الفصل الثامن : Network Operation
الجزء الثالث: #3
العنوان : Monitoring Network Performance
مراقبة أداء الشبكة (Monitoring Network Performance):
نصيحة الاختبار:
عندما كانت الشبكات أصغر وعدد قليل منها يمتد خارج حدود موقع واحد، كانت إدارة الشبكة مهمة بسيطة. ولكن في الشبكات المعقدة والمتعددة المواقع والهجينة اليوم، وأصبحت مهمة الحفاظ على الأجهزة والخوادم الشبكية ومراقبتها جزءًا معقدًا ولكنه ضروري من دور مسؤول الشبكة، وفي الوقت الحاضر، يمتد دور مسؤول الشبكة إلى ما وراء الحدود الفيزيائية لغرفة الخادم ليشمل كل عقدة ومكون على الشبكة، وسواء كان لدى المنظمة 10 حواسيب على مقطع واحد أو شبكة متعددة المواقع بها عدة آلاف من الأجهزة المتصلة، ويجب على مسؤول الشبكة مراقبة جميع أجهزة الشبكة والبروتوكولات والاستخدام - ويفضل أن يكون ذلك من موقع مركزي.
نظرًا للعدد الكبير والتنوع في الأجهزة والبرمجيات والأنظمة الممكنة على أي شبكة، من الواضح لماذا تعتبر إدارة الشبكة اعتبارًا هامًا، على الرغم من أن استراتيجية إدارة الشبكة القوية يمكن أن تحسن إنتاجية المسؤول، وتزيد من فترة التشغيل، وتقلل من فترة التوقف، فإن العديد من الشركات تختار تجاهل إدارة الشبكة بسبب الوقت الذي يتطلبه إعداد النظام أو التكاليف المرتبطة، وإذا فهمت هذه الشركات التوفير المحتمل، فستدرك أن تجاهل إدارة الشبكة يوفر اقتصاديات زائفة.
إدارة الشبكة ومراقبتها هي في الأساس طرق للتحكم في الأجهزة على الشبكة وتكوينها ومراقبتها، تخيل سيناريو تكون فيه مسؤول الشبكة وتعمل من مكتبك الرئيسي في سبوكين، واشنطن، ولديك مكاتب فرعية في نيويورك، ودالاس، وفانكوفر، ولندن، وتتيح لك إدارة الشبكة الوصول إلى الأنظمة في المواقع البعيدة أو أن تخبرك الأنظمة عند حدوث مشكلة ما، وفي جوهرها، تتعلق إدارة الشبكة برؤية ما هو خارج حدودك الحالية والتصرف بناءً على ما تراه.
إدارة الشبكة ليست شيئًا واحدًا، بل هي مجموعة من الأدوات والأنظمة والبروتوكولات التي، عند استخدامها معًا، تتيح لك أداء مهام مثل إعادة تكوين بطاقة الشبكة في الغرفة المجاورة أو تثبيت تطبيق في ولاية أخرى.
مقاييس الأداء الشائعة (Common Performance Metrics):
تختلف القدرات المطلوبة من إدارة الشبكة بعض الشيء بين المنظمات، ولكن بشكل أساسي، هناك أنواع رئيسية من المعلومات والوظائف المطلوبة، مثل اكتشاف الأخطاء ومراقبة الأداء، وتشمل بعض أنواع المعلومات والوظائف التي يمكن أن توفرها أدوات إدارة الشبكة ما يلي:
درجة الحرارة: يجب عليك التأكد من أن الأجهزة تعمل ضمن النطاق المقبول، وعادةً ما تكون المشكلة الأكبر هي الحرارة، لذلك يجب عليك التخلص منها لمنع الأنظمة من السخونة الزائدة أو مواجهة مشكلة "زحف الرقائق".
الاستخدام: في الماضي، لم يكن من غير المألوف أن تضطر الشبكة إلى الاستمرار بموارد نادرة، وكان المسؤولون يضطرون باستمرار إلى تقليم السجلات وأرشفة الملفات للحفاظ على مساحة تخزين كافية لخدمة وظائف الطباعة. تلك الأيام انتهت، وأي تلميح لمثل تلك الظروف سيكون غير مقبول اليوم، ولكي تمنع حدوث ذلك، يعد أحد المفاتيح هو إدارة الاستخدام والبقاء على رأس المشاكل قبل تصاعدها، وتشمل بعض مجالات الاستخدام التي يجب مراقبتها ما يلي:
عرض النطاق/الإنتاجية: يجب أن يكون هناك عرض نطاق كافٍ لخدمة جميع المستخدمين، ويجب عليك أن تكون منتبهاً لأجهزة عرض النطاق الكبيرة، وتحتاج إلى البحث عن "المتحدثين الرئيسيين" (أولئك الذين ينقلون أكثر) و"المستمعين الرئيسيين" (أولئك الذين يستقبلون أكثر) وفهم سبب شعبيتهم، ويمكن استخدام بيانات NetFlow للحصول على هذه المعلومات وتحديد كيفية الاستجابة بأفضل طريقة، NetFlow هو محلل بروتوكولات الشبكة طورته Cisco.
