Регистрация событий, происходящих на сети  это одна из ключевых функций системы управления (СУ). На основе анализа этих событий система управления создает проблемы, о которых уведомляется оператор и которые отображаются в разделе "Проблемы".

Концепция

Ниже представлена логическая схема генерации событий.

Генерация событий в СУ происходит в несколько этапов:

  1. Получение данных (метрик/SNMP trap/Syslog-сообщений/результатов задач) от устройств;
  2. Анализ Syslog-сообщений WLC для создания wireless-событий;
  3. Анализ данных и регистрация системных событий;
  4. Сохранение системного события в базу данных.

Получение данных устройств

В качестве источников данных для регистрации системных событий для добавленных в систему устройств используются:

  • Syslog-cообщения, которые отсылает устройство и которые регистрируются системой управления;
  • SNMP trap, которые отсылает устройство и которые регистрируются системой управления;
  • SNMP-метрики (SNMP poll), которые система управления собирает с устройств;
  • Задачи, которые запускаются в системе;
  • Wireless-события, которые создаются на основе Syslog-cообщений, полученных с устройства WLC.
Для корректного сбора данных параметры доступа к устройствам должны быть актуальными, статус доступности устройств по SNMP  положительным.

В качестве приёмника syslog выступает сервис syslog-receiver, который принимает Syslog-cообщения от добавленных в систему устройств по TCP- или UDP-протоколу в соответствии с настройками приёмника syslog. Также syslog-receiver отвечает за анализ Syslog-cообщений WLC и создание на их основе wireless-событий.

В качестве приёмника SNMP trap выступает сервис trap-receiver, который принимает SNMP trap от добавленных в систему устройств в соответствии с настройками приёмника (версии SNMP, SecurityName/Community для SNMPv2c, профиля для SNMPv3).

В качестве опросчика SNMP-метрик выступает сервис monitoring-service, который опрашивает добавленные в систему устройства по протоколу SNMP по метрикам нагрузки CPU/RAM/ROM, трафику и ошибкам на интерфейсах (состав метрик различается в зависимости от типа устройства и его конфигурации).

В качестве планировщика задач выступает сервис cron-manager, который позволяет управлять задачами взаимодействия с устройствами.

Полученные данные сохраняются в базу данных. SNMP trap отображаются в разделе "SNMP trap", Syslog-сообщения — в разделе "Syslog", задачи — в разделе "Задачи", wireless-события — в разделе "События" → "Wireless", а собранные метрики доступны для просмотра на странице устройства в разделе "Мониторинг устройства" → "Метрики".

Анализ данных и регистрация системных событий 

Полученные метрики, Syslog-cообщения, SNMP trap, задачи и wireless-события анализируются сервисом problem-manager. Сервис сравнивает значения метрик или параметров SNMP trap/Syslog-cообщений/задач/wireless-событий с условиями правил генерации событий (см. раздел "Настройки" → "Мониторинг" → "Правила генерации событий") и, если данные устройств удовлетворяют условиям правила, то система генерирует новое системное событие. Зарегистрированные системные события сохраняются в базу данных. Системные события отображаются в разделе "События" → "Системные".

В системе управления по умолчанию установлен список правил для генерации событий разных типов устройств, который может быть дополнен пользователем системы.

С версии 2.4 для системных правил генерации событий доступны для редактирования только поля "Важность" и статус "Включено". Если необходимо изменить другие параметры системного правила, создайте его копию и внесите изменения в нее.

Для копирования правила генерации событий выделите правило в таблице с помощью флага и нажмите кнопку "Копировать". Откроется диалоговое окно "Копировать правило генерации событий", в котором необходимо указать параметры для нового правила. При копировании правила к названию автоматически добавляется конструкция "_copy".

Примеры

Создание правила генерации событий при безусловном получении SNMP trap

Система позволяет создать правила генерации событий, для которых не требуется устанавливать условие на элемент данных. Могут быть полезны в случаях, когда системное событие будет создано безусловно, если выбранный элемент данных появится в системе (например, когда будет зарегистрирован определенный SNMP trap).

По данным SNMP-метрик безусловные правила создать нельзя. В остальном логика создания правил по данным SNMP trap и SNMP-метрик идентична.

Событие при неудачном применении конфигурации на устройстве типа ESR

Задача: создать правило генерации события для случая, когда устройство при помощи SNMP trap сообщает о неудачной попытке применения конфигурации. При срабатывании такого правила будет создано системное событие "Config Action Failed".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — SNMP trap. Устройство сообщает сервису ECCM о неудачной попытке применения конфигурации при помощи SNMP trap, данные сохраняются в систему в качестве SNMP trap;
    • "Элемент данных" — eltexConfigActionFailed. Это название SNMP trap, ожидаемого системой от устройства, внутри системы;

    • "Реагировать на получение SNMP trap без условий" — активирован. Обеспечивает автоматическое создание условия для генерации события по приходу выбранного SNMP trap;

  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как OID SNMP trap и тип данных, которые в нём ожидаются.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа ESR отправит в СУ SNMP trap "eltexConfigActionFailed", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее системное событие.

