Előző 6.6 SNMP Trap és Syslog fogadása Következő

6.6.1 Esemény definiálása

Ha az esemény SNMP Trap és a MIB már felöltésre került, vagy az esemény Syslog alapú, akkor a következő lépés az esemény definíció beállítása a rendszerben. A konfigurációs oldal a Beállítások=>Threshold-ok=>Esemény definiálása menüpont alatt érhető el. Fontos megjegyezni, hogy bár a PVSR támogatja az SNMPv1, SNMPv2c és SNMPv3 trap-eket, de nem támogatja az authPriv SNMPv3 trap-et, csak a noAuthNoPriv és authNoPriv trap-et.

 

Az esemény definíciók megfelelő beállításához a PVSR esemény kezelője működésének egy alapszintű ismerete szükséges. A fogadó modul a megadott paramétereknek megfelelően a következőképpen működik:

  • Több esemény definíció is illeszkedhet egy eseményre, ezért az esemény definíciókat a Sorrend paraméterben megadott sorrendben próbálja meg illeszteni a rendszer
  • Attól függően hogy trap vagy syslog fogadásáról van szó:
    • Trap: megvizsgálja, hogy a kapott trap-re van-e esemény beállítva, és hogyha van, akkor az opcionálisan megadott szűrő feltételeknek megfelel-e
    • Syslog: megvizsgálja, hogy a kapott syslog üzenetre illeszkedik-e valamelyik megadott reguláris szűrő feltétel
  • Ha egyezést talál, és az „Esemény generálása” paraméter be van állítva, akkor
    • A beállított azonosító mezők segítségével automatikusan létrehoz egy esemény instanciát, ha addig még olyan nem létezett.
    • Ha ezek az azonosító mezők be vannak állítva, és lehetőség van rá (van egyező eszköz és/vagy mérés a PVSR-ben), akkor a kapott instanciát hozzárendeli egy PVSR-beli objektumhoz:
      • Mező egyezőség alapján megpróbál találni egy eszközt. Ha talált, akkor eszköz szinten már biztosan tudja hova rendelni az eseményt, azaz pl az eseménynek megfelelően színezni tudja az eszköz ikonját a Riasztások menüpont alatt
      • Az eszközön belül megpróbál a további feltételeknek megfelelő mérést keresni ha van ilyen feltétel:
        • Lehet megadni csak a mérés típusát, ilyenkor az első találatot veszi, pl.: a riasztás az eszköz CPU-jára vonatkozik, és van egy CPU terheltség mérés az eszközön
        • Lehet megadni ezen felül további egyezőségi feltételt, ilyenkor azonban pontosan ilyen mérést keres, azaz ha pontos egyezés nincsen, akkor nem fogja helyes találatnak tekinteni az első megfelelő típusút, pl.: a trap egy interfészről jön, és összerendelésre kerül az interfészen lévő forgalom méréssel az interfész index-e alapján
    • Attól függően, hogy létrehozó vagy törlő eseményként értelmezi a kapott adatokat létrehoz vagy lezár egy riasztást
  • Mielőtt továbbhaladna a feldolgozásban a következő esemény definícióhoz, megnézi ennek a „Feldolgozás vége” paraméterét. Ha ez be van állítva, akkor nem próbálja meg a többi hátralévő esemény definíciót illeszteni az eseményhez.

 

Az alábbi ábrán egy interfész up-down SNMP trap páros bekonfigurálását lehet látni úgy, hogy a riasztó eszközt az IP cím alapján, az interfészt pedig az index alapján azonosítsa be a rendszer (a név különbözhet a PVSR-en belüli névtől, mivel annak egyedinek lennie, illetve származhat pl Cisco interfész leíróból is), és az eseményt a riasztó eszköz IP címe, az interfész index-e és neve alapján nevezze el.

 

Az egyes mezők jelentése:

