Académique Documents
Professionnel Documents
Culture Documents
Versão 1.0.0
Sumário
II Informações Básicas 4
IV Monitoramento 18
1 O que é? 19
2 Plano de ensino 20
2.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3 Introdução 23
3.1 Por que monitorar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2 Onde monitorar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4 TCPDUMP 24
4.1 NOME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 SINOPSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.3 DESCRIÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.4 OPÇÕES: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.5 expressão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.6 ether multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5 Nagios 38
5.1 O que é o Nagios? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.2 Como Nagios Monitora as Máquinas? . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.3 O que o Nagios pode fazer? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
1
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
6 MRTG 40
6.1 MRTG - Multi-router traffic grapher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2 Características gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.3 História . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3.1 Leia mais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3.2 Autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
7 Cacti 42
8 Arquivos de log 44
8.1 Follow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
8.2 Arquivos e daemons de Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
8.3 Formato do arquivo de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
8.4 syslogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
8.5 Arquivo de configuração syslog.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
8.6 klogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8.6.1 opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8.7 Programas úteis para monitoração e gerenciamento de arquivos de logs . . . . . . . 50
8.7.1 logcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2
Parte I
3
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Conteúdo
O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in-
ternet, disponíveis em diversos sites ou originalmente produzido no CDTC (http://www.cdtc.org.br.)
O formato original deste material bem como sua atualização está disponível dentro da licença
GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seção de
mesmo nome, tendo inclusive uma versão traduzida (não oficial).
A revisão e alteração vem sendo realizada pelo CDTC (suporte@cdtc.org.br) desde outubro
de 2006. Críticas e sugestões construtivas serão bem-vindas a qualquer hora.
Autores
A autoria deste é de responsabilidade de André Marra G. Araujo (andremarra@cdtc.org.br) .
O texto original faz parte do projeto Centro de Difusão de Tecnologia e Conhecimento que
vêm sendo realizado pelo ITI (Instituto Nacional de Tecnologia da Informação) em conjunto com
outros parceiros institucionais, e com as universidades federais brasileiras que tem produzido e
utilizado Software Livre apoiando inclusive a comunidade Free Software junto a outras entidades
no país.
Garantias
O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi-
lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizam
direta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido.
Licença
Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br) .
Permission is granted to copy, distribute and/or modify this document under the terms
of the GNU Free Documentation License, Version 1.1 or any later version published by
the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS-
TILA. A copy of the license is included in the section entitled GNU Free Documentation
License.
4
Parte II
Informações Básicas
5
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Sobre o CDTC
Objetivo Geral
Objetivo Específico
Guia do aluno
Neste guia, você terá reunidas uma série de informações importantes para que você comece
seu curso. São elas:
• Primeiros passos.
É muito importante que você entre em contato com TODAS estas informações, seguindo o
roteiro acima.
Licença
6
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos
da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior
públicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSA
APOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu-
mentação Livre GNU".
• 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisão
e a sua recuperação de materiais;
• 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações e
realizá-las em tempo real;
• 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual não
controla a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração.
A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso:
. O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informações
que sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas a
7
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
todos participantes. Assim, se o monitor ou algum outro participante tiver uma informação que
interesse ao grupo, favor postá-la aqui.
Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico do
curso. É recomendado que você faça uso do Fórum de dúvidas gerais que lhe dá recursos mais
efetivos para esta prática.
. O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativo
para solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadas
a todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podem
ajudar.
Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com a
formalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópico
é recomendável ver se a sua pergunta já foi feita por outro participante.
. Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par-
ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podem
ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um
ótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé-
dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, por
pessoas de todas as partes do mundo. Acesse-a em português pelos links:
Primeiros Passos
Para uma melhor aprendizagem é recomendável que você siga os seguintes passos:
• Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar das
ferramentas básicas do mesmo;
Perfil do Tutor
8
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e,
para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutor
ou instrutor:
• fornece explicações claras acerca do que ele espera e do estilo de classificação que irá
utilizar;
• identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por-
que motivo a classificação foi ou não foi atribuída’;
• tece comentários completos e construtivos, mas de forma agradável (em contraste com um
reparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, de
ameaça e de nervossismo’)
9
Parte III
10
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
This is an unofficial translation of the GNU General Documentation License into Brazilian Por-
tuguese. It was not published by the Free Software Foundation, and does not legally state the
distribution terms for software that uses the GFDL–only the original English text of the GFDL does
that. However, we hope that this translation will help Portuguese speakers understand the GFDL
better.
É permitido a qualquer um copiar e distribuir cópias exatas deste documento de licença, mas
não é permitido alterá-lo.
INTRODUÇÃO
O propósito desta Licença é deixar um manual, livro-texto ou outro documento escrito "livre"no
sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copiá-lo ou redistribui-lo,
com ou sem modificações, comercialmente ou não. Secundariamente, esta Licença mantém
para o autor e editor uma forma de ter crédito por seu trabalho, sem ser considerado responsável
pelas modificações feitas por terceiros.
Nós fizemos esta Licença para que seja usada em manuais de software livre, por que software
livre precisa de documentação livre: um programa livre deve ser acompanhado de manuais que
provenham as mesmas liberdades que o software possui. Mas esta Licença não está restrita a
manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente
do assunto ou se ele é publicado como um livro impresso. Nós recomendamos esta Licença prin-
cipalmente para trabalhos cujo propósito seja de introdução ou referência.
APLICABILIDADE E DEFINIÇÕES
Esta Licença se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo
detentor dos direitos autorais dizendo que ele pode ser distribuído sob os termos desta Licença.
O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do público é um
11
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Uma "Seção Secundária"é um apêndice ou uma seção inicial do Documento que trata ex-
clusivamente da relação dos editores ou dos autores do Documento com o assunto geral do
Documento (ou assuntos relacionados) e não contém nada que poderia ser incluído diretamente
nesse assunto geral (Por exemplo, se o Documento é em parte um livro texto de matemática, a
Seção Secundária pode não explicar nada de matemática).