- مساحة التخزين: يجب أن تكون هناك مساحة خالية متاحة لجميع المستخدمين، وقد تحتاج إلى تنفيذ الحصص.
- وحدة المعالجة المركزية لجهاز الشبكة: مثلما ستبطئ الحاسوب المحلي عندما تكون المعالج مشغولة بالكامل، كذلك ستفعل الشبكة.
- ذاكرة جهاز الشبكة: من المستحيل تقريبًا الحصول على الكثير من الذاكرة. يجب عليك موازنة الأحمال لتحسين الموارد المتاحة.
- استخدام القناة اللاسلكية: مشابه لاستخدام عرض النطاق في المجال اللاسلكي، وكقاعدة عامة، تبدأ الشبكة اللاسلكية في مواجهة مشاكل الأداء عندما يصل استخدام القناة إلى 50 بالمائة من سعة القناة.
- الكمون (Latency): واحدة من أكبر المشاكل في الوصول عبر الأقمار الصناعية هي مشكلة الكمون (الوقت الفاصل بين إرسال أو طلب المعلومات والوقت الذي يستغرقه العودة). تواجه الاتصالات عبر الأقمار الصناعية كمونًا عاليًا بسبب المسافة التي يجب أن تقطعها وكذلك الظروف الجوية. بينما لا يقتصر الكمون على الأقمار الصناعية فقط، فإنه أحد أسهل أشكال الإرسال للارتباط به. في الواقع، يمكن أن يحدث الكمون مع أي شكل من أشكال الإرسال تقريبًا.
- التشويش (Jitter): مرتبط بالكمون، يختلف التشويش في أن طول التأخير بين الحزم المستلمة يختلف، وبينما يستمر المرسل في إرسال الحزم في تدفق مستمر وتفصل بينها بشكل متساوٍ، يختلف التأخير بين الحزم المستلمة بدلاً من أن يبقى ثابتًا، ويمكن أن يكون هذا المشكلة ناتجة عن ازدحام الشبكة، أو ترتيب غير صحيح، أو أخطاء في التكوين.
- اكتشاف الأخطاء (Fault Detection): واحدة من أهم جوانب إدارة الشبكة هي معرفة ما إذا كان أي شيء لا يعمل أو لا يعمل بشكل صحيح، ويمكن لأدوات إدارة الشبكة اكتشاف والإبلاغ عن مجموعة متنوعة من الأخطاء على الشبكة، نظرًا لعدد الأجهزة المحتملة التي تشكل شبكة نموذجية، قد يكون من المستحيل تحديد الأخطاء بدون هذه الأدوات، وبالإضافة إلى ذلك، قد لا تكتشف أدوات إدارة الشبكة الجهاز الخاطئ فقط، بل قد تغلقه أيضًا، هذا يعني أنه إذا كانت بطاقة الشبكة تعمل بشكل غير صحيح، يمكنك تعطيلها عن بُعد، عندما تمتد الشبكة على مساحة كبيرة، يصبح اكتشاف الأخطاء أكثر أهمية لأنه يمكنك أن تكون على علم بالأخطاء الشبكية وإدارتها، مما يقلل من فترة التوقف.
نصيحة أختبار:
- مراقبة الأداء (Performance monitoring) : ميزة أخرى من إدارة الشبكة هي القدرة على مراقبة أداء الشبكة، وتعتبر مراقبة الأداء اعتبارًا ضروريًا يمنحك بعض المعلومات الحاسمة، وبشكل خاص، يمكن لمراقبة الأداء توفير إحصاءات استخدام الشبكة واتجاهات استخدام المستخدمين، وهذا النوع من المعلومات ضروري عند التخطيط لسعة الشبكة ونموها، وتساعدك مراقبة الأداء أيضًا في تحديد ما إذا كان هناك أي قلق متعلق بالأداء، مثل ما إذا كانت الشبكة يمكنها دعم قاعدة المستخدمين الحالية بشكل كافٍ.
