Cisco Live 2016 – 3 Tage Berlin

Hi,
leider kann ich eigentlich von der Cisco-Live nicht viel berichten. Ja ich war 3 Tage da, – habe aber am Stand von SevOne mitgeholfen, die Produkte zu vermitteln. Hier war wirklich viel los und es gab viel zu tun! Einige Hersteller versuchten zwar durch möglichst große Werbegeschenke viel Interesse zu wecken, am SevOne-Stand ging es aber eher fachlich zur Sache, was mir auch besser gefallen hat.

Die Arbeit auf der Cisco Live war eine gute Erfahrung, denn man hatte nur wenige Sekunden um einen Kunden für die Produkte von SevOne zu begeistern. Da musste ich mich erstmal einarbeiten.
Obwohl SevOne von den größten und bekanntesten Firmen der Welt für das Performance-Monitoring eingesetzt wird und bei Gartner für NPM gelistet ist, kennen viele Kunden aus kleineren und mittelgroßen Unternehmen SevOne leider noch nicht.

Heir nochmal die Features:

  • SevOne wurde von Admins entwickelt, – aus der Notwendigkeit in der Praxis
  • SevOne bietet volle Granularität der gepollten Daten, – kein Rollup/Aggregation wie in RRD-Files ! – bei bester umwerfender Performance. Wenn gewünscht kann eine Aggregation bei der Grafikausgabe aktivieren, so dass Charts “glatter” werden
  • Neue Device-Certifications (SNMP / Log-Parser) werden innerhalb von 10 Arbeitstagen erstellt
  • Cluster-Lösung, daher keine Bottlenecks durch zentrale Datenbank. Jeder Cluster-Member beinhaltet Poller, Datenbank, Web-GUI, Reporting-Engine, Alarmierung

Gerade ein paar Tage vor der Cisco Live sickerten die ersten Infos zur neuen End-User-Experience-Messung in SevOne durch und wurden auf dem Stand präsentiert. Auch einige Previews auf die alpha von 5.6 waren sehr interessant. Für mich waren die Neuigkeiten wirklich überraschend, denn aktuell arbeite ich mich in die Version 5.5.0.1 ein, die viele Neuigkeiten gerade bei der Administration, Flow-Reporting und der API bringt.
News zu 5.6 erfolgen sobald das Release verfügbar ist.

Es gab viele Kontakte zu Interessenten aus ganz Europa und dem arabischen Raum.

.. nächstes Jahr will ich wieder hin

CA Spectrum API – DACHSUG 2015

CA Spectrum ist ein Monitoring-Tool mit dem man sehr professionell und sicher das Netzwerk und die umliegende Infrastruktur monitoren kann.

CA Spectrum klassifiziere ich primär als Tool für das Fault-Management, also ein Tool um schnellst möglich ein Problem eingeutig identifizieren zu können – und weniger z.B. für ein Management-Reporting, – auch wenn es diese Disziplin mittels Reporting-DB mit erledigen kann.

In den letzten Jahren hatte es nach der Aprisma-Übernahme durch Concord und dann CA immer wieder etwas rumort und Anwender erwarten die jährliche Bestätigung auf der DACHSUG, der Usergroup für die deutschsprachige Region, dass es mit Spectrum weitergeht -weitere Entwicklung, neue Features – das Investment in das Tool richtig war.

Aus meiner Sicht steckt CA viel Arbeit in die Programmierung und arbeitet nun viele Anforderungen ab, um das Tool universeller und moderner zu machen. Laut Roadmap kommen nun auch neue Ansätze zum WLAN-Monitoring in 10.1 rein.

Nach den letzten 2 Usergroups mit weniger Beteiligung waren nun alle Plätze restlos belegt und auch unter den Usern waren viele neue Gesichter auszumachen.