Essa relação poderia ser uma questão de ligação histórica com o assunto, ou matérias relaci-
onadas, ou de posições legais, comerciais, filosóficas, éticas ou políticas relacionadas ao mesmo.
As "Seções Invariantes"são certas Seções Secundárias cujos títulos são designados, como
sendo de Seções Invariantes, na nota que diz que o Documento é publicado sob esta Licença.
Os "Textos de Capa"são certos trechos curtos de texto que são listados, como Textos de Capa
Frontal ou Textos da Quarta Capa, na nota que diz que o texto é publicado sob esta Licença.
Uma cópia "Transparente"do Documento significa uma cópia que pode ser lida automatica-
mente, representada num formato cuja especificação esteja disponível ao público geral, cujos
conteúdos possam ser vistos e editados diretamente e sem mecanismos especiais com editores
de texto genéricos ou (para imagens compostas de pixels) programas de pintura genéricos ou
(para desenhos) por algum editor de desenhos grandemente difundido, e que seja passível de
servir como entrada a formatadores de texto ou para tradução automática para uma variedade
de formatos que sirvam de entrada para formatadores de texto. Uma cópia feita em um formato
de arquivo outrossim Transparente cuja constituição tenha sido projetada para atrapalhar ou de-
sencorajar modificações subsequentes pelos leitores não é Transparente. Uma cópia que não é
"Transparente"é chamada de "Opaca".
Exemplos de formatos que podem ser usados para cópias Transparentes incluem ASCII sim-
ples sem marcações, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML
usando uma DTD disponibilizada publicamente, e HTML simples, compatível com os padrões, e
projetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatos
proprietários que podem ser lidos e editados apenas com processadores de texto proprietários,
SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edição não estejam
disponíveis para o público, e HTML gerado automaticamente por alguns editores de texto com
finalidade apenas de saída.
12
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Você não pode usar medidas técnicas para obstruir ou controlar a leitura ou confecção de
cópias subsequentes das cópias que você fizer ou distribuir. Entretanto, você pode aceitar com-
pensação em troca de cópias. Se você distribuir uma quantidade grande o suficiente de cópias,
você também precisa respeitar as condições da seção 3.
Você também pode emprestar cópias, sob as mesmas condições colocadas acima, e também
pode exibir cópias publicamente.
Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma
legível, você deve colocar os primeiros (tantos quantos couberem de forma razoável) na capa
verdadeira, e continuar os outros nas páginas adjacentes.
Se você publicar ou distribuir cópias Opacas do Documento em número maior que 100, você
precisa ou incluir uma cópia Transparente que possa ser lida automaticamente com cada cópia
Opaca, ou informar, em ou com, cada cópia Opaca a localização de uma cópia Transparente
completa do Documento acessível publicamente em uma rede de computadores, à qual o público
usuário de redes tenha acesso a download gratuito e anônimo utilizando padrões públicos de
protocolos de rede. Se você utilizar o segundo método, você precisará tomar cuidados razoavel-
mente prudentes, quando iniciar a distribuição de cópias Opacas em quantidade, para assegurar
que esta cópia Transparente vai permanecer acessível desta forma na localização especificada
por pelo menos um ano depois da última vez em que você distribuir uma cópia Opaca (direta-
mente ou através de seus agentes ou distribuidores) daquela edição para o público.
É pedido, mas não é obrigatório, que você contate os autores do Documento bem antes de
redistribuir qualquer grande número de cópias, para lhes dar uma oportunidade de prover você
com uma versão atualizada do Documento.
13
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
MODIFICAÇÕES
Você pode copiar e distribuir uma Versão Modificada do Documento sob as condições das se-
ções 2 e 3 acima, desde que você publique a Versão Modificada estritamente sob esta Licença,
com a Versão Modificada tomando o papel do Documento, de forma a licenciar a distribuição
e modificação da Versão Modificada para quem quer que possua uma cópia da mesma. Além
disso, você precisa fazer o seguinte na versão modificada:
A. Usar na Página de Título (e nas capas, se houver alguma) um título distinto daquele do Do-
cumento, e daqueles de versões anteriores (que deveriam, se houvesse algum, estarem listados
na seção "Histórico do Documento"). Você pode usar o mesmo título de uma versão anterior se
o editor original daquela versão lhe der permissão;
B. Listar na Página de Título, como autores, uma ou mais das pessoas ou entidades responsá-
veis pela autoria das modificações na Versão Modificada, conjuntamente com pelo menos cinco
dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que
cinco);
E. Adicionar uma nota de copyright apropriada para suas próprias modificações adjacente às
outras notas de copyright;
F. Incluir, imediatamente depois das notas de copyright, uma nota de licença dando ao público
o direito de usar a Versão Modificada sob os termos desta Licença, na forma mostrada no tópico
abaixo;
G. Preservar nessa nota de licença as listas completas das Seções Invariantes e os Textos de
Capa requeridos dados na nota de licença do Documento;
I. Preservar a seção entitulada "Histórico", e seu título, e adicionar à mesma um item dizendo
pelo menos o título, ano, novos autores e editor da Versão Modificada como dados na Página de
Título. Se não houver uma sessão denominada "Histórico"no Documento, criar uma dizendo o
título, ano, autores, e editor do Documento como dados em sua Página de Título, então adicionar
um item descrevendo a Versão Modificada, tal como descrito na sentença anterior;
J. Preservar o endereço de rede, se algum, dado no Documento para acesso público a uma
cópia Transparente do Documento, e da mesma forma, as localizações de rede dadas no Docu-
mento para as versões anteriores em que ele foi baseado. Elas podem ser colocadas na seção
"Histórico". Você pode omitir uma localização na rede para um trabalho que tenha sido publicado
pelo menos quatro anos antes do Documento, ou se o editor original da versão a que ela se refira
der sua permissão;
14
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
seção e preservar a seção em toda substância e fim de cada um dos agradecimentos de contri-
buidores e/ou dedicatórias dados;
M. Apagar qualquer seção entitulada "Endossos". Tal sessão não pode ser incluída na Versão
Modificada;
N. Não reentitular qualquer seção existente com o título "Endossos"ou com qualquer outro
título dado a uma Seção Invariante.
