Jump to content

SNMP Trap

shicoy
 Share

Recommended Posts

shicoy

shicoy

Posted
Posted

Задача: Ловить трапы с ряда устройств (порядка 100-150 железок), парсить их и в зависимости от трапа складывать в mysql.

 

Пробовал: snmptrapd + syslog-ng. Схема не очень понравилась, в силу непонятности настройки snmptrapd. Например у меня не получилось повесить трапы на local7.

Пока решаю задачу так, на через snmptrapd запускаю собственноручно писаный скрипт, который как-то пытается разобрать что происходит и соотвественно пишет в mysql.

dvolodin

dvolodin

Posted
Posted
Задача: Ловить трапы с ряда устройств (порядка 100-150 железок), парсить их и в зависимости от трапа складывать в mysql.

 

Пробовал: snmptrapd + syslog-ng. Схема не очень понравилась, в силу непонятности настройки snmptrapd. Например у меня не получилось повесить трапы на local7.

Пока решаю задачу так, на через snmptrapd запускаю собственноручно писаный скрипт, который как-то пытается разобрать что происходит и соотвественно пишет в mysql.

NOC умеет ловить и обрабатывать трапы и syslog, складывать в базу (postgresql), классифицировать события и кореллировать их между собой.

Немного поподробнее - в документации на модуль FM.

Вместе с системой идет встроенный набор правил (около 40 классов и 70-и правил классификации), если не хватает, всегда можно добавить свои. Создание правил - достаточно простая операция.

 

На нормальном железе без особого напряга обрабатывает до 100 событий в секунду, больше не пробовал.

dvolodin

dvolodin

Posted
Posted

Просто ловить syslog и trap'ы - практически бессмысленное занятие. Поток достаточно большой и глазами его просматривать - можно рехнуться. С тех же самых свичей доступа постоянно валится syslog/trap'ы Link Up/Link Down. Для хомячковых линков их можно просто игнорировать, для корпоративщиков - обращать внимание, для VIP - звонить им. И таких примеров масса. Fault Management - задача очень муторная.

 

FM в NOC'е еще пилить и пилить, но даже в текущем состоянии он уже может гораздо больше, чем просто собирать трапы.

dvolodin

dvolodin

Posted
Posted
в плагине snmptt для кактуса есть некие фильтры и реакция на определенные события
Мне показалось, что корелляция событий там совсем слабая. Даже, скорее, не корелляция, а защита от повторов. Разнотипные события, особенно от разных железок, да еще разных вендоров, оно не скоррелирует. Да еще те же Cisco любят дуплить парными событиями в syslog и трапом из CISCO-SYSLOG-MIB.

 

Конечно, все зависит от конкретной сети и конкретного оборудования. Где-то это будет работать. В общем случае этого мало и нужен нормальный root cause.

  • 2 years later...
pppoetest

pppoetest

Posted
Posted (edited)

Чем больше с этим сталкиваюсь, тем чаще прихожу к выводу, что самое надёжное - самописьные системы.

Edited by pppoetest

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.