Fast zum Schluss, nach vielen Roadmap-Präsentationen durfte ich eine kleine Päsentation zum Thema Spectrum Restful API halten. Neben den Grundlagen hatte ich auch unseren HTML5-Client kurz gezeigt, der nur die Restful-API nutzt. Dabei hat es besonders viel Spaß gemacht, zu sehen, dass doch viele Kunden einen HTML5-Client für Spectrum mit Topolgy-View wünschen. Wir liegen hier mit dem breiteren Ansatz incl. Topology-View, Alarm-View, Device-Details, Performance-View mit HTML5 genau richtig.

Ab Dezember 2015 werden wir unseren eigenen HTML5-Client als Telonic WebView in Projekten breiter einsetzen.

Die Folien zur DACHSUG 2015 findet man hier:

https://communities.ca.com/people/e.heinemann/blog/2015/10/20/dachsug-2015-ca-spectrum-rest-api-unlimited-praktischer-einsatz-der-rest-api

Mit freundlichen Grüßen

Erich Heinemann

SevOne 5.4.2 – News

SevOne hat vor einigen Wochen schon die Version 5.4.2 released.

Wie bei allen Herstellern bin ich den Weg des Updates erst einige Wochen später angegangen und habe das Release lokal getestet.

Neu sind einige Features wie:

  • interaktive TopN-Reports, bei denen man nun aus der Ergebnisliste direkt in Object-Summaries navigieren kann als auch direkt ein Metric-Attachment ableiten kann, -> das erspart wirklich Zeit
  • MetaData, viele kennen es aus anderen Tools wo man zu einem Device oder Objekt noch eigene Daten strukturiert – oder relational ablegen kann. Auch dieses Feature kennt nun die SevOne. Besonders zu erähnen ist, dass man hier die Art der eigenen Attribute fast beliebig selbst wählen kann, von Integer, String, über URL, Auswahlliste als auch Geokoordinaten. Somit steht eigenen Integrationen ein fertiges Datenmodell zur Verfügung welches einfach und schnell genutzt werden kann. Die Metadaten können auch in Reports als Attachments eingesetzt werden.
  • Kalender-Attachments, Metric-Attachments haben neue Visualizations erhalten. Somit kann man ein Chart auch als Kalenderblatt darstellen lassen.
  • Devicetype statt “OS”, in SevOne gab es bis incl. zur Version 5.3 immer eine Liste von Operatingsystems – “OS”, welches den Detaillierungsgrad des Pollings mitbestimmt und jedes Device konnte man nur einem “OS” zuordnen. Ab 5.4 kann man jedes Device mehreren Devicetypes zuordnen und erhält somit eine neue Flexibilisierung. In der Praxis wird sich zeigen, wie man dieses Thema richtig ausspielen kann.
  • Object-Hierarchie, ab 5.4 sind die Objct-TYpes in einer Hierarchie. Eine Certification für eine “CPU (Cisco) ist einer “CPU (Generic)” untergeordnet, würde aber bei der Discovery diese Generic-Certification überschreiben. Somit muss man später nicht mehr so viele Object-Rules und andere Dinge berücksichtigen.
  • Object-Rules sind nun editierbar, – ab 5.4.

Das Release bietet viele neue Funktionen, die es in der Praxis noch zu erkunden gilt.

Daneben wurden einige neue Funktionen in der API integriert und erlauben nun das Editieren von Maps und Zugriff auf Flowdaten.

.. und 5.5 steht schon in den Startlöchern. Welch ein Herbst!

SevOne 5.5. Announcement

SevOne PLA & PaloAlto Logs

Nun ist fast ein Jahr vergangen bis ich endlich mit einer PLA, wenn bei mir auch nur als VM mal spielen darf.

Hintergrund:
SevOne hatte 2013/2014 eine Firma übernommen, die gerade ein neues Tools zur Log-Analyse speziell auch zur Performance-Log-Analyse – sagen wir mal “Loganalyse plus Berechnungsmöglichkeit innerhalb der Logs” entwickelt.
Klar denkt man jetzt direkt an Splunk und Tools wie Elastic Search, dem ELK-Stack und das Thema SIEM.
SIEM grenzt SevOne erstmal aus, denn die SevOne-PLA ermöglichst erstmal nur die Sammlung und Normalisierung ( im Sinne einer Datenbank-Normaliserung ) der Syslogs, Logfiles etc. und keine “intelligente” Aussage bezüglich der Security-Situation.
Nach der Normalisierung stehen die Log-Daten zur Verfügung und man soll auch Werte verrechnen können. – soweit bin ich noch nicht gekommen.

