Problema con las alertas SNMP

[miguel]

Like it

Up

0

Down

Drop it

::

Perdona. ¿Como has definido la alerta?

[suzdal]

Like it

Up

0

Down

Drop it

::

mediante la consola SNMP, mira la captura de pantalla que adjunte en el topic.

[miguel]

Like it

Up

0

Down

Drop it

::

Perdón 😉 no me di cuenta que la imagen desde el foro no se veía entera la imagen.

La estoy examinando.

[miguel]

Like it

Up

0

Down

Drop it

::

Tiene pinta de ser un bug, voy a comunicarselo a los compañeros a ver que me cuentan.

[suzdal]

Like it

Up

0

Down

Drop it

::

gracias, estaré esperando, realmente no me funcionan y las necesito.

[rnovoa]

Like it

Up

0

Down

Drop it

::

¿Puedes lanzar algún trap a mano y ver si la alerta salta? Así podemos descartar un problema de fechas. La que ves en la BD es la que el servidor lee del log de traps, no la del momento en que procesa el trap.

[suzdal]

Like it

Up

0

Down

Drop it

::

hola.

lo he comprobado, la alerta salta aún con sólo recibir un trap de esa ip o con el oid.

[rnovoa]

Like it

Up

0

Down

Drop it

::

Ya he visto el porqué, el servidor hacía un OR con las condiciones de la alerta. Pero este comportamiento no parece muy útil, estaría así porque no habíamos probado a fondo las alertas SNMP. Lo he cambiado para que haga un AND, así que ahora debería funcionar como esperabas. ¿Puedes actualizar y probarlo?

[suzdal]

Like it

Up

0

Down

Drop it

::

vale, ahora parece que funciona, pero el pandora_server.error saca esto cada vez que dispara una alerta.

Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Use of uninitialized value $value in substitution (s///) at /usr/lib/perl5/site_perl/5.10.0/PandoraFMS/Core.pm line 1378, line 80268.
Playing WAVE ‘/opt/kde3/share/sounds/KDE_Beep_Beep.wav’ : Unsigned 8 bit, Rate 7418 Hz, Mono

tengo más preguntas del snmp, pero paso a paso, no procesa bien los snmp del cisco asa.

[suzdal]

Like it

Up

0

Down

Drop it

::

otra cosa que he notado es que en la definición de la alerta, para:

Alert action SNMP Agent OID Custom Value/OID
Sound Critical 192.168.1.253 .1.3.6.1.2.1.17 .1.3.6.1.2.1.2.2.1.8.3
Sound Warning 192.168.1.253 .1.3.6.1.2.1.17 .1.3.6.1.2.1.2.2.1.8.31

cuando se dispara la alerta para el warning tambien se dispara el critical, yo diría que es por que hay un “like” en vez de un “=”.

[suzdal]

Like it

Up

0

Down

Drop it

::

A este último mensaje no le prestéis atención, hoy me ha funcionado bien al reiniciar el server.

[rnovoa]

Like it

Up

0

Down

Drop it

::

Estaba repasando el código y sí es posible que ocurra lo que comentabas. He protegido las expresiones regulares añadiendo el inicio y fin de linea por si acaso. Gracias 🙂

[suzdal]

Like it

Up

0

Down

Drop it

::

no se si le pasa alguien más, pero desde que se cambio las expresiones en la rev:

Revision 2668 – (view) (download) (annotate) – [selected]
Modified Wed May 5 13:42:15 2010 UTC (11 days, 23 hours ago) by ramonn
File length: 84820 byte(s)
Diff to previous 2642

2010-05-05  Ramon Novoa 

* lib/PandoraFMS/Core.pm: Use the data timestamp instead of the
          current time in the compression algorithm. Fixed regexps in
          SNMP alerts.

las alertas no se disparan, así que uso la rev 2642.

Revisando el archivo Core.pm, me he dado cuenta que lo que hace es buscar un patrón por lo tanto y para los casos

Alert action  SNMP Agent  OID  Custom Value/OID
Sound Critical    192.168.1.253    .1.3.6.1.2.1.17    .1.3.6.1.2.1.2.2.1.8.3
Sound Warning    192.168.1.253    .1.3.6.1.2.1.17    .1.3.6.1.2.1.2.2.1.8.31

ambas alertas se dispararán cuando se produzca un trap con oid cómo este:

