Backups de equipamentos

Central de backup diário da configuração dos equipamentos de rede: descoberta automática por IA, cofre de credenciais cifradas, histórico com diff e retenção inteligente.

Visão geral Novo na 7.2 Somente Master

O ambiente Backups guarda, todos os dias, uma cópia da configuração dos seus roteadores, switches, OLTs e demais equipamentos com acesso SSH, de qualquer marca. Além de manter o snapshot, ele responde à pergunta mais importante depois de um incidente: o que mudou neste equipamento e quando. Cada alteração de configuração vira uma entrada na linha do tempo, com diff linha a linha.

Para abrir, use o item Backups no menu principal. O módulo é exclusivo do usuário Master: o item de menu nem aparece para os demais usuários, e não existe liberação por grupo de acesso. Essa é uma decisão de segurança, já que os arquivos de backup contêm a configuração completa da rede.

A tela principal

No topo da tela ficam o seletor de Densidade (Compacto, Confortável ou Espaçoso, a escolha fica salva no navegador), o campo Buscar equipamentos… (filtra por IP, marca, modelo ou sistema operacional detectado) e o botão Adicionar.

Logo abaixo, cinco cards resumem a saúde do ambiente:

CardO que mostra
EquipamentosTotal de equipamentos cadastrados no módulo.
Backup nas 24hQuantos têm backup concluído com sucesso nas últimas 24 horas.
Sem suporteQuantos foram marcados como modelo não suportado.
Em falhaQuantos falharam na última tentativa de backup.
Disco usadoEspaço total ocupado pelos arquivos de backup armazenados.

A lista de equipamentos traz as colunas MARCA / MODELO / SO, STATUS, ÚLTIMO BACKUP (data, hora e tamanho), ALTERAÇÕES (dias com mudança nos últimos 3 dias) e AÇÕES. Em telas de celular a tabela vira cards. A lista se atualiza sozinha a cada 30 segundos.

Status possíveis de um equipamento

StatusSignificado
PendenteRecém-cadastrado, aguardando a descoberta começar.
Configurando…A descoberta automática está em andamento.
Backup ativoO sistema sabe fazer o backup deste equipamento e o executa diariamente.
Sem suporteNão foi possível configurar o backup para este equipamento. O motivo aparece junto ao status e no detalhe.
FalhaA última tentativa de backup ou de descoberta falhou. O motivo fica registrado no painel de progresso do detalhe.

Painel de detalhe

Clicar em uma linha (ou em Ver detalhe no menu de ações) abre o painel do equipamento, com o botão ← Equipamentos para voltar. O detalhe reúne:

  • Progresso da descoberta: log ao vivo dos eventos da configuração automática, inclusive o motivo da última falha quando houver.
  • Lista de backups: os arquivos guardados, com data, tamanho, contadores de linhas alteradas e os botões Baixar e Excluir.
  • Timeline de alterações: o histórico dia a dia do que mudou na configuração (veja Linha do tempo e diff).

No cabeçalho do detalhe ficam os botões Backup agora (disponível quando o backup já está configurado), Editar acesso, Refazer descoberta e Excluir.

Se a opção global de exibição de IPs do sistema estiver desligada, o IP dos equipamentos com backup ativo aparece mascarado como ***. Equipamentos ainda não configurados continuam mostrando o IP, para facilitar o diagnóstico.


Cofre de credenciais Novo na 7.2

O cofre é a base única de credenciais de acesso a equipamentos de rede (SSH e Telnet) do Ravi Monitor. Cada equipamento cadastrado nos Backups corresponde a uma credencial no cofre, e a lista da central é, na prática, a lista do cofre. Ele não tem tela própria: é alimentado e consumido pelos módulos que precisam acessar equipamentos.

  • Backups: as modais Adicionar equipamento e Editar acesso gravam a credencial no cofre.
  • Flow: ao cadastrar um exportador (manual ou pelo chat de IA), a credencial informada vai para o cofre e o equipamento já entra automaticamente no ambiente Backups.
  • Captura forense do Flow: usa a credencial do cofre para coletar tráfego no roteador durante um ataque.
  • Copiloto IA: usa o cofre para acessar equipamentos em ações agênticas.

