MRTG1

Monitoramento
Versão 1.0.0
Sumário
I Sobre essa Apostila 2
II Informações Básicas 4
III GNU Free Documentation License 9
IV Monitoramento 18
1 O que é? 19
2 Plano de ensino 20
2.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3 Introdução 23
3.1 Por que monitorar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2 Onde monitorar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4 TCPDUMP 24
4.1 NOME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 SINOPSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.3 DESCRIÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.4 OPÇÕES: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.5 expressão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.6 ether multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5 Nagios 38
5.1 O que é o Nagios? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.2 Como Nagios Monitora as Máquinas? . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.3 O que o Nagios pode fazer? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
1
CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF
5.4 Porque utilizar o Nagios? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5.5 Considerações finais sobre o Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6 MRTG 40
6.1 MRTG - Multi-router traffic grapher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2 Características gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.3 História . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3.1 Leia mais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3.2 Autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
7 Cacti 42
8 Arquivos de log 44
8.1 Follow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
8.2 Arquivos e daemons de Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
8.3 Formato do arquivo de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
8.4 syslogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
8.5 Arquivo de configuração syslog.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
8.6 klogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8.6.1 opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8.7 Programas úteis para monitoração e gerenciamento de arquivos de logs . . . . . . . 50
8.7.1 logcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2
Parte I
Sobre essa Apostila
3
Conteúdo
O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in-
ternet, disponíveis em diversos sites ou originalmente produzido no CDTC (http://www.cdtc.org.br.)
O formato original deste material bem como sua atualização está disponível dentro da licença
GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seção de
mesmo nome, tendo inclusive uma versão traduzida (não oficial).
A revisão e alteração vem sendo realizada pelo CDTC (suporte@cdtc.org.br) desde outubro
de 2006. Críticas e sugestões construtivas serão bem-vindas a qualquer hora.
Autores
A autoria deste é de responsabilidade de André Marra G. Araujo (andremarra@cdtc.org.br) .
O texto original faz parte do projeto Centro de Difusão de Tecnologia e Conhecimento que
vêm sendo realizado pelo ITI (Instituto Nacional de Tecnologia da Informação) em conjunto com
outros parceiros institucionais, e com as universidades federais brasileiras que tem produzido e
utilizado Software Livre apoiando inclusive a comunidade Free Software junto a outras entidades
no país.
Informações adicionais podem ser obtidas através do email ouvidoria@cdtc.org.br, ou da

home page da entidade, através da URL http://www.cdtc.org.br.
Garantias
O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi-
lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizam
direta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido.
Licença
Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br) .
Permission is granted to copy, distribute and/or modify this document under the terms
of the GNU Free Documentation License, Version 1.1 or any later version published by
the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS-
TILA. A copy of the license is included in the section entitled GNU Free Documentation
License.
4
Parte II
Informações Básicas
5
Sobre o CDTC
Objetivo Geral
O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina-

ção de soluções que utilizem padrões abertos e não proprietários de tecnologia, em proveito do
desenvolvimento social, cultural, político, tecnológico e econômico da sociedade brasileira.
Objetivo Específico
Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário e

de código fonte aberto, identificando e mobilizando grupos de formadores de opinião dentre os
servidores públicos e agentes políticos da União Federal, estimulando e incentivando o mercado
nacional a adotar novos modelos de negócio da tecnologia da informação e de novos negócios
de comunicação com base em software não-proprietário e de código fonte aberto, oferecendo
treinamento específico para técnicos, profissionais de suporte e funcionários públicos usuários,
criando grupos de funcionários públicos que irão treinar outros funcionários públicos e atuar como
incentivadores e defensores dos produtos de software não proprietários e código fonte aberto, ofe-
recendo conteúdo técnico on-line para serviços de suporte, ferramentas para desenvolvimento de
produtos de software não proprietários e do seu código fonte livre, articulando redes de terceiros
(dentro e fora do governo) fornecedoras de educação, pesquisa, desenvolvimento e teste de pro-
dutos de software livre.
Guia do aluno
Neste guia, você terá reunidas uma série de informações importantes para que você comece
seu curso. São elas:
• Licenças para cópia de material disponível;
• Os 10 mandamentos do aluno de Educação a Distância;
• Como participar dos foruns e da wikipédia;
• Primeiros passos.
É muito importante que você entre em contato com TODAS estas informações, seguindo o
roteiro acima.
Licença
Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br).
6
É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos
da Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior
públicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSA
APOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu-
mentação Livre GNU".
Os 10 mandamentos do aluno de educação online
• 1. Acesso à Internet: ter endereço eletrônico, um provedor e um equipamento adequado é

pré-requisito para a participação nos cursos a distância;
• 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá-

tica é necessário para poder executar as tarefas;
• 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân-

cia conta muitos pontos, pois irá colaborar para o processo ensino-aprendizagem pessoal,
dos colegas e dos professores;
• 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seus

colegas de turma respeitando-os e se fazendo ser respeitado pelos mesmos;
• 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisão
e a sua recuperação de materiais;
• 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações e
realizá-las em tempo real;
• 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre;
• 8. Flexibilidade e adaptação: requisitos necessário à mudança tecnológica, aprendizagens

e descobertas;
• 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente é

ponto - chave na comunicação pela Internet;
• 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual não
controla a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração.
Como participar dos fóruns e Wikipédia
Você tem um problema e precisa de ajuda?
Podemos te ajudar de 2 formas:
A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso:
. O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informações
que sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas a
7
todos participantes. Assim, se o monitor ou algum outro participante tiver uma informação que
interesse ao grupo, favor postá-la aqui.
Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico do
curso. É recomendado que você faça uso do Fórum de dúvidas gerais que lhe dá recursos mais
efetivos para esta prática.
. O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativo
para solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadas
a todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podem
ajudar.
Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com a
formalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópico
é recomendável ver se a sua pergunta já foi feita por outro participante.
A segunda forma se dá pelas Wikis:
. Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par-
ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podem
ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um
ótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé-
dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, por
pessoas de todas as partes do mundo. Acesse-a em português pelos links:
• Página principal da Wiki - http://pt.wikipedia.org/wiki/
Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo!
Primeiros Passos
Para uma melhor aprendizagem é recomendável que você siga os seguintes passos:
• Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar;
• Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar das
ferramentas básicas do mesmo;
• Entrar nas lições seguindo a seqüência descrita no Plano de Ensino;
• Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais.
Perfil do Tutor
Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores.
O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivos

valores e atitudes, incentiva mas é honesto, imparcial, amável, positivo, respeitador, aceita as
idéias dos estudantes, é paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar.
8
A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e,
para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutor
ou instrutor:
• fornece explicações claras acerca do que ele espera e do estilo de classificação que irá
utilizar;
• gosta que lhe façam perguntas adicionais;
• identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por-
que motivo a classificação foi ou não foi atribuída’;
• tece comentários completos e construtivos, mas de forma agradável (em contraste com um
reparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, de
ameaça e de nervossismo’)
• dá uma ajuda complementar para encorajar um estudante em dificuldade;
• esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente;
• ajuda o estudante a alcançar os seus objetivos;
• é flexível quando necessário;
• mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso,

talvez numa fase menos interessante para o tutor);
• escreve todas as correções de forma legível e com um nível de pormenorização adequado;
• acima de tudo, devolve os trabalhos rapidamente;
9
Parte III
GNU Free Documentation License
10
(Traduzido pelo João S. O. Bueno através do CIPSGA em 2001)

Esta é uma tradução não oficial da Licença de Documentação Livre GNU em Português Brasi-
leiro. Ela não é publicada pela Free Software Foundation, e não se aplica legalmente a distribuição
de textos que usem a GFDL - apenas o texto original em Inglês da GNU FDL faz isso. Entretanto,
nós esperamos que esta tradução ajude falantes de português a entenderem melhor a GFDL.
This is an unofficial translation of the GNU General Documentation License into Brazilian Por-
tuguese. It was not published by the Free Software Foundation, and does not legally state the
distribution terms for software that uses the GFDL–only the original English text of the GFDL does
that. However, we hope that this translation will help Portuguese speakers understand the GFDL
better.
Licença de Documentação Livre GNU Versão 1.1, Março de 2000
Copyright (C) 2000 Free Software Foundation, Inc.

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
É permitido a qualquer um copiar e distribuir cópias exatas deste documento de licença, mas
não é permitido alterá-lo.
INTRODUÇÃO
O propósito desta Licença é deixar um manual, livro-texto ou outro documento escrito "livre"no
sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copiá-lo ou redistribui-lo,
com ou sem modificações, comercialmente ou não. Secundariamente, esta Licença mantém
para o autor e editor uma forma de ter crédito por seu trabalho, sem ser considerado responsável
pelas modificações feitas por terceiros.
Esta Licença é um tipo de "copyleft"("direitos revertidos"), o que significa que derivações do

documento precisam ser livres no mesmo sentido. Ela complementa a GNU Licença Pública Ge-
ral (GNU GPL), que é um copyleft para software livre.
Nós fizemos esta Licença para que seja usada em manuais de software livre, por que software
livre precisa de documentação livre: um programa livre deve ser acompanhado de manuais que
provenham as mesmas liberdades que o software possui. Mas esta Licença não está restrita a
manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente
do assunto ou se ele é publicado como um livro impresso. Nós recomendamos esta Licença prin-
cipalmente para trabalhos cujo propósito seja de introdução ou referência.
APLICABILIDADE E DEFINIÇÕES
Esta Licença se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo
detentor dos direitos autorais dizendo que ele pode ser distribuído sob os termos desta Licença.
O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do público é um
11
licenciado e é referida como "você".
Uma "Versão Modificada"do Documento se refere a qualquer trabalho contendo o documento

