Регистрация событий, происходящих на сети — это одна из ключевых функций системы управления (СУ). На основе анализа этих событий система управления создает проблемы, о которых уведомляется оператор и которые отображаются в разделе "Проблемы".

Концепция

Ниже представлена логическая схема генерации событий.

Генерация событий в СУ происходит в несколько этапов:

1. Получение данных (метрик/трапов/логов) от устройств;
2. Анализ полученных данных и регистрация события;
3. Сохранение события в базу данных.

Получение данных устройств

В качестве источников данных для регистрации событий для добавленных в систему устройств используются:

• Логи (Syslog), которые отсылает устройство и которые регистрируются системой управления;
• SNMP-трапы (SNMP traps), которые отсылает устройство и которые регистрируются системой управления;
• SNMP-метрики (SNMP poll), которые система управления собирает с устройств.

В качестве приемника логов выступает сервис syslog-receiver, который принимает логи с IP-адресов добавленных в систему устройств по TCP или UDP протоколу в соответствии с настройками приемника логов.

В качестве приемника SNMP-трапов выступает сервис trap-receiver, который принимает SNMP-трапы с IP-адресов добавленных в систему устройств в соответствии с настройками приемника (версии SNMP, SecurityName/Community для SNMPv2c, профиля для SNMPv3).

В качестве опросчика SNMP-метрик выступает группа сервисов monitoring-service, которые опрашивают добавленные в систему устройства по протоколу SNMP по метрикам нагрузки CPU/RAM/RAM, трафику и ошибкам на интерфейсах устройств (состав метрик различается в зависимости от типа устройства и его конфигурации).

Полученные данные сохраняются в базу данных. SNMP-трапы отображаются в разделе "Трапы", логи — в разделе "Логи", а собранные метрики доступны для просмотра на странице устройства в разделе "Мониторинг" → "Метрики".

Анализ данных и регистрация события

Полученные метрики, логи и трапы анализируются сервисом problem-manager. Сервис сравнивает значения метрик или параметров трапов/логов с условиями правил генерации событий (см. раздел "Настройки" → "Мониторинг" → "Правила генерации событий"), и, если данные устройств удовлетворяют условиям правила, то система генерирует новое событие. Зарегистрированные события сохраняются в базу данных и отображаются в разделе "События".

Примеры

Создание правила генерации событий при безусловном получении SNMP-Trap

Система позволяет создать правила генерации событий, для которых не требуется устанавливать условие на элемент данных. Могут быть полезны в случаях, когда событие будет создано безусловно, если выбранный элемент данных появится в системе (например, когда будет зарегистрирован определенный SNMP-трап).

Событие при неудачном применении конфигурации на устройстве типа ESR

Задача: создать правило генерации события для случая, когда устройство при помощи SNMP-Trap сообщает о неудачной попытке применения конфигурации. При срабатывании такого правила будет создано событие "Config Action Failed".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

• Описание:
  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
• Тип данных:
  • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
  • "Тип данных" — Трап. Устройство сообщает сервису ECCM о неудачной попытке применения конфигурации при помощи SNMP-Trap, данные сохраняются в систему в качестве трапа;
  • "Элемент данных" — eltexConfigActionFailed. Это название трапа SNMP-Trap, ожидаемого системой от устройства, внутри системы;

  • "Реагировать на получение трапа без составления правил" — активирован. Обеспечивает автоматическое создание условия для генерации события по приходу выбранного SNMP-Трапа;

• Область применения:
  • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
• Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как OID SNMP-Трапа и тип данных, которые в нём ожидаются.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа ESR отправит в СУ трап "eltexConfigActionFailed", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий с одним условием

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать хотя бы одно условие на элемент данных. Событие будет создано, если выбранный элемент данных будет соответствовать установленному условию.

Событие при высоком SNMP-Ping до устройств в группе

Задача: создать правило генерации события для случая, когда SNMP-Ping от сервера ECCM до устройства типа ESR превышает значение в 300 мс. При срабатывании такого правила будет создано событие "High SNMP-Ping for ESR".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

• Описание:
  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
• Тип данных:
  • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
  • "Тип данных" — Метрика. SNMP-Ping производится сервисом ECCM в сторону устройства, данные сохраняются в систему в качестве метрики;
  • "Элемент данных" - PING_TIME_SNMP. Это название метрики SNMP-Ping внутри системы;
• Область применения:
  • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
• Описание элемента данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения.
• Условия генерации событий:
  • "Элемент данных" в условиях генерации событий — PING_TIME_SNMP. Некоторые метрики могут содержать несколько значений в списке элемента данных, для настройки условия выбирается одно из них;
  • "Функция сравнения" — Больше. В примере задано условие создания события при значении PING_TIME_SNMP большем, чем пороговое значение;
  • "Пороговое значение" — 300 мс.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для какого-либо устройства типа ESR значение SNMP-метрики "PING_TIME_SNMP" в СУ превысит 300 мс, то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий с несколькими условиями

Примеры правил генерации событий на устройствах, при которых необходимо устанавливать два и более условий на элемент данных. Событие будет создано, если выбранный элемент данных будет соответствовать установленным условиям.

