Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных


Регистрация событий, происходящих на сети  это одна из ключевых функций системы управления (СУ). На основе анализа этих событий система управления создает проблемы, о которых уведомляется оператор и которые отображаются в разделе "Проблемы".

Концепция

Ниже представлена логическая схема генерации событий.

Генерация событий в СУ происходит в несколько этапов:

  1. Получение данных (метрик/трапов/логов/результатов задач) от устройств;
  2. Анализ полученных данных и регистрация события;
  3. Сохранение события в базу данных.

Получение данных устройств

В качестве источников данных для регистрации событий для добавленных в систему устройств используются:

  • Логи (Syslog), которые отсылает устройство и которые регистрируются системой управления;
  • SNMP-трапы (SNMP traps), которые отсылает устройство и которые регистрируются системой управления;
  • SNMP-метрики (SNMP poll), которые система управления собирает с устройств;
  • Задачи, которые запускаются в системе.
Для корректного сбора данных параметры доступа к устройствам должны быть актуальными, статус доступности устройств по SNMP  положительным.

В качестве приемника логов выступает сервис syslog-receiver, который принимает логи от добавленных в систему устройств по TCP- или UDP-протоколу в соответствии с настройками приемника логов.

В качестве приемника SNMP-трапов выступает сервис trap-receiver, который принимает SNMP-трапы от добавленных в систему устройств в соответствии с настройками приемника (версии SNMP, SecurityName/Community для SNMPv2c, профиля для SNMPv3).

В качестве опросчика SNMP-метрик выступает сервис monitoring-service, который опрашивает добавленные в систему устройства по протоколу SNMP по метрикам нагрузки CPU/RAM/RAM, трафику и ошибкам на интерфейсах (состав метрик различается в зависимости от типа устройства и его конфигурации).

В качестве планировщика задач выступает сервис cron-manager, который позволяет управлять задачами взаимодействия с устройствами.

Полученные данные сохраняются в базу данных. SNMP-трапы отображаются в разделе "Трапы", логи — в разделе "Логи", задачи - в разделе "Задачи", а собранные метрики доступны для просмотра на странице устройства в разделе "Мониторинг" → "Метрики".

Анализ данных и регистрация события

Полученные метрики, логи, трапы и задачи анализируются сервисом problem-manager. Сервис сравнивает значения метрик или параметров трапов/логов/задач с условиями правил генерации событий (см. раздел "Настройки" → "Мониторинг" → "Правила генерации событий"), и, если данные устройств удовлетворяют условиям правила, то система генерирует новое событие. Зарегистрированные события сохраняются в базу данных и отображаются в разделе "События".

В системе управления по умолчанию установлен список правил для генерации событий разных типов устройств, который может быть отредактирован или дополнен пользователем системы.

Примеры

Создание правила генерации событий при безусловном получении SNMP-Trap

Система позволяет создать правила генерации событий, для которых не требуется устанавливать условие на элемент данных. Могут быть полезны в случаях, когда событие будет создано безусловно, если выбранный элемент данных появится в системе (например, когда будет зарегистрирован определенный SNMP-трап).

По данным SNMP-метрик безусловные правила создать нельзя. В остальном логика создания правил по данным SNMP-трапов и SNMP-метрик идентична.

Событие при неудачном применении конфигурации на устройстве типа ESR

Задача: создать правило генерации события для случая, когда устройство при помощи SNMP-Trap сообщает о неудачной попытке применения конфигурации. При срабатывании такого правила будет создано событие "Config Action Failed".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • Описание:
    • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
    • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — Трап. Устройство сообщает сервису ECCM о неудачной попытке применения конфигурации при помощи SNMP-Trap, данные сохраняются в систему в качестве трапа;
    • "Элемент данных" — eltexConfigActionFailed. Это название трапа SNMP-Trap, ожидаемого системой от устройства, внутри системы;
    • "Реагировать на получение трапа без составления правил" — активирован. Обеспечивает автоматическое создание условия для генерации события по приходу выбранного SNMP-Трапа;

  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как OID SNMP-Трапа и тип данных, которые в нём ожидаются.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа ESR отправит в СУ трап "eltexConfigActionFailed", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий с одним условием

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать хотя бы одно условие на элемент данных. Событие будет создано, если выбранный элемент данных будет соответствовать установленному условию.

