FCAPS y Splunk: Cómo monitorizar una red.
Guillermo Guerrero González. Noviembre 2010
ABSTRACT
The Network Management has been a
difficult task for Network Managers since them
were created. FCAPS model is the reference in
network management but it is only theory,
however management tools make the job easier.
It is important to check all the areas that make
up the model, so it is advisable to use some tools.
In this article, we review Splunk that is a
software used to monitor, report and analyze any
kind of management data. Installing the Splunkd
daemon on every equipment and doing a correct
configuration, it's possible to have a controlled,
safe and efficient network. Nevertheless, it has
some limitations for small business with high
network traffic.
INTRODUCCIÓN
Las consecuencias de una caída de las
comunicaciones en una empresa pueden ser
desastrosas, se podrían perder muchos datos,
clientes, operaciones que costarían dinero a la
empresa. El hecho de tener una red bien
gestionada puede evitar una situación así. La
gestión integral de una red es un proceso
complicado, el gestor debe tener en cuenta
muchos factores a la hora de ser eficiente en su
trabajo: posibles puntos flacos de una red, cuellos
de botella, posibles configuraciones en función
del trabajo a realizar, gestionar la contabilidad de
los recursos, actualizar los sistemas de seguridad
con regularidad, etc.
El modelo OSI [1] en 1997, creó la
recomendación M.3400 [2], que establece las 5
áreas conceptuales de la gestión de red: el
modelo FCAPS [3]. Este modelo teórico debe
ser puesto en práctica con la ayuda de
herramientas o aplicaciones, cuya elección no
puede dejarse al azar. Una herramienta puede no
ser efectiva en determinadas redes (debido a su
topología, configuración, etc.). La mejor manera
que tiene un gestor de cubrir todas sus
necesidades es diseñando sus propias
herramientas. Un diseño propio siempre se
ajustará mejor a la realidad por lo que será mucho
mas eficiente que una solución cerrada, la
eficiencia es necesaria y para ello, es muy
importante que la gestión se pueda automatizar y
realizar de manera remota.
Es imposible evitar todos los posibles
problemas de una red. El trabajo del gestor
consiste en detectar y solucionar cualquier tipo
de problema, con la ayuda de cuantas
herramientas necesite (o sin ellas), abarcando
todas las áreas del modelo FCAPS.
Una de las tareas del gestor es la de
comprobar los logs generados por los equipos de
la red. La cantidad líneas de texto generadas por
estos equipos pueden llegar a necesitar horas de
trabajo. Splunk [4] es un recolector de logs, una
herramienta diseñada para centralizar en una
máquina y de manera uniforme, todos los logs de
la red. Su motor de búsqueda permite
monitorizar, detectar y reportar los posibles
problemas en algún equipo. Otra característica
1
que ofrece es la posibilidad de integrarse con
otras herramientas y poder analizar toda la
información generada por ambas.
GESTIÓN FCAPS
El modelo FCAPS es una agrupación de
todas las competencias de la gestión de red
organizadas en 5 áreas que se denominan: Fault,
Configuration, Accounting, Performance y
Security. Todas deben estar presente en una
buena gestión.
•Gestión de Fallos: el trabajo de este área
es detectar, aislar y corregir cualquier problema
que surja en la red en el menor tiempo posible
y minimizando los daños provocados.
•Gestión de Configuración: los equipos
e interfaces necesitan ser configurados y este es
el deber de este área. Una mala configuración
puede provocar fallos por mal funcionamiento
del equipo.
•Gestión de Contabilidad: la
contabilidad de una red es la regulación del uso
de los recursos e inventariado de la misma.
Minimizar los abusos por parte de grupos o
individuos es importante para evitar problemas
de rendimiento.
•Gestión de las Prestaciones: en este
área se intenta mantener un mínimo de calidad
(velocidad de los enlaces, retardos,
desbordamientos, etc.), las prestaciones de una
red pueden verse mermadas por un uso
desmedido. Este área puede ser indicador para
posibles ampliaciones.
•Gestión de Seguridad: la protección de
la información y el control de acceso es su
principal cometido. Es el área más difícil de
gestionar puesto que continuamente aparecen
nuevas vulnerabilidades, virus, malware, etc.
