Backups de equipamentos
Central de backup diário da configuração dos equipamentos de rede: descoberta automática por IA, cofre de credenciais cifradas, histórico com diff e retenção inteligente.
Visão geral Novo na 7.2 Somente Master
O ambiente Backups guarda, todos os dias, uma cópia da configuração dos seus roteadores, switches, OLTs e demais equipamentos com acesso SSH, de qualquer marca. Além de manter o snapshot, ele responde à pergunta mais importante depois de um incidente: o que mudou neste equipamento e quando. Cada alteração de configuração vira uma entrada na linha do tempo, com diff linha a linha.
Para abrir, use o item Backups no menu principal. O módulo é exclusivo do usuário Master: o item de menu nem aparece para os demais usuários, e não existe liberação por grupo de acesso. Essa é uma decisão de segurança, já que os arquivos de backup contêm a configuração completa da rede.
A tela principal
No topo da tela ficam o seletor de Densidade (Compacto, Confortável ou Espaçoso, a escolha fica salva no navegador), o campo Buscar equipamentos… (filtra por IP, marca, modelo ou sistema operacional detectado) e o botão Adicionar.
Logo abaixo, cinco cards resumem a saúde do ambiente:
| Card | O que mostra |
|---|---|
| Equipamentos | Total de equipamentos cadastrados no módulo. |
| Backup nas 24h | Quantos têm backup concluído com sucesso nas últimas 24 horas. |
| Sem suporte | Quantos foram marcados como modelo não suportado. |
| Em falha | Quantos falharam na última tentativa de backup. |
| Disco usado | Espaço total ocupado pelos arquivos de backup armazenados. |
A lista de equipamentos traz as colunas MARCA / MODELO / SO, STATUS, ÚLTIMO BACKUP (data, hora e tamanho), ALTERAÇÕES (dias com mudança nos últimos 3 dias) e AÇÕES. Em telas de celular a tabela vira cards. A lista se atualiza sozinha a cada 30 segundos.
Status possíveis de um equipamento
| Status | Significado |
|---|---|
| Pendente | Recém-cadastrado, aguardando a descoberta começar. |
| Configurando… | A descoberta automática está em andamento. |
| Backup ativo | O sistema sabe fazer o backup deste equipamento e o executa diariamente. |
| Sem suporte | Não foi possível configurar o backup para este equipamento. O motivo aparece junto ao status e no detalhe. |
| Falha | A última tentativa de backup ou de descoberta falhou. O motivo fica registrado no painel de progresso do detalhe. |
Painel de detalhe
Clicar em uma linha (ou em Ver detalhe no menu de ações) abre o painel do equipamento, com o botão ← Equipamentos para voltar. O detalhe reúne:
- Progresso da descoberta: log ao vivo dos eventos da configuração automática, inclusive o motivo da última falha quando houver.
- Lista de backups: os arquivos guardados, com data, tamanho, contadores de linhas alteradas e os botões Baixar e Excluir.
- Timeline de alterações: o histórico dia a dia do que mudou na configuração (veja Linha do tempo e diff).
No cabeçalho do detalhe ficam os botões Backup agora (disponível quando o backup já está configurado), Editar acesso, Refazer descoberta e Excluir.
Se a opção global de exibição de IPs do sistema estiver desligada, o IP dos equipamentos com backup ativo aparece mascarado como ***. Equipamentos ainda não configurados continuam mostrando o IP, para facilitar o diagnóstico.
Cofre de credenciais Novo na 7.2
O cofre é a base única de credenciais de acesso a equipamentos de rede (SSH e Telnet) do Ravi Monitor. Cada equipamento cadastrado nos Backups corresponde a uma credencial no cofre, e a lista da central é, na prática, a lista do cofre. Ele não tem tela própria: é alimentado e consumido pelos módulos que precisam acessar equipamentos.
- Backups: as modais Adicionar equipamento e Editar acesso gravam a credencial no cofre.
- Flow: ao cadastrar um exportador (manual ou pelo chat de IA), a credencial informada vai para o cofre e o equipamento já entra automaticamente no ambiente Backups.