- مراقبة الأمان (Security monitoring): يتمتع مسؤولو الخوادم الجيدون بلمسة من البارانويا في شخصياتهم، وتتيح لك نظام إدارة الشبكة مراقبة من هو على الشبكة، وما يقومون به، ومدة بقائهم، والأهم من ذلك، في بيئة تتزايد فيها تعرّض الشبكات المؤسساتية لمصادر خارجية، فإن القدرة على تحديد التهديدات الأمنية المحتملة والتفاعل معها هي أولوية، وقراءة ملفات السجلات لمعرفة هجوم هو الخيار الثاني الضعيف مقارنة بمعرفة أن الهجوم جاري والتفاعل وفقًا لذلك، ومن الأشياء التي يجب البحث عنها هو التغييرات في قيم البيانات الخام؛ يمكن تحديد هذه التغييرات من خلال مقارنات قيم فحص التكرار الدوري (CRC). ابحث عن أخطاء CRC، وكذلك الحزم الكبيرة (الحزم التي يتم التخلص منها لأنها تتجاوز الحد الأقصى لحجم الحزمة في الوسيط)، والحزم الصغيرة (الحزم التي يتم التخلص منها لأنها أصغر من الحد الأدنى لحجم الحزمة في الوسيط)، وأخطاء التغليف.
- مراقبة الواجهة (Link state status): كما ترغب في مراقبة انقطاع الرابط، تحتاج أيضًا إلى معرفة متى توجد مشاكل في الواجهة، وتشمل المشاكل المحددة التي يجب مراقبتها الأخطاء، مشاكل الاستخدام (مثل الاستخدام العالي بشكل غير معتاد)، التخلص من الحزم، إسقاط الحزم، إعادة التعيينات، ومشاكل السرعة/الازدواج. أداة مراقبة الواجهة لا تقدر بثمن في استكشاف المشاكل هنا.
- الصيانة والتكوين (Maintenance and configuration): هل تريد إعادة تكوين أو إيقاف تشغيل الخادم الموجود في أستراليا؟ إعادة تكوين جهاز التوجيه المحلي؟ تغيير إعدادات نظام العميل؟ الإدارة والتكوين عن بعد هما جزءان أساسيان من استراتيجية إدارة الشبكة، مما يتيح لك إدارة مواقع متعددة بشكل مركزي.
- مراقبة البيئة (Environmental monitoring): من المهم مراقبة غرفة الخادم، والمعدات الرئيسية الأخرى، من حيث درجة الحرارة والرطوبة، ويساعد التحكم في الرطوبة على منع تراكم الكهرباء الساكنة ويقلل من فرص تعرض المكونات الإلكترونية للتلف من الصدمة الكهروستاتيكية؛ ليس فقط الرطوبة المنخفضة جدًا يمكن أن تؤدي إلى زيادة الكهرباء الساكنة، ولكنها يمكن أن تساهم أيضًا في مشاكل صحية، مثل تهيج الجلد. يمكن لأدوات مراقبة البيئة تنبيهك إلى أي مخاطر تظهر هنا، وتوصي الجمعية الأمريكية لمهندسي التدفئة والتبريد وتكييف الهواء (ASHRAE) بالحفاظ على الرطوبة النسبية أقل من 60 في المئة ويجب أن تكون الرطوبة النسبية أكبر من 30 في المئة.
نصيحة أختبار:
للامتحان، تعرف على دور الرطوبة في التحكم بالصدمات الكهروستاتيكية.
مراقبة الطاقة (Power monitoring): يحتاج الشبكة إلى تدفق ثابت من الطاقة الموثوقة للبقاء قيد التشغيل، وتتوفر مجموعة واسعة من أدوات مراقبة الطاقة للمساعدة في تحديد وتسجيل المشاكل التي يمكنك البدء في حلها.
مراقبة الشبكة اللاسلكية (Wireless monitoring): مع تحول المزيد من الشبكات إلى اللاسلكية، تحتاج إلى إيلاء اهتمام خاص للقضايا المرتبطة بها، ويمكن استخدام أدوات المسح اللاسلكي لإنشاء خرائط حرارة توضح كمية وجودة تغطية الشبكة اللاسلكية في المناطق. يمكنها أيضًا أن تسمح لك برؤية نقاط الوصول (بما في ذلك الروغات) وإعدادات الأمان، ويمكن استخدام هذه الأدوات لمساعدتك في تصميم ونشر شبكة فعالة، ويمكن أيضًا استخدامها (بواسطتك أو بواسطة آخرين) للعثور على نقاط الضعف في شبكتك الحالية (غالبًا ما يتم تسويقها لهذا الغرض كمحللات لاسلكية).
العديد من الأدوات متاحة للمساعدة في مراقبة الشبكة وضمان أنها تعمل بشكل صحيح ، وبعض الأدوات، مثل packet sniffer، يمكن استخدامها لمراقبة المرور من قبل المسؤولين وأولئك الذين يرغبون في الحصول على بيانات لا تنتمي إليهم. تنظر الأقسام التالية إلى عدة أدوات مراقبة.