  • Név: Az esemény típus neve, egyedinek kell lennie.
  • Sorrend: Az esemény definíciókat ebben a sorrendben próbálja meg illeszteni a rendszer. Ha két esemény definíció Sorrend paramétere megegyezik, akkor névsorrendben veszi őket
  • Szint: A riasztás szintje, hasonlóan a threshold-okhoz
  • Típus: A riasztás típusa, hasonlóan a threshold-okhoz
  • E-mail: Milyen címre küldjön a rendszer e-mail üzenetet, hasonlóan a threshold-okhoz
  • Mobil értesítés: Melyik felhasználókat és mobil értesítési csoportokat kell értesíteni riasztás esetén
  • Parancs: Milyen parancsot hajtson végre, hasonlóan a threshold-okhoz. A parancs számára átadott paraméterek az alábbiak:
    • Az esemény definíció belső azonosítója
    • Az esemény definíció neve
    • Az esemény instancia belső azonosítója
    • Az esemény instancia neve
    • C betű a riasztás lezárása, R betű a létrehozása esetén
    • A lezárás esetén még átadásra kerül a riasztás PVSR-en belüli azonosítója
  • Létrehozás és Törlés: Trap esetében a feltöltött SNMP MIB-ekben található trap-ek közül lehet választani, syslog esetében pedig a feltételül szolgáló reguláris kifejezést kell megadni
  • Eseményt azonosító mező: Az eseményt az itt kiválasztott paraméterekkel azonosítja, illetve korrelálja a létrehozó és a törlő üzeneteket. A mezők egymás után írásával keletkezik az esemény neve. Az IP cím mindkét esetben azt a címet jelöli, ahonnan az esemény jött. A trap-ek esetében a létrehozó és a törlő trap közös mezői közül, a syslog esetében pedig a reguláris kifejezés találati csoportjaiból (match group) lehet választani
  • Eszközt és mérést azonosító mezők: A fentebb leírt elv szerint ez alapján próbálja összekapcsolni a PVSR a saját adatbázisában található objektummal az eseményt. Ha nincsen megadva, vagy nincsen találat, az esemény akkor is létrejön, de a Riasztások menüpontnál csak a ROOT site alatt lesznek láthatóak. A PVSR-ben kétféle illesztés lehetséges: az egyszerű illesztés és az összetett illesztés. Az egyszerű esetben a PVSR veszi az esemény azonosító mezői közül valamelyiknek az értékét és egészen pontosan azt az értéket fogja keresni az adatbázisban. Habár a legtöbb esetben ez teljesen elegendő, vannak olyan esetek, amikor az eseményben érkező mező nem pont úgyanúgy szerepel az adatbázisban illetve vannak olyan esetek is, amikor az adatbázisban szereplő érték nem egy, hanem több esemény mezőben szétszórva található csak meg. Ezekben az esetekben az összetett illesztést kell használni, lásd a 6.6.1.1 fejezetet.
  • Név formátum: Alapesetben a rendszer az eseményt azonosító mezőket szóközzel illeszti össze az esemény nevének előállításához. Ezzel a paraméterrel azonban tetszőleges elnevezés kialakítható Perl kifejezés használatával. Fontos azonban megjegyezni, hogy a tényleges esemény instancia illesztése során ilyenkor a PVSR az itt megadott kifejezés eredményét fogja használni és nem az azonosító mezőket.
  • Esemény elnevezés: Ha egy D esemény definíció I instanciája riaszt, akkor a PVSR a Riasztások menüben ezt „D I” névvel vagy „I D” névvel szerepeltesse-e
  • Részletes naplózás: Elmentésre kerüljenek-e külön a kapott trap változók illetve a kapott syslog üzenet
  • Feldolgozás vége: Ha be van állítva, akkor a PVSR nem próbál meg másik esemény definíciót illeszteni az aktuálisan feldolgozott üzenethez
  • Esemény generálása: Ha nincsen beállítva, akkor a rendszer nem fog eseményt generálni az aktuálisan feldolgozott üzenethez. A paraméter tipikus használata együtt történik a „Feldolgozás vége” paraméter Igen értékével: ilyenkor kizáró szűrést jelent, azaz „Nem akarom hogy ezen feltétel alapján riasztás generálódjon”
  • Létrehozó és törlő esemény szűrők: Trap-ek esetében a kapott változókra és a trap küldő IP címére lehet feltételt mondani, syslog esetében pedig az üzenet Facility-jére és Severity-jére

 

A PVSR a riasztások között az események esetében névként az esemény típus nevét és az esemény instancia nevét közösen jeleníti meg.

6.6.1.1 Összetett illesztés

Az "Egyedi kifejezés" elemet kell kiválasztani az Eseményben legördülő menüből az összetett illesztési funkció eléréséhez. Az összetett illesztés konfigurálása során egy szabadon szerkeszthető mezőben kell megfogalmazni az illesztési feltételt, hasonlóan az összetett threshold vagy grafikon elem konfigurációhoz. A Hozzáad link segítségével lehet a szöveg mező alatt szereplő kiválasztott esemény mezőt hozzáadni a kifejezéshez és az Ellenőrzés mezőt lehet használni a beírt kifejezés leellenőrizéséhez. Az ilyen típusú konfiguráció megkezdése előtt ajánlott a Perl nyelv alapszintű ismeretét megszerezni, mivel a kifejezést mint Perl kifejezést fogja kiértékelni a rendszer.