ou uma parte dele, quer copiada exatamente, quer com modificações e/ou traduzida em outra
língua.
Uma "Seção Secundária"é um apêndice ou uma seção inicial do Documento que trata ex-
clusivamente da relação dos editores ou dos autores do Documento com o assunto geral do
Documento (ou assuntos relacionados) e não contém nada que poderia ser incluído diretamente
nesse assunto geral (Por exemplo, se o Documento é em parte um livro texto de matemática, a
Seção Secundária pode não explicar nada de matemática).
Essa relação poderia ser uma questão de ligação histórica com o assunto, ou matérias relaci-
onadas, ou de posições legais, comerciais, filosóficas, éticas ou políticas relacionadas ao mesmo.
As "Seções Invariantes"são certas Seções Secundárias cujos títulos são designados, como
sendo de Seções Invariantes, na nota que diz que o Documento é publicado sob esta Licença.
Os "Textos de Capa"são certos trechos curtos de texto que são listados, como Textos de Capa
Frontal ou Textos da Quarta Capa, na nota que diz que o texto é publicado sob esta Licença.
Uma cópia "Transparente"do Documento significa uma cópia que pode ser lida automatica-
mente, representada num formato cuja especificação esteja disponível ao público geral, cujos
conteúdos possam ser vistos e editados diretamente e sem mecanismos especiais com editores
de texto genéricos ou (para imagens compostas de pixels) programas de pintura genéricos ou
(para desenhos) por algum editor de desenhos grandemente difundido, e que seja passível de
servir como entrada a formatadores de texto ou para tradução automática para uma variedade
de formatos que sirvam de entrada para formatadores de texto. Uma cópia feita em um formato
de arquivo outrossim Transparente cuja constituição tenha sido projetada para atrapalhar ou de-
sencorajar modificações subsequentes pelos leitores não é Transparente. Uma cópia que não é
"Transparente"é chamada de "Opaca".
Exemplos de formatos que podem ser usados para cópias Transparentes incluem ASCII sim-
ples sem marcações, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML
usando uma DTD disponibilizada publicamente, e HTML simples, compatível com os padrões, e
projetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatos
proprietários que podem ser lidos e editados apenas com processadores de texto proprietários,
SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edição não estejam
disponíveis para o público, e HTML gerado automaticamente por alguns editores de texto com
finalidade apenas de saída.
A "Página do Título"significa, para um livro impresso, a página do título propriamente dita,

mais quaisquer páginas subsequentes quantas forem necessárias para conter, de forma legível,
o material que esta Licença requer que apareça na página do título. Para trabalhos que não
tenham uma página do título, "Página do Título"significa o texto próximo da aparição mais proe-
minente do título do trabalho, precedendo o início do corpo do texto.
12
FAZENDO CÓPIAS EXATAS

Você pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou não
comercial, desde que esta Licença, as notas de copyright, e a nota de licença dizendo que esta
Licença se aplica ao documento estejam reproduzidas em todas as cópias, e que você não acres-
cente nenhuma outra condição, quaisquer que sejam, às desta Licença.
Você não pode usar medidas técnicas para obstruir ou controlar a leitura ou confecção de
cópias subsequentes das cópias que você fizer ou distribuir. Entretanto, você pode aceitar com-
pensação em troca de cópias. Se você distribuir uma quantidade grande o suficiente de cópias,
você também precisa respeitar as condições da seção 3.
Você também pode emprestar cópias, sob as mesmas condições colocadas acima, e também
pode exibir cópias publicamente.
FAZENDO CÓPIAS EM QUANTIDADE

Se você publicar cópias do Documento em número maior que 100, e a nota de licença do
Documento obrigar Textos de Capa, você precisará incluir as cópias em capas que tragam, clara
e legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, e
Textos da Quarta Capa na capa de trás. Ambas as capas também precisam identificar clara e
legivelmente você como o editor dessas cópias. A capa da frente precisa apresentar o título com-
pleto com todas as palavras do título igualmente proeminentes e visíveis. Você pode adicionar
outros materiais às capas. Fazer cópias com modificações limitadas às capas, tanto quanto estas
preservem o título do documento e satisfaçam a essas condições, pode ser tratado como cópia
exata em outros aspectos.
Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma
legível, você deve colocar os primeiros (tantos quantos couberem de forma razoável) na capa
verdadeira, e continuar os outros nas páginas adjacentes.
Se você publicar ou distribuir cópias Opacas do Documento em número maior que 100, você
precisa ou incluir uma cópia Transparente que possa ser lida automaticamente com cada cópia
Opaca, ou informar, em ou com, cada cópia Opaca a localização de uma cópia Transparente
completa do Documento acessível publicamente em uma rede de computadores, à qual o público
usuário de redes tenha acesso a download gratuito e anônimo utilizando padrões públicos de
protocolos de rede. Se você utilizar o segundo método, você precisará tomar cuidados razoavel-
mente prudentes, quando iniciar a distribuição de cópias Opacas em quantidade, para assegurar
que esta cópia Transparente vai permanecer acessível desta forma na localização especificada
por pelo menos um ano depois da última vez em que você distribuir uma cópia Opaca (direta-
mente ou através de seus agentes ou distribuidores) daquela edição para o público.
É pedido, mas não é obrigatório, que você contate os autores do Documento bem antes de
redistribuir qualquer grande número de cópias, para lhes dar uma oportunidade de prover você
com uma versão atualizada do Documento.
13
MODIFICAÇÕES
Você pode copiar e distribuir uma Versão Modificada do Documento sob as condições das se-
ções 2 e 3 acima, desde que você publique a Versão Modificada estritamente sob esta Licença,
com a Versão Modificada tomando o papel do Documento, de forma a licenciar a distribuição
e modificação da Versão Modificada para quem quer que possua uma cópia da mesma. Além
disso, você precisa fazer o seguinte na versão modificada:
A. Usar na Página de Título (e nas capas, se houver alguma) um título distinto daquele do Do-
cumento, e daqueles de versões anteriores (que deveriam, se houvesse algum, estarem listados
na seção "Histórico do Documento"). Você pode usar o mesmo título de uma versão anterior se
o editor original daquela versão lhe der permissão;
B. Listar na Página de Título, como autores, uma ou mais das pessoas ou entidades responsá-
veis pela autoria das modificações na Versão Modificada, conjuntamente com pelo menos cinco
dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que
cinco);
C. Colocar na Página de Título o nome do editor da Versão Modificada, como o editor;
D. Preservar todas as notas de copyright do Documento;
E. Adicionar uma nota de copyright apropriada para suas próprias modificações adjacente às
outras notas de copyright;
F. Incluir, imediatamente depois das notas de copyright, uma nota de licença dando ao público
o direito de usar a Versão Modificada sob os termos desta Licença, na forma mostrada no tópico
abaixo;
G. Preservar nessa nota de licença as listas completas das Seções Invariantes e os Textos de
Capa requeridos dados na nota de licença do Documento;
H. Incluir uma cópia inalterada desta Licença;
I. Preservar a seção entitulada "Histórico", e seu título, e adicionar à mesma um item dizendo
pelo menos o título, ano, novos autores e editor da Versão Modificada como dados na Página de
Título. Se não houver uma sessão denominada "Histórico"no Documento, criar uma dizendo o
título, ano, autores, e editor do Documento como dados em sua Página de Título, então adicionar
um item descrevendo a Versão Modificada, tal como descrito na sentença anterior;
J. Preservar o endereço de rede, se algum, dado no Documento para acesso público a uma
cópia Transparente do Documento, e da mesma forma, as localizações de rede dadas no Docu-
mento para as versões anteriores em que ele foi baseado. Elas podem ser colocadas na seção
"Histórico". Você pode omitir uma localização na rede para um trabalho que tenha sido publicado
pelo menos quatro anos antes do Documento, ou se o editor original da versão a que ela se refira
der sua permissão;
K. Em qualquer seção entitulada "Agradecimentos"ou "Dedicatórias", preservar o título da
14
seção e preservar a seção em toda substância e fim de cada um dos agradecimentos de contri-
buidores e/ou dedicatórias dados;
L. Preservar todas as Seções Invariantes do Documento, inalteradas em seus textos ou em

seus títulos. Números de seção ou equivalentes não são considerados parte dos títulos da seção;
M. Apagar qualquer seção entitulada "Endossos". Tal sessão não pode ser incluída na Versão
Modificada;
N. Não reentitular qualquer seção existente com o título "Endossos"ou com qualquer outro
título dado a uma Seção Invariante.
Se a Versão Modificada incluir novas seções iniciais ou apêndices que se qualifiquem como
Seções Secundárias e não contenham nenhum material copiado do Documento, você pode optar
por designar alguma ou todas aquelas seções como invariantes. Para fazer isso, adicione seus
títulos à lista de Seções Invariantes na nota de licença da Versão Modificada. Esses títulos preci-
sam ser diferentes de qualquer outro título de seção.
Você pode adicionar uma seção entitulada "Endossos", desde que ela não contenha qual-
quer coisa além de endossos da sua Versão Modificada por várias pessoas ou entidades - por
exemplo, declarações de revisores ou de que o texto foi aprovado por uma organização como a
definição oficial de um padrão.
Você pode adicionar uma passagem de até cinco palavras como um Texto de Capa da Frente
, e uma passagem de até 25 palavras como um Texto de Quarta Capa, ao final da lista de Textos
de Capa na Versão Modificada. Somente uma passagem de Texto da Capa da Frente e uma de
Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade.
Se o Documento já incluir um texto de capa para a mesma capa, adicionado previamente por
você ou por acordo feito com alguma entidade para a qual você esteja agindo, você não pode
adicionar um outro; mas você pode trocar o antigo, com permissão explícita do editor anterior que
adicionou a passagem antiga.
O(s) autor(es) e editor(es) do Documento não dão permissão por esta Licença para que seus
nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer
Versão Modificada.
COMBINANDO DOCUMENTOS
Você pode combinar o Documento com outros documentos publicados sob esta Licença, sob
os termos definidos na seção 4 acima para versões modificadas, desde que você inclua na com-
binação todas as Seções Invariantes de todos os documentos originais, sem modificações, e liste
todas elas como Seções Invariantes de seu trabalho combinado em sua nota de licença.
O trabalho combinado precisa conter apenas uma cópia desta Licença, e Seções Invariantes
Idênticas com multiplas ocorrências podem ser substituídas por apenas uma cópia. Se houver
múltiplas Seções Invariantes com o mesmo nome mas com conteúdos distintos, faça o título de
15
cada seção único adicionando ao final do mesmo, em parênteses, o nome do autor ou editor
origianl daquela seção, se for conhecido, ou um número que seja único. Faça o mesmo ajuste
nos títulos de seção na lista de Seções Invariantes nota de licença do trabalho combinado.
Na combinação, você precisa combinar quaisquer seções entituladas "Histórico"dos diver-

sos documentos originais, formando uma seção entitulada "Histórico"; da mesma forma combine
quaisquer seções entituladas "Agradecimentos", ou "Dedicatórias". Você precisa apagar todas as
seções entituladas como "Endosso".
COLETÂNEAS DE DOCUMENTOS
Você pode fazer uma coletânea consitindo do Documento e outros documentos publicados
sob esta Licença, e substituir as cópias individuais desta Licença nos vários documentos com
uma única cópia incluida na coletânea, desde que você siga as regras desta Licença para cópia
exata de cada um dos Documentos em todos os outros aspectos.
Você pode extrair um único documento de tal coletânea, e distribuí-lo individualmente sob
esta Licença, desde que você insira uma cópia desta Licença no documento extraído, e siga esta
Licença em todos os outros aspectos relacionados à cópia exata daquele documento.
AGREGAÇÃO COM TRABALHOS INDEPENDENTES