Событие при высоком SNMP-Ping до устройств в группе

Задача: создать правило генерации события для случая, когда SNMP-Ping от сервера ECCM до устройства типа ESR превышает значение в 300 мс. При срабатывании такого правила будет создано событие "High SNMP-Ping for ESR".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • Описание:
    • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
    • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — Метрика. SNMP-Ping производится сервисом ECCM в сторону устройства, данные сохраняются в систему в качестве метрики;
    • "Элемент данных" — Device availability by SNMP. Это название метрики SNMP внутри системы;
  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения.
  • Условия генерации событий:
    • "Элемент данных" в условиях генерации событий — Metric: availability.ping.time[snmp]. Некоторые метрики могут содержать несколько значений в списке элемента данных, для настройки условия выбирается одно из них;
    • "Функция сравнения" — Больше. В примере задано условие создания события при значении метрики availability.ping.time[snmp] большем, чем пороговое значение;
    • "Пороговое значение" — 300 мс.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для какого-либо устройства типа ESR значение SNMP-метрики "Metric: availability.ping.time[snmp]" в СУ превысит 300 мс, то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий с несколькими условиями

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать два и более условий на элемент данных. Событие будет создано, если выбранный элемент данных будет соответствовать установленным условиям.

Событие при превышении счетчика ошибок входящего трафика для интерфейса

Задача: создать правило генерации события для случая, когда счетчик ошибок на интерфейсе "gigabitethernet 1/0/1" устройства типа ESR c IP-адресом 100.110.0.130 превышает значение в 50 ошибок в секунду. При срабатывании такого правила будет создано событие "High Errors counts GE1/0/1".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • Описание:
    • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
    • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" Метрика. Опрос счетчиков ошибок на интерфейсах устройства производится сервисом ECCM и сохраняется в систему в качестве метрики;
    • "Элемент данных" — Interface traffic metrics. Это название метрики внутри системы.
  • Область применения:
    • "Область применения" — обеспечивает работу правила только для выбранного устройства. Добавлены устройства, выбрано устройство с IP-адресом 100.110.0.130;
  • Описание элементов данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения.
  • Условия генерации событий:
    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 
    • Первое условие — задано ограничение по имени интерфейса для анализа метрик:
      • "Элемент данных" — Property: interface.object.property.ifName. Задается для ограничения анализа метрик только по одному интерфейсу устройства;
      • "Функция сравнения" для первого условия — Равно. Задано условие, при котором событие создается при совпадении имени интерфейса;
      • "Пороговое значение" для первого условия — gigabitethernet 1/0/1. Задано условие создания события при "Property: interface.object.property.ifName" с интерфейсом gigabitethernet 1/0/1 (имя интерфейса указано из конфигурации устройства);
    • Второе условие — указано ожидаемое значение ошибок на интерфейсе:
      • "Элемент данных" — Metric: interface.traffic.errors.in. Необходимо выбрать поле элемента данных, в котором указывается счетчик ошибок на интерфейсе в секунду.
      • "Функция сравнения" для второго условия — Больше. Задано условие, при котором событие создается при значении "Metric: interface.traffic.errors.in" большем, чем пороговое значение;
      • "Пороговое значение" для второго условия — 50. Задано условие создания события при превышении "Metric: interface.traffic.errors.in" порогового значения в 50 ошибок в секунду.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для ESR с IP 100.110.0.130 значение SNMP-метрики "Metric: interface.traffic.errors.in" в СУ превысит 50 для интерфейса с названием "gigabitethernet 1/0/1", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий на основе лога

Событие при неудачной аутентификации на устройстве

Задача: создать правило генерации события для случая, когда от устройства MES2324P было получено Syslog-сообщение о том, что была зарегистрирована попытка подключения к устройству с неверными логином и паролем. При срабатывании такого правила будет создано событие "Неудачное подключение к устройству".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.


