Bonjour,
Je m'intéresse à la supervision depuis quelques années maintenant, et je souhaite échanger avec la communauté pour comparer les conclusions de mes expériences précédentes.
Tout d'abord l'outil. J'ai utilisé zabbix relativement tôt, sur une distribution SME server. Le grand ponte était alors Nagios, mais j'avais besoin d'un outil intégré, et non une multitude de couches.
Je ne regrette pas ce choix, l'outil s'est considérablement étoffé et la communauté reste active.
Maintenant, au risque de déclencher quelques rebuffades, je dirais que l'outil est partiellement secondaire... il faut qu'il soit stable, qu'il ait la possibilité de lancer une alerte et qu'il ne soit pas galère à gérer....
Je suis persuadé que l'enthousiasme des premiers temps m'a servi à progresser de manière personnelle, mais à été à l'encontre des buts poursuivis...
Au début, on veut reprendre la maitrise de nos réseaux, de nos parcs... et donc on veut un océan de données, d'informations...et on déploie des templates à tour de bras sur toutes les machines pour se donner la possibilité d’analyser les éventuels problèmes qui pourraient survenir.
Mais cette surveillance anarchique pèse sur tout et tous, et on s'en rends particulièrement compte quand on souhaite passer du prototype de surveillance à un véritable service intégré à la DSI... les personnes qui vont côtoyer l'outil ne sont pas des geeks! ils veulent des avertissements mais pas trop (en fait ils n'en veulent pas du tout ;-)) et ils désirent par dessus tout des beaux shémas, des beaux graphiques servis tout cuits dans un rapport... bref ce sont des consommateurs.
Face à cette attente, je crains qu'il ne faille revoir entièrement nos copies... fini les bouffées de bigdata, il faut plutôt minimiser les mesures pour maximiser la vision et la supervision de nos parcs. On ne place plus un metrics pour le plaisir, on démarre par : que dois-je éviter => que dois-je surveiller => quels machines => quels métrics => quelles conservations => quels déclencheurs => quelles cartes servira au mieux mon propos => quels rapports devrais-je fournir en fin d'années (ou damné, c'est selon ;-)). Parce que ce n'est plus moi qui doit aller chercher la donnée, mais plutôt des équipes qui seront énervées d'apprendre que quelque-chose ne tourne pas rond et qui souhaiteraient que l'on leur donne la solution avec l'avertissement...
Dès lors, je dirais que mes besoins ont évolué... et que je suis de plus en plus dans la norme ISO27000.
Ceci posé, de quoi ais-je réellement besoin? et dans quelle priorité?
- d'un catalogue des services avec les mesures de supervision associées
- d'un catalogue des mesures de sécurité avec les mesures de supervisions associées
- d'outils permettant de réaliser ces missions et de documenter cet accomplissement
Ce catalogue de services doit porter sur quoi?
- infra de télécommunications (téléphone, ip et autres)
- infra de machines reliées au réseau (serveurs, postes clients, dispositifs...)
- infra logicielle (quel logiciel, quelles dépendances logicielles, quelle infra machine et quelle infra de télécom)
Zabbix peut en assurer une partie, mais pas tout.
Les logs:
Il y a deux types de logs pour l'entreprise; Les logs de preuve (1 an) et les logs d'analyse SIEM (3 mois).
Là aussi, il est important de prendre le problème par le bon bout... a savoir partir du besoin.
Zabbix peut faire une analyse de logs, mais pas à une densité énorme... au contraire des sytèmes Splunk, ELK, Graylog et autres... Et pour cause... ce n'est pas un concentrateur!
Les états des différents composants réseaux:
Zabbix est fait pour ça! et il le fait bien!
Malheureusement, j'ai un reproche à lui faire... sa structure rends délicate l'implantation de visualiseurs de flows... En résumé: monitorer la quantité de bits échangés sur la 9ieme carte réseau du switch bidule... pas de problème! mais pour savoir quels postes communiquaient avec quels services, et en quelle quantité sur la 9ième carte réseau du switch bidule à 9h32.... ?
Les alarmes et les graphiques associés:
Zabbix est assez fort à ce jeux... à condition de savoir ce que l'on veut faire pour minimiser les fausses alertes et que l'on prenne le temps de faire les multiples cartes nécessaires à l'illustration du propos... c'est long et fastidieux, mais malheureusement la note des service porte beaucoup sur cela...Des templates de carte associable à des découvertes?
Les rapports d'activité:
Zabbix n'a pas encore développé cela... et d'ailleurs, est-ce sa fonction?
Les tableaux de bords:
Zabbix ne plait pas aux décideurs, ils ont chacun leur outil de prédilection...qui est toujours bien plus 'beau'... question de goûts! et de pouvoir!
Cette analyse montre que Zabbix a beau être intégré et faire beaucoup de choses, il ne peut suffire à assurer à lui seul une supervision complète. Cela ne retire rien à l'outil qui rends de fiers services, mais il manque quelque chose pour le rendre incontournable. Personnellement, je dirais qu'il devrait pouvoir s'interfacer pour agir de concert avec d'autres outils pour offrir une solution complète.
Ou peut-être est-ce déjà le cas? ou que je ne sais pas correctement m'en servir? (étant autodidacte, cela ne serait pas impossible)
Quelle est votre vision des choses?