Mein Ziel:
Ich will mit der SevOne PLA erstmal nur verschiedene Logs sammeln können und die Anzahl der Hits für bestimmte Wörter visualisieren zu können.
Partiell hatte ich auch schonmal mit der ElasticSearch und Kibana getestet, hatte dann aber mit der neu zu lernenden Query-Language zu kämpfen und war mir nie wirklich sicher, ob ich nun alles sehe was ich sehen wollte und ob nach dem Speichern eines Dashbaords in Kibana auch alles richtig gespeichert war.
In Elasticsearch/Kibana hatte ich nur die Alarme aus CA Spectrum mittels Notifier und REST-Calls integriert.
Mein Ziel für die SevOne besteht darin, die Logs der folgenden sehr unterschiedliche Tools zu sammeln:
– Alarme aus CA Spectrum via Notifier und eigenem Syslog-Format
– Palo Alto Syslog
– Syslogs aus VectraX von VectraNetworks

Wie bei einigen anderen Syslog-Tools, muss auch die PLA zur Normalisierung der Daten ein Regelwerk erhalten, so dass nicht einfach jedes Wort als Entität gesammelt wird, sondern bezogen auf die Position im Syslogtext auch die IP-Adresse als Souce-oder Destination-IP qualifiziert ist.
Diese Normalisierung erfolgt in verschiedenen Tools meist via Regex, und so kann man in der SevOne PLA auch mittels Regex die Syslogs normalisieren. Diese Regex-Sets oder Syslog-Certifications werden hier AppKEy genannt.
Von Hause aus ist die PLA mit einigen speziellen AppKeys bestückt und weitere können aus dem Internet nachgeladen werden.
Beispiele:
– Windows-Log (via Syslog)
– Apache Log (Logfile)
– Cisco ASA
– SevOne PLA (eigenes internes Logging)

Zum Zeitpunkt meines Tests gab es noch keine Appkeys für Palo Alto oder Vectra Networks oder gar meines eigenen Syslog-Formats.
SevOne übernimmt aber im Rahmen eines Wartungsvertrags die Zertifizierung der Syslogs und garantiert die Bereitstellung eines AppKeys innerhalb von 10 Arbeitstagen.
Nach genau 6 Arbeitstagen nach Anforderung erreichte mich der AppKey für Palo Alto.
Dieser wurde dann als File importiert und alle schon vorhandenen gesammelten Syslogs der Palo Alto konnte ich damit auch nachträglich normalisieren und stehen nun zur Analyse bzw. “Investigate” bereit.

Links sieht man die Auswahl aller möglichen Tags , – der Katalog …
Rechts sieht man ausgewählte Tags und deren zeitlichen Verlauf und in der Mitte dann das grafische Ergebnis einer Query.

Final warte ich nun auf die nächsten Appkeys für VectraNetworks und meinen privaten Key zur Analyse der CA Spectrum Alarme.

Da die PLA die Logs nicht nur per Syslog empfangen, sondern auch als Files verarbeiten kann, ergeben sich viele neue Möglichkeiten auch mal spontan ein größeres File zu analysieren. Da haben meine Kollegen bestimmt auch Interesse dran!

Sobald SevOnes Version 5.4 released ist, soll ich die PLA mit der SevOne PAS verbinden können. Ich bin gespannt!

Investigate Palo Alto Logs

Investigate Palo Alto Logs

Jquery-Mapael zur Visualisierung von Netzwerken

Um verschiendene Datenquellen in einer Network-Map zusammen zu fassen, bedarf es mehrerer Schritte.

