Графана разве умеет в snmp traps?
SNMP Zabbix
#21
Отправлено 29 Октябрь 2020 - 09:52
#22
Отправлено 29 Октябрь 2020 - 11:14
По поводу Grafana в этой части точно не уверен, она же больше как система представления данных работает, ей информацию ж zabbix передаёт через плагин...
#23
Отправлено 29 Октябрь 2020 - 12:51
Значит, графану в сторону, остаёмся наедине с заббиксом.
А вот как Вы обрабатываете snmp traps – через snmp trap translator или через perl/etc trap receiver?
Кстати, а заббикс и компания умеют в udp syslog малой кровью? С ходу попались только костыли с rsyslog.
#24
Отправлено 29 Октябрь 2020 - 13:30
Допустим, trap translator.
На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/
#25
Отправлено 29 Октябрь 2020 - 13:34
Я лично (просто чтобы пояснить ситуацию, понятно, что это не имеет практического значения) вообще начинающий спец, даже стажёр - была поставлена задача внедрить zabbix в организации, спарив его с Dr. Web, его я поднял - понял, что не хватает шаблонов для мониторинга - и соответственно, обратился сюда. К сожалению, какие то его архитектурные сверхтонкости я пояснить не смогу. Извиняюсь.
#26
Отправлено 29 Октябрь 2020 - 13:35
Допустим, trap translator.
Тут интересует конкретный user experience. Чтобы знать, где именно и чего именно не хватает, чем кастомеры пользуются в реальности.
На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/
Это как раз костыли с rsyslog.
Ну и это я к тому, что в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog. Может быть тоже интересно.
#27
Отправлено 29 Октябрь 2020 - 14:24
в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog
Тут скорее вопрос не в том какой версией станет эта самая версия, а в том когда собственно эту самую версию ждать.
Roman Rashevskiy
#28
Отправлено 29 Октябрь 2020 - 15:01
в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslogТут скорее вопрос не в том какой версией станет эта самая версия, а в том когда собственно эту самую версию ждать.
Это уже совсем другой вопрос.
#29
Отправлено 29 Октябрь 2020 - 17:35
Допустим, trap translator.Тут интересует конкретный user experience. Чтобы знать, где именно и чего именно не хватает, чем кастомеры пользуются в реальности.
На второй вопрос, быть может, это наподобие него, как мне показалось https://habr.com/ru/company/zabbix/blog/252915/Это как раз костыли с rsyslog.
Ну и это я к тому, что в версии 14 (или какой она там станет к моменту релиза) будут наконец нотификации в udp syslog. Может быть тоже интересно.
Мой user experience.
В моем случае проблема следующая, я получаю трап в виде журнала(лог) в следующем виде (Рис.1-трап AdminLoginField. Рис.2-deviceBlock) и не могу разделить данные на определенные переменные для дальнейшего удобного отображения. Приходится каждый раз при срабатывании триггера смотреть весь лог, а хотелось бы видеть только нужную информацию.
Прикрепленные файлы:
Сообщение было изменено Raider: 29 Октябрь 2020 - 17:36
#30
Отправлено 29 Октябрь 2020 - 19:10
Мой user experience.
В моем случае проблема следующая, я получаю трап в виде журнала(лог) в следующем виде (Рис.1-трап AdminLoginField. Рис.2-deviceBlock) и не могу разделить данные на определенные переменные для дальнейшего удобного отображения. Приходится каждый раз при срабатывании триггера смотреть весь лог, а хотелось бы видеть только нужную информацию.
В Вашем случае кто этот лог пишет?
#31
Отправлено 29 Октябрь 2020 - 19:15
Или это прям сырой лог snmptrapd или аналога, без попыток засунуть трапы в заббикс?
Не вижу тут ключевого слова ZBXTRAP.
#32
Отправлено 30 Октябрь 2020 - 09:28
Или это прям сырой лог snmptrapd или аналога, без попыток засунуть трапы в заббикс?
Не вижу тут ключевого слова ZBXTRAP.
Это сырой лог snmptrapd. Ловлю так (Рис. 1111).
Прикрепленные файлы:
Сообщение было изменено Raider: 30 Октябрь 2020 - 09:30
#33
Отправлено 30 Октябрь 2020 - 10:29
Полистал доку, как предлагают это настраивать в заббиксе. Если смотреть в сторону snmptt, то максимум, что ему можем дать мы – это список всех возможных трапов в EVENT/FORMAT, только название+oid+категория+severity. Переменные из VARBINDS можно вывалить только все сразу кучей (с трансляцией oid в имена, вестимо, если она доступна), потому что предлагаемый доступ к ним по порядковому номеру – это нонсенс.