Создание правила генерации событий с одним условием

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать хотя бы одно условие на элемент данных. Системное событие будет создано, если выбранный элемент данных будет соответствовать установленному условию.

Событие при высоком SNMP-Ping до устройств в группе

Задача: создать правило генерации события для случая, когда SNMP-Ping от сервера ECCM до устройства типа ESR превышает значение в 300 мс. При срабатывании такого правила будет создано системное событие "High SNMP-Ping for ESR".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — Метрика. SNMP-Ping производится сервисом ECCM в сторону устройства, данные сохраняются в систему в качестве метрики;
    • "Элемент данных" — Device availability by SNMP. Это название метрики SNMP внутри системы;
  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения;
  • Условия генерации событий:
    • "Элемент данных" в условиях генерации событий — Metric: availability.ping.time[snmp]. Некоторые метрики могут содержать несколько значений в списке элемента данных, для настройки условия выбирается одно из них;
    • "Функция сравнения" — Больше. В примере задано условие создания события при значении метрики availability.ping.time[snmp] большем, чем пороговое значение;
    • "Пороговое значение" — 300 мс.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для какого-либо устройства типа ESR значение SNMP-метрики "availability.ping.time[snmp]" в СУ превысит 300 мс, то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее системное событие.

Создание правила генерации событий с несколькими условиями

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать два и более условий на элемент данных. Системное событие будет создано, если выбранный элемент данных будет соответствовать установленным условиям.

Событие при превышении счетчика ошибок входящего трафика для интерфейса

Задача: создать правило генерации события для случая, когда счетчик ошибок на интерфейсе "gigabitethernet 1/0/1" устройства типа ESR c IP-адресом 100.110.1.122 превышает значение в 50 ошибок в секунду. При срабатывании такого правила будет создано системное событие "High Errors counts GE1/0/1".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;
  • Тип данных:
    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" Метрика. Опрос счетчиков ошибок на интерфейсах устройства производится сервисом ECCM и сохраняется в систему в качестве метрики;
    • "Элемент данных" — Interface traffic metrics. Это название метрики внутри системы;
  • Область применения:
    • "Область применения" — обеспечивает работу правила только для выбранного устройства. Добавлены устройства, выбрано устройство с IP-адресом 100.110.1.122;
  • Описание элементов данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения;
  • Условия генерации событий:
    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 
    • Первое условие — задано ограничение по имени интерфейса для анализа метрик:
      • "Элемент данных" — Property: interface.object.property.ifName. Задается для ограничения анализа метрик только по одному интерфейсу устройства;
      • "Функция сравнения" для первого условия — Равно. Задано условие, при котором системное событие создается при совпадении имени интерфейса;
      • "Пороговое значение" для первого условия — gigabitethernet 1/0/1. Задано условие создания события при "Property: interface.object.property.ifName" с интерфейсом gigabitethernet 1/0/1 (имя интерфейса указано из конфигурации устройства);
    • Второе условие — указано ожидаемое значение ошибок на интерфейсе:
      • "Элемент данных" — Metric: interface.traffic.errors.in. Необходимо выбрать поле элемента данных, в котором указывается счетчик ошибок на интерфейсе в секунду;
      • "Функция сравнения" для второго условия — Больше. Задано условие, при котором системное событие создается при значении "Metric: interface.traffic.errors.in" большем, чем пороговое значение;
      • "Пороговое значение" для второго условия — 50. Задано условие создания события при превышении "Metric: interface.traffic.errors.in" порогового значения в 50 ошибок в секунду.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для ESR с IP 100.110.1.122 значение SNMP-метрики "Metric: interface.traffic.errors.in" в СУ превысит 50 для интерфейса с названием "gigabitethernet 1/0/1", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее системное событие.

Создание правила генерации событий на основе Syslog

Событие при неудачной аутентификации на устройстве

Задача: создать правило генерации события для случая, когда от устройства MES2324P было получено Syslog-сообщение о том, что была зарегистрирована попытка подключения к устройству с неверными логином и паролем. При срабатывании такого правила будет создано системное событие "Неудачное подключение к устройству".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;
  • Тип данных:
    • "Тип устройства" — MES23xx/33xx/35xx/36xx/53xx/5400. Выбирается тип устройств, для которых может применяться данное правило;
    • "Тип данных" — Syslog;
    • "Элемент данных" — syslogMessage. Устройство сообщает сервису ECCM о неудачной попытке аутентификации при помощи Syslog-сообщения, данные сохраняются в систему в качестве Syslog-сообщения;
  • Область применения:
    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
  • Описание элемента данных — содержит описание параметров Syslog-сообщения;
  • Условия генерации событий:
    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий;
    • Первое условие — задано ключевое слово, которое должен содержать тег Syslog-сообщения, указывающее, что была зафиксирована попытка аутентификации на устройстве:
      • "Элемент данных" — tag. Задается поле Syslog-сообщения, которое будет анализироваться системой;
      • "Функция сравнения" для первого условия — "Содержит". Задана функция сравнения для анализа тега;
      • "Пороговое значение" для первого условия — "AAA". Задано ключевое слово "AAA", которое необходимо обнаружить в теге полученного Syslog-сообщения;
    • Второе условие — задано ключевое слово, которое должен содержать тег Syslog-сообщения, указывающее, что была зафиксирована попытка аутентификации на устройстве была неудачной:
      • "Элемент данных" — tag. Задается поле Syslog-сообщения, которое будет анализироваться системой;
      • "Функция сравнения" для второго условия — "Содержит". Задана функция сравнения для анализа тега;
      • "Пороговое значение" для второго условия — REJECT. Задано ключевое слово "REJECT", которое необходимо обнаружить в теге полученного Syslog-сообщения. 

