53 ответов в этой теме

[Afalin]

Графана разве умеет в snmp traps?

[Ekvental]

По поводу Grafana в этой части точно не уверен, она же больше как система представления данных работает, ей информацию ж zabbix передаёт через плагин...

[Afalin]

Значит, графану в сторону, остаёмся наедине с заббиксом.

А вот как Вы обрабатываете snmp traps – через snmp trap translator или через perl/etc trap receiver?

 

Кстати, а заббикс и компания умеют в udp syslog малой кровью? С ходу попались только костыли с rsyslog.

[Ekvental]

Допустим, trap translator.
На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/

[Ekvental]

Я лично (просто чтобы пояснить ситуацию, понятно, что это не имеет практического значения) вообще начинающий спец, даже стажёр - была поставлена задача внедрить zabbix в организации, спарив его с Dr. Web, его я поднял - понял, что не хватает шаблонов для мониторинга - и соответственно, обратился сюда. К сожалению, какие то его архитектурные сверхтонкости я пояснить не смогу. Извиняюсь.

[Afalin]

Допустим, trap translator.

Тут интересует конкретный user experience. Чтобы знать, где именно и чего именно не хватает, чем кастомеры пользуются в реальности.

На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/

Это как раз костыли с rsyslog.

Ну и это я к тому, что в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog. Может быть тоже интересно.

[Roman Rashevskiy]

в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog

Тут скорее вопрос не в том какой версией станет эта самая версия, а в том когда собственно эту самую версию ждать.

[Afalin]

в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog

Тут скорее вопрос не в том какой версией станет эта самая версия, а в том когда собственно эту самую версию ждать.

Это уже совсем другой вопрос.

[Raider]

 

Допустим, trap translator.

Тут интересует конкретный user experience. Чтобы знать, где именно и чего именно не хватает, чем кастомеры пользуются в реальности.

 

 

На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/

Это как раз костыли с rsyslog.

Ну и это я к тому, что в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog. Может быть тоже интересно.

 

 

Мой user experience.

 

В моем случае проблема следующая, я получаю трап в виде журнала(лог) в следующем виде  (Рис.1-трап AdminLoginField. Рис.2-deviceBlock) и не могу разделить данные на определенные переменные для дальнейшего удобного отображения. Приходится каждый раз при срабатывании триггера смотреть весь лог, а хотелось бы видеть только нужную информацию.

Прикрепленные файлы:

•  1adminfield.PNG   24,89К   4 Скачано раз
•  2Блок.PNG   59,04К   3 Скачано раз

Сообщение было изменено Raider: 29 Октябрь 2020 - 17:36

[Afalin]

Мой user experience.

 

В моем случае проблема следующая, я получаю трап в виде журнала(лог) в следующем виде  (Рис.1-трап AdminLoginField. Рис.2-deviceBlock) и не могу разделить данные на определенные переменные для дальнейшего удобного отображения. Приходится каждый раз при срабатывании триггера смотреть весь лог, а хотелось бы видеть только нужную информацию.

В Вашем случае кто этот лог пишет?

[Afalin]

Или это прям сырой лог snmptrapd или аналога, без попыток засунуть трапы в заббикс?

Не вижу тут ключевого слова ZBXTRAP.

[Raider]

Или это прям сырой лог snmptrapd или аналога, без попыток засунуть трапы в заббикс?

Не вижу тут ключевого слова ZBXTRAP.

 

 

Это сырой лог snmptrapd. Ловлю так (Рис. 1111).

Прикрепленные файлы:

•  1111.PNG   16,15К   7 Скачано раз

Сообщение было изменено Raider: 30 Октябрь 2020 - 09:30

[Afalin]

Полистал доку, как предлагают это настраивать в заббиксе. Если смотреть в сторону snmptt, то максимум, что ему можем дать мы – это список всех возможных трапов в EVENT/FORMAT, только название+oid+категория+severity. Переменные из VARBINDS можно вывалить только все сразу кучей (с трансляцией oid в имена, вестимо, если она доступна), потому что предлагаемый доступ к ним по порядковому номеру – это нонсенс.

