SNMP
O equipamento pode ser monitorado usando protocolo SNMP v2c. O HSM envia traps (notificações não solicitadas) na ocorrência de certos eventos, que podem ser dirigidos a um coletor SNMP padrão. Além disso o HSM também responde a mensagens de Get, de acordo com a lista de OIDs suportados.
Info
Operações SNMP de Set não são suportadas.
O HSM tem OIDs específicos e proprietários sob a entrada .1.3.6.1.4.1.41054 (.iso.org.dod.internet.private.enterprises.dinamonetworks) na árvore de MIBs, definidos em arquivo MIB proprietário. Um OID é usado para traps e outro para Gets. A entrada IANA 41054 está registrada em nome de Dinamo Networks.
Os parâmetro de configuração SNMP via console são:
- Sys Contact: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.4 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The textual identification of the contact person for this managed node, together with information on how to contact this person.
- Sys Location: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.6 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The physical location of this node (e.g.,'telephone closet, 3rd floor').
- Get Community Name: nome da comunidade SNMP para operações de Get. Fixada (read only) em
public. - Trap Community Name: nome da comunidade SNMP exclusivamente para envio dos traps. Este nome é usado apenas para pareamento no protocolo.
- Trap Targets: a lista de endereços IP para onde devem ser enviados os traps gerados pelo HSM. Até 04 targets podem ser configurados.
Dinamo - Local Management Console
┌──────────────────────────────┤ SNMP ├──────────────────────────────┐
│ │
│ Sys Contact: ___________________________________________ │
│ Sys Location: ___________________________________________ │
│ Get Community Name: public │
│ Trap Community Name: public_____________________________________ │
│ │
│ Trap Targets │
│ │
│ ┌──────────────────────────────────────────────────────┐ ┌─────┐ │
│ │ │ │ Add │ │
│ │ │ └─────┘ │
│ │ │ │
│ │ │ ┌─────┐ │
│ │ │ │ Del │ │
│ └──────────────────────────────────────────────────────┘ └─────┘ │
│ ┌────────┐ │
│ │ OK │ │
│ └────────┘ │
│ │
└────────────────────────────────────────────────────────────────────┘
Service running... Replication Domain: <none>Todas as informações de Get retornadas pelo HSM são informações não sensíveis ou não críticas e a maioria também está disponível na tela de About da Console Local, exibida antes de qualquer autenticação de operador.
Os Gets são respondidos na porta UDP 161 do HSM e os traps são enviados aos targets na porta UDP 162.
Info
A comunidade SNMP para operações de Get é sempre public.
A definição formal dos OIDs proprietários do HSM está no arquivo Dinamo-MIB.txt.
O HSM responde aos Gets do padrão MIB-2, entre os quais os grupos:
- system:
| OID | name | value |
|---|---|---|
| .1.3.6.1.2.1.1.1 | sysDescr | Texto formado pelo modelo e número de série do HSM, versão do firmware, perfil de hardware e identificação de TPKEY. |
| .1.3.6.1.2.1.1.2 | sysObjectID | Texto hsm, literal. |
| .1.3.6.1.2.1.1.3 | sysUpTime | Tempo decorrido desde que o HSM foi ligado. |
| .1.3.6.1.2.1.1.4 | sysContact | Texto com a informação cadastrada na Console do HSM, veja acima. |
| .1.3.6.1.2.1.1.5 | sysName | Número de série do HSM. |
| .1.3.6.1.2.1.1.6 | sysLocation | Texto com a informação cadastrada na Console do HSM, veja acima. |
- interfaces
- ip
- icmp
- tcp
- udp
- snmp
- host resources
Os OIDs proprietários aos quais o HSM responde Get são descritos na tabela abaixo. São aqueles abaixo de .1.3.6.1.4.1.41054 ou .iso.org.dod.internet.private.enterprises.dinamonetworks.