Se a Versão Modificada incluir novas seções iniciais ou apêndices que se qualifiquem como
Seções Secundárias e não contenham nenhum material copiado do Documento, você pode optar
por designar alguma ou todas aquelas seções como invariantes. Para fazer isso, adicione seus
títulos à lista de Seções Invariantes na nota de licença da Versão Modificada. Esses títulos preci-
sam ser diferentes de qualquer outro título de seção.
Você pode adicionar uma seção entitulada "Endossos", desde que ela não contenha qual-
quer coisa além de endossos da sua Versão Modificada por várias pessoas ou entidades - por
exemplo, declarações de revisores ou de que o texto foi aprovado por uma organização como a
definição oficial de um padrão.
Você pode adicionar uma passagem de até cinco palavras como um Texto de Capa da Frente
, e uma passagem de até 25 palavras como um Texto de Quarta Capa, ao final da lista de Textos
de Capa na Versão Modificada. Somente uma passagem de Texto da Capa da Frente e uma de
Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade.
Se o Documento já incluir um texto de capa para a mesma capa, adicionado previamente por
você ou por acordo feito com alguma entidade para a qual você esteja agindo, você não pode
adicionar um outro; mas você pode trocar o antigo, com permissão explícita do editor anterior que
adicionou a passagem antiga.
O(s) autor(es) e editor(es) do Documento não dão permissão por esta Licença para que seus
nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer
Versão Modificada.
COMBINANDO DOCUMENTOS
Você pode combinar o Documento com outros documentos publicados sob esta Licença, sob
os termos definidos na seção 4 acima para versões modificadas, desde que você inclua na com-
binação todas as Seções Invariantes de todos os documentos originais, sem modificações, e liste
todas elas como Seções Invariantes de seu trabalho combinado em sua nota de licença.
O trabalho combinado precisa conter apenas uma cópia desta Licença, e Seções Invariantes
Idênticas com multiplas ocorrências podem ser substituídas por apenas uma cópia. Se houver
múltiplas Seções Invariantes com o mesmo nome mas com conteúdos distintos, faça o título de
15
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
cada seção único adicionando ao final do mesmo, em parênteses, o nome do autor ou editor
origianl daquela seção, se for conhecido, ou um número que seja único. Faça o mesmo ajuste
nos títulos de seção na lista de Seções Invariantes nota de licença do trabalho combinado.
COLETÂNEAS DE DOCUMENTOS
Você pode fazer uma coletânea consitindo do Documento e outros documentos publicados
sob esta Licença, e substituir as cópias individuais desta Licença nos vários documentos com
uma única cópia incluida na coletânea, desde que você siga as regras desta Licença para cópia
exata de cada um dos Documentos em todos os outros aspectos.
Você pode extrair um único documento de tal coletânea, e distribuí-lo individualmente sob
esta Licença, desde que você insira uma cópia desta Licença no documento extraído, e siga esta
Licença em todos os outros aspectos relacionados à cópia exata daquele documento.
Se o requerido para o Texto de Capa na seção 3 for aplicável a essas cópias do Documento,
então, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa
do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado.
Senão eles precisarão aparecer nas capas de todo o agregado.
TRADUÇÃO
Tradução é considerada como um tipo de modificação, então você pode distribuir traduções
do Documento sob os termos da seção 4. A substituição de Seções Invariantes por traduções
requer uma permissão especial dos detentores do copyright das mesmas, mas você pode incluir
traduções de algumas ou de todas as Seções Invariantes em adição às versões orignais dessas
Seções Invariantes. Você pode incluir uma tradução desta Licença desde que você também in-
clua a versão original em Inglês desta Licença. No caso de discordância entre a tradução e a
16
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
TÉRMINO
Você não pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expres-
samente especificado sob esta Licença. Qualquer outra tentativa de copiar, modificar, sublicen-
ciar, ou distribuir o Documento é nula, e resultará automaticamente no término de seus direitos
sob esta Licença. Entretanto, terceiros que tenham recebido cópias, ou direitos de você sob esta
Licença não terão suas licenças terminadas, tanto quanto esses terceiros permaneçam em total
acordo com esta Licença.
Para usar esta Licença num documento que você escreveu, inclua uma cópia desta Licença
no documento e ponha as seguintes notas de copyright e licenças logo após a página de título:
Se você não tiver nenhuma Seção Invariante, escreva "sem Seções Invariantes"ao invés de
dizer quais são invariantes. Se você não tiver Textos de Capa da Frente, escreva "sem Textos de
Capa da Frente"ao invés de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os
Textos da Quarta Capa.
Se o seu documento contiver exemplos não triviais de código de programas, nós recomenda-
mos a publicação desses exemplos em paralelo sob a sua escolha de licença de software livre,
17
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
tal como a GNU General Public License, para permitir o seu uso em software livre.
18
Parte IV
Monitoramento
19
Capítulo 1
O que é?
20
Capítulo 2
Plano de ensino
2.1 Objetivo
Qualificar usuários básicos a monitorar PC’s para a segurança dos seus dados.
2.3 Pré-requisitos
Os usuários deverão ser, necessariamente, funcionários públicos e ter conhecimentos básicos
para operar um computador.
2.4 Descrição
O curso de Monitoramento será realizado na modalidade EAD e utilizará a plataforma Moodle
como ferramenta de aprendizagem. Ele é composto de um módulo de aprendizado que será dado
na primeira semana e um módulo de avaliação que será dado na segunda semana. O material
didático estará disponível on-line de acordo com as datas pré-estabelecidas no calendário.
2.5 Metodologia
O curso está dividido da seguinte maneira:
2.6 Cronograma
• Lição 1 - Introdução;
• Lição 2 - tcpdump;
21
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
• Lição 3 - Nagios;
• Lição 4 - MRTG;
• Lição 5 - Cacti;
• Avaliação de aprendizagem;
• Avaliação do curso.
