SNMP
O equipamento pode ser monitorado usando protocolo SNMP v2c. O HSM envia traps (notificações não solicitadas) na ocorrência de certos eventos, que podem ser dirigidos a um coletor SNMP padrão. Além disso o HSM também responde a mensagens de Get, de acordo com a lista de OIDs suportados.
Info
Operações SNMP de Set não são suportadas.
O HSM tem OIDs específicos e proprietários sob a entrada .1.3.6.1.4.1.41054 (.iso.org.dod.internet.private.enterprises.dinamonetworks) na árvore de MIBs, definidos em arquivo MIB proprietário. Um OID é usado para traps e outro para Gets. A entrada IANA 41054 está registrada em nome de Dinamo Networks.
Os parâmetro de configuração SNMP via console são:
- Sys Contact: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.4 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The textual identification of the contact person for this managed node, together with information on how to contact this person.
- Sys Location: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.6 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The physical location of this node (e.g.,'telephone closet, 3rd floor').
- Trap Community Name: nome da comunidade SNMP exclusivamente para envio dos traps. Este nome é usado apenas para pareamento no protocolo.
- Trap Targets: a lista de endereços IP para onde devem ser enviados os traps gerados pelo HSM. Até 04 targets podem ser configurados.
Todas as informações de Get retornadas pelo HSM são informações não sensíveis ou não críticas e a maioria também está disponível na tela de About da Console Local, exibida antes de qualquer autenticação de operador.
Os Gets são respondidos na porta UDP 161 do HSM e os traps são enviados aos targets na porta UDP 162.
Info
A comunidade SNMP para operações de Get é sempre public.
A definição formal dos OIDs proprietários do HSM está no arquivo Dinamo-MIB.txt.
O HSM responde aos Gets do padrão MIB-2, entre os quais os grupos:
- system:
| OID | name | value |
|---|---|---|
| .1.3.6.1.2.1.1.1 | sysDescr | Texto formado pelo modelo e número de série do HSM, versão do firmware, perfil de hardware e identificação de TPKEY. |
| .1.3.6.1.2.1.1.2 | sysObjectID | Texto hsm, literal. |
| .1.3.6.1.2.1.1.3 | sysUpTime | Tempo decorrido desde que o HSM foi ligado. |
| .1.3.6.1.2.1.1.4 | sysContact | Texto com a informação cadastrada na Console do HSM, veja acima. |
| .1.3.6.1.2.1.1.5 | sysName | Número de série do HSM. |
| .1.3.6.1.2.1.1.6 | sysLocation | Texto com a informação cadastrada na Console do HSM, veja acima. |
- interfaces
- ip
- icmp
- tcp
- udp
- snmp
- host resources
Os OIDs proprietários aos quais o HSM responde Get são descritos na tabela abaixo. São aqueles abaixo de .1.3.6.1.4.1.41054 ou .iso.org.dod.internet.private.enterprises.dinamonetworks.
| OID | name | value |
|---|---|---|
| .1.3.6.1.4.1.41054.1.1.2.0.1 | hsmUpTime | Tempo decorrido desde que o HSM foi ligado. |
| .1.3.6.1.4.1.41054.1.1.2.0.2 | cpuLoadAverage | Consumo instantâneo de CPU medido no momento do Get. |
| .1.3.6.1.4.1.41054.1.1.2.0.3 | totalMemory | Memória total do HSM em percentual , valor fixo: 100. |
| .1.3.6.1.4.1.41054.1.1.2.0.4 | usedMemory | Percentual de uso instantâneo de memória física. |
| .1.3.6.1.4.1.41054.1.1.2.0.7 | hsmCryptoBattery | Percentual de carga na zona segura da bateria do circuito supervisor de violação. |
| .1.3.6.1.4.1.41054.1.1.2.0.8 | diskBockSize | Tamanho em bytes do bloco individual do sistema de armazenamento do HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.9 | diskBlockCount | Contagem de blocos individuais do sistema de armazenamento. |
| .1.3.6.1.4.1.41054.1.1.2.0.10 | diskFreeBlockCount | Contagem de blocos individuais não usados no sistema de armazenamento. |
| .1.3.6.1.4.1.41054.1.1.2.0.11 | hsmTamperingState | Estado de tamper do HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.12 | hsmNodeAlias | Alias escolhido pelo operador para o HSM. O alias é definido na console local. |
| .1.3.6.1.4.1.41054.1.1.2.0.13 | usrCount | Contagem de partições no HSM. |
| .1.3.6.1.4.1.41054.1.1.2.0.14 | objCount | Contagem de objetos no HSM (em todas as partições). |
| .1.3.6.1.4.1.41054.1.1.2.0.15 | slbeLen | Tamanho da base de dados (em unida des de 4kb). |
| .1.3.6.1.4.1.41054.1.1.2.0.16 | logSize | Tamanho do arquivo de log (em bytes). |
| .1.3.6.1.4.1.41054.1.1.2.0.17 | atokenCacheCount | Número de a-tokens emitidos em cache. |
| .1.3.6.1.4.1.41054.1.1.2.0.18 | memTotal | RAM Utilizável (100%). |
| .1.3.6.1.4.1.41054.1.1.2.0.19 | memAvailable | Memória disponível estimada (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.20 | memBuffers | Blocos raw em disco (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.21 | memCached | Cache em memória (%) |
| .1.3.6.1.4.1.41054.1.1.2.0.22 | memActive | Memória resgatável recente, a menos que absolutamente necessário (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.23 | memInactive | Memória resgatável antiga, a menos que absolutamente necessário (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.24 | anonPages | Páginas de memória mapeadas em tabelas de userspace (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.25 | shMem | Memória consumida em IPC (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.26 | kernelSlab | (Slab) cache de estruturas de dados de kernel (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.27 | kernelSReclaimable | Parte do slab que pode ser resgatada, como caches (%). |
| .1.3.6.1.4.1.41054.1.1.2.0.28 | sessionCount | Contagem de sessões de usuários. |
Os eventos que podem gerar traps no HSM são:
- Criação de uma chave privada
- Destruição de uma chave privada
- Start de serviço
- Stop de serviço
- Recuperação automática de serviço
- Uso de smart card
- Shutdown do HSM
- Reboot do HSM
- Reset da base de dados do HSM
- Falha de autenticação
- Mudança de permissão de usuário
- Criação de usuário
- Remoção de usuário
- Geração de arquivo de backup
- Restauração de arquivo de backup
- Atualização de firmware
- Exportação de chave privada
- Importação de chave privada
- Lock na console local do HSM
- Unlock na console local do HSM
- Falha no subsistema de log (Broken Log)
- Replicação, retorno de Busy
- Replicação, retorno de Peer Not Synced
- Replicação, retorno de Cannot Peer to Peer
- Replicação, retorno de Storage Layer Failure
- Replicação, retorno de Cannot Validate Event
- Replicação, retorno de Transaction Mismatch
- Replicação, retorno de Database Live Sync Error
- Replicação, retorno de Transaction Log Error
- Replicação, retorno de Cannot Start Manager