Но и то, на "шаблон для заббикса" это всё не тянет, и польза довольно сомнительной выглядит пока что.
Либо я чего-то в этом заббиксе не понимаю.
#34
Отправлено 30 Октябрь 2020 - 12:17
список всех возможных трапов в EVENT/FORMAT, только название+oid+категория+severity.
Если я не ошибаюсь, это можно в mib файлах посмотреть.
смотреть в сторону snmptt
А есть другие способы? костыли?
польза довольно сомнительной выглядит пока что.
Для тех у кого есть zabbix это было бы очень удобно.
Пример: Выделил под Zabbix монитор, сделал там панельку dr web и мониторишь, trap ловишь:
-Контролем приложений заблокировал определенные приложения и при попытке их запуска пользователем смотришь где и что.
-Заблокированные устройства настроил и если что видишь кто, где и что пытается подключить.
-Вирус машина поймала и ты уже знаешь что надо проверить. (На антивирус надейся, а сам не плошай)
-У агента проблемы, он тебе сразу покажет.
Лирическое отступление:
Я понимаю что это можно настроить как-то по другому с помощью оповещений, но уже есть Zabbix, который хорошо справляется с мониторингом разных сервисов организации. Хотел бы туда и Dr Web прикрутить.
Сообщение было изменено Raider: 30 Октябрь 2020 - 12:21
#35
Отправлено 30 Октябрь 2020 - 12:27
Если я не ошибаюсь, это можно в mib файлах посмотреть.
Можно. Можно даже однострочник написать, который сам с помощью snmptranslate это разберёт и сгенерит настройки.
смотреть в сторону snmptt
А есть другие способы?
костыли?
Поскольку я с этим окружением не знаком, то довольствуюсь описанным в доке заббикса и первых страницах выдачи гугла. Там упоминается только snmptt и perl trap receiver, что практически одно и то же, только snmptt выглядит проще в доведении до ума. Это из готового. Кто-то питонит своё по своему вкусу.
Для тех у кого есть zabbix это было бы очень удобно.Пример: Выделил под Zabbix монитор, сделал там панельку dr web и мониторишь, trap ловишь:
Это из серии про кнопку "сделать хорошо". Только вот совершенно непонятно, что нужно на самом деле.
Потому я вопросы и задаю тем, кто это видит не первый раз и понимает, что нужно.
но уже есть Zabbix, который хорошо справляется с мониторингом разных сервисов организации. Хотел бы туда и Dr Web прикрутить.
Так а там мониторится всякая статистика и текущее состояние (вот для этого как раз бывают шаблоны и чёрт в ступе) или таки ловятся события?
Первое и второе – две очень большие разницы, что с нашей стороны, что со стороны заббикса (да и не только его).
#36
Отправлено 12 Ноябрь 2020 - 11:25
Немного посидев в свободное время и разобравшись с регулярными выражениями, понял что сделать шаблон в zabbixe под себя не так уж и трудно.
Вот в принципе минимум, который мне нужен был.(Рис.111).
Пример шаблона DrWeb(Test).xml.(Может кому пригодится)
Отлавливает трап лицензий, трап по запрещенным устройствам, которые пытались подключить и трап по запрещенным приложениям, которые пытались запустить(в моем случае смотрю попытки удаления антивируса).
Прикрепленные файлы:
#37
Отправлено 12 Ноябрь 2020 - 12:31
Raider, этим конфигом парсится всё тот же лог snmptrapd, верно?
#38
Отправлено 12 Ноябрь 2020 - 12:36
Raider, этим конфигом парсится всё тот же лог snmptrapd, верно?
Да, но не совсем. Сверху я присылал пример лога который получаю. Я получаю лог, а потом в забиксе есть обработка элементов и с помощью регулярных выражений вытаскиваю нужные значения.
Сообщение было изменено Raider: 12 Ноябрь 2020 - 12:40
#39
Отправлено 12 Ноябрь 2020 - 12:54
обработка элементов
Под этим я имею в виду создание новых зависимых "элементов данных", в которые и записывается отдельно каждое значение
#40
Отправлено 12 Ноябрь 2020 - 13:07
Идея вроде бы ясна (с поправкой на то, что лично я заббикс никогда не видел), Ваш пример сохранил в трекер, чтобы тот не потерялся.
Спасибо.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых