SNMP
O equipamento pode ser monitorado usando protocolo SNMP v2c. O HSM envia traps
(notificações não solicitadas) na ocorrência de certos eventos, que podem ser dirigidos a um coletor SNMP padrão. Além disso o HSM também responde a mensagens de Get, de acordo com a lista de OIDs suportados.
Operações SNMP de Set não são suportadas.
O HSM tem OIDs específicos e proprietários sob a entrada .1.3.6.1.4.1.41054 (.iso.org.dod.internet.private.enterprises.dinamonetworks) na árvore de MIBs, definidos em arquivo MIB proprietário. Um OID é usado para traps
e outro para Gets. A entrada IANA 41054 está registrada em nome de Dinamo Networks.
Os parâmetro de configuração SNMP via console são:
Sys Contact: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.4 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The textual identification of the contact person for this managed node, together with information on how to contact this person.
Sys Location: informação retornada pelo HSM na mensagem padrão SNMP Get com OID .1.3.6.1.2.1.1.6 (grupo mib 2 system, veja abaixo). A informação cadastrada é um texto livre escolhido do operador, e conforme recomenda o padrão SNMP, do original em inglês, é o objetivo deste OID: The physical location of this node (e.g.,'telephone closet, 3rd floor').
Trap Community Name: nome da comunidade SNMP exclusivamente para envio dos traps. Este nome é usado apenas para pareamento no protocolo.
Trap Targets: a lista de endereços IP para onde devem ser enviados os traps gerados pelo HSM. Até 04 targets podem ser configurados.
Todas as informações de Get retornadas pelo HSM são informações não sensíveis ou não críticas e a maioria também está disponível na tela de About da Console Local, exibida antes de qualquer autenticação de operador.
Os Gets são respondidos na porta UDP 161 do HSM e os traps são enviados aos targets na porta UDP 162.
A comunidade SNMP para operações de Get é sempre public
.
A definição formal dos OIDs proprietários do HSM está no arquivo Dinamo-MIB.txt.
O HSM responde aos Gets do padrão MIB-2, entre os quais os grupos:
system:
OID | name | value |
.1.3.6.1.2.1.1.1 | sysDescr | Texto formado pelo modelo e número de série do HSM, versão do firmware, perfil de hardware e identificação de TPKEY. |
.1.3.6.1.2.1.1.2 | sysObjectID | Texto |
.1.3.6.1.2.1.1.3 | sysUpTime | Tempo decorrido desde que o HSM foi ligado. |
.1.3.6.1.2.1.1.4 | sysContact | Texto com a informação cadastrada na Console do HSM, veja acima. |
.1.3.6.1.2.1.1.5 | sysName | Número de série do HSM. |
.1.3.6.1.2.1.1.6 | sysLocation | Texto com a informação cadastrada na Console do HSM, veja acima. |
interfaces
ip
icmp
tcp
udp
snmp
host resources
Os OIDs proprietários aos quais o HSM responde Get são descritos na tabela abaixo. São aqueles abaixo de .1.3.6.1.4.1.41054 ou .iso.org.dod.internet.private.enterprises.dinamonetworks.