- Captura forense do Flow: usa a credencial do cofre para coletar tráfego no roteador durante um ataque.
- Copiloto IA: usa o cofre para acessar equipamentos em ações agênticas.
Segurança das credenciais
- A senha é cifrada antes de ser guardada. A chave de cifra fica no servidor, fora da área pública do site.
- A senha é decifrada apenas em memória, no momento do uso, e nunca é enviada ao navegador: a interface apenas sinaliza que existe uma senha salva.
- Cada registro guarda IP, porta, usuário, senha cifrada, protocolo (SSH ou Telnet), método de autenticação (senha ou chave do sistema), marca, modelo e o módulo de origem.
- O cofre é deduplicado por IP e porta: cadastrar o mesmo
IP:portaem dois módulos atualiza o mesmo registro, sem criar duplicata. Campos deixados em branco preservam o valor anterior.
O mesmo IP em portas diferentes conta como acessos distintos, e portanto como equipamentos distintos no módulo de Backups.
Adicionar equipamento
Cadastrar um equipamento é informar como o Ravi chega nele por SSH. Todo o resto (identificar a marca, o modelo e o jeito certo de extrair a configuração) o sistema resolve sozinho.
- No menu, abra Backups.
- Clique em Adicionar. A modal Adicionar equipamento se abre.
- Preencha os campos de acesso (tabela abaixo) e confirme.
- A credencial vai cifrada para o cofre, o equipamento entra como Pendente e a descoberta automática dispara na hora, em segundos. Acompanhe pelo painel Progresso da descoberta no detalhe.
| Campo | O que informar |
|---|---|
| IP / Host | Endereço IP do equipamento. Precisa ser um IP válido: hostname não é aceito. |
| Porta | Porta SSH do equipamento. Padrão: 22. |
| Usuário | Usuário de login no equipamento. Obrigatório. |
| Autenticação | Senha ou Chave do sistema. Ao escolher a chave, o campo Senha desaparece; a chave pública do sistema precisa estar instalada no equipamento (veja Chave SSH do sistema). |
| Senha | Senha do usuário. Obrigatória no modo senha. |
| Marca | Opcional. Seletor pesquisável com as marcas conhecidas: Mikrotik (RouterOS), Cisco (IOS/IOS-XE/NX-OS), Huawei (VRP: NE, S-series, AR, OLT), Juniper (Junos), Nokia (SR OS/TiMOS), ZTE (ZXROS), Datacom (DmOS), FiberHome (AN6000/AN5516), Ubiquiti (EdgeOS/EdgeRouter), Arista (EOS), Fortinet (FortiOS), Palo Alto (PAN-OS), Intelbras, Parks, além de "Linux (genérico), sem backup" e "Outra marca". |
| Modelo | Opcional. Exemplo: CCR1036. |
Informar marca e modelo é opcional, mas acelera e barateia a configuração: se o modelo já é conhecido pelo catálogo do sistema, o backup é ativado direto, sem usar IA.
O campo IP / Host exige um IP válido. Se o equipamento é conhecido por hostname, resolva o nome e cadastre o IP.
Editar acesso
O botão Editar acesso (na linha da lista ou no detalhe) abre a mesma modal com os dados atuais. Particularidades:
- Senha em branco mantém a senha atual: só preencha o campo se quiser trocar a senha.
- Se IP ou porta mudarem, o sistema entende que pode ser outro equipamento: descarta a configuração de backup aprendida e refaz a descoberta do zero. Os arquivos e a timeline antigos permanecem.
- Se mudarem apenas usuário, senha ou método de autenticação, a configuração é mantida e só a conectividade é revalidada.
- Equipamentos em Sem suporte não redescobrem automaticamente ao salvar: para tentar de novo, use Refazer descoberta.
- Toda edição de acesso fica registrada no histórico de ações do usuário.
Excluir equipamento
A ação Excluir pede confirmação e remove o equipamento do módulo, junto com a timeline, os eventos e os arquivos de backup em disco. A credencial permanece no cofre.
Excluir um equipamento apaga também os arquivos de backup armazenados. Se precisar guardar algum snapshot, use Baixar antes de excluir.