| OID | name | value |
|---|---|---|
| .1.3.6.1.4.1.41054.1.1.2.0.1 | hsmUpTime | Tempo decorrido desde que o HSM foi ligado. |
| .1.3.6.1.4.1.41054.1.1.2.0.2 | cpuLoadAverage | Consumo instantâneo de CPU medido no momento do Get. |
| .1.3.6.1.4.1.41054.1.1.2.0.3 | totalMemory | Memória total do HSM em percentual , valor fixo: 100. |
| .1.3.6.1.4.1.41054.1.1.2.0.4 | usedMemory | Percentual de uso instantâneo de memória física. |
| .1.3.6.1.4.1.41054.1.1.2.0.7 | hsmCryptoBattery | Percentual de carga na zona segura da bateria do circuito supervisor de violação. |
| .1.3.6.1.4.1.41054.1.1.2.0.8 | diskBockSize | Tamanho em bytes do bloco individual do sistema de armazenamento do HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.9 | diskBlockCount | Contagem de blocos individuais do sistema de armazenamento. |
| .1.3.6.1.4.1.41054.1.1.2.0.10 | diskFreeBlockCount | Contagem de blocos individuais não usados no sistema de armazenamento. |
| .1.3.6.1.4.1.41054.1.1.2.0.11 | hsmTamperingState | Estado de tamper do HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.12 | hsmNodeAlias | Alias escolhido pelo operador para o HSM. O alias é definido na console local. |
| .1.3.6.1.4.1.41054.1.1.2.0.13 | usrCount | Contagem de partições no HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.14 | objCount | Contagem de objetos no HSM (em todas as partições). |
| .1.3.6.1.4.1.41054.1.1.2.0.15 | slbeLen | Tamanho da base de dados (em unida des de 4kb). |
| .1.3.6.1.4.1.41054.1.1.2.0.16 | logSize | Tamanho do arquivo de log (em bytes). |
| .1.3.6.1.4.1.41054.1.1.2.0.17 | atokenCacheCount | Número de a-tokens emitidos em cache. |
| .1.3.6.1.4.1.41054.1.1.2.0.18 | memTotal | RAM Utilizável (100%). |
| .1.3.6.1.4.1.41054.1.1.2.0.19 | memAvailable | Memória disponível estimada (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.20 | memBuffers | Blocos raw em disco (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.21 | memCached | Cache em memória (%) |
| .1.3.6.1.4.1.41054.1.1.2.0.22 | memActive | Memória resgatável recente, a menos que absolutamente necessário (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.23 | memInactive | Memória resgatável antiga, a menos que absolutamente necessário (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.24 | anonPages | Páginas de memória mapeadas em tabelas de userspace (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.25 | shMem | Memória consumida em IPC (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.26 | kernelSlab | (Slab) cache de estruturas de dados de kernel (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.27 | kernelSReclaimable | Parte do slab que pode ser resgatada, como caches (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.28 | sessionCount | Contagem de sessões de usuários. |
Os eventos que podem gerar traps no HSM são:
- Criação de uma chave privada
- Destruição de uma chave privada
- Start de serviço
- Stop de serviço
- Recuperação automática de serviço
- Uso de smart card
- Shutdown do HSM
- Reboot do HSM
- Reset da base de dados do HSM
- Falha de autenticação
- Mudança de permissão de usuário
- Criação de usuário
- Remoção de usuário
- Geração de arquivo de backup
- Restauração de arquivo de backup
- Atualização de firmware
- Exportação de chave privada
- Importação de chave privada
- Lock na console local do HSM
- Unlock na console local do HSM
- Falha no subsistema de log (Broken Log)
- Replicação, retorno de Busy
- Replicação, retorno de Peer Not Synced
- Replicação, retorno de Cannot Peer to Peer
- Replicação, retorno de Storage Layer Failure
- Replicação, retorno de Cannot Validate Event
- Replicação, retorno de Transaction Mismatch
- Replicação, retorno de Database Live Sync Error
- Replicação, retorno de Transaction Log Error
- Replicação, retorno de Cannot Start Manager