Parmetros Para Monitoreo Cd

Fecha

PARMETROS PARA
MONITOREO DE
APLICACIONES.

1
 Parmetros Para Monitoreo Cd

Fecha

Al inicio del monitoreo de aplicaciones debemos obtener unos principios bsicos

de infraestructura, los cuales se deben monitorear elementalmente como se
enlistan a continuacin:
1. Inicialmente monitoreamos la utilizacin de Procesador Central del cual
debemos obtener una medicin de:
1.1. Porcentaje de utilizacin total del 0% al 100%, cuyo estndar de utilizacin
u optimo porcentaje de utilizacin deber estar mximo al 80% o segn lo
determine el fabricante.
1.2. Porcentaje de uso por procesadores individuales, tambin de 0% al 100% y
segn lo determine el fabricante.
2. Utilizacin de Memoria
2.1. Cantidad de memoria fsica instalada
2.2. Cantidad de memoria fsica en uso
2.3. Cantidad de memoria fsica disponible
3. Monitoreo del comportamiento, desempeo, utilizacin y estado de todos los
componentes de infraestructura.
3.1. Son herramientas de gestin que proveen un valor de referencia a partir del
cual se puede establecer una comparacin entre las metas planeadas y el
desempeo logrado
3.2. Un indicador de desempeo es una herramienta que entrega informacin
cuantitativa respecto del logro o resultado de los objetivos de la institucin.
3.3. Los indicadores de desempeo son medidas que describen cun bien se
estn desarrollando los objetivos de una institucin, a qu costo y con qu
nivel de calidad.
3.4. En un sistema de cuenta pblica orientada a resultados, se requiere datos
sobre un conjunto de indicadores diferentes, que reflejan la informacin
requerida para distintos niveles de toma de decisiones.
3.5. Los legisladores y los Directores requieren informacin estratgica sobre la
gestin de la institucin (resultados finales e impacto), mientras que los
Gerentes de Divisiones, Departamentos o Programas y sus staff requieren
detalles sobre la provisin de insumos, las actividades, los productos
finales y resultados intermedios.
2
 Parmetros Para Monitoreo Cd

Fecha

3.6. La idea de incorporar indicadores y metas de desempeo al proceso

presupuestario es disponer de informacin sobre los niveles de
cumplimiento de los objetivos planteados y resultados esperados de cada
institucin y enriquecer el anlisis en la formulacin del presupuesto y su
discusin en el Congreso.
3.7. Los indicadores y sus metas se presentan como informacin
complementaria al Proyecto de Ley de Presupuestos, y una vez aprobado
ste, las metas se vinculan con el seguimiento (monitoreo) de la ejecucin.
1. Bitcora de errores y sucesos.
4.1. Ante una crisis, falla o suceso relevante de un dispositivo o sistema, todos
queremos saber qu sucedi y es cuando surge la pregunta sobre la
existencia de registros, y si existen, sobre quin los administra o incluso
por cunto tiempo se guardan.
4.2. Hay elementos de la vida cotidiana que no sabemos que son registrados, sin
embargo, ante una catstrofe, la bitcora nos alecciona sobre lo que pas y
cmo podemos mejorar para que no cometamos los mismos errores, o para
protegernos de lo que no controlamos. El ejemplo clsico es la caja negra
de un avin: esta es una bitcora que registra, entre otras cosas, datos de la
computadora de vuelo, todas las llamadas entre el avin y la torre de
control, sonidos en la cabina, registros del estado operativo de todos los
componentes del avin, itinerario, etctera. Cuando por desgracia hay un
accidente, la bitcora (caja negra) se encuentra almacenada en un recipiente
que resiste los violentos impactos de una catstrofe area; recuperarla
permite saber, a partir de un anlisis forense, si hubo un error humano, una
inclemencia del tiempo, una falla del avin o simplemente un evento
desafortunado.
4.3. As como la bitcora de un avin nos permite aprender sobre lo sucedido,
una bitcora de sistemas debe permitirnos hacer lo mismo sobre las
actividades en nuestro entorno, desde un simple login a una Intranet,
hasta saber quin pudo haber cambiado tablas en la base de datos del
sistema de facturacin.
3
 Parmetros Para Monitoreo Cd