Segurança das credenciais

  • A senha é cifrada antes de ser guardada. A chave de cifra fica no servidor, fora da área pública do site.
  • A senha é decifrada apenas em memória, no momento do uso, e nunca é enviada ao navegador: a interface apenas sinaliza que existe uma senha salva.
  • Cada registro guarda IP, porta, usuário, senha cifrada, protocolo (SSH ou Telnet), método de autenticação (senha ou chave do sistema), marca, modelo e o módulo de origem.
  • O cofre é deduplicado por IP e porta: cadastrar o mesmo IP:porta em dois módulos atualiza o mesmo registro, sem criar duplicata. Campos deixados em branco preservam o valor anterior.

O mesmo IP em portas diferentes conta como acessos distintos, e portanto como equipamentos distintos no módulo de Backups.


Adicionar equipamento

Cadastrar um equipamento é informar como o Ravi chega nele por SSH. Todo o resto (identificar a marca, o modelo e o jeito certo de extrair a configuração) o sistema resolve sozinho.

  1. No menu, abra Backups.
  2. Clique em Adicionar. A modal Adicionar equipamento se abre.
  3. Preencha os campos de acesso (tabela abaixo) e confirme.
  4. A credencial vai cifrada para o cofre, o equipamento entra como Pendente e a descoberta automática dispara na hora, em segundos. Acompanhe pelo painel Progresso da descoberta no detalhe.
CampoO que informar
IP / HostEndereço IP do equipamento. Precisa ser um IP válido: hostname não é aceito.
PortaPorta SSH do equipamento. Padrão: 22.
UsuárioUsuário de login no equipamento. Obrigatório.
AutenticaçãoSenha ou Chave do sistema. Ao escolher a chave, o campo Senha desaparece; a chave pública do sistema precisa estar instalada no equipamento (veja Chave SSH do sistema).
SenhaSenha do usuário. Obrigatória no modo senha.
MarcaOpcional. Seletor pesquisável com as marcas conhecidas: Mikrotik (RouterOS), Cisco (IOS/IOS-XE/NX-OS), Huawei (VRP: NE, S-series, AR, OLT), Juniper (Junos), Nokia (SR OS/TiMOS), ZTE (ZXROS), Datacom (DmOS), FiberHome (AN6000/AN5516), Ubiquiti (EdgeOS/EdgeRouter), Arista (EOS), Fortinet (FortiOS), Palo Alto (PAN-OS), Intelbras, Parks, além de "Linux (genérico), sem backup" e "Outra marca".
ModeloOpcional. Exemplo: CCR1036.

Informar marca e modelo é opcional, mas acelera e barateia a configuração: se o modelo já é conhecido pelo catálogo do sistema, o backup é ativado direto, sem usar IA.

O campo IP / Host exige um IP válido. Se o equipamento é conhecido por hostname, resolva o nome e cadastre o IP.

Editar acesso

O botão Editar acesso (na linha da lista ou no detalhe) abre a mesma modal com os dados atuais. Particularidades:

  • Senha em branco mantém a senha atual: só preencha o campo se quiser trocar a senha.
  • Se IP ou porta mudarem, o sistema entende que pode ser outro equipamento: descarta a configuração de backup aprendida e refaz a descoberta do zero. Os arquivos e a timeline antigos permanecem.
  • Se mudarem apenas usuário, senha ou método de autenticação, a configuração é mantida e só a conectividade é revalidada.
  • Equipamentos em Sem suporte não redescobrem automaticamente ao salvar: para tentar de novo, use Refazer descoberta.
  • Toda edição de acesso fica registrada no histórico de ações do usuário.

Excluir equipamento

A ação Excluir pede confirmação e remove o equipamento do módulo, junto com a timeline, os eventos e os arquivos de backup em disco. A credencial permanece no cofre.

Excluir um equipamento apaga também os arquivos de backup armazenados. Se precisar guardar algum snapshot, use Baixar antes de excluir.


