nocproject.org

всем привет!

есть вопрос по модулю dns

вот есть у меня например такая запись в обратной зоне 10.in-addr.arpa

2.210.254 IN PTR host.domain.ru.

если я делаю в noc зону 10.in-addr.arpa, то такая запись туда не попадает... получается надо делать зону 210.254.10.in-addr.arpa - и таких 256 штук - неудобно однако :)

но так ведь оно и в жизни?

dvolodin: может стат vlanы в нок добавить... ;)

я имел в виду сравнительно с конфигурацией bind9 - у меня один файлик 10.rev, а в нём записи такого вида как я привёл... а тут получается (если проводить аналогию) - будет 256 файликов

gnu-linux: не в таком виде, там сильная заточка на конкретное применение

схожу в отпуск, вернемся к этому вопросу

пока ближайшие планы такие - доделать функционал fault management'а, там уже немного осталось

натренировать его, сделать нормальный набор правил

и начнем работать в сторону каталога сервисов

В каталоге сервисов будет и привязка портов к vlan'ам

да и вообще упорядочатся многие вещи

<dvolodin> она на правильном адресе слушает?

адрес в конфиге активатора и адреса в тцпдампе совпадают

на хосте один IPшник?

да, один

в managed object'е trap source прописан?

да

хм

видимо отбой

начали приходить вечером таки

пока сидел проверял да генерил - не было эвентов

мистика

они же сразу в базу должны попадать?

или какое-то время (возможно продолжительное) пережёвываются системой?

dvolodin, с трэйсбэком после падения noc-activator - ничего не прояснилось?

не смотрел еще

VIY: В базу попадают сразу

потом классификатор их переваривает

Если играться с FM, лучше сразу начинать с новой реализации из репозитория http://hg.nocproject.org/noc-fm/

а как мигрировать с текущей на эту?

(не сломается ли чего)

событий много в базе?

в моем случае - не важно, там были только тесты

евентов можно сказать что нет

прошлую базу так и не удалось перенести

а на свежей только ипам и конфиги

тогда 100% с нового FM

т.е. просто hg update http://hg.nocproject.org/noc-fm/?

можно проще

в .hg/hgrc поменять default

поменял, проапдейтил - теперь при попытке просмотреть любой эвент получаю 404

кеш браузера сбросить надо, старый javascript тянет, похоже

inoyat_kayumov, помогло?

проверяю - в мозилле кэш вообще был выключен, сейчас попробую хромом

работает. только опять активатор упал :(

по хорошему надо заграбить пакет

так. в новом FM - классификацию и прочие вещи вручную? стандартных как в старом - нет?

есть

только совсем мало

в fm/collections лежат

а подключать?

попробовал сграбить

./scripts/grab-event.py 4dfaff504a5e68616700001a

Traceback (most recent call last):

File "./scripts/grab-event.py", line 80, in <module>

print "[\n" + ",\n\n".join([convert_event(cursor, int(e)) for e in sys.argv[1:]]) + "\n]\n"

секунду

grab-event пока извлекает данные только из старой базы fm

доработаю сейчас

а чем тогда?

поменял default, теперь -http://dpaste.com/555419/

*.pyc старые лучше снести

inoyat_kayumov: r3843 -- теперь и из монго дерет

в fm/?

да

find fm/ -name \*.pyc -delete

не помогло

удалил, обновил до r3843, скомпилились новые и таже ошибка

http://dpaste.com/555422/

в принципе задампить событие можно и из web

rm -rf fm/apps/eventclassificationrule

теперь cannot import name EventCategory

их тож rm ?

да

там некоторые приложения переименованы и ушли

rm -rf fm/apps/eventcategory/, http://dpaste.com/555429/

удалил eventpostprocessingrule,eventpriority -- -http://dpaste.com/555430/

mibview тоже

ещё eventcorrelationrule,eventarchivationrule и вэб заработал

ну да

сейчас в alarm'ах должно появиться, какие железки не пингуются

ага, есть такое

красиво?

fm.ping_check стал completed ! =)

ж)

да, новый хорошо выглядит

а когда оно в основной репозиторий перекочует?)

