25 ответов в этой теме

[Manfried]

Добрый день! 

Заинтересовал такой вопрос, возможно ли поднять некий dashboard в котором можно будет настроить отображение текущего состояния антивирусной сети? Т.е. человек заходит по определенному адресу и ему в режиме реального времени рисуется текущее состояние антивирусной сети (сколько заражений обнаружено, когда, во сколько и т.д.), главное никакого доступа к настройкам самого сервера у него не должно быть, просто графики по текущему состоянию. Например, в Eset такая функция реализована, но там и консоль отдельно как приложение ставится

[Konstantin Yudin]

имхо через апи можно запилить
сама реализация дашборда уже с вас.

[Kirill Polubelov]

Вопрос о такой штуке периодически поднимается и поднимается Где-то у кого-то в планах, наверно, есть.

Самому же сделать можно, как сказано выше, но это теоретически. Практически же - по трудозатратам -- малореально.

Сообщение было изменено Kirill Polubelov: 26 Ноябрь 2014 - 14:21

[Konstantin Yudin]

есть куча всяких софтин которым можно скармливать данные, они их визуализируют. задача вполне себе востребованная, наверняка можно за гуглить подходящее

[chs]

Привет !

 

Тогда поставим вопрос по другому :-)

 

А задумывалась какая-нибудь поддержка SNMP для ES ?

Тогда можно было бы собирать алерты Нагиосом или Заббиксом.

[basid]

Оповещения/SNMP

[Afalin]

Но по SNMP только алерты шлются. Тонн статистики там нету.

Сообщение было изменено Afalin: 27 Ноябрь 2014 - 13:07

[Kirill Polubelov]

А в алертах есть тонны статистики Так что вполне вариант с SNMP.

По поводу WebAPI в веб-интерфейсе управления в разделе помощи есть "Руководство по Web API", единственное, рекомендую для работы создать и использовать аккаунт администратора ЕС-сервера с правами только для чтения.

Сообщение было изменено Kirill Polubelov: 27 Ноябрь 2014 - 15:48

[chs]

Оповещения/SNMP

 

А MiB-ы есть ?

[Afalin]

А MiB-ы есть ?

См. etc/DrWeb-*.mib

[Kirill Polubelov]

А MiB-ы есть ?

 

Совершенно верно. Лежат в каталоге /etc/*.mib

[chs]

 

А MiB-ы есть ?

 

Совершенно верно. Лежат в каталоге /etc/*.mib

 

 

Это в ES10 ? В 6-ке не нашёл.

 

Ну что ж, ежели поддержка SNMP есть, это весомый аргумент (для меня) по переходу на ES10

[Afalin]

Это в ES10 ? В 6-ке не нашёл.

В 6 не было snmp-алертов.

[chs]

 

Это в ES10 ? В 6-ке не нашёл.

В 6 не было snmp-алертов.

 

 

А только алерты реализованы ? Или можно какую-то информацию получать от сервера через OID - ы ?

[Afalin]

chs, http://forum.drweb.com/index.php?showtopic=319320#entry744050

[Kirill Polubelov]

Честно сказать, я не до конца понимаю, что обсуждают ув. Afalin и chs поэтому просто процитирую список нотификаций, которые можно получить, в частности, по SNMP:

Администратор

    Неизвестный администратор
    Ошибка авторизации администратора


Другое

    Ошибка записи журнала
    Ошибка ротации журнала
    Периодический отчет
    Соседний сервер давно не подключался
    Тестовое сообщение
    Эпидемия


Новичок

    Ожидание подтверждения
    Станция отклонена автоматически
    Станция отклонена администратором


Ограничение лицензии

    Истек срок выдачи лицензий
    Количество станций приближается к максимально допустимому
    Окончание срока действия агентского ключа
    Превышено допустимое количество лицензий
    Превышено допустимое количество станций
    Превышено допустимое количество станций в базе данных


Репозиторий

    Актуальное состояние продукта
    Запущено обновление репозитория
    Мало свободного места на диске
    Ошибка обновления продукта
    Продукт заморожен из-за ошибки обновления
    Продукт обновлен

    
Станция

    Неизвестная станция
    Обнаружена инфекция
    Обрыв соединения
    Ошибка авторизации станции
    Ошибка в процессе сканирования
    Ошибка обновления станции
    Ошибка создания учетной записи станции
    Станция давно не подключалась к серверу
    Станция должна быть перезагружена
    Станция допущена
    Станция допущена автоматически
    Станция уже зарегистрирована
    Статистика сканирования


Установка

    Установка выполнена успешно
    Установка не выполнена

 

и пример "сырого" ноутиса по SNMP по факту отлова еикара на станции:

VARBINDS:
  DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (41505401) 4 days, 19:17:34.01
  SNMPv2-MIB::snmpTrapOID.0      type=6  value=OID: SNMPv2-SMI::enterprises.29690.1.1.0.7
  SNMPv2-SMI::enterprises.29690.1.2.23 type=67 value=Timeticks: (1417429155) 164 days, 1:18:11.55
  SNMPv2-SMI::enterprises.29690.1.2.22 type=4  value=STRING: "tcp://192.168.40.3:49158"
  SNMPv2-SMI::enterprises.29690.1.2.21 type=4  value=STRING: "00fd1e0d-d21d-b211-872e-9803853c8a0e"
  SNMPv2-SMI::enterprises.29690.1.2.20 type=4  value=STRING: "WIN-MGCP93TO47E"
  SNMPv2-SMI::enterprises.29690.1.2.25 type=4  value=STRING: "20e27d73-d21d-b211-a788-85419c46f0e6"
  SNMPv2-SMI::enterprises.29690.1.2.24 type=4  value=STRING: "Everyone"
  SNMPv2-SMI::enterprises.29690.1.2.1005 type=4  value=STRING: "moved"
  SNMPv2-SMI::enterprises.29690.1.2.1034 type=4  value=STRING: "SpIDer Guard for Windows workstations"
  SNMPv2-SMI::enterprises.29690.1.2.1006 type=4  value=STRING: "unknown infection type"
  SNMPv2-SMI::enterprises.29690.1.2.30 type=4  value=STRING: "C:\\utemp\\eicar_test.com"
  SNMPv2-SMI::enterprises.29690.1.2.31 type=4  value=""
  SNMPv2-SMI::enterprises.29690.1.2.1043 type=4  value=STRING: "WIN-MGCP93TO47E\\testlab:WIN-MGCP93TO47E\\None"
  SNMPv2-SMI::enterprises.29690.1.2.51 type=4  value=STRING: "01/12/2014 13:25:12.565"
  SNMPv2-SMI::enterprises.29690.1.2.1007 type=4  value=STRING: "EICAR Test File (NOT a Virus!)"
  SNMP-COMMUNITY-MIB::snmpTrapAddress.0 type=64 value=IpAddress: 192.168.40.143
  SNMP-COMMUNITY-MIB::snmpTrapCommunity.0 type=4  value=STRING: "public"
  SNMPv2-MIB::snmpTrapEnterprise.0 type=6  value=OID: SNMPv2-SMI::enterprises.29690.1.1
 perl callback function 0x28a28334 returned a scalar of type 7 instead of an integer, assuming 1 (NETSNMPTRAPD_HANDLER_OK)

 

То есть, тут и название инфекции и что с ней сделано. Само собой от кого, когда и кем.

Сообщение было изменено Kirill Polubelov: 01 Декабрь 2014 - 13:32

[Kirill Polubelov]

Если же речь идет о какой-то консолидированной статистике, например, отчет по инфекциям за неделю, то такие вещи можно изготавливать через расписание, тип действия "Статистические отчеты". Единственный нюанс -- отчет делается в pdf-формате, то есть заточен для метода отправки по SMTP, по SNMP придет линк на отчет.

[chs]

Если же речь идет о какой-то консолидированной статистике, например, отчет по инфекциям за неделю, то такие вещи можно изготавливать через расписание, тип действия "Статистические отчеты". Единственный нюанс -- отчет делается в pdf-формате, то есть заточен для метода отправки по SMTP, по SNMP придет линк на отчет.

 

По snmp - с одной стороны с помощью консоли управления можно управлять параметрами управляемого устройства (в том числе считывать статистику) - это я и хочу.

В тоже время, управляемое устройство может посылать Trap консоли управления (это, как я понимаю, реализовано).

 

Например у нас в Zabbix - мы получаем трапы (алерты) от принтеров по замятию или отсутствию бумаги, и рисуем на основании считываемых параметров, графики расхода тонера и распечатанных на принтерах листов.

 

Вот собственно и хотелки.

[Kirill Polubelov]

Ну отлично -- тогда ваша хотелка есть у нас То есть, по snmp вы будете получать все те нотификации, на которые подписаны и на их оснвое вольны рисовать ту статистику, которая вам требуется.

[chs]

Ну отлично -- тогда ваша хотелка есть у нас То есть, по snmp вы будете получать все те нотификации, на которые подписаны и на их оснвое вольны рисовать ту статистику, которая вам требуется.

 

неее ... хотелка - она в другую сторону. :-)

 

Хотца по SNMP снимать статистику с консоли управления онлайн.

 

Ну это уже другой разговор. Главное, что начата поддержка snmp, это мне нравится.