Descoberta por IA Novo na 7.2

A descoberta é o processo que transforma uma credencial SSH em um backup funcionando. O sistema conecta no equipamento, identifica marca, modelo e sistema operacional, e encontra (ou aprende) o procedimento correto para extrair a configuração daquele modelo. Você não precisa saber o comando de backup de cada fabricante: essa é a parte que o Ravi resolve.

Como funciona

  1. A descoberta dispara imediatamente ao clicar em Adicionar, ao salvar Editar acesso ou ao usar Refazer descoberta. Ela roda em segundo plano e o progresso aparece ao vivo no painel Progresso da descoberta.
  2. Se a marca e o modelo informados já constam no catálogo interno de procedimentos, o sistema testa o procedimento direto, sem IA. Se funcionar, o status vira Backup ativo na hora.
  3. Caso contrário, a IA conecta por SSH e identifica o equipamento com comandos de versão somente leitura, consulta o catálogo com a identificação obtida e, se ainda não houver procedimento, propõe um. O servidor testa a proposta de verdade no equipamento, e a IA a revisa até funcionar.
  4. O procedimento aprovado entra no catálogo do servidor. O próximo equipamento do mesmo modelo é configurado sem custo de IA: paga-se IA aproximadamente uma vez por modelo, não por equipamento.
  5. A marca e o modelo identificados são gravados de volta na credencial do cofre, e passam a aparecer em qualquer módulo que a utilize.

O catálogo já vem de fábrica com os procedimentos de Mikrotik RouterOS (exportação da configuração em texto mais o arquivo de backup binário) e Ubiquiti AirOS, então esses equipamentos ativam o backup sem nenhuma chamada de IA.

Segurança da descoberta

  • A IA não executa script livre no equipamento: ela apenas propõe um procedimento com um vocabulário fechado de passos, interpretado por um executor fixo do sistema.
  • Uma lista de bloqueio determinística barra comandos destrutivos (reset, reboot, formatação, remoção de arquivos, alteração de usuários e senhas), independentemente do que a IA produzir.
  • Durante a descoberta, qualquer comando de escrita é bloqueado: o processo é somente leitura por construção.
  • Há limites rígidos de passos, tempo por passo, tempo total e tamanho do arquivo gerado, além de validação do conteúdo extraído.
  • O procedimento que vai para o backup diário é exatamente o que foi testado com sucesso, sem alterações posteriores.

Quando o equipamento fica "Sem suporte"

Motivo exibidoO que significa
Motivo: telnet não automatizadoA credencial do cofre é Telnet. O módulo só automatiza SSH: habilite SSH no equipamento e edite o acesso.
Motivo: Linux genérico (sem backup)O alvo é um servidor Linux de propósito geral (Debian, Ubuntu, CentOS etc.). Por decisão de produto, servidores não entram no backup de equipamentos de rede.
Motivo: sem método de backupA IA não encontrou uma forma segura de extrair a configuração deste modelo.

Refazer descoberta e retentativas

O botão Refazer descoberta zera o procedimento aprendido, limpa o log anterior e dispara a descoberta na hora. Use após atualizar o firmware, ao trocar o equipamento mantendo o mesmo IP, ou quando o status Sem suporte foi causado por um problema temporário.

O sistema também se protege sozinho: equipamentos em Falha são retentados automaticamente (até 3 vezes, com pelo menos 2 horas de intervalo), e uma descoberta presa em Configurando… sem progresso volta sozinha para Falha, com o motivo registrado. Você nunca fica com um "Configurando…" eterno na tela.

A descoberta de modelos novos usa o motor de IA embutido do Ravi Monitor, sem exigir chave de API própria. Se o motor de IA não estiver disponível no servidor, a descoberta de modelos fora do catálogo falha com o evento "Motor de IA não configurado.", mas equipamentos de modelos já catalogados continuam sendo configurados normalmente.

O painel Progresso da descoberta mostra apenas eventos amigáveis (conexão, identificação, validação). Comandos e procedimentos internos nunca aparecem no log.