Uma compilação do Documento ou derivados dele com outros trabalhos ou documentos se-
parados e independentes, em um volume ou mídia de distribuição, não conta como uma Ver-
são Modificada do Documento, desde que nenhum copyright de compilação seja reclamado pela
compilação. Tal compilação é chamada um "agregado", e esta Licença não se aplica aos outros
trabalhos auto-contidos compilados junto com o Documento, só por conta de terem sido assim
compilados, e eles não são trabalhos derivados do Documento.
Se o requerido para o Texto de Capa na seção 3 for aplicável a essas cópias do Documento,
então, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa
do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado.
Senão eles precisarão aparecer nas capas de todo o agregado.
TRADUÇÃO
Tradução é considerada como um tipo de modificação, então você pode distribuir traduções
do Documento sob os termos da seção 4. A substituição de Seções Invariantes por traduções
requer uma permissão especial dos detentores do copyright das mesmas, mas você pode incluir
traduções de algumas ou de todas as Seções Invariantes em adição às versões orignais dessas
Seções Invariantes. Você pode incluir uma tradução desta Licença desde que você também in-
clua a versão original em Inglês desta Licença. No caso de discordância entre a tradução e a
16
versão original em Inglês desta Licença, a versão original em Inglês prevalecerá.
TÉRMINO
Você não pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expres-
samente especificado sob esta Licença. Qualquer outra tentativa de copiar, modificar, sublicen-
ciar, ou distribuir o Documento é nula, e resultará automaticamente no término de seus direitos
sob esta Licença. Entretanto, terceiros que tenham recebido cópias, ou direitos de você sob esta
Licença não terão suas licenças terminadas, tanto quanto esses terceiros permaneçam em total
acordo com esta Licença.
REVISÕES FUTURAS DESTA LICENÇA

A Free Software Foundation pode publicar novas versões revisadas da Licença de Documen-
tação Livre GNU de tempos em tempos. Tais novas versões serão similares em espirito à versão
presente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupações. Veja
http://www.gnu.org/copyleft/.
A cada versão da Licença é dado um número de versão distinto. Se o Documento especificar

que uma versão particular desta Licença "ou qualquer versão posterior"se aplica ao mesmo, você
tem a opção de seguir os termos e condições daquela versão específica, ou de qualquer versão
posterior que tenha sido publicada (não como rascunho) pela Free Software Foundation. Se o
Documento não especificar um número de Versão desta Licença, você pode escolher qualquer
versão já publicada (não como rascunho) pela Free Software Foundation.
ADENDO: Como usar esta Licença para seus documentos
Para usar esta Licença num documento que você escreveu, inclua uma cópia desta Licença
no documento e ponha as seguintes notas de copyright e licenças logo após a página de título:
Copyright (c) ANO SEU NOME.

É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licença
de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior publicada pela Free Soft-
ware Foundation; com as Seções Invariantes sendo LISTE SEUS TÍTULOS, com os Textos da
Capa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cópia da li-
cença está inclusa na seção entitulada "Licença de Documentação Livre GNU".
Se você não tiver nenhuma Seção Invariante, escreva "sem Seções Invariantes"ao invés de
dizer quais são invariantes. Se você não tiver Textos de Capa da Frente, escreva "sem Textos de
Capa da Frente"ao invés de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os
Textos da Quarta Capa.
Se o seu documento contiver exemplos não triviais de código de programas, nós recomenda-
mos a publicação desses exemplos em paralelo sob a sua escolha de licença de software livre,
17
tal como a GNU General Public License, para permitir o seu uso em software livre.
18
Parte IV
Monitoramento
19
Capítulo 1
O que é?
Hoje em dia, há muitas aplicações de monitoramento. Monitoramento de rede, local, aplicações

que geram gráficos de disponibilidade, sniffers, geradores de relatórios, arquivos de log, monito-
ramento de performance e etc. Estamos numa era em que uma informação é importante e, mais
do que isso, cara e até sigilosa. Este curso visará mostrar algumas ferramentas e caminhos que
ajudam no monitoramento de um PC ou uma rede.
20
Capítulo 2
Plano de ensino
2.1 Objetivo
Qualificar usuários básicos a monitorar PC’s para a segurança dos seus dados.
2.2 Público Alvo

Usuários finais, técnicos e programadores que desejam trabalhar com monitoramento em
ambiente GNU/Linux
2.3 Pré-requisitos
Os usuários deverão ser, necessariamente, funcionários públicos e ter conhecimentos básicos
para operar um computador.
2.4 Descrição
O curso de Monitoramento será realizado na modalidade EAD e utilizará a plataforma Moodle
como ferramenta de aprendizagem. Ele é composto de um módulo de aprendizado que será dado
na primeira semana e um módulo de avaliação que será dado na segunda semana. O material
didático estará disponível on-line de acordo com as datas pré-estabelecidas no calendário.
2.5 Metodologia
O curso está dividido da seguinte maneira:
2.6 Cronograma
• Lição 1 - Introdução;
• Lição 2 - tcpdump;
21
• Lição 3 - Nagios;
• Lição 4 - MRTG;
• Lição 5 - Cacti;
• Lição 6 - Arquivos de log;
• Avaliação de aprendizagem;
• Avaliação do curso.
As lições contém o conteúdo principal. Elas poderão ser acessadas quantas vezes forem neces-
sárias, desde que esteja dentro da semana programada. Ao final de uma lição, você receberá
uma nota de acordo com o seu desempenho. Responda com atenção às perguntas de cada li-
ção, pois elas serão consideradas na sua nota final. Caso sua nota numa determinada lição seja
menor do que 6.0, sugerimos que você faça novamente esta lição.
Ao final do curso será disponibilizada a avaliação referente ao curso. Tanto as notas das lições
quanto a da avaliação final serão consideradas para a nota final. Todos os módulos ficarão visí-
veis para que possam ser consultados durante a avaliação final.
Aconselhamos a leitura da "Ambientação do Moodle"para que você conheça a plataforma de En-
sino a Distância, evitando dificuldades advindas do "desconhecimento"sobre a mesma.
Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deverá ser
enviada ao fórum. Diariamente os monitores darão respostas e esclarecimentos.
2.7 Programa
O curso de CVS oferecerá o seguinte conteúdo:
• Introdução sobre o que monitorar;
• tcpdump;
• Nagios;
• MRTG;
• Cacti;
• Arquivos de log.
2.8 Avaliação
Toda a avaliação será feita on-line.
Aspectos a serem considerados na avaliação:
• iniciativa e autonomia no processo de aprendizagem e de produção de conhecimento;
• capacidade de pesquisa e abordagem criativa na solução dos problemas apresentados.
Instrumentos de avaliação:
22
• participação ativa nas atividades programadas;
• avaliação ao final do curso;
• o participante fará várias avaliações referentes ao conteúdo do curso. Para a aprovação e

obtenção do certificado o participante deverá obter nota final maior ou igual a 6.0 de acordo
com a fórmula abaixo:
• Nota Final = ((ML x 7) + (AF x 3)) / 10 = Média aritmética das lições.
• AF = Avaliações.
2.9 Bibliografia
Sites recomendados:
• http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=122
• http://listas.cipsga.org.br/pipermail/linux-sbo/2004-December/000403.html
• http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=595
• http://focalinux.cipsga.org.br/guia/avancado/index.html
23
Capítulo 3
Introdução
3.1 Por que monitorar?

Quando se trabalha numa empresa na área de segurança da informação, é necessário se ter
à mão algumas ferramentas que ajudam e facilitam o nosso trabalho. Há muitas pessoas que
vivem invadindo nossos computadores e podem até "pegar"informações sigilosas como senha de
banco, senha de login, senha da rede wireless e etc.
Quando se trabalha com servidores, é preciso verificar como o computador está reagindo aos
acessos, verificar o processamento, se tem memória suficiente, verificar invasões e etc.
Em ambiente GNU/Linux há vários softwares que podem nos ajudar a ter informações impor-
tantes sobre o nosso micro. Neste curso veremos algumas ferramentas e o que elas fazem. O
CDTC tem curso de muitas ferramentas que veremos. Este curso focará apenas uma introdução
a elas devido a isso. Podemos citar:
• Cacti;
• MRTG;
• Nagios;
• 1 Kismet;
• etc.
3.2 Onde monitorar?