  1. Datenquellen identifizieren
  2. Schnittstellen / APIs identifizieren
  3. Daten zusammen fassen in einem GUI

Als Datenquellen möchte ich SevOne und CA Spectrum verwenden.
Deren APIs kenne ich und kann ich auch einfach nutzen
Zur Visualisierung werde ich zu eigenen Libraries greifen. Eine dieser wird Mapael sein, welche ich umfassend erweitert habe. Hier ein Video des Dummys – ohne reale Daten:

Video: Jquery-Mapael for Network-Visualization

Hier zu der Online-Demo: Demo

Zum Schluss kann man diese Web-basierte Map dann mittels AppBoard / enPortal von edge Technologies wieder Mandantenfähig anderen Usern zur Verfügung stellen, so dass auch Enterprise-Kunden diese Lösung verwenden können.

Die original Mapael-Library findet man unter: http://www.neveldo.fr/mapael/

Viel Spaß beim Video oder der Demo

Update: 18.August 2014:
Um die MAPs in PDF-Dokumente direkt Serverseitig transferieren zu können, gibt es nun auch einen Weg, -> einfach per PhantomJS konvertieren.
PhantomJS ist ein headless Browser, -> also ohne grafische Ausgabe. Diese intern berechnete Bildschirmdarstellung kann aber bei Bedarf in eine  PNG- oder PDF-Datei umgeleitet werden.
Somit können auch auf Javascript / JQUERY etc. basierende Webseiten als Grafik oder PDF gespeichert und somit in ein klassisches Reporting, -> Verschicken von PDF-Reports integriert werden.
Phantom-JS steht für MacOSX, Windows und Linux als auch als Sourcecode zur Verfügung

Somit sieht es für Mapael wie folgt aus:

  • Responsive: yes
  • dynamic resizing: yes
  • html5: yes, workaround for IE via VML
  • Flash needed: no
  • Integration in Reporting: via PhantomJS

Gibt es alternative Map-Libraries wie Leaflet.js, welches sich Openstreetmap oder anderen Kartendiensten bedient und somit wesentlich mehr transfervolumen hervorruft oder jVectorMap, welches ähnlich wie Mapael gebaut ist, aber noch mehr Karten beinhaltet.

http://jvectormap.com/ -> Wird auch eingesetzt für Unwetterwarnungen bei der Tagesschau-Online. Die Karten lassen sich in 1-2 Stunden jeweils auch in eine Mapael-Karte konvertieren. Die Funktionen ähneln den von Mapael, bieten aber nicht ganz die Flexibilität wie Mapael.
jVectorMaps werden auch zur Generierung der Maps in Kibana verwendet. Dort liegen die Maps dann im Ordner /app/panels/map/lib/
Falls jemandem in Kibana noch eine MAP fehlt, man kann sehr einfach die jVectorMaps zu Kibana hinzufügen. By Default kennt Kibana aktuell nur World, USA, Europe, – das ist mal wieder nur die westliche Sicht der Erde :-(

http://leafletjs.com/ -> Etwas “fetter” und präzizer bei der Darstellung, aber nicht für meinen Anwendungsfall

Falls jemandem noch eine Idee fehlt und denkt, dass die Hersteller so etwas schon in ihre Tools lange eingebaut hätten, der Atlas von Arbor Networks wäre auch prädestiniert um diese Libraries zu nutzen *-) … hier gibt es online nur die frei einsehbare HTML2-Version mit Tabellen und Text. … werde mir mal überlegen, ob ich diese nicht dynamisch für meine Demo anzapfen kann. *-)

SevOne entwickelt nun auch eine Appliance zur Loganalyse

Habe heute eine großartige Präsentation über die neue SevOne PLA – Performance Log Appliance gesehen.
Auf Youtube findet man aktuell nur dieses Video, – sehr amerikanisch.

