Im ersten Teil dieser neuen Serie zum Thema Netzwerk-Monitoring zeige ich, warum es so wichtig ist, das eigene (und fremde) Netzwerk permanent zu überwachen. Im heutigen zweiten Teil geht es um die Techniken, die beim Monitoring hauptsächlich zum Einsatz kommen. Die Rede ist von SNMP, WMI und Co.

Simple Network Management Protocol (SNMP): Beim SNMP handelt es sich um ein Netzwerkprotokoll, das speziell für das Überwachen von Netzwerkkomponenten wie Router, Server, Switch, Computer, etc. entwickelt wurde. Dabei geht es vor allem um die Kommunikation zwischen dem zu überwachenden Gerät (z.B. einem Switch) und der Überwachungsinstanz (wie z.B. dem Server, auf dem das Monitoringtool installiert ist). SNMP liegt in der Version 3 vor und beschreibt den Aufbau der Datenpakete und den exakten Kommunikationsaufbau. Aus Sicht des Protokollstacks liegt es ganz oben, also noch oberhalb der Transportschicht, in diesem Fall UDP.

Für den Einsatz von SNMP sind sogenannte Agenten erforderlich, die permanent den Zustand des Geräts im Auge behalten. Im Falle eines ungewollten Zustands (also z.B. beim Ausfall der Komponente) löst der Agent eine zuvor definierte Aktion aus. Damit das Monitoringtool von dieser Aktion etwas erfährt, steuert SNMP die Kommunikation zwischen Netzwerkkomponente und Überwachungssoftware.

SNMP-Schichten

Windows Management Instrumentation (WMI): Mit WMI beschreibt Microsoft eine spezielle Erweiterung des Common Information Model (CIM), das die Verwaltung von IT-Systemen beschreibt. Hierfür steht eine Anbieter- und plattformunabhängige Managementschnittstelle zur Verfügung. WMI ermöglicht einen netzwerkübergreifenden Zugriff auf so ziemlich alle Windows-Einstellungen, womit sich Netzwerkcomputer mithilfe von Windows PowerShell und VBScript administrieren lassen. WMI ist Teil sämtlicher aktueller Windows-Versionen. Zu den Kernaufgaben von WMI gehören u.a. Inventardaten und Dienste verwalten, Ereignisprotokolle administrieren und die Registry bearbeiten.

Internet Protocol Flow Information Export (IPFIX): Das IPFIX standardisiert den Austausch von Informationen, die im Zusammenhang mit Netzwerk-Monitoring erhoben und erfasst werden. Der Begriff „Flow“ bezieht sich auf den Datenstrom einer Netzwerküberwachung, dessen Datenpakete dieselben Eigenschaften aufweisen. Damit schickt beispielsweise ein Router seine aktuelle Auslastung an den Netzwerk-Monitor, damit dieser entsprechende Maßnahmen einleiten kann. Bei IPFIX handelt es sich um ein reines Push-Protokoll, das im Allgemeinen SCTP als Transportprotokoll verwendet. Wahlweise können TCP und UDP eingesetzt werden.

Schichten des IPFIX

Paket-Sniffer: Diese Form der Netzwerküberwachung geht über das klassische Monitoring hinaus, da neben der Netzwerkdiagnose auch Angriffe von außen kontrolliert und aufgespürt werden können. Hierfür wird der Netzwerkverkehr kontinuierlich mithilfe geeigneter Filteralgorithmen auf verdächtige Inhalt untersucht, die einen Hinweis auf mögliche Eindringlinge geben können. Aber auch Angriffe von innen wie die Datenspionage können mithilfe von Paket-Sniffern entdeckt und blockiert werden.

Weitere Teile aus der Serie „Netzwerk-Monitoring“

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring

Serie: Warum Netzwerk-Monitoring so wichtig ist


Michael Hülskötter

Ich bin vornehmlich Techblogger, der IT-Firmen hilft, ihre Produkte und Lösungen am Markt mithilfe aussagekräftiger Texte und Videobeiträge zu präsentieren. Ich schreibe seit 1999 und blogge seit 2006, und das immer noch mit sehr viel Spaß.

4 Kommentare

Serie: Warum Netzwerk-Monitoring so wichtig ist – IT-techBlog.de · Donnerstag, 2. November 2017 um 14:21

[…] Lesen Sie im nächsten Beitrag, wie gängige Monitoring-Tools auf Basis geeigneter Algorithmen Engpässe innerhalb des Netzwerks aufspüren. […]

Serie: Darin unterscheiden sich Langzeit- und Realtime-Netzwerk-Monitoring – IT-techBlog.de · Montag, 6. November 2017 um 13:42

[…] Das Monitoring des eigenen oder eines fremden Netzwerks mit den passenden Tools kann aus zwei wesentlichen Gründen geschehen: Entweder will der IT-Admin längerfristige Aussagen über die Entwicklung der IT-Landschaft treffen, und das am besten auf Basis zuverlässiger Zahlen und Statistiken. Oder er will einfach nur das Netzwerk permanent im Auge behalten, um auf Anomalien oder Ausfälle schnellstmöglich reagieren zu können. Im besten Fall gehen beide Ansätze Hand in Hand. […]

Serie Netzwerk-Monitoring: Diese Dienste und Komponenten lassen sich überwachen – IT-techBlog.de · Donnerstag, 9. November 2017 um 13:16

[…] SNMP-Traffic-Sensor kommt bei allen Diensten und Komponenten zum Einsatz, die das Simple Network Management Protocol unterstützen. Überwacht wird vor allem der ein- und ausgehende sowie der komplette Datenverkehr. […]

Serie Netzwerk-Monitoring: Wichtige Dienste auf einen Blick – IT-techBlog.de · Montag, 13. November 2017 um 15:38

[…] Netzwerk-Monitoring kann eine ganze Menge: das Netzwerk überwachen, klar. Dabei auf Bandbreiten achten, die in Anspruch genommen werden. Auch klar. Doch mit dem passenden Tool lässt sich noch viel, viel mehr kontrollieren, steuern und im Auge behalten. Daher: Die alphabetisch sortierte Monitoring-Liste wichtiger Dienste. […]

Kommentare sind geschlossen.