La supervision avec et sans agents

Les activités des entreprises ont beaucoup évolué. Le système d’information fonctionne sans interruption. La supervision avec un agent nécessite l’installation d’un logiciel client sur le serveur à superviser. AXA interdit l’installation de composants ou logiciels sur des serveurs de production pendant les plages de production.

Sur de vastes infrastructures comme AXA, l’installation des agents peut nécessiter des ressources importantes. Dans ce cas, l’installation des agents doit faire l’objet d’un projet. La supervision sans agent ne nécessite pas de composants supplémentaires sur le serveur à superviser. Elle est facile à déployer sur de vastes infrastructures.

La supervision sans agent sera recommandée pour des infrastructures de taille modeste. La supervision avec un agent sera utilisée lorsque les performances seront nécessaires.

II.3.3.1 La supervision avec agent

La supervision avec un agent nécessite l’installation d’un logiciel client sur le serveur à superviser. Le déploiement d’une telle supervision est un projet a lui seul.

Chaque agent installé doit être configuré sur chaque serveur. Une configuration de base peut être déployée sur l’ensemble des serveurs à superviser. Les configurations spécifiques seront ensuite appliquées selon plusieurs modèles :

• En regroupant les serveurs ayant les mêmes caractéristiques techniques • Nécessite une gestion rigoureuse des configurations

• En appliquant une configuration spécifique pour chaque serveur • Long et fastidieux

• L’auto-découverte

• L’agent de supervision installé détecte automatiquement les caractéristiques du serveur à superviser.

• Etc. • Fonctionnement

La supervision avec agent est généralement composée d’un ou plusieurs collecteurs. Les collecteurs communiquent avec les agents installés sur les serveurs à superviser. Les résultats des tests de supervision sont sauvegardés dans une base de données. Ces données sont utilisées afin d’alimenter la cartographie ou la « MAP ».

L’architecture d’une supervision avec agent est composée : • D’une base de données

• Les données collectées sur les serveurs supervisés • La configuration des agents

• La configuration des collecteurs • Les données de performance • Etc.

• De collecteurs : ils sont chargés récupérer les informations collectées lors des tests par les agents installés sur les serveurs à superviser

• D’une console centrale d’administration • Une cartographie des serveurs supervisés • Etc.

La figure 14 est un exemple d’architecture de supervision avec agent.

Figure 14 : Exemple d’architecture de supervision avec agent

Le déploiement de l’agent peut mobiliser des ressources de l’entreprise et nécessite des outils de déploiement pour les volumes importants de serveurs.

II.3.3.2 La supervision sans agent

La supervision sans agent ne nécessite pas d’installation sur le serveur à superviser. Les risques liés à l’installation de composants sur des serveurs en productions sont limités. La supervision sans agent permet une mise en production rapide des serveurs à superviser. Son déploiement est piloté depuis la console de supervision. Les serveurs à superviser sont créés directement dans la console de gestion de la supervision centrale.

La liste des serveurs à superviser peut être créée en utilisant un fichier modèle au format « .CSV » (Comma-Separated Values), ou « valeurs séparées par des virgules » en français. La supervision sans agent peut utiliser des technologies différentes pour fonctionner sur le serveur à superviser :

• SNMP : Simple Network Management Protocole

• protocole de communication pour l’administration et la supervision des équipements réseaux

• WMI : Windows Management Instrumentation • Infrastructure de gestion de Windows • Etc.

La supervision de systèmes informatiques doit être intégrée dans la gestion du risque opérationnel de la société. Elle doit être valorisée comme un investissement à long terme.

II.3.3.3 Evaluation de la supervision

L’architecture de supervision est un maillon essentiel dans la gestion du risque au sein de l’entreprise. Une étude comparative des différents systèmes de supervision donnera les lignes directrices pour la DSI.

L’évaluation des outils de supervision ne doit pas s’arrêter à l’étude comparative des coûts les plus bas. Elle doit permettre d’évaluer aussi les risques liés à la sécurité, s’inscrire comme un investissement à long terme et doit prendre en compte l’évolution des systèmes.

Le tableau 7 est un comparatif de la supervision avec et sans agent. Il permet d’évaluer le type d’architecture à mettre place.

