Transcript Document

Automatic Event-Driven System for
Network Management
Author : Ya-Ling Wang and Quincy Wu
1
Outline
•
•
•
•
•
•
Introduction
Motivation
Related Work
Implementation
Conclusion
目前進度
2
Introduction
• 身為網路管理者，所需負責管理的設備必定非常
繁雜，不只數量眾多，連設備也可能不盡相同。
• SNMP與syslog-ng皆是相當成熟的技術，大部分的
網路設備也都支援這兩種協定，嘗試透過三者的
配合，取得所管理設備的狀況。
• 搭配其他服務，例如：信件通知、網頁管理、紀
錄統計等，便於管理者更彈性的管理。
• 目標是希望能透過技術與設備適當的整合，讓網
路管理者能隨時監控相關設備，對緊急事件做適
當處理，不必擔心緊急狀況需要隨傳隨到。
3
Motivation
• 網路管理者需要了解所有設備運作狀況，
但又不希望花太多時間親自去查詢
• SNMP與syslog皆能與switch做搭配存取所需
資料。Syslog能取得switch每個埠的狀態；
SNMP能對switch下達指令。
• 將三者結合，經由已定義好的事件，自動
化為管理者提供資訊，並在有問題時以信
件方式或更即時的MSN傳送訊息通知管理
者。
4
Related Work
• Active and passive measurements on campus,
regional and national network backbone paths
• Author : Calyam, P.; Krymskiy, D.; Sridharan, M.; Schopis, P.;
OARnet, Columbus, OH, USA
• 透過syslog與snmp使用主動式與被動方式來
蒐集校園網路流量，包含高音質語音、視
訊會議、媒體串流、分散式檔案分享流量
，提供學術網路流量數據的參考。
5
Related Work
• 簡單網路管理協議陷阱通報的實作架構
• 作者 : 楊彥能(臺灣大學資訊網路與多媒體研究所學位論文)
• 此篇是探討網路管理者與所管理的設備了
解程度，透過管理SNMP協定，幫助管理者
提早了解異常網路狀況。
• 但是這篇主要重點放在 SNMP trap上，加上
自行開發的程式管理 SNMP。
6
Related Work
• 智慧型網路管理系統
• 作者:蔡文能、Wen-Nung Tsai、蔣國強、KuoChiang Chiang(國立交通大學碩士在職專班資訊組博碩士論文)
• 在管理校園網路中，為了統一控管異質網路設備
(例如：路由器、交換器)，需要適當的資料整合能
讓管理者一目了然。
• 透過單一的整合介面，使用XML格式建置智慧型
網管系統，整合不同設備提供的資訊。
• 這讓我想到系統也可以添加網頁介面整合資料，
甚至提供彈性的設定介面。
7
Related Work
• A Web-based, event-driven management
architecture
• Jiahai Yang; Jianping Wu; Yue You;
Dept. of Comput. Sci., Tsinghua Univ., Beijing
• 透過網頁，搭配 snmp的模型架構，提供網管人員的管理
系統。
• A network-oriented power management
architecture
•
Pollo, L.F.; Jansch-Porto, I.;
Instituto de Informatica, Univ. Fed. do Rio Grande do Sul, Porto Alegre, Brazil
• 透過SNMP取得電力相關資訊，關閉非必要使用設備，有
效節省經濟花費。
8
Related Work
• Intrusion alert normalization method using
AWK scripts and attack name database
• Author : Dongyoung Kim; HyoChan Bang; Jung-Chan Na;
Electron. & Telecommun. Res. Inst., South Korea
• 資訊蒐集有幾種方式：IDXP、SNMP trap、
Syslog等，不同型態使這些資料難以合併使
用。這篇論文描述如何透過 normalization
process，統一處理這些蒐集到的資料。
• 主要重點放在設備受攻擊時收到的資訊。
9
Implementation
• Syslog
– 蒐集所有設備的訊息
– EX: 分析得到switch A 的 port 3 有超流情況
• Event Driven
– 管理者事先定義狀況，決定什麼情況要有什麼
處理方式
• SNMP
– 向設備傳送指令
– EX: 對 switch A 的 port 3 發出限流指令
10
Implementation
syslog蒐集資訊
↓特殊行為
SNMP傳送指令& 通知管理者
儲存所有訊息
信件、即時訊息通知
11
Implementation
• 事件定義處理方式
• 使用 shell script
– 如 awk 的 patterns and actions 模式
– EX: awk -F':' '{printf $2"\n"}' mac
• 當執行程式時，透過代入不同參數的方法
，彈性讓管理者定義處理方式
12
Implementation
• 實做系統以校園環境為例
Event Driven
信件、即時訊息通知
syslog
SNMP
先對相對應的設備做限流
13
Experiment Result
• 管理者可及時收到設備狀況訊息
14
Experiment Result
• 管理者可定期收到設備訊息
15
Conclusion
• 利用這套系統，管理者定期收到宿舍交換機的狀
況，包含哪些網路電話沒有正常運作、哪些電腦
該做限流等；若有特殊需求(某些測試設備不希望
因此被限流)，也可以透過參數下達命令來做彈性
調整。
• 自動化管理能減少管理者解決問題所花費時間
• 優點是，透過 patterns and actions 方式，如果管
理者有新的狀況定義，可以隨時添加
• 缺點，管理者要自訂額外案例比較麻煩
16
目前進度
• Syslog資料蒐集完，在撰寫 event driven 程
式
• 信件、即時訊息通知部分已研究完，可以
直接使用
• 預計將 透過網頁設定、透過網頁查詢log訊
息列為 future work
• 要再去搜尋通常當事件發生後，處理時間
範圍大約介於哪個範圍。
17