نظام إداره SNMP:
نظام إدارة SNMP هو جهاز كمبيوتر يعمل ببرنامج خاص يسمى network management system (NMS)، ويمكن أن تكون هذه التطبيقات البرمجية مجانية، أو يمكن أن تكلف آلاف الدولارات. الاختلاف بين التطبيقات المجانية وتلك التي تكلف الكثير من المال يتلخص عادة في الوظائف والدعم، جميع تطبيقات NMS، بغض النظر عن التكلفة، تقدم نفس الوظائف الأساسية، اليوم، تستخدم معظم تطبيقات NMS خرائط رسومية للشبكة لتحديد موقع الجهاز ثم استجوابه، ويتم بناء الاستفسارات في التطبيق ويتم تشغيلها عن طريق الإشارة والنقر، يمكنك بالفعل إصدار طلبات SNMP من أداة سطر الأوامر، ولكن مع توفر العديد من الأدوات، هذا غير ضروري.
ملاحظة:
باستخدام SNMP وNMS، ويمكنك مراقبة جميع الأجهزة على الشبكة، بما في ذلك المفاتيح، الموزعات، أجهزة التوجيه، الخوادم، والطابعات، وكذلك أي جهاز يدعم SNMP، من موقع واحد. باستخدام SNMP، يمكنك رؤية مقدار مساحة القرص الحرة على خادم في جاكرتا أو إعادة ضبط الواجهة على جهاز توجيه في هلسنكي - كل ذلك من راحة مكتبك في سان خوسيه. ومع ذلك، فإن هذه القوة تأتي مع بعض الاعتبارات. على سبيل المثال، نظرًا لأن NMS يمكّنك من إعادة تكوين أجهزة الشبكة، أو على الأقل الحصول على معلومات منها، من الممارسات الشائعة تنفيذ NMS على منصة محطة عمل آمنة، مثل خادم Linux أو Windows، ووضع جهاز NMS في موقع آمن.
قاعدة المعلومات الإدارية (Management Information Base):
يستخدم SNMP قواعد بيانات للمعلومات تسمى MIBs لتحديد ما هي المعلمات القابلة للوصول، وأي من المعلمات هي قراءة فقط، وأيها يمكن تعيينها، وتتوفر MIBs لآلاف الأجهزة والخدمات، وتغطي كل احتياجات ممكنة، ومعرفات الكائنات (OIDs) تحدد بشكل فريد الكائنات المدارة داخل تسلسل MIB. ببساطة، OID هو عنوان يستخدم لتحديد كل عقدة في هيكل شجري. العناوين هي أرقام صحيحة مفصولة بنقاط، تتوافق مع المسار من الجذر عبر سلسلة من العقد السلفية، إلى العقدة، ويتم التحكم في كل عقدة في الشجرة من قبل سلطة تعيين يمكنها إنشاء عقد فرعية وتفويض سلطة التعيين للعقد الفرعية.
لضمان أن أنظمة SNMP تقدم توافقًا عبر المنصات، يتم التحكم في إنشاء MIB من قبل المنظمة الدولية للمعايير (ISO). يمكن لمنظمة ترغب في إنشاء MIBs أن تتقدم بطلب إلى ISO. ثم يقوم ISO بتعيين المنظمة معرّفًا يمكنها من خلاله إنشاء MIBs كما تراه مناسبًا، ويتم تنظيم تعيين الأرقام ضمن نموذج مفاهيمي يسمى الشجرة الاسمية الهرمية.
نصيحة أختبار:
اختبار الأداء، التحمل، والضغط للشبكة (Network Performance, Load, and Stress Testing):
لاختبار الشبكة، غالبًا ما يقوم المسؤولون بثلاثة أنواع مميزة من الاختبارات:
- اختبارات الأداء.
- أختبارات الحمل.
- اختبارات الضغط.
غالبًا ما يتم استخدام هذه الأسماء بشكل متبادل، على الرغم من وجود بعض التداخل، فهي أنواع مختلفة من اختبارات الشبكة، كل منها بأهداف مختلفة..
اختبارات الأداء (Performance Tests):
اختبار الأداء هو، كما يشير الاسم، حول قياس مستوى الأداء الحالي للشبكة. الهدف هو إجراء اختبارات أداء مستمرة وتقييمها ومقارنتها، والبحث عن الاختناقات المحتملة، لكي تكون اختبارات الأداء فعالة، ويجب أن يتم إجراؤها تحت نفس نوع حمل الشبكة في كل مرة، أو تكون المقارنة غير صالحة. على سبيل المثال، يختلف اختبار الأداء الذي يتم إجراؤه في الساعة 3 صباحًا عن الذي يتم في الساعة 3 مساءً.