Пояснение по шагам:

  • Описание:
    • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
    • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • Тип данных:
    • "Тип устройства" — MES23xx/33xx/35xx/36xx/53xx/5400. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — Лог;
    • "Элемент данных" — syslogMessage. Устройство сообщает сервису ECCM о неудачной попытке аутентификации при помощи Syslog-сообщения, данные сохраняются в систему в качестве лога;
  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание параметров syslog-сообщения.
  • Условия генерации событий:
    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 
    • Первое условие — задано ключевое слово, которое должен содержать тег лога, указывающее, что была зафиксирована попытка аутентификации на устройстве:
      • "Элемент данных" — tag. Задается поле лога, которое будет анализироваться системой;
      • "Функция сравнения" для первого условия — "Содержит". Задана функция сравнения для анализа тега;
      • "Пороговое значение" для первого условия — "AAA". Задано ключевое слово "AAA", которое необходимо обнаружить в теге полученного лога;
    • Второе условие — задано ключевое слово, которое должен содержать тег лога, указывающее, что была зафиксирована попытка аутентификации на устройстве была неудачной:
      • "Элемент данных" — tag. Задается поле лога, которое будет анализироваться системой;
      • "Функция сравнения" для второго условия — "Содержит". Задана функция сравнения для анализа тега;
      • "Пороговое значение" для второго условия — REJECT. Задано ключевое слово "REJECT", которое необходимо обнаружить в теге полученного лога. 

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа MES23xx/33xx/35xx/36xx/53xx/5400 отправит в СУ syslog-сообщение, тег которого содержит в себе два ключевых слова "AAA" и "REJECT", то система обработает его в соответствии с созданным правилом генерации событий и создаст соответствующее событие.

Создание правила генерации событий на основе задачи

Событие при неудачной аутентификации на устройстве

Задача: создать правило генерации события для случая, когда для устройств модели ESR-200 в подсети 100.110.1.0/24 задача "Обновить информацию об интерфейсах" не была завершена. При срабатывании такого правила будет создано событие "Интерфейсы устройств ESR-200 в сети 100.110.1.0/24 не обновлены".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • Описание:

    • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;

    • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;

  • Тип данных:

    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;

    • "Тип данных" — Задача;

    • "Элемент данных" — "Обновить информацию об интерфейсах". Задачи обрабатываются сервисом ECCM, данные сохраняются в систему в качестве задачи;

  • Область применения:

    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);

  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как статус задачи и информация об устройстве, к которому она применяется.

  • Условия генерации событий:

    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 

    • Первое условие — задана модель устройства, указывающая, что задача выполнялась для данной модели устройств:

      • "Элемент данных" — DEVICE_MODEL. Задается поле модели устройства, которое будет анализироваться системой;

      • "Функция сравнения" для первого условия — "Содержит". Задана функция сравнения для анализа модели устройства;

      • "Пороговое значение" для первого условия — "ESR-200". Задано ключевое слово "ESR-200", которое необходимо обнаружить в модели устройства полученной задачи;

    • Второе условие — задан IP-адрес устройства, указывающий, что задача выполнялась для устройств в данной подсети:

      • "Элемент данных" — DEVICE_IP. Задается поле IP-адреса устройства, которое будет анализироваться системой;

      • "Функция сравнения" для второго условия — "Содержит". Задана функция сравнения для анализа IP-адреса устройства;

      • "Пороговое значение" для второго условия — "100.110.1.". Задано ключевое слово "100.110.1.", которое необходимо обнаружить в IP-адрес устройства полученной задачи;

    • Третье условие — задан статус задачи, указывающий, что задача не была выполнена:

      • "Элемент данных" — STATUS. Задается поле статуса задачи, которое будет анализироваться системой;

      • "Функция сравнения" для второго условия — "Не равно". Задана функция сравнения для анализа статуса задачи;

      • "Пороговое значение" для второго условия — "Выполнено". Задано условие создания события при несоответствии статуса задачи "Выполнено".

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для какого-либо устройства модели ESR-200 в подсети 100.110.1.0/24 задача "Обновить информацию об интерфейсах" не завершится, система обработает ее в соответствии с созданным правилом генерации событий и создаст соответствующее событие.

  • Нет меток