solicitud previa de datos. Estas notificaciones de emergencia se conocen como capturas SNMP.

Las capturas SNMP son únicas ya que son el único método de notificación que los agentes de SNMP pueden iniciar. Esto las convierte en activos valiosos, por no decir necesarios, para el monitoreo de la red. Las capturas son la forma más conveniente de obtener notificaciones acerca de los eventos de red y pueden definirse para condiciones con diferentes grados de gravedad. Por ejemplo, los agentes SNMP instalados en impresoras pueden considerar que un cartucho con poco tóner es una condición de captura y notificarán al administrador de SNMP cuando la impresora detecte que los suministros comienzan a agotarse.

Por otro lado, es posible que algunos eventos y condiciones graves no generen mensajes de captura. Los errores graves, por ejemplo, hacen que los dispositivos dejen de funcionar. Esto hace que los agentes de SNMP que monitorean los dispositivos dejen de funcionar, lo que evita que se comuniquen con el administrador de SNMP. La función de los agentes de SNMP puede verse interrumpida cuando se rompe la tarjeta de red de un dispositivo, pero la próxima vez que el administrador de SNMP recorra la red en busca de respuestas, se detectará la condición o el evento de emergencia.

Existen tres elementos principales en SNMP: un administrador central, agentes de dispositivo y bases de información gestionada (MIB). La mayoría de los dispositivos de red vienen con agentes SNMP previamente instalados, que es posible que deban activarse antes de que SNMP pueda usarse en la red.

El administrador central, en general, no se incluye en el sistema operativo de muchas estaciones de trabajo. Sin embargo, es muy probable que al instalar un sistema de monitoreo de red en una estación de trabajo se use SNMP y se lo designe como administrador de SNMP para los dispositivos con agente SNMP de la red. Es probable que este software de administración de la red incluya una interfaz capaz de interpretar archivos de MIB y de mostrar los datos recopilados de los agentes de dispositivo. Las pantallas de datos pueden ser paneles de usuario fáciles de leer con representaciones gráficas que permitan obtener rápida información sobre el desempeño del dispositivo en toda la red.

De manera periódica, el administrador central de SNMP sondeará los agentes de dispositivo en la red con solicitudes de información. Los agentes de dispositivo responden a las solicitudes del administrador central y envían un archivo que cumple con la MIB. Los agentes de dispositivo conservan su propia copia del archivo de MIB, que siguen actualizando entre solicitudes de sondeo, a fin de asegurarse de que la información que devuelve cada dispositivo al sistema de administración sea precisa y esté actualizada.

El tráfico de red fluctúa naturalmente a lo largo del día promedio a medida que los usuarios finales realizan las tareas requeridas, entre ellas: transferencias de datos, descargas y varias otras actividades que usan ancho de banda de la red. SNMP permite que la red recopile información de una variedad de actividades de dispositivos y mediciones de desempeño, incluidos el número de bytes, los errores y los paquetes que envían y reciben los enrutadores; la velocidad de la conexión de red entre dispositivos y el número de aciertos que recibe un servidor web.

Los administradores de SNMP envían unidades de datos de protocolo (PDU), llamadas solicitudes SNMP GET, a todos los dispositivos de la red con agentes SNMP instalados. Los administradores de la red pueden usar las solicitudes SNMP GET para rastrear prácticamente cualquier medición de datos. Esto se debe a que los dispositivos que emiten solicitudes de datos pueden acceder a toda la información que monitorea SNMP y compartirla.

SNMP se refiere al protocolo general y global que usan los dispositivos de red para administrarse entre sí, informar mediciones de datos y compartir información; y las capturas SNMP son un método de elaborar informes con información crítica acerca de la actividad de la red y del dispositivo.

Dado que SNMP se usa tan ampliamente, es un estándar universal para muchos dispositivos de red. Es aquello que permite que diferentes dispositivos con distintas especificaciones de hardware y software se comuniquen sin problemas.