SevOne Log Analytics

Vor einigen Jahren hatte ich mich länger mit einigen Log-Analyse Tools bzw. SIEM beschäftigt. Nitrosecurity war damals sehr vielversprechend mit einem coolen Flash-Frontend. Jedes BI-System wäre blass geworden. Leider waren die damals die Basis-Techniken fehlerhaft, – Probleme mit der Verarbeitung von WMI-Events, – da hatte man einfach die Komplexität der Autentifizierung in der Domain unterschätzt.
Bei Nitrosecurity hatte man sich gedacht, dass man jede Art von Syslog vollständig normalisieren müsse. Das funktionierte aber nicht, denn es ist einfach sehr schwierig wirklich alle Log- und Syslogformate von vielen Herstellern mittels einer REGEX zu normalisieren und dann jeden Log-Entry in eine Datenbank-Zeile mit 30 – 40 Spalten zu zerlegen.
Wir hatte oft Kritik an der Zerlegung, denn manchmal landete eine Source-IP in der Spalte der Destination-IP und die erwarteten Reports waren schlicht falsch.
SevOne geht hier einen einfacheren Weg, – soweit ich es verstanden habe.
Im Log-Text werden einfach Stichwörter gesucht. Tauchen in einem Log-Eintrag die Textbausteine “Protocol” und “UDP” und “80” auf, so können dadurch Performance-Statistiken abgeleitet werden, -> In der Klasse “Protocol” -> “UDP” -> wird dann die Anzahl des Aufkommens dieser Events gezählt. Für die darunter liegende Klasse “Protocol” -> “UDP” -> “80” wird dann auch eine eigene Statistik erstellt.
Klingt kompliziert, erscheint aber viel einfacher und passender für den Einsatz und die Unterstüzung im Operations-Bereich eines NOC oder NMC.

Sobald die Appliance offiziell verfügbar sein wird, werde ich sie mal testen.

Vorteile gegenüber Splunk (soweit ich das bis jetzt abschätzrn kann)
– Besseres generisches Konzept
– Integration mit Performancedaten und Netflow
– Man muss keine Programmiersprache lernen

Die kostenlose Version der SevOne kann unter hier heruntergeladen werden:

http://info.sevone.com/TelonicDownload.html

 

SevOne kombiniert mit Faultmanagement – CA Spectrum

Sowohl SevOne als Performance/Flow-Management als auch CA Spectrum als Faultmanagement arbeiten für sich sehr schön, der Wechsel zwischen den Tools störte aber irgendwann den Arbeitsfluss.

SevOne wird in der Analyses von performance-Problemen und im Daily-Business immer wichtiger, daher hatte ich schon damit  früh begonnen beide Tools zu “verheiraten”.

SevOne bietet fast alle Methoden und Funktionen des HTML5-Web-GUIs auch via einer SOAP-API an. Über diese können z.B. die überwachten Devices und Elemente einfach administriert werden. Die Scripte, die diese SOAP-API ansprechen dürfen sogar auf der SevOne lokal abgelegt werden, – perfekt.

Nun benötige ich noch Zugriff auf die Datenbasis von CA Spectrum, – hier vewende ich die REST-API, – per VNMShell geht es auch, – ist aber nicht so cool. *-)

Aktueller Stand:

  • Die SevOne holt sich alle relevanten Devices aus CA Spectrum und “discovered” diese dann selbständig. -> Die Device-Listen können somit synchron gehalten werden und ich spare Zeit.
  • Optional können die Interfaces, die nicht als LiveLinks in CA Spectrum markiert sind in SevOne ignoriert werden. Somit pollt die SevOne nur noch die als LiveLink markierten Ports -> Nun spare ich SevOne-Ressourcen
  • Alarme aus SevOne, die durch Policies oder Thresholds ausgelöst werden, werden an CA Spectrum geleitet und dort angezeigt -> Nun muss ich nur noch eine Alarm-Liste überwachen
  • Performance-Daten bzw. die resultierenden Graphen stellt SevOne über eine Graph-API zur Verfügung. Diese blende ich über die Tooltips in CA Spectrum just-in-time ein. Glaubt mir keiner, – ist aber so. Jeder kennt die Funktion in CA Spetrum: Man wedelt mit dem Mauszeiger über ein Device- oder Port-Icon und erhält Zusatzinformationen zum Spectrum-Model mittels eines kleinen Tooltips. Bei mir ist in diesem Tooltip direkt noch der Graph aus der SevOne. Dieser wird Just-In-Time oder On-the-fly generiert. -> Das ist die coolste Funktion!
  • Dann gibt es natürlich noch ein Kontextmenü um von CA Spectrum Oneclick zur SevOne zu navigieren. Wer Spectrum kennt, weiß, dass man das einfach bauen kann. Ich verwende aber ein vorhandenes Attribute, welches bei jedem Model zur Verfügung steht und schreieb dort direkt die passende URL aus der SevOne rein. Das XML-File für ein Custom-Menü bleibt bei mir unberührt.