В events - события, которые проходили

проскакивает там Failed to classify event

в alarms - обнаруженные аварии

это нормально

для событий PM пока нет правил

правила и классы можно посмотреть из web

новые классы создавать - пока только через импорт json

добавить или поправить файлик и ./noc sync-collections

правила дает создавать из цуи

web

там еще вкусности для проверки правил и регулярных выражений появились

В основную ветку попадет, когда наберем хороший набор правил для отлова типовых проблем из коробки

теперь grab-event.py и на почту, правильно ?

grab-event'ом можно достать интересные события из старой базы

а новые можно прям из web заграбить

кнопочка json

в правом верхнем углу

всплывет психоделичное окошко

заграбить что ли самые топовые события... :)

хм

подгрузил из нок-фм

http://dpaste.com/555437/

грабь

lexus-omsk, какие файлики грохнуть там надо и где?

мой топ 5:

1 Link Up

2 Link Down

3 Login Success

4 Login Close

5 ACL Reject

какие файлики?

все каталоги, где есть view.pyc и нет views.py

а, вон выше вижу

lexus-omsk: аналогично почти

а как же стп)))

ну вот, сейчас одинаковых событий наприсылаем все...

а нету у нас stp )

а у мне куда копать?

события может быть, а вот виды трапов разные...

там специфичная для железа информация выдирается из базы?

_4ePTeHok: именно

получается да)

события зависят от железки

тот же Link Up для разных железок имеет разный вид

сначала обрабатывается Classification Rule

и находит класс события

если у класс action Drop - тихо коцаем его и забываем

все новые события лежат в коллекции fm.events.new

если мы поклассифицировали его нормально и не дропнули - перекладываем в fm.events.active и отдаем на растерзание коррелятору

тот применяет disposition rules, заданные в классе

и поднимает и гасит alarm'ы

что-то в награбленном появляются какие-то символы типа a=\\n, которых в оригинале не было

lexus-omsk, ты с каких свичей грабишь?

с самыми последними патчами?

r3801 у меня

r3846 ставь

я с длинков и зикселей

и чуть-чуть с цисок

c =\\n мне тушенка не нужна

в базе бинарные данные лежат в quoted printable

я тоже с длинков... есть ли смысл

а разве это не самая новая версия? у меня не noc-fm, а обычный

да дерите, больше и с разных моделей - лучше

lexus-omsk: тогда дери этим, только выкидывай =\\n

ок, там видно будет, может кто что пропустит

дальше будет аналог тушенки

с тестированием набора правил

блин, как же быстро теперь всё с mongo

по fm?

да

проникся, значит ;)

=))

стоила овчинка выделки, несмотря на подводные камни

но классификатор, который фигачит по 300 событий в секунду и коррелятор, обрабатывающий по 500 радуют

согласен, теперь с fm работаешь гораздо быстрее

Periodic Failed: fm.archive:Any

fuf

ага

разбираюсь с ней

у меня они 200 на 300

dvolodin_, это товоё тв у тебя так плохо работает ?

?

Connection reset by peer

вылетаешь постоянно

wifi дергается

прикольно

пофиксил багу в fm.archive

накатил патчи - честно ушла из alarm.ов

со временем простоя в 22 часа

:)

можно попробовать менять приоритет авариям

сначала надо ее забрать на себя (кнопочка Take)

и тогда можно крутить ей приоритет

И еще отличительная особенность нового FM - он многоязычный

хм. ещё раз обновил, и опять полезли cannot import name

опять удалять ?

наверно оно засосало файлы старого фм ага

не должно было

http://dpaste.com/555441/ как бы вот

помогло опять rm -rf fm/apps/{eventarchivationrule,eventcorrelationrule,mibview,eventpriority,eventpostprocessingrule,eventcategory,eventclassificationrule}

подскажите плз, в чём может быть проблема? http://dpaste.com/555437/

удалить надо fm/apps/mibview

так. сейчас попробую

мда, совсем чума пошла

Идея следующая

обнаружив события типа SNMP Auth Failure или Login Failure

в правилах можно проверить, не IP'шник ли это нашего активатора

и совпадает ли username с тем, что пробит для managed object'а

это круто

если совпадает - поднимать alarm, что железка криво настроена и noc на нее не попадает

:)

а так же парочку правил, которые будут проверят ип входящего - не дядя ли вася это с соседнего отдела, которому надо руки оторвать)

и еще парочка - которые пойдут и оторвут

dvolodin, надо бы ипам что бы можно было гугловыми виджетами сделать

очень удобно вставлять в confluence

NOC в облаках и все дела :)

аля да

виджеты гугловые поддерживаются более чем только гугелем :)

хм, сейчас заметил что циска (2950) не пишет в лог события логин (успешный или фэйл) - это же никак не менее приоритетное событие, чем, informational... что-то ещё подкрутить надо?