Backup diário e retenção

Depois que o equipamento chega a Backup ativo, o backup diário roda sozinho, todos os dias às 02:00, de forma totalmente determinística (a IA não participa da execução; ela só entra, opcionalmente, no resumo do diff). Para cada equipamento, o sistema executa o procedimento aprovado, compara o resultado com o backup anterior e decide:

  • Sem mudança real: nada é duplicado. O sistema guarda apenas um arquivo por versão de configuração, e a timeline registra "Sem alterações neste dia.".
  • Com mudança: o novo arquivo é guardado e a timeline ganha uma entrada com o resumo e o diff do que mudou.
  • Falha: a timeline registra o motivo, o card Em falha incrementa e o último backup bom continua guardado. O status volta ao normal na próxima execução bem-sucedida.

A comparação ignora linhas voláteis do equipamento (por exemplo, comentários com data e hora gerados pelo RouterOS): se só o timestamp mudou, não conta como alteração e não gasta disco.

Também é possível executar sob demanda com o botão Backup agora no detalhe do equipamento. O resultado aparece como notificação na tela: primeiro backup gerado, backup concluído com o total de linhas alteradas, concluído sem alterações, ou erro (de backup ou de conexão).

Retenção e uso de disco

RegraComportamento padrão
Retenção de arquivos30 dias. O último backup de cada equipamento é sempre preservado, mesmo que seja mais antigo: você nunca fica sem snapshot.
Retenção da timelineAs entradas do histórico de alterações são mantidas por 180 dias (a tela exibe os últimos 30).
Disco baixo (menos de 5 GB livres)A retenção encurta automaticamente de 30 para 7 dias.
Disco crítico (menos de 2 GB livres)O ciclo diário e as descobertas são abortados até liberar espaço.

Os arquivos ficam armazenados fora da área pública do servidor, em /opt/Ravi/backups, com permissões restritas. Com a deduplicação, em uma rede estável o consumo de disco é mínimo: um arquivo por versão de configuração, não por dia.

Não edite nem limpe /opt/Ravi/backups manualmente. Use a interface (excluir arquivo ou equipamento) para manter o histórico e o disco coerentes.

Baixar e excluir arquivos

Na Lista de backups do detalhe, cada arquivo tem os botões Baixar e Excluir. O download é sempre autenticado (somente Master) e o arquivo nunca fica acessível por URL direta. A exclusão de arquivo pede confirmação e é irreversível; o único ou último backup principal do equipamento não pode ser excluído, nem pela retenção: o snapshot mais recente é sempre protegido.

Limites técnicos

  • Arquivo de backup: até 50 MB por artefato.
  • Execução: tempo total limitado a 8 minutos por equipamento, com trava que impede dois backups simultâneos do mesmo alvo.
  • A lista de backups do detalhe exibe os 50 arquivos mais recentes.
  • O escopo é a configuração do equipamento (export ou running-config). Não é backup de firmware nem de dados.

Falhas de backup não geram notificação por WhatsApp ou Telegram. Acompanhe pelo card Em falha na central e pela timeline de cada equipamento.


Linha do tempo e diff

A Timeline de alterações é o registro de auditoria da configuração de cada equipamento: uma entrada por dia, da mais recente para a mais antiga, cobrindo os últimos 30 dias. É a ferramenta certa para investigar um incidente ("o que mudou neste roteador ontem à noite?") e para revisar o trabalho da equipe.

Cada dia aparece de uma destas formas:

  • "Sem alterações neste dia.": o backup rodou e a configuração está idêntica.
  • "Primeiro backup gerado.": marco do primeiro snapshot do equipamento.
  • Dia com mudança: um resumo legível do que mudou, no idioma do usuário, seguido do diff completo.
  • "Falha: ...": a execução daquele dia não concluiu, com o motivo registrado.

O diff

  • Linhas removidas em vermelho (−) e adicionadas em verde (+), agrupadas por seção da configuração do equipamento.
  • Botão Copiar para levar o trecho para um chamado ou documentação, e Mostrar mais quando a mudança passa de 10 linhas.
  • Na Lista de backups, os chips +N/−N de cada arquivo indicam o total de linhas adicionadas e removidas; clicar em um chip rola a página até a entrada correspondente da timeline.