Neste curso, todas as ferramentas são nativas ao sistema GNU/Linux. Em todos os nossos
cursos usamos a distribuição Debian como base. E, por isso, recomendamos também que as
ferramentas tratadas neste curso sejam usadas em Debian.
1
O Kismet monitora redes wireless. Porém não será tratado neste curso.
24
Capítulo 4
TCPDUMP
4.1 NOME
tcpdump - captura o tráfego em uma rede.
4.2 SINOPSE
tcpdump [ -adeflnNOpqRStvxX ] [ -c contagem ] [ -F arquivo ] [ -i interface ] [ -m módulo ] [ -r
arquivo ] [ -s tamanho ] [ -T tipo ] [ -w arquivo ] [ -E algo:secret ] [ expressão ]
4.3 DESCRIÇÃO
Tcpdump imprime a saída dos cabeçalhos dos pacotes na interface de rede que combinam
com a expressão booleana.
No SunOS com nit ou bpf: para rodar tcpdump você necessita ter permissão de acesso a
/dev/nit ou /dev/bpf*;
No Solaris com dlpi: você precisa ter acesso de leitura/escrita ao pseudo dispositivo de rede, por
exemplo /dev/le;
No HP-UX com dlpi: você necessita ser root ou ter este instalado com setuid para root;
No IRIS com snoop: Você necessita ser root ou ter este instalado com setuid para root;
No Linux: Você necessita ser root ou ter este instalado com setuid para root;
No Ultrix e Digital UNIX: somente o super-usuário tem permissão de utilizar o modo de operação
promíscuo usando;
pfconfig(8), qualquer usuário pode rodar o tcpdump;
No BSD: você necessita ter acesso de leitura em /dev/bpf*.
4.4 OPÇÕES:
-a : espera para converter endereços de rede e broadcast para nomes;
-c : sai após receber contagem de pacotes;
25
-d : captura os pacotes compilados com o código do pacote em um formato humanamente legível

para a saída padrão e sai;
-dd : captura os pacotes com o código do pacote como um fragmento de programa em C;
-ddd : captura os pacotes com o código do pacote como números decimais (precedidos de um
contador);
-e : imprime a camada de link do cabeçalho na linha capturada;
-E : use algo:secreto para decriptar pacotes IPsec ESP. Algoritmos costumam ser des-cbc, 3des-
cbc, blowfish-cbc, rc3-cbc, cast128-cbc, ou nenhum. O padrão é des-cbc. A habilidade de
descriptar pacotes só estará presente se o tcpdump for compilado com suporte a criptografia
habilitado. Secreto é o texto ASCII para a chave ESP secreta. Nós não tentaremos um valor
binário arbitrário neste momento. A opção assume a RFC2406 do ESP, não a RFC1827
também do ESP. A opção é somente para propósitos de depuração, e o uso desta opção
com uma chave secreta TRULY é desencorajada. Pela apresentação da chave secreta do
IPsec na linha de comando você consegue deixar isto visível para outros, via ps(1) e em
outras ocasiões;
-f : imprime a saída dos endereços internet numericamente no lugar de simbolicamente (essa

opção tenta descobrir sérios problemas em servidores YP utilizando Sun - - usualmente
causa um loop eterno na conversão de não-locais números internet);
-F : utiliza o arquivo para a entrada de um filtro de expressão; Qualquer expressão adicional

passada via linha de comando é ignorada.
-i : escute na interface, se não especificado o tcpdump irá procurar a lista de interfaces do sis-
tema, interfaces ativas (excluindo a de loopback); Em sistemas Linux com kernels 2.2 ou
superiores, um argumento `àny” para interfaces pode ser usado para capturar pacotes de
todas as interfaces. Note que as capturas em `àny” (todos) os dispositivos não poderá ser
feita no modo promíscuo.
-l : deixe a linha de saída "bufferizada". Usualmente se você quizer ver os dados enquanto são
capturados: Ex: ``tcpdump -l | tee dat” ou ``tcpdump -l > dat & tail -f dat”;
-n : não converter endereços (Ex: endereços de hosts e números de portas, etc) para nomes;
-N : não imprime a qualificação do domínio dos nomes de host. Ex: se você passar esta flag
para o tcpdump, ele imprimirá ``nic” ao invés de ``nic.ddn.mil”;
-m : carrega as definições do módulo SMI MIB do arquivo módulo. Esta opção pode ser usada
em diversas vezes para carregar severos módulos MIB no tcpdump;
-O : não execute o otimizador de códigos de pacote. isso usualmente só será utilizado se você
suspeitar de uma falha no otimizador;
-p : não coloque a interface em modo promíscuo. Note que esta interface pode precisar entrar
em modo promíscuo por alguma outra razão; então, `-p’ não poderá ser usado como uma
abreviação para èther host local-hw- addr ou ether broadcast’;
-q : saída rápida. Imprime menos informações do protocolo em saídas de linhas mais curtas;
26
-r : lê os pacotes do arquivo (isso é criado com a opção -w). A entrada padrão será utilizada se
o arquivo for ``-”;
-s : significa tamanho de bytes de arquivo deste pacote. O default é 68 (com SunOS’s NIT, o
mínimo é atualmente 96). 68 bytes é adequado para IP, ICMP, TCP e UDP, porém pode
truncar informações de protocolos de pacotes DNS e NFS (olhe na frente). Os pacotes
serão truncados porque um tamanho limitado foi indicado e a saída será ``[|proto]”, onde
proto é o nome do nível do protocolo onde a truncagem ocorreu. Note que aumentar muito o
tamanho pode causar uma delonga no tempo para processar estes pacotes e, efetivamente,
diminuir a quantidade de pacotes capturados. Isso pode causar perda de pacotes. Você
deve limitar o tamanho dos pacotes para o menor possível onde você conseguirá obter a
informação que lhe interessar. Coloque o tamanho em 0 para que o tcpdump capture os
pacotes completos, independente dos seus tamanhos;
-T : força que os pacotes selecionados pela "expressão"sejam interpretados pelo tipo especifi-
cado. Atualmente, os tipos conhecidos são cnfp (Protocolo Cisco NetFlow), rpc (Chamadas
de procedimento remotas), rtp (Protocolo de aplicações em tempo real), rtcp (Protocolo
de controle de aplicações em tempo real), snmp (Protocolo simples de gerenciamento de
redes), vat (Aplicação de Visual Áudio), e wb (Placa Branca distribuída);
-R : assume que pacotes ESP/AH são baseados em especificações antigas (RFC1825 a RFC1829).
Se especificado, o tcpdump não irá imprimir o campo de prevensão. No entanto, este não
é um campo de versão na especificação do protocolo ESP/AH, portanto o tcpdump não
poderá deduzir a versão do protocolo;
-S : imprimir o absoluto, em lugar do relativo, número de sequência TCP;
-t : não imprimir o timestamp na linha capturada;
-tt : imprimir um não formatado timestamp na linha capturada;
-v : detalhamento da saída (não muito). Por exemplo, o tempo de vida, identificação, tamanho
total e opções do cabeçalho IP serão impressos. Também se habilita opções adicionais de
checagem da integridade dos pacotes como verificação do checksum dos cabeçalhos IP e
ICMP;
-vv : saída mais detalhada, por exemplo, campos adicionais serão impressos em pacotes NFS
de resposta;
-vvv : saída mais detalhada ainda. Por exemplo, as opções telnet SB ... SE serão impressas
totalmente. Com -X as opções do telnet serão impressas em HEX muito bem;
-w : escreve os pacotes capturados no arquivo no lugar de selecioná-los e imprimí-los. Isso
poderá ser impresso utilizando-se a opção -r. A saída padrão será utilizada se o arquivo for
``-”;
-x : imprime este pacote (menos seu cabeçalho de camada de link) em hexadecimal. Tamanho
em bytes será impresso (opção -s);
-X : Se imprime em hexa, imprime em ASCII também. Se a opção -x também for selecionada, o
pacote será impresso em hexa/ascii. Isso é muito útil para analizar novos protocolos. Se a
opção -x não estiver selecionada, algumas partes de alguns pacotes serão impressas em
hexa/ascii.
27
4.5 expressão
Seleciona quais pacotes serão capturados. Se nenhuma expressão for passada, todos os
pacotes da rede serão capturados.
Se informada, apenas os pacotes que tiverem a expressão como sendo verdadeira (combina-
rem com a expressão) serão capturados.
A expressão consiste em uma ou mais primitivas.
Primitivas usualmente consistem em um identificador (nome ou número) precedidas de um ou
mais qualificadores. Existem 3 diferentes qualificadores:
type indica qual identificador (nome ou número) ele se refere. Os tipos possíveis são: host,
net e port.
Exemplos:
``host foo”
``net 128.3”
``port 20”
Se nenhum qualificador type for especificado, host será assumido.
dir indica a direção em que a transferência ocorrerá, para e/ou do identificador. As direções
possíveis são src, dst, src or dst e src and dst
Exemplos:
``src foo”
``dst net 128.3”
”src or dst port ftp-data”
Se nenhum qualificador dir for especificado, src or dst será assumido. Para camadas de link
``null” (Ex: protocolos de ponto a ponto como o slip) os qualificadores de entrada e saída devem
ser utilizados para especificar a direção desejada.
proto Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes de
protocolo são:
ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp e udp.
Ex:
`èther src foo”
`àrp net 128.3”
``tcp port 21”
Se não estipulado, todos os protocolos existentes em opção serão assumidos.
28
Ex:
``src foo” inclui
``(ip or arp or rarp) src foo”
``net bar” inclui
``(ip or arp or rarp) net bar” e
``port 53” inclui
``(tcp or udp) port 53”.
`fddi’ é atualmente um apelido para èther’; isso seria idêntico a mensionar `ò nível de link de
dados usado nesta específica interface de rede.”
Cabeçalhos FDDI possuem campos iguais ao Ethernet, de endereços de origem e destino, e

também tipo de pacotes, então você pode filtrar estes campos FDDI analogamente como você
faz com estes campos Ethernet.
Cabeçalhos FDDI também contém outros campos, porém você não poderá especificá-los em uma
expressão de filtro.
Similarmente, `tr’ é um apelido para èther’; o parágrafo anterior sobre os cabeçalhos FDDI tam-
bém se aplica a cabeçalhos Token Ring.
Em adição a isto, existe algumas outras diretivas especiais que não foram mencionadas: gateway,
broadcast, less, greater e expressões aritméticas. Todas elas serão descritas mais adiante.
Expressões de filtragem mais complexas podem ser feitas utilizando-se expressões como and, or
e not combinadas com as diretivas.
Ex:
``host foo and not port ftp and not port ftp-data”.
Para facilitar, listas de qualificadores idênticos podem ser omitidas.