La seguridad no debe ser una meta, sino un
proceso continuo.
DESCRIPCIÓN DE SPLUNK
La cantidad cantidad de información a ser
inspeccionada por un gestor suele ser alta, además
los equipos de distintas marcas pueden generar
esta información con formato diferente.
Splunk permite la completa recolección y
monitorización de todos estos datos con
independencia de su formato y permite una
búsqueda exhaustiva sobre ellos con el fin de
monitorizar una red y sus equipos: logs, métricas
de los equipos (uso de CPU, espacio en disco,
procesos, comprobación de sistema de ficheros),
archivos producidos por el análisis de paquetes
[5] (ficheros pcaps), seguimiento de conexiones,
paquetes SNMP [6], WMI [15], etc. En la figura
1 se observa el funcionamiento del programa. El
servidor de Splunk recaba toda la información
que el gestor haya configurado para su posterior
análisis.
FUNCIONAMIENTO JERÁRQUICO
Su funcionamiento puede ser autónomo
(usando el protocolo SNMP o la interfaz WMI si
trabaja sobre sistemas Windows) o de manera
distribuida. Esta última requiere la instalación, en
todos los equipos de la red, de un demonio:
2
 Figura 1. Splunk, esquema de funcionamiento
splunkd, el cual será el encargado de recopilar,
analizar y devolver los resultados pertinentes en
el formato deseado. En la figura 2 podemos
observar este modelo de funcionamiento. El
demonio splunkd (denominado Forwarder)
recolecta los datos de uno o varios equipos y
transmitirlos a un servidor central. Aunque en
esta figura se centralizan los datos recabados,
puede configurarse un análisis previo y reportar
un informe para aligerar la carga del servidor.
Cada instancia de Splunk es independiente del
servidor central y puede ser gestionada local o
remotamente.
Las instancias pueden funcionar de
manera jerárquica, facilitando así la distribución
de la tarea de gestión entre varios gestores, para
que cada uno controle sólo una parte (en la que
puede estar especializado y ser más eficiente).
ACCESO AL DEMONIO REMOTO
El acceso al demonio, por defecto, es vía
web, pero también es posible crear una interfaz
propia para facilitar su uso. Pueden usarse
protocolos como SSL [7] o LDAP [8] para la
Figura 2. Splunk, de manera distribuida.
autenticación y configurar el acceso de manera
que solo el gestor desde su máquina pueda
acceder. Ya sea vía web o mediante una interfaz,
se pueden configurar todos los parámetros y
funciones del servicio: búsquedas automatizadas
y periódicas, recolectar logs seleccionados,
comprobar archivos de configuración y
modificarlos si es preciso, configurar alertas para
eventos específicos, etc.
COMUNIDAD ABIERTA.
INTEGRACIÓN
Una característica de Splunk, es la
comunidad abierta que la misma compañía
soporta. Además de encontrar otros
administradores de redes con los que compartir
soluciones, existe un catalogo de Add-ons o
plugins que facilitan en mayor medida algunos
aspectos. Permiten la integración con otros
programas de gestión como puede ser Nagios [9]
o FireEye [10] o de protocolos no soportados
nativamente como DHCP [11], integración en
redes CISCO [12], comprobación de los correos
entrantes mediante IMAP [13], etc.
3
 UTILIDAD EN FCAPS
Splunk puede contribuir a gestionar todas
las áreas funcionales de FCAPS [14]. Dispone de
todas las herramientas necesarias para ello:
La gestión de fallos puede ser
monitorizada mediante alertas, configurando
correctamente todos los eventos posibles
(mediante paquetes SNMP por ejemplo). La
configuración de los equipos puede ser
monitorizada y modificada en tiempo real de
manera remota por parte del administrador.
La contabilidad puede ser revisada
mediante gráficos y tablas generados
directamente por la propia herramienta. De
manera similar, Splunk puede controlar posibles
cuellos de botella o pérdida de rendimiento (por
ejemplo usando paquetes SNMP o a través de la
interfaz WMI [15] de Microsoft).
Por último la seguridad es un punto
complicado, dado que no existe una red
completamente segura. Con la ayuda de Splunk
es posible detectar y a posteriori analizar una
intrusión en la red. Programando alertas es
posible tener parte de la red segura pero siempre
será necesario otro tipo de medidas
(procedimientos, políticas, personal entrenado,
etc.).