ملاحظة:
اختبارات التحمل وإرسال/استقبال المرور (Load Tests and Send/Receive Traffic):
تتشابه اختبارات الحمل إلى حد ما مع اختبارات الأداء، وفي بعض الأحيان تُسمى اختبارات الحجم أو التحمل، تتضمن اختبارات الحمل وضع الشبكة بشكل مصطنع تحت حمل أكبر، وعلى سبيل المثال، وقد يتم زيادة حركة المرور عبر الشبكة بأكملها، وبعد ذلك، يمكن إجراء اختبارات الأداء على الشبكة مع الحمل المتزايد، وتُجرى اختبارات التحمل أحيانًا لمعرفة ما إذا كانت توجد أخطاء في الشبكة غير مرئية حاليًا ولكن قد تصبح مشكلة مع نمو الشبكة، وعلى سبيل المثال، قد يعمل خادم البريد بشكل جيد مع المتطلبات الحالية، ومع ذلك، إذا زاد عدد المستخدمين في الشبكة بنسبة 10 بالمائة، فستريد تحديد ما إذا كان الحمل المتزايد سيتسبب في مشاكل مع خادم البريد. تدور اختبارات الحمل حول العثور على مشكلة محتملة قبل حدوثها.
تتشابه اختبارات الأداء واختبارات التحمل في الواقع إلى حد كبير؛ ومع ذلك، تختلف نتائج المعلومات، وتحدد اختبارات الأداء المستوى الحالي لعمل الشبكة لأغراض القياس والمقارنة، وتم تصميم اختبارات الحمل لمنح المسؤولين نظرة إلى مستقبل حمل الشبكة ومعرفة ما إذا كانت البنية التحتية الحالية للشبكة يمكنها التعامل معه.
ملاحظة:
اختبارات الضغط (Stress Tests):
بينما لا تحاول اختبارات الحمل كسر النظام تحت ضغط شديد، فإن اختبارات الضغط تقوم بذلك أحيانًا، وتدفع هذه الاختبارات الموارد إلى أقصى حد، وعلى الرغم من أن هذه الاختبارات لا تُجرى كثيرًا، وإلا أنها ضرورية وللمسؤولين على الأقل، ممتعة. لاختبارات الضغط هدفان واضحان:
- تُظهر لك بالضبط ما يمكن للشبكة تحمله. معرفة نقطة الانهيار للشبكة هي معلومات مفيدة عند التفكير في توسيع الشبكة.
- تُمكّنك من اختبار إجراءات النسخ الاحتياطي والاسترداد. إذا تسبب اختبار في تعطيل موارد الشبكة، يمكنك التحقق من أن إجراءات الاسترداد الخاصة بك تعمل. تُمكّنك اختبارات الضغط من ملاحظة فشل أجهزة الشبكة.
- تفترض اختبارات الضغط أنه في يوم من الأيام سيحدث خطأ ما، وستعرف بالضبط ما يجب فعله عندما يحدث ذلك.
مقاييس الأداء (Performance Metrics):
سواء كان الاختبار المتعلق بالأداء، الحمل، أو الضغط، عليك اختيار المقاييس التي تريد مراقبتها والتركيز عليها، وعلى الرغم من توفر العديد من الخيارات، فإن الأربعة الأكثر شيوعًا هي:
- - معدل الخطأ: يحدد هذا المقياس تكرار الأخطاء.
- - الاستخدام: يوضح هذا المقياس نسبة الموارد المستخدمة.
- - تساقط الحزم: يوضح هذا المقياس عدد حزم البيانات في الشبكة التي تفشل في الوصول إلى وجهتها.
- - عرض النطاق الترددي / الإنتاجية: يتعلق هذا المقياس بالقدرة على نقل البيانات عبر قناة فيما يتعلق بالقدرة الإجمالية للنظام لتحديد الاختناقات، التباطؤ، والمشاكل الأخرى.
سجلات أجهزة الشبكة (Network Device Logs):
في بيئة الشبكة، تحتوي جميع NOSs ومعظم الجدران النارية، خوادم الوكيل، والمكونات الأخرى للشبكة على ميزات تسجيل ،وتعتبر ميزات التسجيل هذه ضرورية للمسؤولين عن الشبكة للمراجعة والمراقبة. يمكن استخدام أنواع عديدة من السجلات. تستعرض الأقسام التالية بعض أنواع ملفات السجل الأكثر شيوعًا.
في نظام Windows Server، وكما هو الحال مع أنظمة التشغيل الأخرى، يتم تسجيل الأحداث والوقائع في ملفات للمراجعة لاحقًا. تستخدم أنظمة Windows Server وأنظمة سطح المكتب Event Viewer لعرض العديد من ملفات السجل الرئيسية. يمكن استخدام السجلات في Event Viewer للعثور على معلومات حول، على سبيل المثال، خطأ في النظام أو حادث أمني، ويتم تسجيل المعلومات في ملفات السجل الرئيسية؛ ومع ذلك، سترى أيضًا ملفات سجل إضافية في ظل ظروف معينة، مثل إذا كان النظام وحدة تحكم في المجال أو يشغل تطبيق خادم DHCP.