OID | name | value |
.1.3.6.1.4.1.41054.1.1.2.0.1 | hsmUpTime | Tempo decorrido desde que o HSM foi ligado. |
.1.3.6.1.4.1.41054.1.1.2.0.2 | cpuLoadAverage | Consumo instantâneo de CPU medido no momento do Get. |
.1.3.6.1.4.1.41054.1.1.2.0.3 | totalMemory | Memória total do HSM em percentual , valor fixo: |
.1.3.6.1.4.1.41054.1.1.2.0.4 | usedMemory | Percentual de uso instantâneo de memória física. |
.1.3.6.1.4.1.41054.1.1.2.0.7 | hsmCryptoBattery | Percentual de carga na zona segura da bateria do circuito supervisor de violação. |
.1.3.6.1.4.1.41054.1.1.2.0.8 | diskBockSize | Tamanho em bytes do bloco individual do sistema de armazenamento do HSM. |
.1.3.6.1.4.1.41054.1.1.2.0.9 | diskBlockCount | Contagem de blocos individuais do sistema de armazenamento. |
.1.3.6.1.4.1.41054.1.1.2.0.10 | diskFreeBlockCount | Contagem de blocos individuais não usados no sistema de armazenamento. |
.1.3.6.1.4.1.41054.1.1.2.0.11 | hsmTamperingState | Estado de tamper do HSM. |
.1.3.6.1.4.1.41054.1.1.2.0.12 | hsmNodeAlias | Alias escolhido pelo operador para o HSM. O alias é definido na console local. |
.1.3.6.1.4.1.41054.1.1.2.0.13 | usrCount | Contagem de partições no HSM. |
.1.3.6.1.4.1.41054.1.1.2.0.14 | objCount | Contagem de objetos no HSM (em todas as partições). |
.1.3.6.1.4.1.41054.1.1.2.0.15 | slbeLen | Tamanho da base de dados (em unida des de 4kb). |
.1.3.6.1.4.1.41054.1.1.2.0.16 | logSize | Tamanho do arquivo de log (em bytes). |
.1.3.6.1.4.1.41054.1.1.2.0.17 | atokenCacheCount | Número de a-tokens emitidos em cache. |
.1.3.6.1.4.1.41054.1.1.2.0.18 | memTotal | RAM Utilizável (100%). |
.1.3.6.1.4.1.41054.1.1.2.0.19 | memAvailable | Memória disponível estimada (%). |
.1.3.6.1.4.1.41054.1.1.2.0.20 | memBuffers | Blocos raw em disco (%). |
.1.3.6.1.4.1.41054.1.1.2.0.21 | memCached | Cache em memória (%) |
.1.3.6.1.4.1.41054.1.1.2.0.22 | memActive | Memória resgatável recente, a menos que absolutamente necessário (%). |
.1.3.6.1.4.1.41054.1.1.2.0.23 | memInactive | Memória resgatável antiga, a menos que absolutamente necessário (%). |
.1.3.6.1.4.1.41054.1.1.2.0.24 | anonPages | Páginas de memória mapeadas em tabelas de userspace (%). |
.1.3.6.1.4.1.41054.1.1.2.0.25 | shMem | Memória consumida em IPC (%). |
.1.3.6.1.4.1.41054.1.1.2.0.26 | kernelSlab | (Slab) cache de estruturas de dados de kernel (%). |
.1.3.6.1.4.1.41054.1.1.2.0.27 | kernelSReclaimable | Parte do slab que pode ser resgatada, como caches (%). |
.1.3.6.1.4.1.41054.1.1.2.0.28 | sessionCount | Contagem de sessões de usuários. |
Os eventos que podem gerar traps no HSM são:
Criação de uma chave privada
Destruição de uma chave privada
Start de serviço
Stop de serviço
Recuperação automática de serviço
Uso de smart card
Shutdown do HSM
Reboot do HSM
Reset da base de dados do HSM
Falha de autenticação
Mudança de permissão de usuário
Criação de usuário
Remoção de usuário
Geração de arquivo de backup
Restauração de arquivo de backup
Atualização de firmware
Exportação de chave privada
Importação de chave privada
Lock na console local do HSM
Unlock na console local do HSM
Falha no subsistema de log (Broken Log)
Replicação, retorno de Busy
Replicação, retorno de Peer Not Synced
Replicação, retorno de Cannot Peer to Peer
Replicação, retorno de Storage Layer Failure
Replicação, retorno de Cannot Validate Event
Replicação, retorno de Transaction Mismatch
Replicação, retorno de Database Live Sync Error
Replicação, retorno de Transaction Log Error
Replicação, retorno de Cannot Start Manager
Atualizado