As lições contém o conteúdo principal. Elas poderão ser acessadas quantas vezes forem neces-
sárias, desde que esteja dentro da semana programada. Ao final de uma lição, você receberá
uma nota de acordo com o seu desempenho. Responda com atenção às perguntas de cada li-
ção, pois elas serão consideradas na sua nota final. Caso sua nota numa determinada lição seja
menor do que 6.0, sugerimos que você faça novamente esta lição.
Ao final do curso será disponibilizada a avaliação referente ao curso. Tanto as notas das lições
quanto a da avaliação final serão consideradas para a nota final. Todos os módulos ficarão visí-
veis para que possam ser consultados durante a avaliação final.
Aconselhamos a leitura da "Ambientação do Moodle"para que você conheça a plataforma de En-
sino a Distância, evitando dificuldades advindas do "desconhecimento"sobre a mesma.
Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deverá ser
enviada ao fórum. Diariamente os monitores darão respostas e esclarecimentos.
2.7 Programa
O curso de CVS oferecerá o seguinte conteúdo:
• tcpdump;
• Nagios;
• MRTG;
• Cacti;
• Arquivos de log.
2.8 Avaliação
Toda a avaliação será feita on-line.
Aspectos a serem considerados na avaliação:
Instrumentos de avaliação:
22
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
• AF = Avaliações.
2.9 Bibliografia
Sites recomendados:
• http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=122
• http://listas.cipsga.org.br/pipermail/linux-sbo/2004-December/000403.html
• http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=595
• http://focalinux.cipsga.org.br/guia/avancado/index.html
23
Capítulo 3
Introdução
• Cacti;
• MRTG;
• Nagios;
• 1 Kismet;
• etc.
1
O Kismet monitora redes wireless. Porém não será tratado neste curso.
24
Capítulo 4
TCPDUMP
4.1 NOME
tcpdump - captura o tráfego em uma rede.
4.2 SINOPSE
tcpdump [ -adeflnNOpqRStvxX ] [ -c contagem ] [ -F arquivo ] [ -i interface ] [ -m módulo ] [ -r
arquivo ] [ -s tamanho ] [ -T tipo ] [ -w arquivo ] [ -E algo:secret ] [ expressão ]
4.3 DESCRIÇÃO
Tcpdump imprime a saída dos cabeçalhos dos pacotes na interface de rede que combinam
com a expressão booleana.
No SunOS com nit ou bpf: para rodar tcpdump você necessita ter permissão de acesso a
/dev/nit ou /dev/bpf*;
No Solaris com dlpi: você precisa ter acesso de leitura/escrita ao pseudo dispositivo de rede, por
exemplo /dev/le;
No HP-UX com dlpi: você necessita ser root ou ter este instalado com setuid para root;
No IRIS com snoop: Você necessita ser root ou ter este instalado com setuid para root;
No Linux: Você necessita ser root ou ter este instalado com setuid para root;
No Ultrix e Digital UNIX: somente o super-usuário tem permissão de utilizar o modo de operação
promíscuo usando;
pfconfig(8), qualquer usuário pode rodar o tcpdump;
No BSD: você necessita ter acesso de leitura em /dev/bpf*.
4.4 OPÇÕES:
-a : espera para converter endereços de rede e broadcast para nomes;
25
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
-ddd : captura os pacotes com o código do pacote como números decimais (precedidos de um
contador);
-E : use algo:secreto para decriptar pacotes IPsec ESP. Algoritmos costumam ser des-cbc, 3des-
cbc, blowfish-cbc, rc3-cbc, cast128-cbc, ou nenhum. O padrão é des-cbc. A habilidade de
descriptar pacotes só estará presente se o tcpdump for compilado com suporte a criptografia
habilitado. Secreto é o texto ASCII para a chave ESP secreta. Nós não tentaremos um valor
binário arbitrário neste momento. A opção assume a RFC2406 do ESP, não a RFC1827
também do ESP. A opção é somente para propósitos de depuração, e o uso desta opção
com uma chave secreta TRULY é desencorajada. Pela apresentação da chave secreta do
IPsec na linha de comando você consegue deixar isto visível para outros, via ps(1) e em
outras ocasiões;
-i : escute na interface, se não especificado o tcpdump irá procurar a lista de interfaces do sis-
tema, interfaces ativas (excluindo a de loopback); Em sistemas Linux com kernels 2.2 ou
superiores, um argumento ``any” para interfaces pode ser usado para capturar pacotes de
todas as interfaces. Note que as capturas em ``any” (todos) os dispositivos não poderá ser
feita no modo promíscuo.
-l : deixe a linha de saída "bufferizada". Usualmente se você quizer ver os dados enquanto são
capturados: Ex: ``tcpdump -l | tee dat” ou ``tcpdump -l > dat & tail -f dat”;
-n : não converter endereços (Ex: endereços de hosts e números de portas, etc) para nomes;
-N : não imprime a qualificação do domínio dos nomes de host. Ex: se você passar esta flag
para o tcpdump, ele imprimirá ``nic” ao invés de ``nic.ddn.mil”;
-m : carrega as definições do módulo SMI MIB do arquivo módulo. Esta opção pode ser usada
em diversas vezes para carregar severos módulos MIB no tcpdump;
-O : não execute o otimizador de códigos de pacote. isso usualmente só será utilizado se você
suspeitar de uma falha no otimizador;
-p : não coloque a interface em modo promíscuo. Note que esta interface pode precisar entrar
em modo promíscuo por alguma outra razão; então, `-p’ não poderá ser usado como uma
abreviação para `ether host local-hw- addr ou ether broadcast’;
-q : saída rápida. Imprime menos informações do protocolo em saídas de linhas mais curtas;
26
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
-r : lê os pacotes do arquivo (isso é criado com a opção -w). A entrada padrão será utilizada se
o arquivo for ``-”;
-s : significa tamanho de bytes de arquivo deste pacote. O default é 68 (com SunOS’s NIT, o
mínimo é atualmente 96). 68 bytes é adequado para IP, ICMP, TCP e UDP, porém pode
truncar informações de protocolos de pacotes DNS e NFS (olhe na frente). Os pacotes
serão truncados porque um tamanho limitado foi indicado e a saída será ``[|proto]”, onde
proto é o nome do nível do protocolo onde a truncagem ocorreu. Note que aumentar muito o
tamanho pode causar uma delonga no tempo para processar estes pacotes e, efetivamente,
diminuir a quantidade de pacotes capturados. Isso pode causar perda de pacotes. Você
deve limitar o tamanho dos pacotes para o menor possível onde você conseguirá obter a
informação que lhe interessar. Coloque o tamanho em 0 para que o tcpdump capture os
pacotes completos, independente dos seus tamanhos;
-T : força que os pacotes selecionados pela "expressão"sejam interpretados pelo tipo especifi-
cado. Atualmente, os tipos conhecidos são cnfp (Protocolo Cisco NetFlow), rpc (Chamadas
de procedimento remotas), rtp (Protocolo de aplicações em tempo real), rtcp (Protocolo
de controle de aplicações em tempo real), snmp (Protocolo simples de gerenciamento de
redes), vat (Aplicação de Visual Áudio), e wb (Placa Branca distribuída);
-R : assume que pacotes ESP/AH são baseados em especificações antigas (RFC1825 a RFC1829).