LIMITACIONES
Las limitaciones de Splunk pueden venir
de la mano de la propia configuración. Pesada y
complicada, a veces resulta difícil conseguir lo
que se quiere exactamente ya que la curva de
aprendizaje es muy grande. La escalabilidad
también es un problema: a mayores redes, mayor
cantidad de datos a recolectar. También existe
una limitación administrativa por la licencia
necesaria. Hay dos tipos:
•Licencia Gratuita: pensada para redes
pequeñas y gestionadas por un único gestor.
Permite la mayoría de las funciones como
recolectar todo tipo de información (Universal
Indexing) y analizarla, instalación y manejo de
plugins, acceso seguro, actuar de manera
distribuida, etc. La cantidad de datos a indexar
por el programa es limitada: 500 megabytes al
día. Su precio es nulo.
•Licencia para Empresas: todas las
funcionalidades del software están disponibles:
creación de alarmas, generación de informes
periódicos, capacidad para soportar a varios
gestores, comunidad privada con mayores
aplicaciones, soporte técnico especializado,
etc. Su coste es variable según el tráfico a
indexar o el soporte elegido.
Otras herramientas no necesitan de este
tipo de licencias y son totalmente gratuitas, el
costo de Splunk puede ser prohibitivo para
empresas medianas que no les basta con la
licencia gratuita. Nagios es un buen ejemplo de
herramienta gratuita y con gran soporte por parte
de la comunidad al ser software libre.
Por último, el costo computacional de
Splunk puede llegar a ser demasiado alto para los
servidores de la empresa y sería necesario
ampliarlos. Para evitarlo se podría limitar las
funciones de Splunk, pero perdería eficacia.
4
 CONCLUSIONES
La solución ofrecida por Splunk para la
gestión de redes tiene un punto de vista eficaz e
intuitivo. La recopilación de muchos datos de la
red puede ser una tarea costosa que con Splunk
se simplifica. Las limitaciones son principalmente
económicas, que no deberían ser un problema
para grandes empresas. Para empresas pequeñas
con un alto tráfico en su red es posible que no sea
la solución más adecuada por el alto coste de la
licencia.
La curva de aprendizaje de Splunk puede
ser un problema para los gestores pero las
posibilidades de Splunk son muy altas. Aun así, el
uso de otras herramientas que ayuden a la gestión
total de la red es recomendable.
REFERENCIAS
1."The OSI reference model," Proceedings of the IEEE ,
Day, J.D.; Zimmermann, H.; , 1983
2. "Recomendación M.3400"
http://www.itu.int/rec/T-REC-M.3400-200002-I/en
3."High Availability for Network Management
Applications," Availability, Reliability and Security, 2007.
Prabhu, S.; Venkat, R.; ARES 2007.
4.“Splunk”, http://www.splunk.com
5.“TcpDump”, http://es.wikipedia.org/wiki/Tcpdump
6.“SNMP and SNMPv2: the infrastructure for network
management” Stallings,W. ; Communications Magazine,
IEEE, 1998
7."Inside SSL: the secure sockets layer protocol," IT
Professional , Chou, W.; , 2002
8."Profile Management and Authentication Using LDAP,"
Computer Engineering and Technology, 2009. ICCET
'09. International Conference on. Qadeer, M.A.; Salim,
M.; Akhtar, M.S.; , 2009
9."Nagios" - The Industry Standard in IT Infrastructure
Monitoring.
http://www.nagios.org/
10."FireEye" Malware Protection System
http://www.fireeye.com/
11."DHCPD" - POSIX
http://splunkbase.splunk.com/apps/All/4.x/Add-
On/app:DHCPD+-+POSIX
12. Splunk for "Cisco Security"
http://splunkbase.splunk.com/apps/All/4.x/app:Splunk+for
+Cisco+Security
13.Splunk for "IMAP"
http://splunkbase.splunk.com/apps/All/4.x/App/app:Splunk
+for+IMAP
14.Splunk - "Network Management"
http://www.splunk.com/view/network-management/SP-
CAAACP4
15."WMI" - Microsoft
http://technet.microsoft.com/es-
es/library/cc787057%28WS.10%29.aspx