Jump to content
Калькуляторы

SNMP Trap Кто как и чем обрабатывает

Задача: Ловить трапы с ряда устройств (порядка 100-150 железок), парсить их и в зависимости от трапа складывать в mysql.

 

Пробовал: snmptrapd + syslog-ng. Схема не очень понравилась, в силу непонятности настройки snmptrapd. Например у меня не получилось повесить трапы на local7.

Пока решаю задачу так, на через snmptrapd запускаю собственноручно писаный скрипт, который как-то пытается разобрать что происходит и соотвественно пишет в mysql.

Share this post


Link to post
Share on other sites

По идее, любой нормальный SNMP-менеджер должен уметь ловить.

Share this post


Link to post
Share on other sites
Задача: Ловить трапы с ряда устройств (порядка 100-150 железок), парсить их и в зависимости от трапа складывать в mysql.

 

Пробовал: snmptrapd + syslog-ng. Схема не очень понравилась, в силу непонятности настройки snmptrapd. Например у меня не получилось повесить трапы на local7.

Пока решаю задачу так, на через snmptrapd запускаю собственноручно писаный скрипт, который как-то пытается разобрать что происходит и соотвественно пишет в mysql.

NOC умеет ловить и обрабатывать трапы и syslog, складывать в базу (postgresql), классифицировать события и кореллировать их между собой.

Немного поподробнее - в документации на модуль FM.

Вместе с системой идет встроенный набор правил (около 40 классов и 70-и правил классификации), если не хватает, всегда можно добавить свои. Создание правил - достаточно простая операция.

 

На нормальном железе без особого напряга обрабатывает до 100 событий в секунду, больше не пробовал.

Share this post


Link to post
Share on other sites

есть еще snmptt скрипт и такой же плагин для кактуса. Надо будет попробовать таки NOC

Share this post


Link to post
Share on other sites

Просто ловить syslog и trap'ы - практически бессмысленное занятие. Поток достаточно большой и глазами его просматривать - можно рехнуться. С тех же самых свичей доступа постоянно валится syslog/trap'ы Link Up/Link Down. Для хомячковых линков их можно просто игнорировать, для корпоративщиков - обращать внимание, для VIP - звонить им. И таких примеров масса. Fault Management - задача очень муторная.

 

FM в NOC'е еще пилить и пилить, но даже в текущем состоянии он уже может гораздо больше, чем просто собирать трапы.

Share this post


Link to post
Share on other sites

в плагине snmptt для кактуса есть некие фильтры и реакция на определенные события

Share this post


Link to post
Share on other sites
в плагине snmptt для кактуса есть некие фильтры и реакция на определенные события
Мне показалось, что корелляция событий там совсем слабая. Даже, скорее, не корелляция, а защита от повторов. Разнотипные события, особенно от разных железок, да еще разных вендоров, оно не скоррелирует. Да еще те же Cisco любят дуплить парными событиями в syslog и трапом из CISCO-SYSLOG-MIB.

 

Конечно, все зависит от конкретной сети и конкретного оборудования. Где-то это будет работать. В общем случае этого мало и нужен нормальный root cause.

Share this post


Link to post
Share on other sites

Чем больше с этим сталкиваюсь, тем чаще прихожу к выводу, что самое надёжное - самописьные системы.

Edited by pppoetest

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this