O resumo em linguagem natural é gerado por IA (recurso ligado por padrão) em português, inglês e espanhol. Se a IA estiver indisponível, o sistema usa um resumo determinístico com a contagem de linhas adicionadas e removidas: a timeline nunca fica sem registro.

Backups binários ou criptografados (por exemplo, o arquivo .backup do Mikrotik) não têm diff nem deduplicação por conteúdo. O diff vale para o artefato principal em texto.


Chave SSH do sistema Novo na 7.2

O servidor Ravi possui um par de chaves SSH próprio, único por servidor, para acessar equipamentos por chave pública em vez de senha. Usar a chave elimina a senha do cofre para aquele alvo e faz o backup sobreviver a trocas de senha do equipamento.

O gerenciamento fica em Configurações gerais, aba Sistema, card Acesso do sistema (chave SSH) (veja a documentação de Configurações). O par é gerado automaticamente na primeira vez que o card é aberto; não há botão de gerar.

  • São duas chaves: Ed25519 (recomendada) e RSA-2048 (compatibilidade), esta para equipamentos antigos que só validam RSA. Na conexão, o sistema apresenta as duas e o equipamento aceita a que tiver instalada.
  • A chave privada nunca sai do servidor; o card exibe apenas as chaves públicas.
  • O seletor Plataforma monta um comando pronto para colar no terminal do equipamento, com o botão Copiar. Plataformas disponíveis: Linux (Debian/RHEL/genérico), MikroTik (RouterOS), Cisco IOS, Huawei VRP e Juniper Junos.
  • O link Ver chaves públicas (instalação manual) expande as duas chaves completas, para colar em authorized_keys ou importar manualmente.

Como ativar a chave em um equipamento do Backups

  1. Em Configurações gerais, aba Sistema, abra o card Acesso do sistema (chave SSH).
  2. Escolha a Plataforma do equipamento, clique em Copiar e cole o comando no terminal do equipamento. Nas plataformas Cisco, Huawei e Juniper, troque SEU_USUARIO pelo usuário de login do equipamento, conforme a nota exibida no card.
  3. De volta ao módulo Backups, abra Editar acesso do equipamento e mude Autenticação para Chave do sistema. O campo Senha desaparece.
  4. Salve. A conectividade é revalidada com a chave.

No MikroTik, importar a chave SSH desativa o login por senha daquele usuário (comportamento do RouterOS). Instale a chave e, em seguida, marque Chave do sistema no acesso do equipamento, senão a próxima conexão por senha falhará.

No Huawei VRP, o comando gerado permite autenticação por chave ou senha, então o acesso por senha continua funcionando após instalar a chave.


Equipamentos antigos

Rede de provedor tem equipamento de todas as idades, e o módulo foi construído para conviver com isso sem configuração extra.

SSH legado (RouterOS 6, AirOS, Dropbear antigo)

Equipamentos antigos muitas vezes só oferecem chave de host ssh-rsa e troca de chaves com SHA-1, algoritmos que clientes SSH modernos recusam por padrão. O Ravi reaceita esses algoritmos de forma aditiva: equipamentos modernos continuam negociando os algoritmos fortes primeiro, e os antigos passam a conectar sem nenhum ajuste manual.

Huawei VRP e shell interativo

Equipamentos Huawei com VRP (NE8000, switches S-series, OLTs) não aceitam execução direta de comando pelo canal SSH. Para eles, o motor de backup usa automaticamente uma sessão de shell interativa que:

  • responde "N" ao prompt de troca de senha do primeiro login, sem alterar a senha do equipamento;
  • desativa a paginação do terminal para capturar a saída completa;
  • captura a configuração corrente diretamente.

Tudo isso é transparente: a descoberta detecta a necessidade sozinha e o operador não configura nada.

Autenticação por chave em equipamentos antigos

Para equipamentos que não validam chaves Ed25519, use a chave RSA-2048 (compatibilidade) do card Acesso do sistema (chave SSH). Como o sistema apresenta as duas chaves na conexão, basta instalar a que o equipamento aceitar.