Ex:
``tcp dst port ftp or ftp-data or domain”
é exatamente o mesmo que:
``tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain”.
Primitivas (diretivas) permitidas são:
dst host host
Verdadeiro se o campo de destino de pacotes IPv4/v6 for host, este pode ser endereço ou nome.
src host host
29
Verdadeiro se o campo de origem de pacotes IPv4/v6 for host.
host host
Verdadeiro se o campo de origem ou destino de pacotes IPv4/v6 for host. Qualquer uma des-
tas expressões de host podem ser precedidas por diretivas tais como ip, arp, rarp, ou ip6, assim:
ip host host
isso é o equivalente a:
ether proto ip and host host
Se host for um nome com múltiplos endereços IP, eles serão checados para a correlação.
ether dst ehost
Verdadeiro se o endereço de destino ethernet for ehost. Ehost pode ser um nome de /etc/ethers
ou um número (veja ethers(3N) para o formato numérico).
ether src ehost
Verdadeiro se o endereço de origem ethernet for ethos.
ether host ehost
Verdadeiro se o endereço de origem ou de destino ethernet for ehost.
gateway host
Verdadeiro se o host usado no pacote for um gateway. Ex: o endereço de origem ou destino
ethernet seja um host diferente do endereço de origem ou destino IP.
Host precisa ser um nome e ser encontrado tanto em /etc/hosts quanto /etc/ethers.
Uma expressão equivalente seria:
ether host ehost and not host host
que poderia ser usada com nomes ethernet ou números para host / ehost.)
Esta sintaxe por enquanto não funciona com configurações IPv6.
dst net net
Verdadeiro se o endereço de destino IPv4/v6 do pacote for um número de rede. Net pode ser
um nome de /etc/networks ou um número de rede (veja networks(4) para maiores detalhes).
30
src net net
Verdadeiro se o endereço de origem IPv4/v6 do pacote for um número de rede.
net net
Verdadeiro se o endereço de origem ou destino IPv4/v6 do pacote for um número de rede.
net net mask mask
Verdadeiro se o endereço IP combinar com a rede de máscara especificada. Pode ser qualifi-
cada com src ou dst. Esta sintaxe também não foi implementada para redes IPv6.
net net/len
Verdadeiro se o endereço IPv4/v6 combinar com a rede que possua netmask len bits. Pode
ser qualificada com src ou dst.
dst port port
Verdadeiro se o pacote for ip/tcp, ip/udp, ip6/tcp ou ip6/udp e sua porta de destino seja port.
A porta pode ser um número ou um nome usado em /etc/services (veja tcp(4P) e udp(4P)).
Se um nome for usado, tanto o número da porta quanto o protocolo serão checados.
Se um número ou um nome ambíguo for utilizado, somente o número da porta será checado.
Ex:
dst port 513
Irá imprimir tanto tcp/login quanto udp/who
port domain
Irá imprimir tanto tcp/domain quanto udp/domain
src port port
Verdadeiro se o pacote tiver a porta de origem port.
port port
Verdadeiro se a porta de origem ou de destino do pacote for port. Todas as expressões de
31
porta anteriores podem ser precedidas com diretivas tcp ou udp, assim:
tcp src port port
Irá capturar apenas pacotes tcp com porta de origem port.
less length
Verdadeiro se o pacote tiver um tamanho menor ou igual a length. Isso seria o equivalente a:
len <= length.
greater length
Verdadeiro se o pacote tiver um tamanho maior ou igual a length. Isso seria o equivalente a:
len >= length.
ip proto protocol
Verdadeiro se o pacote for um pacote IP (veja ip(4P)) com protocolo de tipo protocol. Proto-
col pode ser um número ou um dos nomes: icmp, icmp6, igmp, igrp, pim, ah, esp, udp ou tcp.
Note que os identificadores tcp, udp e icmp também são diretivas que podem ser passadas via
backslash (l), isso seria no C-Shell.
Perceba que esta primitiva não observa a regra de protocolo do cabeçalho.
ip6 proto protocol
Verdadeiro se o pacote for um pacote IPv6 com protocolo de tipo protocol.
Observe que esta primitiva não observa a regra de protocolo do cabeçalho.
ip6 protochain protocol
Verdadeiro se o pacote for um pacote IPv6, e conter um cabeçalho de protocolo com tipo pro-
tocol na regra de protocolo do cabeçalho.
Por exemplo:
ip6 protochain 6
combina com qualquer pacote IPv6 com o protocolo TCP definido na regra do cabeçalho que
especifica o protocolo.
O pacote pode conter, por exemplo, cabeçalho de autenticação, roteamento, hop-by-hop, tanto
IPv6 quanto TCP. O código BPF emitido por esta primitiva é complexo e não será otimizado pelo
32
otimizador BPF do tcpdump, porque isto ficaria muito lento.
ip protochain protocol
Equivalente ao ip6 protochain protocol, porém este é válido para IPv4.
ether broadcast
Verdadeiro se o pacote for um pacote ethernet de broadcast. A diretiva ether é opcional.
ip broadcast
Verdadeiro se o pacote for um pacote de broadcast IP. Isso irá checar tanto por tudo-zero quanto
tudo-um como convenção para broadcast, e olhará para a máscara de subrede local
4.6 ether multicast

Verdadeiro se o pacote for um pacote ethernet de multicast. A diretiva ether é opcional.
Isto é uma abreviação de `‘ether[0] & 1 != 0”.
ip multicast
Verdadeiro se o pacote for um pacote IP multicast.
ip6 multicast
Verdadeiro se o pacote for um pacote IPv6 multicast.
ether proto protocol
Verdadeiro se o pacote for um pacote ethernet com tipo protocol.
Protocol pode ser um número ou um dos seguintes nomes:
ip, ip6, arp, rarp, atalk, aarp, dec-net, sca, lat, mopdl, moprc, ou iso.
Observe que estes identificadores também são diretivas que podem ser passados via backs-
lash (l).
No caso do FDDI (ex: ``fddi protocol arp”), a identificação do protocolo vem do cabeçalho 802.2
Logical Link Control (LLC), e isto poderá usualmente estar no topo da camada do cabeçalho FDDI.
O tcpdump assumirá, enquanto filtra o identificador de protocolo, que todos os pacotes FDDI
incluem um cabeçalho LLC e que este cabeçalho estará no formato SNAP. O mesmo se aplica ao
Token Ring.
33
decnet src host
Verdadeiro se o endereço de origem DECNET for host, isto poderá ser um endereço na forma
``10.123”, ou um nome de host DECNET.
O suporte a nomes de host DECNET só está disponível em sistemas Ultrix configurados para
rodar DECNET.
decnet dst host
Verdadeiro se o endereço de destino DECNET for host.
decnet host host
Verdadeiro se o endereço de destino ou de origem DECNET for host.
ip, ip6, arp, rarp, atalk, aarp, decnet, iso
Abreviações para:
ether proto p
onde p é um dos protocolos mencionados anteriormente.
lat, moprc, mopdl
Abreviações para:
ether proto p
Perceba que o tcpdump atualmente não possui "know how"para estes protocolos.
vlan [vlan_id]
Verdadeiro se o pacote for um pacote VLAN IEEE 802.1Q Se [vlan_id] for especificado, somente
será verdadeiro o pacote que obedeça a especificação [vlan_id].
Observe que esta é a primeira diretiva vlan encontrada nas mudanças em expressão com off-
sets de decodificação para definir que este pacote é um pacote VLAN.
tcp, udp, icmp
Abreviações para:
ip proto p or ip6 proto p
34
iso proto protocol
Verdadeiro se o pacote for um pacote OSI com tipo de protocolo protocol. Protocol pode ser
um número ou um dos seguintes nomes: clnp, esis ou isis.
clnp, esis, isis
Abreviações para:
iso proto p
onde p é um dos protocolos mencionados anteriormente. Observe que o tcpdump faz um tra-
balho incompleto para selecionar estes protocolos.
expr relop expr
Verdadeiro se a relação holds, onde relop é um dos seguintes: >, <, >=, <=, =, !=, e expr é
uma expressão aritmética composta por uma constante inteira (expressa na sintaxe padrão da
linguagem C), os operadores binários normais, a saber: +, -, *, /, &, |, um operador de tamanho e
um pacote especial de dados acessórios.
Para acessar o interior dos dados de um pacote, use a seguinte sintaxe:
proto [ expr : size ]
Proto é um dos seguintes:
ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp ou ip6, e indica a camada de protocolo para a ope-
ração de índice. Observe que tcp, udp e outros protocolos de camada mais alta, somente se
aplicam ao IPv4, não ao IPv6 (isso será corrigido no futuro).
O final do byte, relativo a camada indicada do protocolo, é passado em expr.
Size (tamanho) é opcional e indica o número de bytes no campo de interesse; este pode ser:
one, two ou four, sendo o padrão one.
O operador de tamanho, indicado pela diretiva len, informa o tamanho do pacote.
Por exemplo:
`èther[0] & 1 != 0”
Captura todo o tráfego multicast.
A expressão:
35
`ìp[0] & 0xf != 5”
Captura todos os pacotes IP com opções.
A expressão:
`ìp[6:2] & 0x1fff = 0”
Captura somente datagramas não fragmentados e fragmentos zero dos datagramas fragmen-
tados.
Esta checagem pode ser especificamente aplicada para operações de índice em tcp e udp.
Então, tcp[0] sempre menciona o primeiro byte do cabeçalho TCP, e nunca o primeiro byte de
um fragmento.
Diretivas podem ser combinadas usando-se:
Diretivas e operadores entre parênteses (parênteses são especiais para o Shell e serão inter-
pretados).
Negação: (`!’ ou `not’).
Concatenação (e): (`&&’ ou ànd’).
Alternação (ou): (`||’ ou òr’).
Negação deve ser precedida. Alternação e concatenação necessitam de precedência e asso-

ciam esquerda com direita.
Se um identificador for passado sem uma diretiva, a mais recente diretiva será assumida.
Por exemplo:
not host vs and ace
será igual à:
not host vs and host ace
mas não pode ser confundido com:
not ( host vs or ace )
Argumentos de expressão podem ser passados ao tcpdump como um simples argumento, ou