Se especificado, o tcpdump não irá imprimir o campo de prevensão. No entanto, este não
é um campo de versão na especificação do protocolo ESP/AH, portanto o tcpdump não
poderá deduzir a versão do protocolo;
-S : imprimir o absoluto, em lugar do relativo, número de sequência TCP;
-t : não imprimir o timestamp na linha capturada;
-tt : imprimir um não formatado timestamp na linha capturada;
-v : detalhamento da saída (não muito). Por exemplo, o tempo de vida, identificação, tamanho
total e opções do cabeçalho IP serão impressos. Também se habilita opções adicionais de
checagem da integridade dos pacotes como verificação do checksum dos cabeçalhos IP e
ICMP;
-vv : saída mais detalhada, por exemplo, campos adicionais serão impressos em pacotes NFS
de resposta;
-vvv : saída mais detalhada ainda. Por exemplo, as opções telnet SB ... SE serão impressas
totalmente. Com -X as opções do telnet serão impressas em HEX muito bem;
-w : escreve os pacotes capturados no arquivo no lugar de selecioná-los e imprimí-los. Isso
poderá ser impresso utilizando-se a opção -r. A saída padrão será utilizada se o arquivo for
``-”;
-x : imprime este pacote (menos seu cabeçalho de camada de link) em hexadecimal. Tamanho
em bytes será impresso (opção -s);
-X : Se imprime em hexa, imprime em ASCII também. Se a opção -x também for selecionada, o
pacote será impresso em hexa/ascii. Isso é muito útil para analizar novos protocolos. Se a
opção -x não estiver selecionada, algumas partes de alguns pacotes serão impressas em
hexa/ascii.
27
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
4.5 expressão
Seleciona quais pacotes serão capturados. Se nenhuma expressão for passada, todos os
pacotes da rede serão capturados.
Se informada, apenas os pacotes que tiverem a expressão como sendo verdadeira (combina-
rem com a expressão) serão capturados.
A expressão consiste em uma ou mais primitivas.
Primitivas usualmente consistem em um identificador (nome ou número) precedidas de um ou
mais qualificadores. Existem 3 diferentes qualificadores:
type indica qual identificador (nome ou número) ele se refere. Os tipos possíveis são: host,
net e port.
Exemplos:
``host foo”
``net 128.3”
``port 20”
dir indica a direção em que a transferência ocorrerá, para e/ou do identificador. As direções
possíveis são src, dst, src or dst e src and dst
Exemplos:
``src foo”
Se nenhum qualificador dir for especificado, src or dst será assumido. Para camadas de link
``null” (Ex: protocolos de ponto a ponto como o slip) os qualificadores de entrada e saída devem
ser utilizados para especificar a direção desejada.
proto Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes de
protocolo são:
ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp e udp.
Ex:
28
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Ex:
`fddi’ é atualmente um apelido para `ether’; isso seria idêntico a mensionar ``o nível de link de
dados usado nesta específica interface de rede.”
``host foo and not port ftp and not port ftp-data”.
``tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain”.
Verdadeiro se o campo de destino de pacotes IPv4/v6 for host, este pode ser endereço ou nome.
29
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
host host
Verdadeiro se o campo de origem ou destino de pacotes IPv4/v6 for host. Qualquer uma des-
tas expressões de host podem ser precedidas por diretivas tais como ip, arp, rarp, ou ip6, assim:
ip host host
isso é o equivalente a:
Se host for um nome com múltiplos endereços IP, eles serão checados para a correlação.
Verdadeiro se o endereço de destino ethernet for ehost. Ehost pode ser um nome de /etc/ethers
ou um número (veja ethers(3N) para o formato numérico).
gateway host
Verdadeiro se o host usado no pacote for um gateway. Ex: o endereço de origem ou destino
ethernet seja um host diferente do endereço de origem ou destino IP.
Host precisa ser um nome e ser encontrado tanto em /etc/hosts quanto /etc/ethers.
que poderia ser usada com nomes ethernet ou números para host / ehost.)
Verdadeiro se o endereço de destino IPv4/v6 do pacote for um número de rede. Net pode ser
um nome de /etc/networks ou um número de rede (veja networks(4) para maiores detalhes).
30
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
net net
Verdadeiro se o endereço IP combinar com a rede de máscara especificada. Pode ser qualifi-
cada com src ou dst. Esta sintaxe também não foi implementada para redes IPv6.
net net/len
Verdadeiro se o endereço IPv4/v6 combinar com a rede que possua netmask len bits. Pode
ser qualificada com src ou dst.
Verdadeiro se o pacote for ip/tcp, ip/udp, ip6/tcp ou ip6/udp e sua porta de destino seja port.
A porta pode ser um número ou um nome usado em /etc/services (veja tcp(4P) e udp(4P)).