Descoberta por IA Novo na 7.2
A descoberta é o processo que transforma uma credencial SSH em um backup funcionando. O sistema conecta no equipamento, identifica marca, modelo e sistema operacional, e encontra (ou aprende) o procedimento correto para extrair a configuração daquele modelo. Você não precisa saber o comando de backup de cada fabricante: essa é a parte que o Ravi resolve.
Como funciona
- A descoberta dispara imediatamente ao clicar em Adicionar, ao salvar Editar acesso ou ao usar Refazer descoberta. Ela roda em segundo plano e o progresso aparece ao vivo no painel Progresso da descoberta.
- Se a marca e o modelo informados já constam no catálogo interno de procedimentos, o sistema testa o procedimento direto, sem IA. Se funcionar, o status vira Backup ativo na hora.
- Caso contrário, a IA conecta por SSH e identifica o equipamento com comandos de versão somente leitura, consulta o catálogo com a identificação obtida e, se ainda não houver procedimento, propõe um. O servidor testa a proposta de verdade no equipamento, e a IA a revisa até funcionar.
- O procedimento aprovado entra no catálogo do servidor. O próximo equipamento do mesmo modelo é configurado sem custo de IA: paga-se IA aproximadamente uma vez por modelo, não por equipamento.
- A marca e o modelo identificados são gravados de volta na credencial do cofre, e passam a aparecer em qualquer módulo que a utilize.
O catálogo já vem de fábrica com os procedimentos de Mikrotik RouterOS (exportação da configuração em texto mais o arquivo de backup binário) e Ubiquiti AirOS, então esses equipamentos ativam o backup sem nenhuma chamada de IA.
Segurança da descoberta
- A IA não executa script livre no equipamento: ela apenas propõe um procedimento com um vocabulário fechado de passos, interpretado por um executor fixo do sistema.
- Uma lista de bloqueio determinística barra comandos destrutivos (reset, reboot, formatação, remoção de arquivos, alteração de usuários e senhas), independentemente do que a IA produzir.
- Durante a descoberta, qualquer comando de escrita é bloqueado: o processo é somente leitura por construção.
- Há limites rígidos de passos, tempo por passo, tempo total e tamanho do arquivo gerado, além de validação do conteúdo extraído.
- O procedimento que vai para o backup diário é exatamente o que foi testado com sucesso, sem alterações posteriores.
Quando o equipamento fica "Sem suporte"
| Motivo exibido | O que significa |
|---|---|
| Motivo: telnet não automatizado | A credencial do cofre é Telnet. O módulo só automatiza SSH: habilite SSH no equipamento e edite o acesso. |
| Motivo: Linux genérico (sem backup) | O alvo é um servidor Linux de propósito geral (Debian, Ubuntu, CentOS etc.). Por decisão de produto, servidores não entram no backup de equipamentos de rede. |
| Motivo: sem método de backup | A IA não encontrou uma forma segura de extrair a configuração deste modelo. |
Refazer descoberta e retentativas
O botão Refazer descoberta zera o procedimento aprendido, limpa o log anterior e dispara a descoberta na hora. Use após atualizar o firmware, ao trocar o equipamento mantendo o mesmo IP, ou quando o status Sem suporte foi causado por um problema temporário.
O sistema também se protege sozinho: equipamentos em Falha são retentados automaticamente (até 3 vezes, com pelo menos 2 horas de intervalo), e uma descoberta presa em Configurando… sem progresso volta sozinha para Falha, com o motivo registrado. Você nunca fica com um "Configurando…" eterno na tela.
A descoberta de modelos novos usa o motor de IA embutido do Ravi Monitor, sem exigir chave de API própria. Se o motor de IA não estiver disponível no servidor, a descoberta de modelos fora do catálogo falha com o evento "Motor de IA não configurado.", mas equipamentos de modelos já catalogados continuam sendo configurados normalmente.
O painel Progresso da descoberta mostra apenas eventos amigáveis (conexão, identificação, validação). Comandos e procedimentos internos nunca aparecem no log.