Supervision avec agent Supervision sans agent

Déploiement long et fastidieux Déploiement rapide et facile Nécessite plus de ressources Mobilise moins de ressources Système réactif et performant Dépend de la taille de l'architecture Supervision étendue à tous les

composants du système

Supervision limitée à certains composants du système Sécurité renforcée Risque potentiel de sécurité Augmentation du trafic réseau Trafic réseau réduit Mise à jour de l'agent fastidieux Pas d'agent

Evolution complexe Evolution facile

Coût global important Coût global plus faible

Point faible Point fort

Tableau 7 : La supervision avec et sans agent

II.3.3.4 La supervision CA NSM 3.1

ATS utilise l’outil de supervision NSM 3.1 de la société Computer Associates (CA). NSM permet de superviser des systèmes d’exploitation hétérogènes.

La supervision NSM est une supervision avec agent. Le principe de fonctionnement de la supervision avec agent est présenté dans la section II.3.3.1. Les collecteurs NSM sont appelés DSM pour « Distributed State Machine », ou Machine à états distribués en français.

La supervision NSM 3.1 a permis de répondre aux exigences des DSI durant des années. Elle permet de superviser un grand nombre de composants des systèmes d’informations, tels que :

• Les services du système d’exploitation

• Les espaces disques : dépassement de seuils d’espaces disques • Les événements du système

• Les performances du système • Les fichiers d’échanges du système

• Les bases de données (nécessitent un agent spécial) • Les interfaces réseaux : l’état des interfaces réseaux

• Les clusters (partages de ressources entre plusieurs serveurs) • Etc.

NSM 3.1 est un outil de supervision dédié aux entreprises. Il a été conçu pour répondre aux exigences des DSI dans le domaine de la supervision.

• Les performances de CA NSM

Les performances de la supervision CA NSM sont renforcées grâce aux agents installés sur les systèmes à superviser. Une bonne répartition des DSM25 dans l’architecture permet d’accroître considérablement les performances de la supervision.

L’évaluation des performances de la supervision est réalisée avec l’agent de performance, un sous-système de la supervision. L'agent de performance CA NSM fournit des événements liés aux performances d’un large éventail de systèmes d'exploitation.

Les performances de la supervision dépendent d’un certain nombre paramètres : • La taille et la conception de l’architecture de supervision

• De la stratégie de supervision : le nombre d’éléments supervisés • Des performances du système supervisé

• Etc.

• Les points faibles de CA NSM3.1

La supervision NSM impose que l’agent NSM soit connecté en permanence au serveur DSM. Ces nombreux échanges avec le DSM sont consommateurs de bandes passantes, c'est-à-dire qu’il y a une augmentation du trafic réseau.

Dans certaine architecture réseau ayant de faibles bandes passantes entre le site central et les sites secondaires, l’utilisation de serveurs DSM est nécessaire pour améliorer les performances de la supervision.

Le groupe AXA a fait le choix de ne pas superviser les serveurs se trouvant sur des sites secondaires avec la solution CA NSM. Les coûts seraient trop élevés. Il faudrait autant de DSM supplémentaires que de sites. Chaque DSM ne superviserait en moyenne que 2 à 3 serveurs au maximum.

• Le cycle de vie de CA NSM 3.1

Les systèmes d’exploitation ont beaucoup évolué, et la solution NSM 3.1 est devenue obsolète. Créée en 2004, elle est arrivée en fin de cycle de vie. Computer Associates propose désormais une nouvelle version NSM r11, avec en option la supervision de l’active directory, qui faisait défaut dans la version NSM 3.1.

• Etat des lieux chez ATS

Une étude a été menée courant 2012 en vu de remplacer le produit CA NSM 3.1 par des solutions de supervision dans le domaine libre (open source linux). J’ai participé à cette étude en tant que consultant. Mais ce projet n’a abouti, car il était trop coûteux. De nombreux développements avaient été faits autour de CA NSM.

Un projet est en cours chez ATS afin de migrer la version NSM3.1 vers NSM r11. Aujourd’hui, une architecture NSM r11 est installée, elle était jusqu’ici en cours de validation opérationnelle.