Событие при превышении счетчика ошибок входящего трафика для интерфейса

Задача: создать правило генерации события для случая, когда счетчик ошибок на интерфейсе "gigabitethernet 1/0/1" устройства типа ESR c IP-адресом 100.110.0.130 превышает значение в 50 ошибок в секунду. При срабатывании такого правила будет создано событие "High Errors counts GE1/0/1".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

• Описание:
  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
• Тип данных:
  • "Тип устройства" — ESR. Выбирается тип устройств, для которых может применяться данное правило;
  • "Тип данных" — Метрика. Опрос счетчиков ошибок на интерфейсах устройства производится сервисом ECCM и сохраняется в систему в качестве метрики;
  • "Элемент данных" — INTERFACE_ERRORS_PER_SECONDS_IN. Это название метрики внутри системы.
• Область применения:
  • "Область применения" — обеспечивает работу правила только для выбранного устройства. Добавлены устройства, выбрано устройство с IP-адресом 100.110.0.130;
• Описание элементов данных — содержит описание выбранного элемента данных и такую информацию, как SNMP-метрика, тип данных, которые в ней ожидаются, и единицы ее измерения.
• Условия генерации событий:
  • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 
  • Первое условие — задано ограничение по имени интерфейса для анализа метрик:
    • "Элемент данных" — INTERFACE_NAME. Задается для ограничения анализа метрик только по одному интерфейсу устройства;
    • "Функция сравнения" для первого условия — Равно. Задано условие, при котором событие создается при совпадении имени интерфейса;
    • "Пороговое значение" для первого условия — gigabitethernet 1/0/1. Задано условие создания события при INTERFACE_NAME с интерфейсом gigabitethernet 1/0/1 (имя интерфейса указано из конфигурации устройства);
  • Второе условие — указано ожидаемое значение ошибок на интерфейсе:
    • "Элемент данных" — INTERFACE_ERRORS_PER_SECONDS_IN. Необходимо выбрать поле элемента данных, в котором указывается счетчик ошибок на интерфейсе в секунду.
    • "Функция сравнения" для второго условия — Больше. Задано условие, при котором событие создается при значении INTERFACE_ERRORS_PER_SECONDS_IN большем, чем пороговое значение;
    • "Пороговое значение" для второго условия — 50. Задано условие создания события при превышении INTERFACE_ERRORS_PER_SECONDS_IN порогового значения в 50 ошибок в секунду.

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только для ESR с IP 100.110.0.130 значение SNMP-метрики "INTERFACE_ERRORS_PER_SECONDS_IN" в СУ превысит 50 для интерфейса с названием "gigabitethernet 1/0/1", то система обработает его в соответствии с созданными правилами генерации событий и создаст соответствующее событие.

Создание правила генерации событий на основе лога

Событие при неудачной аутентификации на устройстве

Задача: создать правило генерации события для случая, когда от устройства MES2324P было получено Syslog-сообщение о том, что была зарегистрирована попытка подключения к устройству с неверными логином и паролем. При срабатывании такого правила будет создано событие "Неудачное подключение к устройству".

Для создания правила генерации событий перейдите на страницу "Настройки" → "Мониторинг" → "Правила генерации событий" и нажмите кнопку "Создать": откроется диалоговое окно создания правила. Заполните поля в соответствии с рисунком ниже.

Пояснение по шагам:

• Описание:
  • "Название правила" и его "Важность" — выбираются в зависимости от критичности события на вашей сети;
  • "Включить правило" — активировано. Обеспечивает активацию правила генерации события сразу после его создания;
• Тип данных:
  • "Тип устройства" — MES23xx/33xx/35xx/36xx/53xx/5400. Выбирается тип устройств, для которых может применяться данное правило;
  • "Тип данных" — Лог;
  • "Элемент данных" — syslogMessage. Устройство сообщает сервису ECCM о неудачной попытке аутентификации при помощи Syslog-сообщения, данные сохраняются в систему в качестве лога;
• Область применения:
  • "Область применения" — группа "eccm". Обеспечивает работу правила по всем группам в системе (т. к. группа eccm — корневая группа);
• Описание элемента данных — содержит описание параметров syslog-сообщения.
• Условия генерации событий:
  • "Групповое условие" — "И". Логическая операция, применяемая к условиям в группе условий. Устанавливает правило создания события только при достижении обоих условий. 
  • Первое условие — задано ключевое слово, которое должен содержать тег лога, указывающее, что была зафиксирована попытка аутентификации на устройстве:
    • "Элемент данных" — tag. Задается поле лога, которое будет анализироваться системой;
    • "Функция сравнения" для первого условия — "Содержит". Задана функция сравнения для анализа тега;
    • "Пороговое значение" для первого условия — "AAA". Задано ключевое слово "AAA", которое необходимо обнаружить в теге полученного лога;
  • Второе условие — задано ключевое слово, которое должен содержать тег лога, указывающее, что была зафиксирована попытка аутентификации на устройстве была неудачной:
    • "Элемент данных" — tag. Задается поле лога, которое будет анализироваться системой;
    • "Функция сравнения" для второго условия — "Содержит". Задана функция сравнения для анализа тега;
    • "Пороговое значение" для второго условия — REJECT. Задано ключевое слово "REJECT", которое необходимо обнаружить в теге полученного лога. 

После заполнения полей нажмите кнопку "Создать". Созданное правило будет отображено в таблице правил. Таким образом, как только какое-либо устройство типа MES23xx/33xx/35xx/36xx/53xx/5400 отправит в СУ syslog-сообщение, тег которого содержит в себе два ключевых слова "AAA" и "REJECT", то система обработает его в соответствии с созданным правилом генерации событий и создаст соответствующее событие.