почему-то _все_ события неклассифицированы

на кошке

snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart

snmp-server enable traps tty

snmp-server enable traps bgp

snmp-server enable traps envmon fan supply temperature

snmp-server host 10.250.1.17 vrf ZOO comname bgp tty config mpls-ldp cpu envmon snmp

freeseacher: да, надо посмотреть

noc-classifier is failed to find appropriative classification rule for following SNMP Trap OID:

1.3.6.1.4.1.9.9.13.3(1.3.6.1.4.1.9.9.13.3)

inoyat_kayumov: правила еще сделать надо

:)

текущих совсем мало еще

это понятно

вот сграбленное:

"profile": "Cisco.IOS",

"raw_vars": {

"source": "SNMP Trap",

похоже начинаются непонятности к ноку не относящиеся

к примеру

snmpwalk -v 2c -c comname zoo-al-ats-1 1.3.6.1.4.1.9.9.13.3

SNMPv2-SMI::enterprises.9.9.13.3 = No Such Object available on this agent at this OID

хм. похоже эксплорер как-то хитро кэшит табличку с эвентами

и в итоге новых не выводит

залез другим браузером - новые видны

видимо с этим же связана вчерашняя моя проблема

ну, на некоторых сайтах напротив только он нормально и отрабатывает)

вчера я как раз не мог понять, почему эвенты не приезжают

а они видимо приезжали, но не отрисовывались явой

чёт я уже редко такие вижу

тааак

http://dpaste.com/555458/

dvolodin, http://dpaste.com/555458/

бум :(

Unhandled exception in noc-activator

File: /opt/noc/contrib/lib/pyasn1-0.0.9a-py2.6.egg/pyasn1/v1/codec/ber/decoder.py, Line: 486

а структура файлов с классами где-нибудь описана?

я так понимаю, нужно делать по подобию fm/collections/eventclasses/Unknown.json

http://files.nocproject.org/fm.xmind

а структура определена в fm/models.py

со структурой понял

а вот что делать с архивом, который качается по ссылке - нет

каким архивом?

VIY -http://ru.wikipedia.org/wiki/XMind

10х

кстати к вопросу о ненужных событиях с клиентских линков

можно либо в аттрибутах managed_object'а сделать ignored_interfaces

либо полем в таблице

наверное аттрибутом удобнее пока

тогда можно такой condition делать

re.match(event.managed_object.get_attr("ignored_interfaces", "^$"), event.vars["interface"]) is not None

ну алярм на них не надо, а хранить для статистики флапов - надо

ну и стандартизировать вид интерфейсов тогда...

уже закоммитил ManagedObject.is_ignored_interface

в классах событий есть поля для flap condition

правда они пока не обрабатываются

http://noc-url/fm/alarmclass/add/ - 404

чёт вываливается в трэйсбэк cm.config_pull. http://dpaste.com/555483/

и пока заметил, что только на свичах dlink3526

меркуриал валится

с правами все в порядке?

sek

-rw------- 1 noc root 33369 Июн 17 15:27 /home/noc/repo/config/16_27

сделал noc:noc

http://dpaste.com/555487/

-rwxr-xr-x 1 root root 1053 Май 11 02:54 /usr/bin/hg

свиду всё ок

нет?

а внутри repo?

хм.

noc:root сменил на noc:noc и заработало...

чёж он до этого отрабатывал нормально. со старыми правами

так. на новые конфиги нок ставит права noc:root

activator запущен от рута. для syslog и traps

а не, наврал. из SA-man.obj конф забирется и показывается. а вот если из CM-configs, то показывает, что всё ок, но жмёшь на Current Config и там пусто =(

и в репо щас права noc:noc

ух блин пятницо

сделал классы для link up/ link down

Feature #106 ?

длинк3526 http://dpaste.com/555508/

а, блин.

hey

i'm having issues installing noc on debian, using the latest from hg I was getting mongodb errors (couldn't connect) while I had the engine set to postgres and when I attemptoed to use 0.4 I now get "package directory 'contrib/src/docutils/test/test_transforms/test' does not exist" while doing python setup.py install

what version should I be using and what do I need to look at to fix either of those problems?

Try to install 0.6.4 or current mercurial tip

0.4 is too old

Я в отпуск на 3 недели, буду в оффлайне

всем хороших выходных