como múltiplos argumentos.
Geralmente, se a expressão contiver metacaracteres de SHELL, será mais fácil passar como
36
um simples argumento entre aspas.
Múltiplos argumentos são concatenados com espaços antes de serem analizados.
EXEMPLOS
Para imprimir todos os pacotes vindos de ou para o departamento sundown tcpdump host sun-
down
Para imprimir o tráfego entre helios e hot ou ace:
tcpdump host helios and ( hot or ace )
Para imprimir todos os pacotes IP entre ace e qualquer host exceto helios:
tcpdump ip host ace and not helios
Para imprimir todo tráfego entre hosts locais e hosts em Berkeley:
tcpdump net ucb-ether
Para imprimir todo tráfego ftp para a internet através do gateway snup:
(Observe que a expressão está entre parênteses para prevenir que o shell interprete o que está
entre parênteses)
tcpdump ’gateway snup and (port ftp or ftp-data)’
Para imprimir o tráfego para redes fora da rede local (se você for gateway para outra rede, esta
regra pode não prever isto em sua rede local).
tcpdump ip and not net localnet
Para imprimir pacotes de início e final de conexões (SYN e FIN) TCP envolvendo hosts não-locais.
tcpdump ’tcp[13] & 3 != 0 and not src and dst net localnet’
Para imprimir pacotes IP maiores do que 576 bytes enviados através do gateway snup:
tcpdump ’gateway snup and ip[2:2] > 576’
Para imprimir pacotes de broadcast ou multicast IP que não estão sendo enviados via broad-
cast ou multicat ethernet
tcpdump ’ether[0] & 1 = 0 and ip[16] >= 224’
Para imprimir todos os pacotes ICMP que não sejam echo request/reply
37
(não sejam ping’s)
tcpdump ’icmp[0] != 8 and icmp[0] != 0’
SEE ALSO
traffic(1C), nit(4P), bpf(4), pcap(3)
AUTHORS
The original authors are:
Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Labo-
ratory, University of Cali- fornia, Berkeley, CA.
It is currently being maintained by tcpdump.org.
The current version is available via http:
http://www.tcpdump.org/
The original distribution is available via anonymous ftp:
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
IPv6/IPsec support is added by WIDE/KAME project. This program uses Eric Young’s SSLeay
library, under specific configuration.
http://www.tcpdump.org/
The original distribution is available via anonymous ftp:
ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
IPv6/IPsec support is added by WIDE/KAME project. This program uses Eric Young’s SSLeay
library, under specific configuration.
38
Capítulo 5
Nagios
5.1 O que é o Nagios?

Nagios(http://www.nagios.org/), antigamente conhecido como NetSaint é um aplicativo de mo-
nitoramento de sistemas e redes. O programa checa periodicamente o status de um serviço ou
cliente alertando aos reponsáveis em caso de falhas. O status de cada cliente e serviço da rede
pode ser consultado via interface web.
Quando algum tipo de problema é encontrado, o servidor pode mandar notificações para o
administrador de diferentes maneiras: e-mail, SMS, etc. O interessante é que o acompanhamento
do que está sendo monitorado pode ser visto on-line através de um browser. Ou seja, o Nagios é
portável para Web. Este documento, por enquanto, apenas faz referência a esta ferramenta, não
tratando de sua implementação. Maiores informações a respeito do Nagios favor consultar o site
http://www.nagios.org/docs
5.2 Como Nagios Monitora as Máquinas?

Todo monitoramento é feito através de plugins. Plugins são programas usados sob demanda.
Trata-se de executáveis, compilados ou scripts (Perl, shell, etc.), que podem ser executados atra-
vés da linha de comando para checar o status de um cliente ou seu serviço. Sem os plugins, o
Nagios não tem utilidade.
5.3 O que o Nagios pode fazer?

• Checa se o servidor esta ativo e rodando;
• Verifica se um serviço está rodando (e-mail, pager, SMS);
• Verifica se um processo está rodando (mail, http, pop, ssh);
• Coleta estatísticas de performance em um servidor;
• Permite que alertas específicos sejam encaminhados para grupos ou indivíduos em parti-
cular;
• Reporta o tempo em que seus servidores ficaram parados.
39
5.4 Porque utilizar o Nagios?

O Nagios é uma excelente escolha se você deseja algum tipo de monitoramento. Suas princi-
pais características são:
• open Source;
• robusto e confiável;
• altamente configurável;
• fácil de extender;
• desenvolvimento ativo;
• comunidade ativa;
• o Nagios roda em diversos sistemas operacionais.
O Nagios pode ser utilizado para monitorar muitas coisas. Aqui estão algumas delas:
• dar um ping para ver se o host(destino) é alcançável;
• serviços como DHCP, DNS, FTP, SSH, Telnet, HTTP, NTP, POP3, IMAP, SMTP etc;
• banco de Dados como MySQL, Postgres, Oracle, SQL Server etc;
• Informações a nível de aplicação (Apache, Postfix, LDAP, Citrix etc.).
5.5 Considerações finais sobre o Nagios

É importante que se tenha em mente:
• o Nagios não irá funcionar sem os plugins;
• o Nagios não irá funcionar se o Apache não estiver configurado corretamente;
• verifique as permissões dos arquivos antes de ficar desesperado;
• preste atenção na localização dos arquivos;
• tenha certeza que configurou tudo antes de iniciar o programa.
Maiores informações podem ser obtidas em: http://www.nagios.org.
40
Capítulo 6
MRTG
6.1 MRTG - Multi-router traffic grapher

O MRTG é uma ferramenta para monitorar o tráfego utilizado em sua rede/link. O MRTG gera
páginas HTML que contêm imagens GIF, tais imagens apresentam uma representação visual
desse tráfego através de gráficos. Veja um exemplo:
Veremos mais exemplos mais adiante.

O MRTG é desenvolvido em Perl e C e programado para funcionar sob sistemas UNIX e
Windows, e é em código livre sob a licença Gnu GPL.
O MRTG utiliza o SNMP para a coleta dos dados para a construção do gráfico, porém é
possível utilizar scripts externos para fazer tal coleta.
6.2 Características gerais

Portabilidade : o MRTG funciona na maioria das plataformas UNIX e Windows NT;
Perl : o MRTG é escrito em Perl e vem com todo o código fonte disponível;
Portabilidade SNMP : o MRTG usa uma implementação totalmente portável de SNMP escrita
toda em Perl (graças a Simon Leinen). Não há necessidade de instalar qualquer pacote
externo SNMP(cliente);
Suporte SNMPv2c : MRTG suporta contadores 64bit do SNMPv2c;
Identificação confiável de interfaces : interfaces de roteadores podem ser identificadas pelo

endereço IP, descrição e endereço ethernet além do número padrão de interface.
41
Arquivos Log de tamanho fixo : os arquivos de log do MRTG NÃO crescem de tamanho graças
ao uso de um algoritmo único de consolidação de dados;
Configuração automática : o MRTG vem com um kit de ferramentas próprias para sua configu-
ração, tornando-a bem simples;
Performance : rotinas com tempo crítico são implementadas em C, para maior performance.
(Graças a iniciativa de Dave Rand);
Gráficos em PNG : gráficos são gerados diretamente para o formato PNG usando a biblioteca
GD de Thomas Boutell;
Customização : a aparência das páginas HTML produzidas pelo MRTG são altamente configu-
ráveis;
RRDtool : MRTG possui suporte interno para o uso da ferramenta RRDtool.
6.3 História
O MRTG surge após uma necessidade e curiosidade de conhecer a performance de uma linha
de 64kbit, onde Tobias Oetiker trabalhava em 1994. Oetiker, então, criou um pequeno programa
que atualizava um gráfico na internet onde era mostrado a carga no link de Internet. Eventu-
almente, o programa se desenvolveu em um script Perl razoavelmente customizável chamado
MRTG-1.0, que foi lançado em 1995. A partir daí Oetiker deixou o MRTG de lado por falta de
tempo. Em Janeiro de 1996, Oetiker recebe um e-mail de Dave Rand, perguntando sobre o
MRTG e seu desenvolvimento demorado. Oetiker sabia que a programação do MRTG não era
muito eficiente e estava escrito toda em Perl. Depois de mais ou menos uma semana, Rand
escreveu a Oetiker novamente dizendo que havia feito uma tentativa de aprimorar a velocidade
do MRTG. Rand havia decidido reescrever partes críticas do programa na linguagem C. O código
fora mandado a Oetiker pelo e-mail. A nova implementação provia aumento de velocidade do
MRTG em até 40 vezes! Isto fez com que Oetiker recomeçasse a trabalhar com o MRTG nas
horas vagas para desenvolver o MRTG-2.
Após o desenvolvimento do MRTG-2, cópias beta foram distribuídas a interessados. Com
isso o projeto recebeu inúmeros patches, vários bug fixes e feedback dos usuários. O produto
disponível hoje não estaria em tal estado se não fosse a grande contribuição e suporte de sua
comunidade de usuários.
6.3.1 Leia mais