تشير سجلات الأحداث عمومًا إلى جميع ملفات السجل المستخدمة لتتبع الأحداث على النظام، وتعتبر سجلات الأحداث ضرورية للعثور على التطفلات وتشخيص مشاكل النظام الحالية، وفي بيئة Windows، على سبيل المثال، يتم استخدام ثلاثة سجلات أحداث رئيسية: الأمان، التطبيق، والنظام.
ملاحظة:
سجلات الأمان (Security Logs):
تحتوي سجلات الأمان الخاصة بالنظام على أحداث تتعلق بحوادث الأمان، مثل محاولات تسجيل الدخول الناجحة وغير الناجحة والوصول إلى الموارد الفاشلة ، ويمكن تخصيص سجلات الأمان، مما يعني أن المسؤولين يمكنهم ضبط ما يريدون مراقبته بدقة، ويختار بعض المسؤولين تتبع كل حدث أمني تقريبًا على النظام. على الرغم من أن هذا قد يكون حكيمًا، إلا أنه يمكن أن يخلق في كثير من الأحيان ملفات سجل ضخمة تشغل مساحة كبيرة. الشكل التالي يظهر سجل الأمان من نظام Windows.
الشكل هذا يُظهر بعض محاولات تسجيل الدخول الناجحة وتغييرات الحساب، وقد تُظهر خرقًا أمنيًا محتملاً بعض حالات الفشل في التدقيق لمحاولات تسجيل الدخول أو تسجيل الخروج، ولتوفير المساحة ومنع ملفات السجل من النمو بشكل كبير، قد يختار المسؤولون تدقيق محاولات تسجيل الدخول الفاشلة فقط وليس الناجحة.
كل حدث في سجل الأمان يحتوي على معلومات إضافية لتسهيل الحصول على تفاصيل الحدث:
- التاريخ: التاريخ المحدد الذي وقع فيه حدث الأمان.
- الوقت: الوقت الذي وقع فيه الحدث.
- المستخدم: اسم حساب المستخدم الذي تم تتبعه خلال الحدث.
- الكمبيوتر: اسم الكمبيوتر الذي تم استخدامه عندما وقع الحدث.
- معرف الحدث: معرف الحدث الذي يخبرك بما حدث. يمكنك استخدام هذا المعرف للحصول على معلومات إضافية حول الحدث المعين. على سبيل المثال، يمكنك أخذ رقم المعرف وإدخاله على موقع دعم Microsoft وجمع معلومات حول الحدث. بدون المعرف، سيكون من الصعب العثور على هذه المعلومات.
لتكون فعالة، يجب مراجعة سجلات الأمان بانتظام.
سجل التطبيق (Application Log):
يحتوي سجل التطبيق على معلومات تم تسجيلها بواسطة التطبيقات التي تعمل على نظام معين بدلاً من نظام التشغيل نفسه. يمكن لمقدمي تطبيقات الجهات الخارجية استخدام سجل التطبيق كوجهة لرسائل الخطأ التي تولدها تطبيقاتهم.
يعمل سجل التطبيق بنفس طريقة عمل سجل الأمان. يتتبع كل من الأحداث الناجحة والفاشلة داخل التطبيقات، والشكل التالي يُظهر التفاصيل المقدمة في سجل التطبيق.
An application log in Windows 10
الشكل التالي يُظهر نوعين من الأحداث التي وقعت: أحداث معلومات عامة عن التطبيق وأحداث تحذيرية، وقد يرغب المسؤولون الحذرون في التحقق من معرف الحدث لكل من الفشل في الأحداث والتحذيرات لعزل السبب.
سجلات النظام (System Logs):
تسجل سجلات النظام معلومات حول المكونات أو التعريفات في النظام، كما هو موضح في الشكل التالي، وهذا هو المكان الذي تبحث فيه عند استكشاف مشكلة في جهاز مادي على نظامك أو مشكلة في اتصال الشبكة، وعلى سبيل المثال، تظهر الرسائل المتعلقة بعنصر العميل في بروتوكول التكوين الديناميكي للمضيف (DHCP) في هذا السجل، ويعد سجل النظام أيضًا المكان الذي تبحث فيه عن أخطاء جهاز مادي، مشكلات مزامنة الوقت، أو مشكلات بدء تشغيل الخدمة.
سجلات التاريخ (History Logs):
ترتبط سجلات التاريخ غالبًا بتتبع عادات التصفح على الإنترنت، فهي تحتفظ بسجل لجميع المواقع التي يزورها المستخدم، وقد يقوم مسؤولو الشبكة بمراجعة هذه السجلات للبحث عن أي اختراقات أمنية أو انتهاكات للسياسة، ولكن عمومًا لا يتم مراجعتها بشكل شائع.