Backup diário e retenção
Depois que o equipamento chega a Backup ativo, o backup diário roda sozinho, todos os dias às 02:00, de forma totalmente determinística (a IA não participa da execução; ela só entra, opcionalmente, no resumo do diff). Para cada equipamento, o sistema executa o procedimento aprovado, compara o resultado com o backup anterior e decide:
- Sem mudança real: nada é duplicado. O sistema guarda apenas um arquivo por versão de configuração, e a timeline registra "Sem alterações neste dia.".
- Com mudança: o novo arquivo é guardado e a timeline ganha uma entrada com o resumo e o diff do que mudou.
- Falha: a timeline registra o motivo, o card Em falha incrementa e o último backup bom continua guardado. O status volta ao normal na próxima execução bem-sucedida.
A comparação ignora linhas voláteis do equipamento (por exemplo, comentários com data e hora gerados pelo RouterOS): se só o timestamp mudou, não conta como alteração e não gasta disco.
Também é possível executar sob demanda com o botão Backup agora no detalhe do equipamento. O resultado aparece como notificação na tela: primeiro backup gerado, backup concluído com o total de linhas alteradas, concluído sem alterações, ou erro (de backup ou de conexão).
Retenção e uso de disco
| Regra | Comportamento padrão |
|---|---|
| Retenção de arquivos | 30 dias. O último backup de cada equipamento é sempre preservado, mesmo que seja mais antigo: você nunca fica sem snapshot. |
| Retenção da timeline | As entradas do histórico de alterações são mantidas por 180 dias (a tela exibe os últimos 30). |
| Disco baixo (menos de 5 GB livres) | A retenção encurta automaticamente de 30 para 7 dias. |
| Disco crítico (menos de 2 GB livres) | O ciclo diário e as descobertas são abortados até liberar espaço. |
Os arquivos ficam armazenados fora da área pública do servidor, em /opt/Ravi/backups, com permissões restritas. Com a deduplicação, em uma rede estável o consumo de disco é mínimo: um arquivo por versão de configuração, não por dia.
Não edite nem limpe /opt/Ravi/backups manualmente. Use a interface (excluir arquivo ou equipamento) para manter o histórico e o disco coerentes.
Baixar e excluir arquivos
Na Lista de backups do detalhe, cada arquivo tem os botões Baixar e Excluir. O download é sempre autenticado (somente Master) e o arquivo nunca fica acessível por URL direta. A exclusão de arquivo pede confirmação e é irreversível; o único ou último backup principal do equipamento não pode ser excluído, nem pela retenção: o snapshot mais recente é sempre protegido.
Limites técnicos
- Arquivo de backup: até 50 MB por artefato.
- Execução: tempo total limitado a 8 minutos por equipamento, com trava que impede dois backups simultâneos do mesmo alvo.
- A lista de backups do detalhe exibe os 50 arquivos mais recentes.
- O escopo é a configuração do equipamento (export ou running-config). Não é backup de firmware nem de dados.
Falhas de backup não geram notificação por WhatsApp ou Telegram. Acompanhe pelo card Em falha na central e pela timeline de cada equipamento.
Linha do tempo e diff
A Timeline de alterações é o registro de auditoria da configuração de cada equipamento: uma entrada por dia, da mais recente para a mais antiga, cobrindo os últimos 30 dias. É a ferramenta certa para investigar um incidente ("o que mudou neste roteador ontem à noite?") e para revisar o trabalho da equipe.
Cada dia aparece de uma destas formas:
- "Sem alterações neste dia.": o backup rodou e a configuração está idêntica.
- "Primeiro backup gerado.": marco do primeiro snapshot do equipamento.
- Dia com mudança: um resumo legível do que mudou, no idioma do usuário, seguido do diff completo.
- "Falha: ...": a execução daquele dia não concluiu, com o motivo registrado.
O diff
- Linhas removidas em vermelho (−) e adicionadas em verde (+), agrupadas por seção da configuração do equipamento.
- Botão Copiar para levar o trecho para um chamado ou documentação, e Mostrar mais quando a mudança passa de 10 linhas.