Fecha

4.4. Las bitcoras se vuelven elementos clave cuando tenemos que hacer frente
a auditoras, donde todo debe comprobarse para obtener alguna
certificacin, o bien para cumplir con regulaciones que avalen a nuestras
organizaciones. Tambin son vitales para los anlisis forenses, para los que
se deben cumplir ciertos estndares de forensia digital para poderse
catalogar como evidencia.
4.5. Elementos indispensables
4.6. Una bitcora deber tener la caracterstica de trazabilidad. A partir de ella,
deberamos obtener informacin que responda las cuatro preguntas bsicas:
qu?, quin?, cundo? y a travs de qu medio?
4.7. Qu? nos permite responder cul fue el elemento manipulado.
4.8. Quin? apunta hacia la entidad que interactu con el elemento de
nuestro inters. Puede ser una persona, un sistema, un grupo o una
direccin IP. Lo que debe ser contundente es que esta informacin nos
proporcione el rastro al que queremos llegar. Por ejemplo, si obtenemos
como respuesta el usuario genrico sadmin (suponiendo que este usuario es
usado por varias personas de forma indistinta), no hemos logrado realmente
contestar la pregunta.
4.9. Cundo? nos dice el tiempo de lo sucedido. Entre ms granular, mejor,
ya que un evento suscedido en cierto momento puede ser normal, pero si
ocurre dos minutos ms tarde ya podra ser algo sospechoso. Una
caracterstica, necesaria para tener un marco adecuado de referencia del
tiempo es la sincrona: se debe cuidar que las bitcoras se registren a un
mismo tiempo. El acceso a un sistema que se registre una hora despus de
la modificacin de privilegios de un usuario es inconsistente y no puede ser
tomado como evidencia en un caso.
4.10. A travs de qu medio? nos indica el o los vehculos que se usaron
para realizar el evento. Podra ser que una tarea programada haya sido la
encargada de cambiar la propiedad de un conjunto de archivos de un
directorio, o que se accedi a un switch para habilitar un puerto dentro del
centro de datos.
4
 Parmetros Para Monitoreo Cd

Fecha

4.11. Hay que advertir al lector que lo antes dicho no significa que una
bitcora deba tener cuatro campos y con esto se obtenga toda la
informacin. Pueden requerirse muchos ms datos, o estar divididos en
unidades ms granulares para el procesamiento. La intencin de estas
cuatro peguntas es darle al analista informacin suficiente para llegar a una
determinacin inicial e informar de manera contundente a los altos mandos,
as como contar con datos que permitirn indagar ms a fondo si es
necesario.
4.12. Las bitcoras son tan relevantes en la investigacin de eventos que no
es de sorprender que una de las primeras metas de una prueba de
penetracin o de un hacker sea apagar las bitcoras, o al menos ocultar
informacin de quin perpetr las actividades no autorizadas. La
informacin contenida en las bitcoras debe clasificarse, ya que provee
informacin vital acerca de los sistemas o los usuarios, y puede ser un
requerimiento regulatorio. Por ello, no basta con tener bitcoras, es preciso
salvaguardarlas y hacer que cumplan las regulaciones estipuladas.
4.13. Es muy importante clasificar las bitcoras, restringir el acceso a ellas,
determinar si se requerir alguna proteccin adicional, e incluso definir el
mtodo de destruccin o transferencia de informacin en caso de que un
tercero las gestione.
4.14. Una Torre de Babel
4.15. Por lo general, las bitcoras se clasifican de acuerdo a su orientacin:
4.16. Aplicacin: indican los sucesos que estn activados para registrarse
en una aplicacin.
4.17. Seguridad: orientadas a dar informacin de seguridad.
4.18. Sistema: registran actividades del sistema (usualmente donde reside
la aplicacin).
4.19. As, cualquier aplicacin, sistema o pedazo de software o hardware
especfico puede producir una bitcora. Lo importante es que cada
elemento de accin genere una.

5
 Parmetros Para Monitoreo Cd

Fecha

4.20. Hasta aqu todo suena muy sencillo, parecera que las bitcoras son
fcilmente manejables y que todo podra registrarse y ubicarse fcilmente
en pocos segundos, entonces, dnde estn los retos?
4.21. Imaginemos una arquitectura de sistemas donde tenemos elementos
de diferentes fabricantes: sistemas operativos Linux, Oracle, Windows y
AS400 montados para correr aplicaciones diversas como bases de datos
Oracle, SQL Server, servidores Web Apache, IIS, sistemas de negocio
como SAP, correo Lotus o desarrollos propios. Alrededor de ellos estn,
por supuesto, sistemas de redes y seguridad como switches, routers y
firewalls. Adicionalmente, hay sistemas de monitoreo de servidores, redes
o sistemas fsicos, como accesos al site o datos de UPS.
4.22. Hay muchos elementos que no estn homologados entre todas esas
estructuras, y uno de ellos son las bitcoras. No hay un estndar oficial que
indique lo que una bitcora debe contener. Existen intentos en la industria,
como el formato CEE (common event expression) el cual es el ms
apoyado para unificar las bitcoras bajo un mismo tipo. Un sistema de facto
usado para la generacin de bitcoras es el envo de registros Syslog, un
programa que naci como bitcoras para sistemas de correo electrnico a
principios de los aos 80 y que pronto se propag a otros elementos de los
sistemas UNIX para generar registros. En trminos computacionales ya es
arcaico, pero an as es lo ms usado en la actualidad. Tambin hay varios
tipos de bitcoras que se clasifican de acuerdo con la forma en que se
generan:
4.23. Archivos: los sistemas como Linux generan bitcoras en archivos
(tipo FILE). Aqu se recolecta el archivo para procesar las bitcoras desde
ah.
4.24. Base de datos: varias aplicaciones, en especial las desarrolladas en
casa, generan bitcoras que se almacenan en bases de datos. La extraccin
de estas bitcoras usualmente sucede mediante conexiones ODBC/JDBC.
4.25. Windows Event Log: bitcora de eventos del sistema operativo de
Microsoft.
6
 Parmetros Para Monitoreo Cd