La arquitectura de SNMP se origina en una relación administrador-agente. Los agentes se instalan en varios dispositivos de red, desde servidores y conmutadores hasta escritorios, enrutadores, etc., y recopilan datos acerca del estado y desempeño del dispositivo, que luego puede informarse de nuevo al administrador de SNMP. Los administradores de red pueden optimizar los análisis y la información que proporcionan los agentes de SNMP a fin de resolver problemas críticos o tomar decisiones basadas en evidencias acerca de los cuellos de botella de la red y la planificación de la capacidad.

Pero, a pesar de que la arquitectura de SNMP es relativamente clara, la estructura de jerarquía de los datos que usa puede parecer muy compleja o confusa al comienzo. Comprender el razonamiento detrás de la jerarquía, a menudo, permite que todo resulte más claro. Dado que SNMP se usa en una amplia gama de dispositivos, tipos de hardware y aplicaciones de software, se requiere de cierta flexibilidad y extensibilidad al compartir datos entre dispositivos y sistemas de administración. Por este motivo, SNMP no impone regulaciones estrictas de formato en cuanto a un tamaño fijo de intercambio de datos entre dispositivos. En cambio, usa una jerarquía ramificada, estilo árbol, para que los datos estén constantemente disponibles a fin de que los recopilen los sistemas de administración de SNMP.

El árbol de datos de SNMP incluye múltiples tablas ramificadas, llamadas bases de información gestionadas (MIB). Las MIB crean grupos a partir de tipos y componentes de dispositivos. Existen un único número de identificación y una única cadena asociados con cada MIB y, al igual que las direcciones IP y los nombres del host, pueden usarse indistintamente. Las MIB, además, constan de uno o más nodos, que se refieren a dispositivos o tipos de componentes específicos de la red.

La ventaja de esto es que no es necesario enviar toda la MIB cada vez que el agente de dispositivo envía un informe al administrador central. Los mensajes de capturas SNMP incluyen metadatos, como la hora, el valor y el identificador. El último de estos es un identificador de objeto (OID) o un código único que asigna la estructura de la MIB y que indica exactamente en qué lugar de la estructura ramificada de la jerarquía se ubica la condición o el evento de la captura. Cada atributo del dispositivo que monitorea el agente SNMP tendrá un único OID, lo que permitirá que el sistema de administración central de SNMP determine la parte exacta del dispositivo, como un conmutador, una impresora o una estación de trabajo de usuario final, a la que se refiere el mensaje de la captura SNMP.

Para recibir datos de mensajes de capturas SNMP, el primer paso es asegurarse de que los agentes de dispositivo se hayan activado y configurado para permitir capturas. Luego de activarlos, los sistemas de administración de SNMP cuentan con dos formas principales de recopilar información de las capturas SNMP.

El primer método consta de capturas granulares, que usan OID a fin de permitir que los administradores centrales de SNMP distingan entre capturas individuales. Dado que cada OID ofrece una única dirección para el dispositivo y para el atributo de dispositivo específico que ocasionó la alerta, eso es todo lo que el sistema de administración de SNMP necesita para localizar la información acerca del desencadenante en MIB. Esto significa que las capturas usarán un mínimo ancho de banda de la red y garantizarán al mismo tiempo que los administradores estén al tanto del estado del desempeño y la situación del dispositivo.

El otro método principal para usar capturas a fin de recopilar información es integrar los datos de la alerta al archivo real que el agente del dispositivo devuelve al administrador de SNMP. Esto ocurre con mayor frecuencia cuando las capturas numerosas tienen el mismo OID. Para que el sistema de administración de SNMP pueda analizar de manera útil la información contenida en cada una de las capturas, los datos deben decodificarse con una configuración de pares clave-valor estándar. Estos pares clave-valor, que se conocen como “enlaces variables”, proporcionan información adicional acerca de la captura al administrador central. Entre los ejemplos de enlaces variables, se incluyen “descripción de la alerta”, “nombre del dominio” y “nivel de urgencia”, cada uno de los cuales ofrece a los administradores de red información adicional acerca de lo que hizo que se activara la captura.