- Na Lista de backups, os chips +N/−N de cada arquivo indicam o total de linhas adicionadas e removidas; clicar em um chip rola a página até a entrada correspondente da timeline.
O resumo em linguagem natural é gerado por IA (recurso ligado por padrão) em português, inglês e espanhol. Se a IA estiver indisponível, o sistema usa um resumo determinístico com a contagem de linhas adicionadas e removidas: a timeline nunca fica sem registro.
Backups binários ou criptografados (por exemplo, o arquivo .backup do Mikrotik) não têm diff nem deduplicação por conteúdo. O diff vale para o artefato principal em texto.
Chave SSH do sistema Novo na 7.2
O servidor Ravi possui um par de chaves SSH próprio, único por servidor, para acessar equipamentos por chave pública em vez de senha. Usar a chave elimina a senha do cofre para aquele alvo e faz o backup sobreviver a trocas de senha do equipamento.
O gerenciamento fica em Configurações gerais, aba Sistema, card Acesso do sistema (chave SSH) (veja a documentação de Configurações). O par é gerado automaticamente na primeira vez que o card é aberto; não há botão de gerar.
- São duas chaves: Ed25519 (recomendada) e RSA-2048 (compatibilidade), esta para equipamentos antigos que só validam RSA. Na conexão, o sistema apresenta as duas e o equipamento aceita a que tiver instalada.
- A chave privada nunca sai do servidor; o card exibe apenas as chaves públicas.
- O seletor Plataforma monta um comando pronto para colar no terminal do equipamento, com o botão Copiar. Plataformas disponíveis: Linux (Debian/RHEL/genérico), MikroTik (RouterOS), Cisco IOS, Huawei VRP e Juniper Junos.
- O link Ver chaves públicas (instalação manual) expande as duas chaves completas, para colar em
authorized_keysou importar manualmente.
Como ativar a chave em um equipamento do Backups
- Em Configurações gerais, aba Sistema, abra o card Acesso do sistema (chave SSH).
- Escolha a Plataforma do equipamento, clique em Copiar e cole o comando no terminal do equipamento. Nas plataformas Cisco, Huawei e Juniper, troque
SEU_USUARIOpelo usuário de login do equipamento, conforme a nota exibida no card. - De volta ao módulo Backups, abra Editar acesso do equipamento e mude Autenticação para Chave do sistema. O campo Senha desaparece.
- Salve. A conectividade é revalidada com a chave.
No MikroTik, importar a chave SSH desativa o login por senha daquele usuário (comportamento do RouterOS). Instale a chave e, em seguida, marque Chave do sistema no acesso do equipamento, senão a próxima conexão por senha falhará.
No Huawei VRP, o comando gerado permite autenticação por chave ou senha, então o acesso por senha continua funcionando após instalar a chave.
Equipamentos antigos
Rede de provedor tem equipamento de todas as idades, e o módulo foi construído para conviver com isso sem configuração extra.
SSH legado (RouterOS 6, AirOS, Dropbear antigo)
Equipamentos antigos muitas vezes só oferecem chave de host ssh-rsa e troca de chaves com SHA-1, algoritmos que clientes SSH modernos recusam por padrão. O Ravi reaceita esses algoritmos de forma aditiva: equipamentos modernos continuam negociando os algoritmos fortes primeiro, e os antigos passam a conectar sem nenhum ajuste manual.
Huawei VRP e shell interativo
Equipamentos Huawei com VRP (NE8000, switches S-series, OLTs) não aceitam execução direta de comando pelo canal SSH. Para eles, o motor de backup usa automaticamente uma sessão de shell interativa que:
- responde "N" ao prompt de troca de senha do primeiro login, sem alterar a senha do equipamento;
- desativa a paginação do terminal para capturar a saída completa;
- captura a configuração corrente diretamente.
Tudo isso é transparente: a descoberta detecta a necessidade sozinha e o operador não configura nada.
Autenticação por chave em equipamentos antigos
Para equipamentos que não validam chaves Ed25519, use a chave RSA-2048 (compatibilidade) do card Acesso do sistema (chave SSH). Como o sistema apresenta as duas chaves na conexão, basta instalar a que o equipamento aceitar.