Aprenda mais sobre o MRTG na página oficial: http://oss.oetiker.ch/mrtg Para mais exemplos
de gráficos do MRTG, visite: http://www.stat.ee.ethz.ch/mrtg/
6.3.2 Autor
Tobias Oetiker <oetiker@ee.ethz.ch> e vários contribuintes
42
Capítulo 7
Cacti
Para gerenciar processos e recursos do seu computador utilizando a ferramenta Cacti, inicia-
remos com as definições de alguns conceitos importantes sobre os quais falaremos durante esse
curso. São eles:
RRDtool:
RRD é a abreviação de Round Robin Database, sistema cujo objetivo é armazenar e monito-
rar dados em série obtidos durante um período de tempo pré-determinado. Esses dados obtidos
são denominados dados circulares, pois seu tamanho ocupado em disco não aumenta com o
decorrer do tempo e nem com a quantidade de dados já armazenados. Entretanto, o RRDTOOL
não é capaz de gerar páginas html ou produzir gráficos, fato que torna necessário a sua comum
utilização associada a um front-end.
SNMP:
O SNMP (Simple Network Management Protocol) é um protocolo de gerência definido a ní-
vel de aplicação, é utilizado para obter informações de servidores SNMP. Foi desenvolvido para
gerenciar, monitorar e controlar configurações, performance, falhas, estatísticas e segurança da
rede. Sendo um padrão para gerenciamento de LANs, particularmente para aplicações de missão
crítica. O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil
do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sis-
temas. O SNMP é um protocolo inicialmente desenvolvido para ser uma alternativa ao protocolo
CMIP (mais completo, porém não foi bem recebido no mercado devido a sua alta complexidade).
O SNMP, por ser mais simples e dar a conta do recado, acabou virando padrão de mercado e
hoje já está na versão SNMP V3. Veremos mais à frente esse protocolo mais detalhadamente.
Cacti:
O Cacti é uma ferramenta gráfica de gerenciamento de dados de rede desenvolvido para ser
utilizado por administradores de rede com uma não muito rica experiência na área, enquanto
por outro lado, disponibiliza recursos bem poderosos para serem utilizados em redes bastante
complexas. O Cacti é um front-end para o RRDTOOL desenvolvido na linguagem PHP, possui
uma interface web e armazena todos os seus dados em um banco de dados MySql. Utilizando
essa ferramenta, é possível fazer o polling de hosts SNMP, criar gráficos e gerenciar o acesso de
usuários a toda a informação já coletada.
Esta ferramenta disponibiliza a seus usuários uma interface intuitiva e bem agradável de se usar,
sendo acessível a qualquer tipo de usuários, desde inexperientes até usuários com uma grande
experiência. Com o Cacti, é possível fazer o controle de acesso por nível de usuário, ou seja,
podemos configurar o acesso a certas informações apenas por determinados usuários. Além
43
disso, o fato do usuário desejar adicionar algum novo equipamento para ser monitorado não é
uma tarefa complicada como em outras ferramentas(por exemplo o MRTG), bastando para isso
alguns poucos minutos.
O monitoramento de redes usando o Cacti é bastante fácil e agradável, e o objetivo deste curso
é ensinar o usuário a instalar e configurar essa ferramenta de grande usabilidade no mundo tec-
nológico atual. E o melhor, é um programa LIVRE, ou seja, disponibilizado para qualquer um
baixá-lo e instalá-lo em seu computador.
44
Capítulo 8
Arquivos de log
8.1 Follow
O Follow é um pequeno aplicativo Java que permite monitorar vários arquivos de Log simul-
taneamente através de uma interface gráfica. Para os desenvolvedores em plataforma Windows
uma verdadeira mão na roda. Os principais recursos são:
• monitorar ("follow") arquivos de texto e apresentar as informações atualizadas destes arqui-

vos. - Limpar o conteúdo apresentado de um ou todos os arquivos abertos;
• apagar fisicamente o conteúdo de um ou de todos os arquivos abertos;
• permite algumas configurações de Interface e tempo de atualização do arquivo;
• os arquivos podem ser abertos sendo arrastados para a interface gráfica (Usando drag-and-
drop);
• os arquivos abertos com o Follow podem ser abertos automaticamente da próxima vez em
que ele for executado.
Follow é um projeto Open Source, distribuído sob a licença GNU GPL, e pode ser encontrado
em http://follow.sourceforge.net
8.2 Arquivos e daemons de Log

A atividade dos programas são registradas em arquivos localizados em /var/log . Estes ar-
quivos de registros são chamados de logs e contém a data, hora e a mensagem emitida pelo
programa (violações do sistema, mensagens de erro, alerta e outros eventos) entre outros cam-
pos. Enfim, muitos detalhes úteis ao administrador tanto para acompanhar o funcionamento do
seu sistema, comportamento dos programas ou ajudar na solução e prevenção de problemas.
Alguns programas como o Apache, exim, ircd e squid criam diversos arquivos de log e por
este motivo estes são organizados em sub-diretórios (a mesma técnica é usada nos arquivos de
configuração em /etc, conforme a padrão FHS atual).
45
8.3 Formato do arquivo de log

Um arquivo de log é normalmente composto pelos seguintes campos:
Data|Hora|Máquina|daemon|mensagem
O campo máquina é o nome do computador que registrou a mensagem (a máquina pode atuar
como um servidor de logs registrando mensagens de diversos computadores em sua rede). O
campo daemon indica qual programa gravou a mensagem.
O uso dos utilitários do console pode ajudar muito na pesquisa e monitoração dos logs, por
exemplo, para obter todas as mensagens do daemon kernel da estação de trabalho wrk1, elimi-
nando os campos "wrk1"e "kernel":
cat /var/log/*|grep ’wrk1’|grep ’kernel’|awk ’print $1 $2 $3 $6 $7 $8 $9 $10 $11 $12’
Os parâmetros "$1", "$2"do comando awk indicam que campos serão listados, (omitimos $4
e $5 que são respectivamente "wrk1"e "kernel"). Um bom utilitário para monitoração de logs,
logcheck, será citado mais à frente Daemons de log do sistema
Os daemons de log do sistema registram as mensagens de saída do kernel (klogd) e sistema
(syslogd) nos arquivos em /var/log .
A classificação de qual arquivo em /var/log receberá qual tipo de mensagem é controlada pelo
arquivo de configuração /etc/syslog.conf através de facilidades e níveis
8.4 syslogd
Este daemon controla o registro de logs do sistema.
syslogd [opções]
opções
-f : especifica um arquivo de configuração alternativo ao /etc/syslog.conf;
-h : permite redirecionar mensagens recebidas a outros servidores de logs especificados;
-l (computadores) : especifica um ou mais computadores (separados por ":") que deverão ser
registrados somente com o nome de máquina ao invés do FQDN (nome completo, incluindo
domínio);
-m (minutos) : intervalo em minutos que o syslog mostrará a mensagem –MARK–. O valor
padrão padrão é 20 minutos, 0 desativa;
-n : evita que o processo caia automaticamente em background. Necessário principalmente se o
syslogd for controlado pelo init;
-p (soquete) : especifica um soquete UNIX alternativo ao invés de usar o padrão /dev/log;
-r : permite o recebimento de mensagens através da rede por meio da porta UDP 514. Esta
opção é útil para criar um servidor de logs centralizado na rede. Por padrão, o servidor
syslog rejeitará conexões externas;
-a (soquetes) : especifica soquetes adicionais que serão monitorados. Esta opção será neces-
sária se estiver usando um ambiente chroot. É possível usar até 19 soquetes adicionais;
-d : ativa o modo de depuração do syslog. O syslog permanecerá operando em primeiro plano e
mostrará as mensagens no terminal atual.
Na distribuição Debian, o daemon syslogd é iniciado através do script /etc/init.d/sysklogd.
46
8.5 Arquivo de configuração syslog.conf

O arquivo de configuração /etc/syslog.conf possui o seguinte formato:
facilidade.nível destino
A facilidade e nível são separadas por um "."e contém parâmetros que definem o que será
registrado nos arquivos de log do sistema:
• facilidade - é usada para especificar que tipo de programa está enviando a mensagem. Os
seguintes níveis são permitidos (em ordem alfabética):
– auth - mensagens de segurança/autorização (é recomendável usar authpriv ao invés

deste);
– authpriv - mensagens de segurança/autorização (privativas);
– cron - daemons de agendamento (cron e at);
– daemon - Outros daemons do sistema que não possuem facilidades específicas.
– ftp - daemon de ftp do sistema;
– kern - mensagens do kernel;
– lpr - subsistema de impressão;
– local0 a local7 - reservados para uso local;
– mail - subsistema de e-mail;-
– news - subsistema de notícias da USENET;
– security - sinônimo para a facilidade auth (evite usá-la);
– syslog - mensagens internas geradas pelo syslogd;
– user - mensagens genéricas de nível do usuário;
– uucp - subsistema de UUCP.
– * - confere com todas as facilidades.
Mais de uma facilidade pode ser especificada na mesma linha do syslog.conf separando-as
com ",".
• nível - Especifica a importância da mensagem. Os seguintes níveis são permitidos (em

ordem de importância invertida; da mais para a menos importante):
– emerg - o sistema está inutilizável;

– alert - uma ação deve ser tomada imediatamente para resolver o problema;
– crit - condições críticas;
– err - condições de erro;
– warning - condições de alerta;
– notice - condição normal, mas significante;
– info - mensagens informativas;
– debug - mensagens de depuração;
– * - confere com todos os níveis.
– none - Nenhuma prioridade.
47
Além destes níveis os seguintes sinônimos estão disponíveis:
– error - sinônimo para o nível err;

– panic - sinônimo para o nível emerg;
– warn - sinônimo para o nível warning.
• destino - o destino das mensagens pode ser um arquivo, um pipe (se iniciado por um -
"), um computador remoto (se iniciado por uma "@"), determinados usuários do sistema
(especificando os logins separados por vírgula) ou para todos os usuários logados via wall
(usando "*").
Todas as mensagens com o nível especificado e superiores a esta especificadas no syslog.conf

serão registradas, de acordo com as opções usadas. Conjuntos de facilidades e níveis podem
ser agrupadas separando-as por ";".
OBS1: Sempre use TABS ao invés de espaços para separar os parâmetros do syslog.conf.
OBS2: Algumas facilidades como security, emitem um beep de alerta no sistema e enviam
uma mensagem para o console, como forma de alerta ao administrador e usuários logados no
sistema.
Existem ainda 4 caracteres que garantem funções especiais: "*", "=", "!"e -":
• "*- todas as mensagens da facilidade especificada serão redirecionadas;
• "=- somente o nível especificado será registrado;
• "!- todos os níveis especificados e maiores NÃO serão registrados;
• -- pode ser usado para desativar o sync imediato do arquivo após sua gravação.
Os caracteres especiais "="e "!"podem ser combinados em uma mesma regra.

Exemplo: Veja abaixo um exemplo de um arquivo /etc/syslog.conf padrão de sistemas Debian
#
# Primeiro alguns arquivos de log padrões. Registrados por facilidade
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* /var/log/mail.log
user.* -/var/log/user.log
uucp.* -/var/log/uucp.log
#
# Registro de logs do sistema de mensagens. Divididos para facilitar
48
# a criação de scripts para manipular estes arquivos.