شكل آخر من سجلات التاريخ هو تجميع الأحداث من ملفات السجلات الأخرى، على سبيل المثال، قد يحتوي سجل التاريخ على جميع الأحداث المهمة خلال العام الماضي من سجل الأمان على الخادم، وتعد سجلات التاريخ حيوية لأنها توفر حسابًا تفصيليًا للأحداث التنبيهية التي يمكن استخدامها لتتبع الاتجاهات وتحديد المناطق المشكلة في الشبكة، ويمكن أن تساعدك هذه المعلومات في مراجعة جداول الصيانة، وتحديد خطط استبدال المعدات، وتوقع ومنع المشاكل المستقبلية.
ملاحظة:
إدارة السجلات (Log Management):
في مناقشة هذه السجلات، يتضح أن مراقبتها يمكن أن تكون قضية كبيرة، وهنا يأتي دور إدارة السجلات (LM)، وتصف إدارة السجلات عملية إدارة كميات كبيرة من ملفات السجل التي تم إنشاؤها بواسطة النظام، وتشمل إدارة السجلات جمع، وحفظ، والتخلص من جميع سجلات النظام. على الرغم من أن إدارة السجلات يمكن أن تكون مهمة ضخمة، إلا أنها ضرورية لضمان الوظيفة الصحيحة للشبكة وتطبيقاتها. كما أنها تساعدك في مراقبة أمان الشبكة والنظام.
تكوين الأنظمة لتسجيل جميع أنواع الأحداث هو الجزء السهل، ومحاولة العثور على الوقت لمراجعة السجلات هو أمر مختلف تمامًا، وللمساعدة في هذه العملية، تتوفر حزم برمجية تابعة لجهات خارجية للمساعدة في تنظيم ومراجعة ملفات السجل، وللعثور على هذا النوع من البرمجيات، يمكنك إدخال "إدارة السجلات" في متصفح الويب، وستجد العديد من الخيارات للاختيار من بينها، وبعضهم يقدم نسخًا تجريبية من برمجياتهم التي قد تعطيك فكرة أفضل عن كيفية عمل إدارة السجلات.
Syslog هو معيار لتسجيل الرسائل موجود منذ سنوات عديدة، الأداة المستخدمة لإنشاء إدخالات السجل في الأنظمة المبنية على UNIX/Linux وتسمى بشكل ملائم "syslog"، ولكن يمكن استخدام أدوات أخرى أيضًا. يسمح Syslog بالفصل بين ثلاثة كيانات: البرمجيات التي تولد الرسالة، النظام الذي يخزنها، والبرمجيات المستخدمة لتحليلها أو الإبلاغ عنها، وكل رسالة مُعلمة بمعرفات مثل رمز يشير إلى نوع البرمجيات التي تولد الرسالة ومستوى الخطورة ،و مستوى الخطورة 0 هو حالة طارئة، 1 هو تنبيه، 2 حرج، 3 خطأ، 4 تحذير، 5 إشعار، 6 للمعلومات فقط، و 7 لأغراض التصحيح.
إدارة التحديثات (Patch Management):
جميع التطبيقات، بما في ذلك برامج الإنتاجية، وبرامج مكافحة الفيروسات، وخاصة نظام التشغيل، تطلق تحديثات وإصلاحات غالبًا ما تكون مصممة لمعالجة نقاط الضعف الأمنية المحتملة. يجب على المسؤولين مراقبة هذه التحديثات وتثبيتها عند إصدارها.
ملاحطة:
تشمل العناصر التي نوقشت في هذا الموضوع ما يلي:
- تحديثات نظام التشغيل (OS updates): تتعلق معظم تحديثات نظام التشغيل إما بوظائف أو قضايا أمنية. لهذا السبب، من المهم الحفاظ على تحديث أنظمتك. تتضمن معظم أنظمة التشغيل الحالية القدرة على العثور على التحديثات تلقائيًا وتثبيتها. بشكل افتراضي، تكون ميزة التحديثات التلقائية مفعلة عادةً؛ يمكنك تغيير الإعدادات إذا كنت لا تريد تفعيلها.
ملاحظة:
- تحديثات البرامج الثابتة (Firmware updates): تُبقي تحديثات البرامج الثابتة واجهات الأجهزة تعمل بشكل صحيح. على سبيل المثال، غالبًا ما يصدر مصنعو أجهزة التوجيه تصحيحات عند اكتشاف مشكلات. يجب تطبيق هذه التصحيحات على جهاز التوجيه لإزالة أي ثغرات أمنية قد تكون موجودة. الشكل التالي يظهر مثالاً على التحقق من البرامج الثابتة لجهاز التوجيه.