Se um nome for usado, tanto o número da porta quanto o protocolo serão checados.
Se um número ou um nome ambíguo for utilizado, somente o número da porta será checado.
Ex:
port domain
port port
31
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
porta anteriores podem ser precedidas com diretivas tcp ou udp, assim:
less length
Verdadeiro se o pacote tiver um tamanho menor ou igual a length. Isso seria o equivalente a:
greater length
Verdadeiro se o pacote tiver um tamanho maior ou igual a length. Isso seria o equivalente a:
ip proto protocol
Verdadeiro se o pacote for um pacote IP (veja ip(4P)) com protocolo de tipo protocol. Proto-
col pode ser um número ou um dos nomes: icmp, icmp6, igmp, igrp, pim, ah, esp, udp ou tcp.
Note que os identificadores tcp, udp e icmp também são diretivas que podem ser passadas via
backslash (l), isso seria no C-Shell.
Verdadeiro se o pacote for um pacote IPv6, e conter um cabeçalho de protocolo com tipo pro-
tocol na regra de protocolo do cabeçalho.
Por exemplo:
ip6 protochain 6
combina com qualquer pacote IPv6 com o protocolo TCP definido na regra do cabeçalho que
especifica o protocolo.
O pacote pode conter, por exemplo, cabeçalho de autenticação, roteamento, hop-by-hop, tanto
IPv6 quanto TCP. O código BPF emitido por esta primitiva é complexo e não será otimizado pelo
32
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
ip protochain protocol
ether broadcast
ip broadcast
Verdadeiro se o pacote for um pacote de broadcast IP. Isso irá checar tanto por tudo-zero quanto
tudo-um como convenção para broadcast, e olhará para a máscara de subrede local
ip multicast
ip6 multicast
ip, ip6, arp, rarp, atalk, aarp, dec-net, sca, lat, mopdl, moprc, ou iso.
Observe que estes identificadores também são diretivas que podem ser passados via backs-
lash (l).
No caso do FDDI (ex: ``fddi protocol arp”), a identificação do protocolo vem do cabeçalho 802.2
Logical Link Control (LLC), e isto poderá usualmente estar no topo da camada do cabeçalho FDDI.
O tcpdump assumirá, enquanto filtra o identificador de protocolo, que todos os pacotes FDDI
incluem um cabeçalho LLC e que este cabeçalho estará no formato SNAP. O mesmo se aplica ao
Token Ring.
33
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Verdadeiro se o endereço de origem DECNET for host, isto poderá ser um endereço na forma
``10.123”, ou um nome de host DECNET.
O suporte a nomes de host DECNET só está disponível em sistemas Ultrix configurados para
rodar DECNET.
Abreviações para:
ether proto p
Abreviações para:
ether proto p
Perceba que o tcpdump atualmente não possui "know how"para estes protocolos.
vlan [vlan_id]
Verdadeiro se o pacote for um pacote VLAN IEEE 802.1Q Se [vlan_id] for especificado, somente
será verdadeiro o pacote que obedeça a especificação [vlan_id].
Observe que esta é a primeira diretiva vlan encontrada nas mudanças em expressão com off-
sets de decodificação para definir que este pacote é um pacote VLAN.
Abreviações para:
34
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Verdadeiro se o pacote for um pacote OSI com tipo de protocolo protocol. Protocol pode ser
um número ou um dos seguintes nomes: clnp, esis ou isis.
Abreviações para:
iso proto p
onde p é um dos protocolos mencionados anteriormente. Observe que o tcpdump faz um tra-
balho incompleto para selecionar estes protocolos.
Verdadeiro se a relação holds, onde relop é um dos seguintes: >, <, >=, <=, =, !=, e expr é
uma expressão aritmética composta por uma constante inteira (expressa na sintaxe padrão da
linguagem C), os operadores binários normais, a saber: +, -, *, /, &, |, um operador de tamanho e
um pacote especial de dados acessórios.
ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp ou ip6, e indica a camada de protocolo para a ope-
ração de índice. Observe que tcp, udp e outros protocolos de camada mais alta, somente se
aplicam ao IPv4, não ao IPv6 (isso será corrigido no futuro).
Size (tamanho) é opcional e indica o número de bytes no campo de interesse; este pode ser:
one, two ou four, sendo o padrão one.
Por exemplo:
``ether[0] & 1 != 0”
A expressão:
35
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
A expressão:
Captura somente datagramas não fragmentados e fragmentos zero dos datagramas fragmen-
tados.
Esta checagem pode ser especificamente aplicada para operações de índice em tcp e udp.
Então, tcp[0] sempre menciona o primeiro byte do cabeçalho TCP, e nunca o primeiro byte de
um fragmento.
Diretivas e operadores entre parênteses (parênteses são especiais para o Shell e serão inter-
pretados).
Se um identificador for passado sem uma diretiva, a mais recente diretiva será assumida.
Por exemplo:
será igual à:
Geralmente, se a expressão contiver metacaracteres de SHELL, será mais fácil passar como
36
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
EXEMPLOS
Para imprimir todos os pacotes vindos de ou para o departamento sundown tcpdump host sun-
down
Para imprimir todos os pacotes IP entre ace e qualquer host exceto helios:
Para imprimir todo tráfego ftp para a internet através do gateway snup:
(Observe que a expressão está entre parênteses para prevenir que o shell interprete o que está
entre parênteses)
Para imprimir o tráfego para redes fora da rede local (se você for gateway para outra rede, esta
regra pode não prever isto em sua rede local).
Para imprimir pacotes de início e final de conexões (SYN e FIN) TCP envolvendo hosts não-locais.
tcpdump ’tcp[13] & 3 != 0 and not src and dst net localnet’
Para imprimir pacotes IP maiores do que 576 bytes enviados através do gateway snup:
Para imprimir pacotes de broadcast ou multicast IP que não estão sendo enviados via broad-
cast ou multicat ethernet
Para imprimir todos os pacotes ICMP que não sejam echo request/reply
37
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
SEE ALSO
AUTHORS
Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Labo-
ratory, University of Cali- fornia, Berkeley, CA.
http://www.tcpdump.org/
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
IPv6/IPsec support is added by WIDE/KAME project. This program uses Eric Young’s SSLeay
library, under specific configuration.
http://www.tcpdump.org/
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
IPv6/IPsec support is added by WIDE/KAME project. This program uses Eric Young’s SSLeay
library, under specific configuration.