Fecha

4.26. Check Point Log: btcora especfica de Check Point extrable

mediante conexiones propietarias LEA.
4.27. Y otros ms como por ejemplo SDEE, Mainframe y CEF.
4.28. Con el paso de los aos, cada vez surgen ms tecnologas y sin una
estandarizacin en la industria, cada programador y fabricante se las
ingenia a su modo para generar registros, lo que representa un gran
problema para quienes deben lidiar con las bitcoras.
4.29. La aguja en el pajar (y vaya pajar!)
4.30. Hacer cosas cerca de la velocidad de la luz (electrones en una tarjeta
madre) hace que en un segundo pasen muchsimos acontecimientos. Para
muestra, el siguiente prrafo:
4.31. Si consideramos que un firewall mediano podra generar veinte
eventos por segundo en promedio (dependiendo del nmero de reglas
activas, tamao de la red, nivel de registro en las reglas y sistema, nivel de
uso a lo largo del da, etctera), estamos hablando de 51.8 millones de
registros generados mensualmente. Si requiero guardar las bitcoras de
veinte dispositivos a una tasa similar, habr generado en un mes mil
millones de eventos. Buscar una bitcora en veinte sistemas diferentes para
luego tomar una decisin se vuelve una tarea titnica, adems de tediosa.
4.32. Ahora el tamao: un registro tpico de Syslog puede medir alrededor
de 250 bytes. Sin compresin, los mismos mil millones de registros se
vuelven 260 GB de informacin para guardar cada mes. Sin embargo, un
registro de tipo base de datos puede medir 1 KB, o de Windows 500 bytes.
Como puede verse, aunque los logs son pequeos, su generacin tan rpida
consume mucho espacio en disco.
4.33. Muchos retos, qu sigue?
4.34. Las bitcoras son parte esencial para conocer nuestro entorno, son un
elemento esencial de la seguridad como parte de informacin de medidas
preventivas y correctivas, por lo que la seguridad de las mismas tambin es
esencial. Recuerdo la pelcula Training Day, con Denzel Washington,
donde este le comenta a su aprendiz (Ethan Hawke): Its not what you
7
 Parmetros Para Monitoreo Cd

Fecha

know, its what you can prove (no es lo que sabes, sino lo que puedes
probar). Estas palabras son determinantes a la hora de considerar por qu
las bitcoras son importantes.
4.35. Curiosamente, las bitcoras son piezas que parece que la industria
tampoco considera valiosas, porque ni siquiera existe un estndar oficial.
Analizando un poco la actuacin de otras personas, los hackers tienen un
inters muy poderoso en las bitcoras a la hora de penetrar un sistema, pues
eliminan los rastros Es que solo ellos pueden apreciar el poder de las
bitcoras?
4.36. Por ahora aqu me detengo. En la siguiente entrega hablar de estas y
otras consideraciones como los sistemas de gestin de bitcoras, y dar
algunos datos de dimensionamiento que espero puedan ayudarlos en la
gestin de este enjambre de informacin.
5. Reportes de Fallas, eventos y avisos de la infraestructura
5.1. Procesadores
5.2. Bases de Datos
5.3. Servidores de Aplicaciones
5.4. Discos
5.5. Dispositivos de respaldo
5.6. Sistema Operativo
5.7. Infraestructura de Comunicaciones
6. Las herramientas deben soportar, cualquier protocolo, que resulte necesario
para lograr la correcta recoleccin y visualizacin de las listas de eventos y
fallas, as como reportes de desempeo de todos los servicios
7. Capacidad de permitir generar reportes explotando todas las variables y
funcionalidad de la herramienta de monitoreo, con la opcin de parametrizar
dichos reportes y consultarlos va Web
8. Deber permitir el anlisis de eventos en tiempo real e histrico. As como
contar con la capacidad de poder integrarse a la mesa de ayuda mediante la
apertura de incidencias
9. Deber manejar un medio de comunicacin segura entre sus componentes
8
 Parmetros Para Monitoreo Cd

Fecha

10.Deber de tener la capacidad de almacenamiento de mnimo un ao para todas

las mtricas monitoreadas que se definan