Me explico (delimitador ::-::):
TRAP CUSTOM VALUE ::-::31 .1.3.6.1.2.1.2.2.1.7.31 = INTEGER: up(1)        .1.3.6.1.2.1.2.2.1.8.31 = INTEGER: lowerLayerDown(7)::-:: TRAP CUSTOM OID  ::-::.1.3.6.1.2.1.2.2.1.1.31::-:: CUSTOM OID        ::-::.1.3.6.1.2.1.2.2.1.8.3::-::

TRAP CUSTOM VALUE ::-::31 .1.3.6.1.2.1.2.2.1.7.31 = INTEGER: up(1)        .1.3.6.1.2.1.2.2.1.8.31 = INTEGER: lowerLayerDown(7)::-:: TRAP CUSTOM OID  ::-::.1.3.6.1.2.1.2.2.1.1.31::-:: CUSTOM OID        ::-::.1.3.6.1.2.1.2.2.1.8.31::-::

next if ($trap_custom_value !~ m/$custom_oid/i && $trap_custom_oid !~ m/$custom_oid/i);

ya que el oid “.1.3.6.1.2.1.2.2.1.8.3”, también se encuentra en el trap.

no se si le pasa alguien más, mi solución ha sido cambiar el valor “Custom Value/oid” de la alerta snmp y poner “.1.3.6.1.2.1.2.2.1.8.31 =”, de esta manera tambien añade un espacio y un carácter a la derecha, evitando el problema.

No se si sirve de algo, pero…

Saludos.

[rnovoa]

Like it

Up

0

Down

Drop it

::

Acabo de hacer una prueba rápida con los tres filtros y parece funcionar en el trunk. ¿Puedes actualizar y pegar el contenido de la tabla ttrap para el trap que debería disparar la alerta?

[suzdal]

Like it

Up

0

Down

Drop it

::

Checked out revision 2745.

he vuelto a poner las alertas con el custom value sin el espacio y el igual, y saltan las 2 alertas la del 3 y la del 32.

9712868, ‘192.168.1.253’, ‘.1.3.6.1.2.1.17’, ‘.1.3.6.1.2.1.2.2.1.1.32’, 2, ‘INTEGER’, ‘0’, ’32 .1.3.6.1.2.1.2.2.1.7.32 = INTEGER: up(1) .1.3.6.1.2.1.2.2.1.8.32 = INTEGER: lowerLayerDown(7)’, 1, 0, ”, ‘2010-05-18 16:07:56’, 3, ”, ”, 2

9713112, ‘192.168.1.253’, ‘.1.3.6.1.2.1.17’, ‘.1.3.6.1.2.1.2.2.1.1.32’, 3, ‘INTEGER’, ‘0’, ’32 .1.3.6.1.2.1.2.2.1.7.32 = INTEGER: up(1) .1.3.6.1.2.1.2.2.1.8.32 = INTEGER: up(1)’, 1, 0, ”, ‘2010-05-18 16:08:18’, 3, ”, ”, 2

se que puede parecer una chorrada, pero estas alertas monitorizan un rack de switches que tengo y es una jod.ienda el tener que comprobar si es buena o falsa.

[rnovoa]

Like it

Up

0

Down

Drop it

::

Checked out revision 2745.

he vuelto a poner las alertas con el custom value sin el espacio y el igual, y saltan las 2 alertas la del 3 y la del 32.

He probado con una configuración como la que describes y no he podido reproducirlo. El trap con custom OID .1.3.6.1.2.1.2.2.1.1.32 dispara la alerta con custom OID .1.3.6.1.2.1.2.2.1.1.32 y el trap con custom OID .1.3.6.1.2.1.2.2.1.1.3 la alerta con custom OID .1.3.6.1.2.1.2.2.1.1.3. Ambas filtran además por agente y OID.

De todos modos la versión que en el post anterior comentabas que no disparaba las alertas y ésta que dispara ambas son la misma, no ha habido más cambios en el código de la alertas SNMP. Pude reproducir el comportamiento que describes en la versión anterior, pero no después de haberla parcheado. ¿Puedes repasar la configuración y en caso de que siga ocurriendo darme algún dato mas para que pueda reproducirlo? ¡Gracias!

se que puede parecer una chorrada, pero estas alertas monitorizan un rack de switches que tengo y es una jod.ienda el tener que comprobar si es buena o falsa.

Por eso intentamos corregir estos fallos en la versión de desarrollo antes de la release 🙂

[suzdal]

Like it

Up

0

Down

Drop it

::

ya funciona, he actualizado todo y cambiado los oid.
seguramente era algo que no estaba bien.

gracias por todo.

[rnovoa]

Like it

Up

0

Down

Drop it

::

Me alegro. Gracias a ti por ayudarnos a encontrar bugs 🙂