Использование SNMP для отправки статистики программам сторонних производителей
В этом разделе описывается, как получить информацию от Сервера администрирования с помощью SNMP-протокола в Windows. Kaspersky Security Center содержит SNMP-агент, который передает статистику работы Сервера администрирования программам сторонних производителей с помощью OID.
В этом разделе также содержится информация о действиях для решения проблем, которые могут возникнуть при использовании SNMP для Kaspersky Security Center.
Настройка SNMP-службы для использования с Kaspersky Security Center
В этом разделе описано, как настроить SNMP-службу в Windows для получения информации от Сервера администрирования с помощью Simple Network Management Protocol (SNMP).
По умолчанию поддержка SNMP в Windows выключена.
Чтобы включить поддержку SNMP в Windows:
- Перейдите в Панель управления.
- Откройте меню Установка и удаление программ.
- Нажмите на Включение или отключение компонентов Windows.
- В списке компонентов Windows перейдите к функции SNMP и нажмите на кнопку ОК.
- Перейдите в Панель управления → Администрирование → Службы.
- Выберите SNMP-службу и запустите ее.
- Проверьте, работает ли прослушивание, проверив его с помощью
netstatдля UDP-порта.
Поддержка SNMP в Windows включена.
Чтобы настроить SNMP-службу в Windows:
- Убедитесь, что компонент Агент SNMP Kaspersky Security Center был установлен во время обычной или тихой установки.
- Убедитесь, что SNMP-служба и служба SNMP-ловушки Windows запущены.
- Убедитесь, что в вашей системе установлен MIB Browser ManageEngine.
- В свойствах SNMP-службы на вкладке Безопасность добавьте два сообщества со следующими правами:
Сообщество
Права
kasperskyNOTIFYpublicREAD WRITE - В поле Принимать SNMP-пакеты от этих устройств добавьте IP-адрес устройства, на котором установлен ManageEngine MIB Browser, например 10.10.10.105.
- На вкладке Ловушки введите
kasperskyв поле Имя сообщества. - Нажмите на кнопку OK, чтобы сохранить изменения и закрыть окно свойств службы.
- В ManageEngine MIB Browser загрузите файл adminkit.mib из папки установки Kaspersky Security Center. По умолчанию файл adminkit.mib находится в папке <Диск>:\Program Files\Kaspersky Lab\Kaspersky Security Center\snmp.
- В поле Устройство окна ManageEngine MIB Browser добавьте IP-адрес устройства, на котором установлен Сервер администрирования Kaspersky Security Center.
SNMP-служба настроена на получение информации от Сервера администрирования с использованием Simple Network Management Protocol (SNMP).
В началоSNMP-агент и идентификаторы объектов
Для Kaspersky Security Center SNMP-агент реализован в виде динамической библиотеки klsnmpag.dll, которая регистрируется установщиком при установке Сервера администрирования. SNMP-агент работает внутри процесса snmp.exe (который является службой Windows). Программы сторонних производителей используют SNMP-протокол для получения статистики (которая представлена в виде счетчиков) производительности Сервера администрирования.
Каждый счетчик имеет уникальный идентификатор объекта (далее также OID, object identifier). Идентификатор объекта – это последовательность чисел, разделенных точками. Идентификаторы объектов Сервера администрирования начинаются с префикса 1.3.6.1.4.1.23668.1093. OID счетчика – это соединение этого префикса с суффиксом, описывающим счетчик. Например, счетчик со значением OID 1.3.6.1.4.1.23668.1093.1.1.4 имеет суффикс со значением 1.1.4.
Вы можете использовать SNMP-клиент (например, Zabbix) для контроля состояния вашей системы. Чтобы получить информацию, вы можете найти значение OID и ввести это значение в свой SNMP-клиент. Затем ваш SNMP-клиент вернет вам другое значение, которое характеризует состояние вашей системы.
Список счетчиков и типы счетчиков находятся в файле adminkit.mib на Сервере администрирования. MIB расшифровывается как Management Information Base. Вы можете импортировать и анализировать файлы .mib с помощью программы MIB Viewer, которая предназначена для запроса и отображения значений счетчиков.
Получение имени счетчика строк из идентификатора объекта
Чтобы использовать идентификатор объекта (OID) для передачи информации программам сторонних производителей, вам может потребоваться получить имя счетчика строк из этого OID.
Чтобы получить имя счетчика строк из OID:
- Откройте в текстовом редакторе файл
adminkit.mib, расположенный на Сервере администрирования. - Найдите пространство имен, описывающее первое значение (слева направо).
Например, для суффикса OID 1.1.4 это будет
"counters" (::= { kladminkit 1 }). - Найдите пространство имен, описывающее второе значение.
Например, для суффикса OID 1.1.4 это будет
counters 1, что означаетdeployment. - Найдите пространство имен, описывающее третье значение.
Например, для суффикса OID 1.1.4 это будет
deployment 4, что означаетhostsWithAntivirus.
Имя счетчика строк – это объединение этих значений, например, <MIB base namespace>.counters.deployment.hostsWithAntivirus, и это соответствует идентификатору OID со значением 1.3.6.1.4.1.23668.1093.1.1.4.
Значения идентификаторов объектов для SNMP
В таблице ниже приведены значения и описания идентификатора объекта (далее также OID), которые используются для передачи информации о производительности Сервера администрирования программам сторонних производителей.
Значения и описания параметров идентификаторов объектов для SNMP
Значение идентификатора объекта |
Числовой тип данных |
OID |
Описание |
|---|---|---|---|
|
|
.1.3.6.1.4.1.23668.1093.1.1.1 |
Статус развертывания. Статус может принимать одно из следующих значений:
|
|
|
.1.3.6.1.4.1.23668.1093.1.1.2.1 |
Причина Значение равно 1 в случае обнаружения нескольких устройств без управляемых программ и 0 в другом случае. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.2.2 |
Причина |
|
|
.1.3.6.1.4.1.23668.1093.1.1.2.3 |
Причина |
|
|
.1.3.6.1.4.1.23668.1093.1.1.2.4 |
Причина |
|
|
.1.3.6.1.4.1.23668.1093.1.1.3 |
Количество устройств в группах Сервера администрирования. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.4 |
Количество устройств в группах Сервера администрирования с установленными управляемыми программами. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.5 |
Количество устройств, на которых не удалось выполнить задачу удаленной установки. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.6 |
Идентификатор лицензионного ключа, срок действия которого скоро истечет (менее чем через 7 дней). |
|
|
.1.3.6.1.4.1.23668.1093.1.1.7 |
Идентификатор лицензионного ключа, срок действия которого истек. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.8 |
Количество дней до истечения срока действия лицензии. Для этого параметра срок действия лицензии истек, если до истечения срока его действия осталось менее 7 дней. Если до истечения срока действия осталось более 7 дней, значение равно 0. |
|
|
.1.3.6.1.4.1.23668.1093.1.1.9 |
Количество устройств с лицензией, срок действия которой скоро истекает (менее чем через 7 дней). |
|
|
.1.3.6.1.4.1.23668.1093.1.1.10 |
Количество устройств, у которых истек срок действия лицензии. |
|
|
.1.3.6.1.4.1.23668.1093.1.2.1 |
Состояние обновления антивирусных баз. Статус может принимать одно из следующих значений:
|
|
|
.1.3.6.1.4.1.23668.1093.1.2.2.1 |
Эта причина показывает, что Сервер администрирования не обновлялся в течение долгого времени. Время, которое считается долгим, указывается в |
|
|
.1.3.6.1.4.1.23668.1093.1.2.2.2 |
Эта причина показывает, что некоторые устройства не обновлялись в течение долгого времени (по умолчанию Критическое – 7 дней и более, Предупреждение – 3 дня). Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.2.3 |
Дата последнего обновления антивирусных баз на Сервере администрирования. |
|
|
.1.3.6.1.4.1.23668.1093.1.2.4 |
Количество устройств, содержащих антивирусные базы, которые давно не обновлялись (по умолчанию Критическое – 7 дней и более, Предупреждение – 3 дня). Если есть устройства со статусом обновления Критическое, учитываются только эти устройства. Вы можете получить статус обновления с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.3.1 |
Статус постоянной защиты. одно из следующих:
|
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.1 |
Эта причина показывает, что программа безопасности не работает на некоторых устройствах. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.2 |
Эта причина показывает, что на некоторых устройствах постоянная защита не работает. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.4 |
Эта причина показывает, что есть некоторые устройства, содержащие не вылеченные объекты. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.5 |
Эта причина показывает, что на некоторых устройствах обнаружены угрозы. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.3.2.6 |
Эта причина показывает статус вирусной атаки. Значение равно 1, если определенное количество вирусов было обнаружено в течение определенного времени, и 0 в других случаях. Количество вирусов и время указывается на Сервере администрирования с помощью параметра |
|
|
.1.3.6.1.4.1.23668.1093.1.3.3 |
Количество устройств, на которых не запущены программы безопасности. |
|
|
.1.3.6.1.4.1.23668.1093.1.3.4 |
Количество устройств, на которых не запущена постоянная защита. |
|
|
.1.3.6.1.4.1.23668.1093.1.3.5 |
Количество устройств с недопустимым уровнем постоянной защиты. |
|
|
.1.3.6.1.4.1.23668.1093.1.3.6 |
Количество устройств с не вылеченными объектами. |
|
|
.1.3.6.1.4.1.23668.1093.1.3.7 |
Количество устройств, которые содержат угрозы. |
|
|
.1.3.6.1.4.1.23668.1093.1.4.1 |
Статус полной проверки. одно из следующих:
|
|
|
.1.3.6.1.4.1.23668.1093.1.4.2.1 |
Эта причина показывает, что на некоторых устройствах не выполнялась проверка в течение определенного времени. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.4.3 |
Количество устройств, на которых не выполнялась проверка в течение определенного времени. Время указывается в |
|
|
.1.3.6.1.4.1.23668.1093.1.5.1 |
Состояние логической сети Сервера администрирования. одно из следующих:
|
|
|
.1.3.6.1.4.1.23668.1093.1.5.2.1 |
Эта причина показывает, что некоторые устройства в течение долгого времени не были подключены к Серверу администрирования (7 дней и более для устройства со статусом Предупреждение и 4 дня для устройства со статусом Критический). Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.5.2.2 |
Эта причина показывает, что есть устройства, контроль над которыми потерян Сервером администрирования. Вы можете узнать количество этих устройств с помощью |
|
|
.1.3.6.1.4.1.23668.1093.1.5.3 |
Количество обнаруженных Сервером администрирования устройств, не входящих ни в одну группу Сервера администрирования. |
|
|
.1.3.6.1.4.1.23668.1093.1.5.4 |
Количество групп Сервера администрирования. |
|
|
.1.3.6.1.4.1.23668.1093.1.5.5 |
Количество устройств, которые долгое время не подключались к Серверу администрирования. Время, которое считается долгим, указывается в |
|
|
.1.3.6.1.4.1.23668.1093.1.5.6 |
Количество устройств, которые не контролируются Сервером администрирования. |
|
|
.1.3.6.1.4.1.23668.1093.1.6.1 |
Состояние подсистемы событий. одно из следующих:
|
|
|
.1.3.6.1.4.1.23668.1093.1.6.2.1 |
Причина Значение равно 1, если есть хотя бы одно критическое событие на любом устройстве, и 0 в другом случае. |
|
|
.1.3.6.1.4.1.23668.1093.1.6.3 |
Количество критических событий на Сервере администрирования. |
Устранение неисправностей
В этом разделе перечислены решения нескольких типичных проблем, с которыми вы можете столкнуться при использовании SNMP-службы.
Программа стороннего производителя не может подключиться к SNMP-службе
Убедитесь, что SNMP-служба установлена и настроена, как описано в разделе Настройка SNMP-службы для использования с Kaspersky Security Center.
SNMP-служба работает, но программа стороннего производителя не может получить никаких значений
Разрешите трассировку SNMP-агента и убедитесь, что создан непустой файл. Это означает, что SNMP-агент зарегистрирован правильно и работает. После этого разрешите подключения от SNMP-службы в параметрах службы. Если служба работает на том же устройстве, что и SNMP-агент, список IP-адресов должен содержать либо IP-адрес этого устройства, либо loopback 127.0.0.1.
В Windows должна работать SNMP-служба, которая взаимодействует с агентами. Вы можете указать пути к SNMP-агентам в реестре Windows с помощью regedit.
- Для Windows 10:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ExtensionAgents
- Для Windows Vista и Windows Server 2008:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SNMP\Parameters\ExtensionAgents
Вы также можете разрешить трассировку SNMP-агента с помощью regedit.
- для 32-разрядной системы:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\SNMP\Debug
- для 64-разрядной системы:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\SNMP\Debug
"TraceLevel"=dword:00000004
"TraceDir"="C:\\"
Значения не соответствуют статусам Консоли администрирования
Для снижения нагрузки на Сервер администрирования реализовано кеширование значений для SNMP-агента. Задержка между актуализацией кеша и изменяемыми значениями на Сервере администрирования может вызвать несоответствие между значениями, возвращаемыми SNMP-агентом, и фактическими. При работе с программами сторонних производителей следует учитывать возможную задержку.
В начало