Las capturas SNMP son uno de los métodos más eficientes de recepción de advertencias de error. Los receptores de capturas SNMP son aplicaciones especializadas capaces de optimizar el proceso de rastreo y respuesta a mensajes de alerta ya que capturan, registran y muestran las distintas capturas SNMP que envían los agentes de dispositivo. Si los administradores de red tienen la responsabilidad de supervisar numerosos dispositivos, realizar un rastreo y registrar la enorme cantidad de capturas generadas puede convertirse en una tarea difícil de manejar.

Sin embargo, los receptores de capturas SNMP de Windows pueden facilitar mucho el trabajo de los administradores de red al decodificar las capturas a medida que los agentes de dispositivo las envían y al mostrar esta información en el panel del usuario. Esto permite que los administradores evalúen rápidamente las alertas y las notificaciones que generan los dispositivos de la red. Los receptores de capturas SNMP también pueden mostrar mediciones, como la cantidad de capturas que se reciben por segundo y los paquetes desplegados por segundo. Muchos receptores de capturas SNMP también permiten que los administradores configuren sus filtros y desencadenadores de notificación, de manera de solo recibir las alertas necesarias.

Las herramientas de receptores de capturas SNMP escuchan los mensajes de capturas de SNMP generados por los dispositivos de red cuando se cumplen las contingencias de alerta. Cuando se produce un evento o situación, los receptores de capturas SNMP registran los detalles del mensaje de captura y otra información como el nombre del host, la dirección IP y el tipo de captura. Estas mediciones pueden, luego, usarse al intentar analizar la causa de la alerta o para determinar las correlaciones entre eventos y el desempeño del dispositivo.

A menudo, el software del receptor de capturas incluye la funcionalidad de alertas inteligentes, lo que permite que los administradores de la red creen y personalicen sus notificaciones de acuerdo con sencillas o complejas condiciones de activación, topologías de red y dependencias principal-secundario. Los receptores de capturas SNMP también le permiten monitorear la disponibilidad de la red, sus errores, y el desempeño de los dispositivos.

SolarWinds® Kiwi Syslog® Server NG le permite administrar una variedad de archivos de registro, incluidas capturas SNMP, mensajes de Syslog y registros de eventos de Windows. Dado que cada dispositivo de la red, en general, crea cientos de archivos de registro por minuto, la tarea de organizarlos y analizarlos de manera manual en busca de anomalías de desempeño puede consumir tiempo y resultar ineficaz.

Sin embargo, Kiwi Syslog Server NG se creó para realizar el trabajo pesado. El receptor de capturas SNMP puede recibir mensajes de muchos dispositivos, que después ordena y administra según la función del dispositivo o contenido del mensaje para mayor organización y a fin de facilitar la capacidad de búsqueda. Kiwi Syslog Server NG también le permite definir políticas de retención de registros y aplicarlas, y ofrece funciones de archivado y limpieza automáticas.

Kiwi ofrece varias opciones de personalización, como filtros, que pueden permitirle revisar con mayor facilidad las capturas SNMP y otros archivos de registro almacenados en busca de tipos específicos de mensajes, contenido, horas de envío o frecuencia. También puede ajustar la manera en que Kiwi responde a ciertas condiciones en función de los deseos y necesidades de determinados departamentos y personal. Además, los usuarios pueden configurar otras acciones, como automatizar cadenas y ejecutables para que se ejecuten cuando se desencadenen condiciones de acción o eventos.

Kiwi Syslog Server NG incluye un conjunto de sólidas funciones basadas en reglas capaces de definir de qué manera una aplicación organiza, procesa y responde a los mensajes de capturas que recopila. Estas reglas pueden personalizarse en mayor profundidad con filtros y acciones, que pueden definir qué mensajes de capturas desencadenan determinadas respuestas. Por ejemplo, esto puede incluir la ejecución de cadenas en capturas que contienen palabras específicas. Los filtros pueden ayudar a impulsar la eficacia de las reglas, la administración de una captura SNMP en general, ya que, si las reglas no incluyen filtros, pueden aplicarse a todos los mensajes de captura que recibe el administrador central.