Device en netwerk monitoring met Cacti

Jeffrey Menick

Jeffrey Menick

Er zijn verschillende devices en network monitoring tools verkrijgbaar, van commerciële tot OpenSource tools. Cybrhat heeft natuurlijk de OpenSource monitoring tool uitvoerig getest en bekeken.

Cacti Dashboard1

Cacti is een open-source, webgebaseerde tool voor netwerkbewaking en grafische weergave, ontworpen als een front-end applicatie voor de open-source, industriestandaard datalogging-tool RRDtool. Met Cacti kan een gebruiker services op vooraf bepaalde intervallen peilen en de resulterende gegevens weergeven.

Cacti is net als Nagios, Zabbix, Incinga 2 en Observium een van de bekendste OpenSource netwerk en devices monitoring tool. Veel van deze monitoring tools zijn Linux O/s gebaseerde applicaties die in veel gevallen geïnstalleerd dienen te worden. In sommige gevallen zijn er VM (OVA) files of Docker images van aanwezig. Hierdoor hoeft men niet de installatie, maar alleen de configuratie ervan te doorlopen om gebruik te kunnen maken van een werkend systeem. Cacti maakt gebruik van datalogging RRDtool. Door gebruik te maken van SNMP, ICMP, etc wordt data in grafieken omgezet in trend formaat.

Vanuit de Cacti website en via de Cacti Github community zijn er veel plug-ins en device templates beschikbaar. Veel device templates worden door gebruikers geschreven en gedeeld.

Plug-ins

Er zijn diverse plugins beschikbaar waarbij Cacti buiten de standaard SNMP monitoring uitgebreidere features zal bevatten, zoals het monitoren van Webservices, Mac-adressen, Reporting, Alert en Notificatie, met behulp van de volgende plug-ins:

  • Thold (Treshold en Alert notificaties)
  • Monitor
  • Webseer
  • MacTrack
  • Syslog
  • Audit
  • WMI
  • Reportit
  • Weathermap
  • etc.

Scripts en templates

Naast de plug-ins zijn er ook scripts en templates verkrijgbaar. Hiermee kun u uw diensten en het beheer van extra devices uitbreiden. Er zijn standaard templates die tijdens de installatie van Cacti meekomen, zoals Cisco, Windows en Linux/Unix template. Specifiek zijn er ook templates verkrijgbaar bijv. voor HP printers, UPS-en, HP switches, Juniper en Checkpoint, en nog veel meer. Voor de meest actuele templates bezoekt u het Cacti forum. Scripts en templates komen vaak met een script file die u in uw /cacti/script<directory> dient te plaatsen en een xml file die geïmporteerd dient te worden.

Cacti omgeving

Cybrhat maakt reeds enige tijd gebruik van Cacti en heeft de volgende O/s en plug-ins, scripts en templates gebruikt:

Systeem Debian 10 Buster:

  • MariaDB 10.3.22
  • Apache 2.4.38
  • Php 7.3.14

Cacti release 1.2.12, plug-ins:

  • Thold
  • Audit
  • Spine
  • Reportit
  • Monitor
  • MacTrack
  • Intropage
  • Webseer

Additionele Cacti scripts en templates:

  • Juniper/Netscreen
  • Powerware
  • ICMP Statistics
  • NMAP TCP/UDP monitor
  • Ubiquity Airfiber/AP
  • DNS resolution

Cacti Intropage

Deze plug-in geeft een status overview op 1 pagina en betreft alle componenten zoals de: poller, database, events, login, CPU, hosts etc. Handig als monitor scherm.

Cacti Thold

Thold is een plug-in waarbij thresholds en alerts kunnen worden ingesteld, zoals harddiskruimte, memory, tcp/udp poort statussen. Gebaseerd op statusinformatie van een specifieke host kan er het volgende ingesteld worden: Wanneer TCP/3389 (MS-RDP) niet actief is voor 5 min of langer, moet er een email alert worden gestuurd. Of wanneer de totale HDD space >85% is, moet er een waarschuwing worden gestuurd. Het CPU gebruik is >95% langer dan 10 minuten aan een stuk.

Cacti Monitor

Met Monitor is het mogelijk in een dashboard overview de host systemen te monitoren.

Cacti MacTrack

Met MacTrack is het mogelijk om IP, Mac-adressen, DNS Hostnamen, Vendor type etc in kaart te brengen. Op basis van hostnamen, ip adres kan er op een basis poort aansluiting gemonitord worden. MacTrack kan handmatig of om elk uur of om elke 4 uur een Mac discovery laten uitvoeren zodat deze weer up-to-date zijn. MacTrack is ontzettend handig om een overview te hebben van je VLAN's, devices en IP gegevens.

Bevindingen

Als basis kan Cacti uitstekend gebruikt worden voor het monitoren van devices. Wel moet gezegd worden dat wanneer u gebruik wilt maken van het monitoren van TCP/UDP connect, deze in de basis er niet in zit en u zelf opzoek moet gaan naar een geschikte template. Wij vinden wanneer u gebruik maakt van SNMP V1/2/3, ICMP, TCP/UDP Connect, Mac-tracking, reporting en alerting, dat u alles bezit en controle heeft over al uw devices. Het is zelfs mogelijk om Cacti uit te breiden met extra plug-ins om bijv. Cisco backup configuraties te maken, of Cacti als centrale Syslog te laten fungeren. Echter hier hebben wij zelf niet voor gekozen omdat we Wazuh als centrale Syslog server gebruiken en Oxidized als Cisco/Juniper configuratie backup met "Diff services" als tegenhanger van Rancid gebruiken.

Oxidized webinterface

Andere Blogs

Ethical Hacking

Experts in hacking for an innovating business.