38
Capítulo 5
Nagios
• Permite que alertas específicos sejam encaminhados para grupos ou indivíduos em parti-
cular;
39
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
• open Source;
• robusto e confiável;
• altamente configurável;
• fácil de extender;
• desenvolvimento ativo;
• comunidade ativa;
O Nagios pode ser utilizado para monitorar muitas coisas. Aqui estão algumas delas:
• serviços como DHCP, DNS, FTP, SSH, Telnet, HTTP, NTP, POP3, IMAP, SMTP etc;
40
Capítulo 6
MRTG
Perl : o MRTG é escrito em Perl e vem com todo o código fonte disponível;
Portabilidade SNMP : o MRTG usa uma implementação totalmente portável de SNMP escrita
toda em Perl (graças a Simon Leinen). Não há necessidade de instalar qualquer pacote
externo SNMP(cliente);
41
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
Arquivos Log de tamanho fixo : os arquivos de log do MRTG NÃO crescem de tamanho graças
ao uso de um algoritmo único de consolidação de dados;
Configuração automática : o MRTG vem com um kit de ferramentas próprias para sua configu-
ração, tornando-a bem simples;
Performance : rotinas com tempo crítico são implementadas em C, para maior performance.
(Graças a iniciativa de Dave Rand);
Gráficos em PNG : gráficos são gerados diretamente para o formato PNG usando a biblioteca
GD de Thomas Boutell;
Customização : a aparência das páginas HTML produzidas pelo MRTG são altamente configu-
ráveis;
6.3 História
O MRTG surge após uma necessidade e curiosidade de conhecer a performance de uma linha
de 64kbit, onde Tobias Oetiker trabalhava em 1994. Oetiker, então, criou um pequeno programa
que atualizava um gráfico na internet onde era mostrado a carga no link de Internet. Eventu-
almente, o programa se desenvolveu em um script Perl razoavelmente customizável chamado
MRTG-1.0, que foi lançado em 1995. A partir daí Oetiker deixou o MRTG de lado por falta de
tempo. Em Janeiro de 1996, Oetiker recebe um e-mail de Dave Rand, perguntando sobre o
MRTG e seu desenvolvimento demorado. Oetiker sabia que a programação do MRTG não era
muito eficiente e estava escrito toda em Perl. Depois de mais ou menos uma semana, Rand
escreveu a Oetiker novamente dizendo que havia feito uma tentativa de aprimorar a velocidade
do MRTG. Rand havia decidido reescrever partes críticas do programa na linguagem C. O código
fora mandado a Oetiker pelo e-mail. A nova implementação provia aumento de velocidade do
MRTG em até 40 vezes! Isto fez com que Oetiker recomeçasse a trabalhar com o MRTG nas
horas vagas para desenvolver o MRTG-2.
Após o desenvolvimento do MRTG-2, cópias beta foram distribuídas a interessados. Com
isso o projeto recebeu inúmeros patches, vários bug fixes e feedback dos usuários. O produto
disponível hoje não estaria em tal estado se não fosse a grande contribuição e suporte de sua
comunidade de usuários.
6.3.2 Autor
Tobias Oetiker <oetiker@ee.ethz.ch> e vários contribuintes
42
Capítulo 7
Cacti
Para gerenciar processos e recursos do seu computador utilizando a ferramenta Cacti, inicia-
remos com as definições de alguns conceitos importantes sobre os quais falaremos durante esse
curso. São eles:
RRDtool:
RRD é a abreviação de Round Robin Database, sistema cujo objetivo é armazenar e monito-
rar dados em série obtidos durante um período de tempo pré-determinado. Esses dados obtidos
são denominados dados circulares, pois seu tamanho ocupado em disco não aumenta com o
decorrer do tempo e nem com a quantidade de dados já armazenados. Entretanto, o RRDTOOL
não é capaz de gerar páginas html ou produzir gráficos, fato que torna necessário a sua comum
utilização associada a um front-end.
SNMP:
O SNMP (Simple Network Management Protocol) é um protocolo de gerência definido a ní-
vel de aplicação, é utilizado para obter informações de servidores SNMP. Foi desenvolvido para
gerenciar, monitorar e controlar configurações, performance, falhas, estatísticas e segurança da
rede. Sendo um padrão para gerenciamento de LANs, particularmente para aplicações de missão
crítica. O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil
do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sis-
temas. O SNMP é um protocolo inicialmente desenvolvido para ser uma alternativa ao protocolo
CMIP (mais completo, porém não foi bem recebido no mercado devido a sua alta complexidade).
O SNMP, por ser mais simples e dar a conta do recado, acabou virando padrão de mercado e
hoje já está na versão SNMP V3. Veremos mais à frente esse protocolo mais detalhadamente.
Cacti:
O Cacti é uma ferramenta gráfica de gerenciamento de dados de rede desenvolvido para ser
utilizado por administradores de rede com uma não muito rica experiência na área, enquanto
por outro lado, disponibiliza recursos bem poderosos para serem utilizados em redes bastante
complexas. O Cacti é um front-end para o RRDTOOL desenvolvido na linguagem PHP, possui
uma interface web e armazena todos os seus dados em um banco de dados MySql. Utilizando
essa ferramenta, é possível fazer o polling de hosts SNMP, criar gráficos e gerenciar o acesso de
usuários a toda a informação já coletada.
Esta ferramenta disponibiliza a seus usuários uma interface intuitiva e bem agradável de se usar,
sendo acessível a qualquer tipo de usuários, desde inexperientes até usuários com uma grande
experiência. Com o Cacti, é possível fazer o controle de acesso por nível de usuário, ou seja,
podemos configurar o acesso a certas informações apenas por determinados usuários. Além
43
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
disso, o fato do usuário desejar adicionar algum novo equipamento para ser monitorado não é
uma tarefa complicada como em outras ferramentas(por exemplo o MRTG), bastando para isso
alguns poucos minutos.