نصيحة أختبار:
- تحديثات التعريفات: السبب الرئيسي لتحديث التعريفات هو أن لديك قطعة من العتاد لا تعمل بشكل صحيح، قد يكون الفشل في التشغيل ناجمًا عن تفاعل العتاد مع برنامج لم يكن مخصصًا له قبل الشحن (مثل تحديثات نظام التشغيل)، وبما أن المشكلة قد تكون من البائع أو مزود نظام التشغيل، يمكن تضمين التحديثات تلقائيًا (مثل تحديثات Windows) أو العثور عليها على موقع البائع.
- تحديثات/تغييرات الميزات: لا تعتبر حيوية مثل تحديثات الأمان أو الوظائف، تحديثات وتغييرات الميزات يمكن أن تمدد ما يمكنك القيام به سابقًا وتمدد الوقت الذي تستخدم فيه مجموعة العتاد/البرمجيات.
- تحديثات رئيسية مقابل ثانوية: تصنف معظم التحديثات على أنها رئيسية (يجب القيام بها) أو ثانوية (يمكن القيام بها). حسب البائع، يمكن التمييز بين الاثنين في الترقيم: تحديث 4.0.0 سيكون تحديثًا رئيسيًا، في حين أن 4.10.357 يعتبر ثانويًا.
نصيحة أختبار:
- تصحيحات الثغرات: الثغرات هي نقاط ضعف، ويجب تثبيت التصحيحات المتعلقة بها بشكل صحيح وبأسرع وقت. بعد تحديد ثغرة في نظام التشغيل أو تعريف أو قطعة من العتاد، غالبًا ما ينتشر الخبر بسرعة: استغلال اليوم الصفري هو أي هجوم يبدأ في نفس اليوم الذي تكتشف فيه الثغرة.
ملاحظة:
- الترقية مقابل التخفيض: ليست كل التغييرات تحتاج إلى الترقية. إذا، على سبيل المثال، غير تصحيح تم تطبيقه حديثًا وظائف مكون العتاد إلى درجة أنه لم يعد يعمل كما تحتاجه، يمكنك التفكير في العودة إلى الحالة السابقة. تعرف هذه الخطوة بالتخفيض وغالبًا ما تكون ضرورية عند التعامل مع الأنظمة القديمة والتنفيذات.
نصيحة أختبار:
قبل تثبيت أو إزالة التصحيحات، من المهم إجراء نسخ احتياطي للتكوين. العديد من البائعين يقدمون منتجات تقوم بعمل نسخ احتياطية للتكوين عبر الشبكة بانتظام وتسمح لك بالعودة إلى التغييرات إذا لزم الأمر، الأدوات المجانية غالبًا ما تكون محدودة في عدد الأجهزة التي يمكنها العمل معها، وبعض الأدوات الأكثر تكلفة تتضمن القدرة على تحليل وتحديد التغييرات التي قد تسبب أي مشاكل تلقائيًا.
العوامل البيئية (Environmental Factors):
تشمل المخاوف البيئية الاعتبارات المتعلقة بدرجة الحرارة، والرطوبة، والكهرباء، ومخاطر المياه/الفيضانات. يجب أن تحتوي غرف الكمبيوتر على أجهزة استشعار للحرائق والرطوبة، وتحتوي معظم المباني المكتبية على أنابيب مياه وأنظمة أخرى لنقل الرطوبة في السقف، وإذا انفجرت أنبوبة مياه (وهو أمر شائع في الزلازل البسيطة)، قد تصبح غرفة الكمبيوتر مغمورة بالمياه. الماء والكهرباء لا يختلطان. ستقوم أجهزة مراقبة الرطوبة بقطع الطاقة تلقائيًا في غرفة الكمبيوتر إذا تم اكتشاف الرطوبة، لذا يجب أن يعرف محترف الأمن أين توجد مفاتيح قطع المياه.
تتطلب العديد من أنظمة الكمبيوتر التحكم في درجة الحرارة والرطوبة لتقديم خدمة موثوقة. تولد الخوادم الكبيرة، ومعدات الاتصالات، ومصفوفات الأقراص كميات كبيرة من الحرارة. يعد نظام بيئي لهذا النوع من المعدات نفقات كبيرة بالإضافة إلى تكاليف نظام الكمبيوتر الفعلية.
التحكم في الرطوبة يمنع تراكم الكهرباء الساكنة في البيئة، وإذا انخفضت الرطوبة بشكل كبير، تصبح المكونات الإلكترونية عرضة للتلف من الصدمات الكهروستاتيكية، ومعظم الأنظمة البيئية تنظم أيضًا الرطوبة؛ ومع ذلك، يمكن أن يتسبب نظام عطل في استخراج الرطوبة بشكل كامل تقريبًا من الغرفة. تأكد من أن الأنظمة البيئية تُخدم بانتظام.
النهاية:
وهكذا إنتهى الفصل الثامن من الشهادة ، الى الصل التاسع ، إن أردت ان تخبرنا برأيك ، يسعدنا ان تنضم الى مجتمعنا من هنا.