Но и то, на "шаблон для заббикса" это всё не тянет, и польза довольно сомнительной выглядит пока что.

Либо я чего-то в этом заббиксе не понимаю.

[Raider]

список всех возможных трапов в EVENT/FORMAT, только название+oid+категория+severity.

Если я не ошибаюсь, это можно в mib файлах посмотреть.

 

смотреть в сторону snmptt

А есть другие способы? костыли?

 

польза довольно сомнительной выглядит пока что.

Для тех у кого есть zabbix это было бы очень удобно.

Пример: Выделил под Zabbix монитор, сделал там панельку dr web и мониторишь, trap ловишь:

-Контролем приложений заблокировал определенные приложения и при попытке их запуска пользователем смотришь где и что. 

-Заблокированные устройства настроил и если что видишь кто, где и что пытается подключить.

-Вирус машина поймала и ты уже знаешь что надо проверить. (На антивирус надейся, а сам не плошай)

-У агента проблемы, он тебе сразу покажет.

 

Лирическое отступление:

Я понимаю что это можно настроить как-то по другому с помощью оповещений, но уже есть Zabbix, который хорошо справляется с мониторингом разных сервисов организации. Хотел бы туда и Dr Web прикрутить.

Сообщение было изменено Raider: 30 Октябрь 2020 - 12:21

[Afalin]

Если я не ошибаюсь, это можно в mib файлах посмотреть.

Можно. Можно даже однострочник написать, который сам с помощью snmptranslate это разберёт и сгенерит настройки.

 

смотреть в сторону snmptt

А есть другие способы? костыли?

Поскольку я с этим окружением не знаком, то довольствуюсь описанным в доке заббикса и первых страницах выдачи гугла. Там упоминается только snmptt и perl trap receiver, что практически одно и то же, только snmptt выглядит проще в доведении до ума. Это из готового. Кто-то питонит своё по своему вкусу.

Для тех у кого есть zabbix это было бы очень удобно.

Пример: Выделил под Zabbix монитор, сделал там панельку dr web и мониторишь, trap ловишь:

Это из серии про кнопку "сделать хорошо". Только вот совершенно непонятно, что нужно на самом деле.

Потому я вопросы и задаю тем, кто это видит не первый раз и понимает, что нужно.

но уже есть Zabbix, который хорошо справляется с мониторингом разных сервисов организации. Хотел бы туда и Dr Web прикрутить.

Так а там мониторится всякая статистика и текущее состояние (вот для этого как раз бывают шаблоны и чёрт в ступе) или таки ловятся события?

Первое и второе – две очень большие разницы, что с нашей стороны, что со стороны заббикса (да и не только его).

[Raider]

Немного посидев в свободное время и разобравшись с регулярными выражениями, понял что сделать шаблон в zabbixe под себя не так уж и трудно.

 

Вот в принципе минимум, который мне нужен был.(Рис.111).

 

Пример шаблона DrWeb(Test).xml.(Может кому пригодится)

Отлавливает трап лицензий, трап по запрещенным устройствам, которые пытались подключить и трап по запрещенным приложениям, которые пытались запустить(в моем случае смотрю попытки удаления антивируса).

Прикрепленные файлы:

•  111.png   347,77К   9 Скачано раз
•  DrWeb(Test).xml   42,16К   11 Скачано раз

[Afalin]

Raider, этим конфигом парсится всё тот же лог snmptrapd, верно?

[Raider]

Raider, этим конфигом парсится всё тот же лог snmptrapd, верно?

Да, но не совсем. Сверху я присылал пример лога который получаю. Я получаю лог, а потом в забиксе есть обработка элементов и с помощью регулярных выражений вытаскиваю нужные значения.

Сообщение было изменено Raider: 12 Ноябрь 2020 - 12:40

[Raider]

обработка элементов

Под этим я имею в виду создание новых зависимых "элементов данных", в которые и записывается отдельно каждое значение

[Afalin]

Идея вроде бы ясна (с поправкой на то, что лично я заббикс никогда не видел), Ваш пример сохранил в трекер, чтобы тот не потерялся.

Спасибо.