#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
# Registro para o sistema de news INN

#
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice
#
# Alguns arquivos de registro "pega-tudo".
# São usadas ","para especificar mais de uma prioridade (por
# exemplo, "auth,authpriv.none") e ";"para especificar mais de uma
# facilidade.nível que será gravada naquele arquivo.
# Isto permite deixar as regras consideravelmente menores e mais legíveis
#
*.=debug;
auth,authpriv.none;
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages
#
# Emergências são enviadas para qualquer um que estiver logado no sistema. Isto
# é feito através da especificação do "*"como destino das mensagens e são
# enviadas através do comando wall.
#
*.emerg *
#
# Eu gosto de ter mensagens mostradas no console, mas somente em consoles que
# não utilizo.
#
#daemon,mail.*;
# news.=crit;news.=err;news.=notice;
# *.=debug;*.=info;
# *.=notice;*.=warn /dev/tty8
# O pipe /dev/xconsole é usado pelo utilitário "xconsole". Para usa-lo,

# você deve executar o "xconsole"com a opção -file":
#
# $ xconsole -file /dev/xconsole [...]
#
49
# NOTA: ajuste as regras abaixo, ou ficará maluco se tiver um um site

# muito movimentado...
#
daemon.*;mail.*;
news.crit;news.err;news.notice;
*.=debug;*.=info;
*.=notice;*.=warn |/dev/xconsole
# A linha baixo envia mensagens importantes para o console em que

# estamos trabalhando logados (principalmente para quem gosta de ter
# controle total sobre o que está acontecendo com seu sistema).
*.err;kern.debug;auth.notice;mail.crit /dev/console
#- -Fim de Arquivo- -
8.6 klogd
Este daemon controla o registro de mensagens do kernel. Ele monitora as mensagens do
kernel e as envia para o daemon de monitoramento syslogd, por padrão.
klogd [opções]
8.6.1 opções
-d : ativa o modo de depuração do daemon;
-f (arquivo) : envia as mensagens do kernel para o arquivo especificado ao invés de enviar ao

daemon do syslog;
-i : envia um sinal para o daemon recarregar os símbolos de módulos do kernel;
-I : envia um sinal para o daemon recarregar os símbolos estáticos e de módulos do kernel;
-n : evita a operação em segundo plano. Útil se iniciado pelo init;
-k (arquivo) : especifica o arquivo que contém os símbolos do kernel. Exemplos deste arquivo
estão localizados em /boot/System.map-xx.xx.xx;
-o : faz com que o daemon leia e registre todas as mensagens encontradas nos buffers do kernel,
após isto o daemon é encerrado;
-p : ativa o modo paranóia. Isto fará o klogd somente carregar detalhes sobre os módulos quando
os caracteres Oops forem detectados nas mensagens do kernel. É recomendável ter sem-
pre a última versão do klogd e evitar a utilização desta opção em ambientes críticos;
-s : força a utilização da interface de chamadas do sistema para comunicação com o kernel;
-x : esconde tradução EIP, assim ele não lê o arquivo /boot/System.map-xx-xx-xx.
A especificação de um arquivo com a opção -k é necessária se desejar que sejam mostradas

a tabela de símbolos ao invés de endereços numéricos do kernel. logger
Este comando permite enviar uma mensagem nos log do sistema. A mensagem é enviada
aos logs via daemon syslogd ou via soquete do sistema, é possível especificar a prioridade, nível,
50
um nome identificando o processo, etc. Seu uso é muito útil em shell scripts ou em outros eventos
do sistema.
logger [opções] [mensagem]
Onde:
mensagem Mensagem que será enviada ao daemon syslog:
opções -i : registra o PID do processo;

-s : envia a mensagem ambos para a saída padrão (STDOUT) e syslog;
-f (arquivo) : envia o conteúdo do arquivo especificado como mensagem ao syslog;
-t (nome) : especifica o nome do processo responsável pelo log que será exibido antes do
PID na mensagem do syslog;
-p (prioridade) : especifica a prioridade da mensagem do syslog, especificada como faci-
lidade.nível. Veja os tipos de prioridade/níveis em syslog.conf. O valor padrão priori-
dade.nível é user.notice;
-u (soquete) : envia a mensagem para o [soquete] especificado ao invés do syslog.
Mais detalhes sobre o funcionamento sobre o daemon de log do sistema syslogd, pode ser
encontrado em syslogd,
Exemplos: logger -i -t focalinux Teste teste teste, logger -i -f /tmp/mensagem -p security.emerg
8.7 Programas úteis para monitoração e gerenciamento de arquivos

de logs
8.7.1 logcheck
É um programa usado para enviar um e-mail periodicamente ao administrador do sistema

(através do cron ou outro daemon com a mesma função) alertando sobre os eventos que ocorre-
ram desde a última execução do programa. As mensagens do logcheck são tratadas por arquivos
em /etc/logcheck e organizadas em categorias antes de ser enviada por e-mail, isto garante muita
praticidade na interpretação dos eventos ocorridos no sistema.
As categorias são organizadas da mais importante para a menos importante, e vão desde
"Hacking em andamento"(providências devem ser tomadas imediatamente para resolver a situa-
ção) até "eventos anormais do sistema"(mensagens de inicialização, mensagens dos daemons
do sistema, etc.).
O tipo de mensagem que será incluída/ignorada nos logs enviados podem ser personalizadas
pelo administrador do sistema através dos arquivos/diretórios dentro de /etc/logcheck. Nomes de
arquivos/diretórios contendo a palavra "ignore"são usados para armazenar expressões regulares
que NÃO serão enviadas pelo logcheck. É permitido o uso de expressões regulares perl/sed para
especificar as mensagens nos arquivos de log. logrotate
Usado para fazer backups dos logs atuais do sistema (programado via cron, ou outro daemon
com a mesma função) e criando novos arquivos de logs que serão usados pelo sistema. Opcio-
nalmente os arquivos de logs antigos serão compactados para diminuir a utilização de espaço em
disco ou enviados por e-mail ao administrador. A rotação dos arquivos de logs proporciona maior
agilidade quando precisamos encontrar algum detalhe útil (que seria mais difícil de se achar em
um arquivo de log de 10MB ou maior).
51
A rotação de logs é feita de acordo com o tamanho do arquivo de logs especificado, mas a
opção -f pode ser usada para "forçar"a rotação de logs. A opção -d fornece mais detalhes sobre
o que o logrotate está fazendo. Seu arquivo principal de configuração é o /etc/logrotate.conf. Um
modelo deste tipo de arquivo é o seguinte:
#### Estas opções afetam globalmente o funcionamento do logrotate

# roda os arquivos de log semanalmente
weekly
# mantém as últimas 4 cópias de logs anteriores

rotate 4
# Erros de não existência dos logs são enviados para o usuário root
mail root
# Cria novos arquivos de log (vazios) após rodar os antigos

create
# Descomente isso se desejar seus arquivos de logs compactados. O parâmetro

# delaycompress é usado para que o primeiro log rodado seja mantido
# descompactado
compress
delaycompress
# Executam os scripts em prerotate e postrotate a cada vez que os logs

# forem rodados.
nosharedscripts
# Definimos um diretório que poderá conter definições individuais para

# diversos serviços no sistema, eles podem ir nest
52

MRTG1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MRTG1

Transféré par

Droits d'auteur :

Formats disponibles

Monitoramento

I Sobre essa Apostila 2

III GNU Free Documentation License 9

5.4 Porque utilizar o Nagios? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Sobre essa Apostila

Informações adicionais podem ser obtidas através do email ouvidoria@cdtc.org.br, ou da

O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina-

Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário e

• Licenças para cópia de material disponível;

• Os 10 mandamentos do aluno de Educação a Distância;

• Como participar dos foruns e da wikipédia;

Copyright ©2006, Instituto Nacional de Tecnologia da Informação (cdtc@iti.gov.br).

Os 10 mandamentos do aluno de educação online

• 1. Acesso à Internet: ter endereço eletrônico, um provedor e um equipamento adequado é

• 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá-

• 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân-

• 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seus

• 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre;

• 8. Flexibilidade e adaptação: requisitos necessário à mudança tecnológica, aprendizagens

• 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente é

Como participar dos fóruns e Wikipédia

Você tem um problema e precisa de ajuda?

Podemos te ajudar de 2 formas:

A segunda forma se dá pelas Wikis:

• Página principal da Wiki - http://pt.wikipedia.org/wiki/

Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo!

• Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar;

• Entrar nas lições seguindo a seqüência descrita no Plano de Ensino;

• Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais.

Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores.

O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivos

• gosta que lhe façam perguntas adicionais;

• dá uma ajuda complementar para encorajar um estudante em dificuldade;

• esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente;

• ajuda o estudante a alcançar os seus objetivos;

• é flexível quando necessário;

• mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso,

• escreve todas as correções de forma legível e com um nível de pormenorização adequado;

• acima de tudo, devolve os trabalhos rapidamente;

GNU Free Documentation License

(Traduzido pelo João S. O. Bueno através do CIPSGA em 2001)

Licença de Documentação Livre GNU Versão 1.1, Março de 2000

Copyright (C) 2000 Free Software Foundation, Inc.

Esta Licença é um tipo de "copyleft"("direitos revertidos"), o que significa que derivações do

licenciado e é referida como "você".

Uma "Versão Modificada"do Documento se refere a qualquer trabalho contendo o documento

A "Página do Título"significa, para um livro impresso, a página do título propriamente dita,

FAZENDO CÓPIAS EXATAS

FAZENDO CÓPIAS EM QUANTIDADE

C. Colocar na Página de Título o nome do editor da Versão Modificada, como o editor;

D. Preservar todas as notas de copyright do Documento;

H. Incluir uma cópia inalterada desta Licença;

K. Em qualquer seção entitulada "Agradecimentos"ou "Dedicatórias", preservar o título da

L. Preservar todas as Seções Invariantes do Documento, inalteradas em seus textos ou em

Na combinação, você precisa combinar quaisquer seções entituladas "Histórico"dos diver-

AGREGAÇÃO COM TRABALHOS INDEPENDENTES

versão original em Inglês desta Licença, a versão original em Inglês prevalecerá.

REVISÕES FUTURAS DESTA LICENÇA

A cada versão da Licença é dado um número de versão distinto. Se o Documento especificar

ADENDO: Como usar esta Licença para seus documentos

Copyright (c) ANO SEU NOME.

Hoje em dia, há muitas aplicações de monitoramento. Monitoramento de rede, local, aplicações

2.2 Público Alvo

• Lição 6 - Arquivos de log;