Allarmi e azioni

Come anticipato, Performance ci permette di impostare allarmi pronti a scattare nel caso in cui uno dei nostri sensori rilevi valori di dati al di fuori dei nostri parametri di controllo.

Selezioniamo nella colonna di sinistra la voce Alerts. Dal menu selezionare Action e poi New Alert Settings. Diamo un nome al processo di log che vogliamo implementare, ad esempio: TCP_ALERT.

Nella finestra visualizzata, nel tab General procediamo come segue:

• Selezioniamo il tasto Add e da Performance object selezioniamo l’oggetto TCP.
• Da qui, premendo il tasto Add, è possibile scegliere su una lista di contatori, oppure selezionarli tutti. Anche qui, il tasto Explain fornisce informazioni dettagliate sui contatori disponibili per l’oggetto TCP.
• Alla fine, premuto il tasto Close, otterremo una lista di contatori relativi all’oggetto TCP del tipo: \<nome_macchina><oggetto><contatore>.
• Nel campo indicato come Alert when the value is indicare il valore oltre (Over) o sotto (Under) il quale il contatore deve attivare le azioni di Alert.

Nel tab Action indicheremo a Performance l’azione da intraprendere in caso di attivazione dell’Alert:

• Invio di un messaggio.
• Attivazione di un servizio di log, ad esempio TCP_LOG creato nella sezione precedente.
• Esecuzione di un comando con specifici parametri.

Anche qui, il tab Schedule permette una programmazione del processo di Alert indicando data ed ora di START e di STOP del servizio.

Programmare gli Alert

Il problema a questo punto è capire cosa sia anomalo e cosa no, in modo da impostare gli alert nel modo migliore. Sicuramente, la definizione delle soglie di allarme dei contatori, andranno programmate in base alla natura della macchina sotto monitoraggio. Una macchina server che esegue traffico ICMP, ad esempio, è da ritenersi quantomeno sospetta. Una postazione client da ufficio che durante le ore notturne esegue traffico TCP/UDP potrebbe essere affetta da Worm o da Trojan Horse. E ancora, una macchia che funge da server Web, su cui si rileva un eccessivo uso del tempo di CPU e di memoria, o un elevato numero di tread, influisce su prestazioni e tempi di risposta, abbassando la qualità del servizio erogato fino anche causarne la cessazione.

In generale, un tuning adeguato dei sistemi di monitoraggio, è a discrezione ed appannaggio dell’amministratore di sistema della rete o macchina sotto osservazione.

Leggere i LOG

Messi a punto sensori e sistemi di allarme, Performance procederà con l’acquisizione di tutti i dati segnalando tutto ciò che riteniamo si tratti di un’anomalia. La lettura di tali informazioni saranno utili a migliorare le prestazioni e la qualità dei servizi resi dalla macchina sotto monitoraggio. Come detto, dall’export dei dati raccolti, non sarà difficile estrapolare statistiche, ad esempio, sull’accesso alla macchina e sulla qualità delle prestazioni rese durante la sua attività.

Conclusione

Usare al meglio questo strumento, permette di monitorare le prestazioni dei nostri sistemi in LAN o direttamente connessi ad Internet. I servizi di log e di alarm aiutano l’individuazione di traffico anomalo o attività di rete non volute. In questo articolo si è voluto evidenziare come, il piccolo applicativo d’amministrazione Performance, sia in grado di soddisfare le esigenze di monitoraggio del traffico dei dati, e non solo, a costo praticamente nullo.