O monitoramento de redes usando o Cacti é bastante fácil e agradável, e o objetivo deste curso
é ensinar o usuário a instalar e configurar essa ferramenta de grande usabilidade no mundo tec-
nológico atual. E o melhor, é um programa LIVRE, ou seja, disponibilizado para qualquer um
baixá-lo e instalá-lo em seu computador.
44
Capítulo 8
Arquivos de log
8.1 Follow
O Follow é um pequeno aplicativo Java que permite monitorar vários arquivos de Log simul-
taneamente através de uma interface gráfica. Para os desenvolvedores em plataforma Windows
uma verdadeira mão na roda. Os principais recursos são:
• os arquivos podem ser abertos sendo arrastados para a interface gráfica (Usando drag-and-
drop);
• os arquivos abertos com o Follow podem ser abertos automaticamente da próxima vez em
que ele for executado.
Follow é um projeto Open Source, distribuído sob a licença GNU GPL, e pode ser encontrado
em http://follow.sourceforge.net
45
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
8.4 syslogd
Este daemon controla o registro de logs do sistema.
syslogd [opções]
opções
-f : especifica um arquivo de configuração alternativo ao /etc/syslog.conf;
-h : permite redirecionar mensagens recebidas a outros servidores de logs especificados;
-l (computadores) : especifica um ou mais computadores (separados por ":") que deverão ser
registrados somente com o nome de máquina ao invés do FQDN (nome completo, incluindo
domínio);
-m (minutos) : intervalo em minutos que o syslog mostrará a mensagem –MARK–. O valor
padrão padrão é 20 minutos, 0 desativa;
-n : evita que o processo caia automaticamente em background. Necessário principalmente se o
syslogd for controlado pelo init;
-p (soquete) : especifica um soquete UNIX alternativo ao invés de usar o padrão /dev/log;
-r : permite o recebimento de mensagens através da rede por meio da porta UDP 514. Esta
opção é útil para criar um servidor de logs centralizado na rede. Por padrão, o servidor
syslog rejeitará conexões externas;
-a (soquetes) : especifica soquetes adicionais que serão monitorados. Esta opção será neces-
sária se estiver usando um ambiente chroot. É possível usar até 19 soquetes adicionais;
-d : ativa o modo de depuração do syslog. O syslog permanecerá operando em primeiro plano e
mostrará as mensagens no terminal atual.
Na distribuição Debian, o daemon syslogd é iniciado através do script /etc/init.d/sysklogd.
46
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
• facilidade - é usada para especificar que tipo de programa está enviando a mensagem. Os
seguintes níveis são permitidos (em ordem alfabética):
Mais de uma facilidade pode ser especificada na mesma linha do syslog.conf separando-as
com ",".
47
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
• destino - o destino das mensagens pode ser um arquivo, um pipe (se iniciado por um -
"), um computador remoto (se iniciado por uma "@"), determinados usuários do sistema
(especificando os logins separados por vírgula) ou para todos os usuários logados via wall
(usando "*").
• -- pode ser usado para desativar o sync imediato do arquivo após sua gravação.
#
# Primeiro alguns arquivos de log padrões. Registrados por facilidade
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* /var/log/mail.log
user.* -/var/log/user.log
uucp.* -/var/log/uucp.log
#
# Registro de logs do sistema de mensagens. Divididos para facilitar
48
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
#
# Alguns arquivos de registro "pega-tudo".
# São usadas ","para especificar mais de uma prioridade (por
# exemplo, "auth,authpriv.none") e ";"para especificar mais de uma
# facilidade.nível que será gravada naquele arquivo.
# Isto permite deixar as regras consideravelmente menores e mais legíveis
#
*.=debug;
auth,authpriv.none;
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages
#
# Emergências são enviadas para qualquer um que estiver logado no sistema. Isto
# é feito através da especificação do "*"como destino das mensagens e são
# enviadas através do comando wall.
#
*.emerg *
#
# Eu gosto de ter mensagens mostradas no console, mas somente em consoles que
# não utilizo.
#
#daemon,mail.*;
# news.=crit;news.=err;news.=notice;
# *.=debug;*.=info;
# *.=notice;*.=warn /dev/tty8
49
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
8.6 klogd
Este daemon controla o registro de mensagens do kernel. Ele monitora as mensagens do
kernel e as envia para o daemon de monitoramento syslogd, por padrão.
klogd [opções]
8.6.1 opções
-d : ativa o modo de depuração do daemon;
-k (arquivo) : especifica o arquivo que contém os símbolos do kernel. Exemplos deste arquivo
estão localizados em /boot/System.map-xx.xx.xx;
-o : faz com que o daemon leia e registre todas as mensagens encontradas nos buffers do kernel,
após isto o daemon é encerrado;
-p : ativa o modo paranóia. Isto fará o klogd somente carregar detalhes sobre os módulos quando
os caracteres Oops forem detectados nas mensagens do kernel. É recomendável ter sem-
pre a última versão do klogd e evitar a utilização desta opção em ambientes críticos;
50
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
um nome identificando o processo, etc. Seu uso é muito útil em shell scripts ou em outros eventos
do sistema.
logger [opções] [mensagem]
Onde:
Mais detalhes sobre o funcionamento sobre o daemon de log do sistema syslogd, pode ser
encontrado em syslogd,
Exemplos: logger -i -t focalinux Teste teste teste, logger -i -f /tmp/mensagem -p security.emerg
51
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
A rotação de logs é feita de acordo com o tamanho do arquivo de logs especificado, mas a
opção -f pode ser usada para "forçar"a rotação de logs. A opção -d fornece mais detalhes sobre
o que o logrotate está fazendo. Seu arquivo principal de configuração é o /etc/logrotate.conf. Um
modelo deste tipo de arquivo é o seguinte:
# Erros de não existência dos logs são enviados para o usuário root
mail root
52