Cordialement
Je m'intéresse à la supervision depuis quelques années maintenant, et je souhaite échanger avec la communauté pour comparer les conclusions de mes expériences précédentes.
Tout d'abord l'outil. J'ai utilisé zabbix relativement tôt, sur une distribution SME server. Le grand ponte était alors Nagios, mais j'avais besoin d'un outil intégré, et non une multitude de couches.
Je ne regrette pas ce choix, l'outil s'est considérablement étoffé et la communauté reste active.
Maintenant, au risque de déclencher quelques rebuffades, je dirais que l'outil est partiellement secondaire... il faut qu'il soit stable, qu'il ait la possibilité de lancer une alerte et qu'il ne soit pas galère à gérer....
Je suis persuadé que l'enthousiasme des premiers temps m'a servi à progresser de manière personnelle, mais à été à l'encontre des buts poursuivis...
Au début, on veut reprendre la maitrise de nos réseaux, de nos parcs... et donc on veut un océan de données, d'informations...et on déploie des templates à tour de bras sur toutes les machines pour se donner la possibilité d’analyser les éventuels problèmes qui pourraient survenir.
Mais cette surveillance anarchique pèse sur tout et tous, et on s'en rends particulièrement compte quand on souhaite passer du prototype de surveillance à un véritable service intégré à la DSI... les personnes qui vont côtoyer l'outil ne sont pas des geeks! ils veulent des avertissements mais pas trop (en fait ils n'en veulent pas du tout ;-)) et ils désirent par dessus tout des beaux shémas, des beaux graphiques servis tout cuits dans un rapport... bref ce sont des consommateurs.
Face à cette attente, je crains qu'il ne faille revoir entièrement nos copies... fini les bouffées de bigdata, il faut plutôt minimiser les mesures pour maximiser la vision et la supervision de nos parcs. On ne place plus un metrics pour le plaisir, on démarre par : que dois-je éviter => que dois-je surveiller => quels machines => quels métrics => quelles conservations => quels déclencheurs => quelles cartes servira au mieux mon propos => quels rapports devrais-je fournir en fin d'années (ou damné, c'est selon ;-)). Parce que ce n'est plus moi qui doit aller chercher la donnée, mais plutôt des équipes qui seront énervées d'apprendre que quelque-chose ne tourne pas rond et qui souhaiteraient que l'on leur donne la solution avec l'avertissement...
Dès lors, je dirais que mes besoins ont évolué... et que je suis de plus en plus dans la norme ISO27000.
Ceci posé, de quoi ais-je réellement besoin? et dans quelle priorité?
- d'un catalogue des services avec les mesures de supervision associées
- d'un catalogue des mesures de sécurité avec les mesures de supervisions associées
- d'outils permettant de réaliser ces missions et de documenter cet accomplissement
Ce catalogue de services doit porter sur quoi?
- infra de télécommunications (téléphone, ip et autres)
- infra de machines reliées au réseau (serveurs, postes clients, dispositifs...)
- infra logicielle (quel logiciel, quelles dépendances logicielles, quelle infra machine et quelle infra de télécom)
Zabbix peut en assurer une partie, mais pas tout.
Les logs:
Il y a deux types de logs pour l'entreprise; Les logs de preuve (1 an) et les logs d'analyse SIEM (3 mois).
Là aussi, il est important de prendre le problème par le bon bout... a savoir partir du besoin.
Zabbix peut faire une analyse de logs, mais pas à une densité énorme... au contraire des sytèmes Splunk, ELK, Graylog et autres... Et pour cause... ce n'est pas un concentrateur!
Les états des différents composants réseaux:
Zabbix est fait pour ça! et il le fait bien!
Malheureusement, j'ai un reproche à lui faire... sa structure rends délicate l'implantation de visualiseurs de flows... En résumé: monitorer la quantité de bits échangés sur la 9ieme carte réseau du switch bidule... pas de problème! mais pour savoir quels postes communiquaient avec quels services, et en quelle quantité sur la 9ième carte réseau du switch bidule à 9h32.... ?
Les alarmes et les graphiques associés:
Zabbix est assez fort à ce jeux... à condition de savoir ce que l'on veut faire pour minimiser les fausses alertes et que l'on prenne le temps de faire les multiples cartes nécessaires à l'illustration du propos... c'est long et fastidieux, mais malheureusement la note des service porte beaucoup sur cela...Des templates de carte associable à des découvertes?
Les rapports d'activité:
Zabbix n'a pas encore développé cela... et d'ailleurs, est-ce sa fonction?
Les tableaux de bords:
Zabbix ne plait pas aux décideurs, ils ont chacun leur outil de prédilection...qui est toujours bien plus 'beau'... question de goûts! et de pouvoir!
Cette analyse montre que Zabbix a beau être intégré et faire beaucoup de choses, il ne peut suffire à assurer à lui seul une supervision complète. Cela ne retire rien à l'outil qui rends de fiers services, mais il manque quelque chose pour le rendre incontournable. Personnellement, je dirais qu'il devrait pouvoir s'interfacer pour agir de concert avec d'autres outils pour offrir une solution complète.
Ou peut-être est-ce déjà le cas? ou que je ne sais pas correctement m'en servir? (étant autodidacte, cela ne serait pas impossible)
Quelle est votre vision des choses?
Cordialement
Comment