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа MES23xx/33xx/35xx/36xx/53xx/5400 отправит в СУ Syslog-сообщение, тег которого содержит в себе два ключевых слова "AAA" и "REJECT", то система обработает его в соответствии с созданным правилом генерации событий и создаст соответствующее системное событие.

Создание правила генерации событий на основе задачи

Событие при неудачной аутентификации на устройстве

Задача: создать правило генерации события для случая, когда для устройств модели ESR-200 в подсети 100.110.1.0/24 задача "Обновить информацию об интерфейсах" не была завершена. При срабатывании такого правила будет создано системное событие "Интерфейсы устройств ESR-200 в сети 100.110.1.0/24 не обновлены".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.



Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;

  • Тип данных:

    • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;

    • "Тип данных" — Задача;

    • "Элемент данных" — "Обновить информацию об интерфейсах". Задачи обрабатываются сервисом ECCM, данные сохраняются в систему в качестве задачи;

  • Область применения:

    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);

  • Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как статус задачи и информация об устройстве, к которому она применяется;

  • Условия генерации событий:

    • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий;

    • Первое условие — задана модель устройства, указывающая, что задача выполнялась для данной модели устройств:

      • "Элемент данных" — DEVICE_MODEL. Задается поле модели устройства, которое будет анализироваться системой;

      • "Функция сравнения" для первого условия — "Содержит". Задана функция сравнения для анализа модели устройства;

      • "Пороговое значение" для первого условия — "ESR-200". Задано ключевое слово "ESR-200", которое необходимо обнаружить в модели устройства полученной задачи;

    • Второе условие — задан IP-адрес устройства, указывающий, что задача выполнялась для устройств в данной подсети:

      • "Элемент данных" — DEVICE_IP. Задается поле IP-адреса устройства, которое будет анализироваться системой;

      • "Функция сравнения" для второго условия — "Содержит". Задана функция сравнения для анализа IP-адреса устройства;

      • "Пороговое значение" для второго условия — "100.110.1.". Задано ключевое слово "100.110.1.", которое необходимо обнаружить в IP-адрес устройства полученной задачи;

    • Третье условие — задан статус задачи, указывающий, что задача не была выполнена:

      • "Элемент данных" — STATUS. Задается поле статуса задачи, которое будет анализироваться системой;

      • "Функция сравнения" для второго условия — "Не равно". Задана функция сравнения для анализа статуса задачи;

      • "Пороговое значение" для второго условия — "Выполнено". Задано условие создания события при несоответствии статуса задачи "Выполнено".

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для какого-либо устройства модели ESR-200 в подсети 100.110.1.0/24 задача "Обновить информацию об интерфейсах" не завершится, система обработает ее в соответствии с созданным правилом генерации событий и создаст соответствующее системное событие.

Создание правила генерации событий на основе wireless событий

Событие при разрегистрации точки доступа на устройстве

Задача: создать правило генерации события для случая, когда на устройствах типа WLC была разрегистрирована точка доступа. При срабатывании такого правила будет создано системное событие "Разрегистрирована точка доступа".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать". Откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
  • "Шаблон события" — текстовый шаблон, согласно которому будет создаваться описание соответствующего события;

  • Тип данных:

    • "Тип устройства" — WLC. Выбирается тип устройств, для которых может применяться данное правило;

    • "Тип данных" — Wireless события;

    • "Элемент данных" — "Точка доступа разрегистрирована". Данное событие создается системой управления на основе Syslog-сообщения, полученного от устройства WLC, с информацией о том, что на контроллере была разрегистрирована точка доступа;

    • "Реагировать на получение wireless события без условий" — активировано. Обеспечивает автоматическое создание условия для генерации события после создания выбранного wireless события;

  • Область применения:

    • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);

  • Описание элемента данных — содержит описание параметров wireless события.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа WLC отправит в СУ Syslog-сообщение с информацией о разрегистрации точки доступа, будет создано wireless событие, которое система обработает в соответствии с созданным правилом генерации событий и создаст соответствующее системное событие.

  • Нет меток