Nun bin ich dabei, die Rückrichtung mehr zu nutzen. Auf Grund der “langen” Ladezeiten des Oneclick-Clients plane ich, auch die Spectrum-Alarme für gefilterte Global Collections direkt in der SevOne anzuzeigen. -> geht, sieht aber noch nicht so schön aus. Hier muss ich CSS und die Spaltensortierung bearbeiten.

.. Screenshots muss ich mal raussuchen. Eigentlich müsste ich ja jetzt dank der Synchronisation wieder mehr Zeit für soetwas haben…

Aussicht auf Version 5.4 – SevOne bringt hier neue Funktionen rein, so dass man zusätzliche Felder für Metadaten ( in CA Spectrum etwas starrer aber als Asset-Data bekannt) nutzen kann. Hier überlege ich mir schon neue Dinge, wie man SevOne und andere Tools noch weiter automatisieren oder einfach Zusatzinformationen griffbereit ablegen kann. Die beschriebenen Grundfunktionen der Schnittstelle funktionieren schon mit der Version 5.4 BETA

SNMP-Simulator

SevOne garantiert eine Zertifizierung von neuen SNMP-Variablen innerhalb von 14 Tagen bzw. 10 Manntagen, – gehört bei denen zum Wartungsvertrag und erfolgt ohne Zusatzkosten.

Nun will natürlich ab und an auch mal selsbt noch schneller etwas selbst zertifizieren. Das geht bei SevOne relativ einfach über das GUI, – die vorhandenen Device-Certifications stehen als Beispiele zur Verfügung.

Wenn man nun ein Device zertifizieren möchte, auf das man gerade selbst keine Zugriff hat, nutzt man einen SMMP-Simulator und zieht von dem originalen Device einen SNMPWalk.
SNMP-Simulatoren kosten meist Geld. Zuerst dachte ich, dass ich mir etwas mittels Net-SNMP selbst bauen müsste.
Im Web habe ich dann aber
http://snmpsim.sourceforge.net/sharing-snapshots.html
gefunden.

Danke an die Programmierer!!!

Update SevOne 5.2.2.0a

Nun arbeite ich schon einige Tage mit der neuen SevOne-Version 5.2.2.0a.

Tolle Arbeit, denn ab Version 5.2.0 kann man nun auch Maps in Instant-Reports einbauen. Meine erste Idee war aber nicht eine Landkarte zu verwenden, sondern eine Prozess oder Service-MAP.

Nach kleinen Schwächen in 5.2.2.0 sind diese nun mit dem letzten Patch 5.2.2.0a zu meiner vollsten Zufriedenheit behoben. Klasse Arbeit von SevOne! – und ich freue mich schon auf die nächsten Releases mit neuen Funktionen.

Vorgehen:
Je Service wird eine Object-Group definiert.
Diesen Service-Object-Groups werden nun Objekte zugewiesen.
In Powerpoint wird ein Bild in graustufen erstellt, welches die Services irgendwie abbilden kann. Dieses Bild – oder auch nur ein Ausschnitt wird nun als PNG-Datei in die SevOne als Map-Image importiert.

Danach legt man auf diese MAP dann einzelne “Nodes” oder “Paths” und definiert diese auf unterschiedlichen Object-Groups. Das erinnert an NagVis, – aber ohne die dahinterliegenden Textdateien als Configs-

Danach “added” man diese MAP als neues Report-Attachment in vorhandene oder neue Reports.

Das wars schon, – Bilder folgen.

 

1 2 3