nocproject.org

dvolodin, привет. слил. sync-collections не пашет из репы.

на что ругается?

http://www.pastie.org/private/r2aamlaipzsqibudcchhw

лечитсо https://code.djangoproject.com/ticket/13526

как в самом низу

видимо надо обновить джангу ? :)

пофиксил

лучше использовать ту, что из contrib/

:)

заработала?

ога.

event'ов в него покидай, хотя бы для приличия :)

а в него ошибки пинга будут валится ?

типа хост унричабле

да

даже alarm'ы поднимать будет

http://<ip>/fm/mibview/ не пашет

так же как и /fm/eventcategory/

Page not found (404) говорит

все правильно

нет их больше

а ссылки есть

в кеше браузера

*.pyc лишние удали

не помогло

в общем и целом замечана тенденция что la поднялся.

было 2 стало 3+

что грузит систему?

памяти ему хватает?

dvolodin, нет погорячился. щас спала вроде

оно должно ощутимо упасть

была идея - одновременно со сбором конфига дергать get_interfaces на железке

и сохранять в базе

они достаточно статичны

и меняются, в общем-то, вместе с конфигом

Тогда уж лучше версию hardware и firmware

dvolodin: Привет. Есть в планах сделать Import Connected с Cisco Device?

да, Cisco.IOS.get_interfaces мне уже прислали

начальный вариант

А кто сможет выложить "тушенку" get_interfaces для Juniper?

отлично... и когда ожидается включение в дистрибутив?

dvolodin: Вопрос: В инвентори почему-то нет вендора D-Link, хотя в vendors.json он присутствует.

Dmitry1: я пытаюсь поднять olive под virtual box

если получится, сниму тушенку

Dmitry1: как так нет?

могу скриншот прислать

После "Cisco networks" идет сразу "Extreme networks"

Может оно из-за дефиса в названии?

dvolodin: Эх.. еще-бы для Huawei.VRP... get_interfaces .... :)

коллекции для inventory сейчас не синхронизируются

Nickolas_m: ну в чем дело-то, берется светлый путь, берется редактор, пишется скрипт ;)

у меня под рукой их нет, к сожалению

а srx на olive можно посмотреть?

nixwizard: вот чего не пробовал, того не пробовал. мне живых SRX'ов по уши хватило :)

а у меня вот нету, а посмотреть охота)

мелкие srx'ы -- та же j-ка

отличия незначительны

хорошая штука, функциональная и производительность неплохая

ок, сначала olive подниму, потом посмотрим...

тестируем/осваиваем nocproject

почему в в самом верхнем поле написано "NOC Unconfigured Installation"

потому что вы забыли посмотреть файлик etc/noc.conf :)

там надо задать название инсталляции

спасибо. я на этот файл медитировал по разным проблемам, которые возникали, но эту строчку там не видно за кучей других опций

пользуем dlink 3627

soft 2.84.B11

хорошая напоминалка, что что-то забыли настроить :)

нет в supported

что это значит

и Not in supported.csv Alcatel,OmniStack LS 6200,1.7.1.7

а еще такой вопрос

есть пара object selectors

если выбрать service activation/run commands

потом указать селектор

то он показаывает все объекты которые попали в селектор, а потом соответственно выполняет на них команду

а если тоже самое сделать для servise activation/switchport validation или asm/import connected, то он не показывает ни одного объекта и соответственно ничего не делает

zi_rus: по второму - для этих железок нет нужных скриптов

zi_rus: Смотри в документации, там по D-Link довольно таки подробно описано, что поддерживается полностью, а что частично

dvolodin: А что делает кнопочка "Test Event" в FM? Вроде бы в JSON'е в строчке "description" есть ивент, на основе которого построено правило. Как его протестировать?

в test event забиваешь event id

он проверяет, попадет ли событие под правило

А протестировать одним нажатием мыши?

Я для этого выполняю следующие действия:

1. Нажима. кнопку "JSON"

2. Оттуда копирую 'description"

3. закрываю окно

4. Нажимаю кнопочку рядом с regex

5. Вставляю из клипборда в поле "paste test string"

6. Нажимаю кнопку "Test"

Можно это сделать все одной кнопкой?

брррррр

погоди

открываешь событие в FM

копируешь event id

открываешь правило

жмешь test event

вставляешь event id

вот и все

У меня нет событий!!! Я вручную JSON правлю.

./noc inject-event <железка> json

от воткнет тебе в базу событие и напечатает его event id

Событие уже есть в поле "description" в самом JSON

Мне его и надо протестировать.

там не строго событие ведь

А что?

Именно полный текст события

профиля нет

источника

в правиле обязательно должны быть строки под профиль и source

да есть там такое.

ну так я и говорю - наделай JSON'ов с событиями, влей в базу и делай правила по ним

как в ролике указано

Можно ли сделать кнопочку, чтобы одним действием выполнить то, что я выполняю шестью действиями?

Т.е. проверку срабатывания regexp на событие

Понял, о чем я?

оно и делается одним действием

когда событие в базе есть

и правило

Ну нету у меня в базе событий! Я их копирую из syslog'а с пары десятков устройств и пихаю напрямую в JSON. Мне надо протестировать REGEXP и классификацию. Для этого я выполняю кучу действий. А хочу, чтобы одной кнопкой.

Чтобы тестировало именно то событие, которое в поле "description"

./noc inject-event --syslog="......" <железка>"

У меня "железка" находится за несколько сот километров. Я зашел на нее и "накопировал" строчек из логов. В обычном текстовом редакторе создал кучу правил JSON. Вопрос: Как мне их поткстировать? На тестирование каждого правила у меня уходит 6 ! шагов, не гов

что есть "./noc"?

сконверти сислог в json события

скриптик

Что бы ты не говорил, но в обычном текстовом редакторе гораздо удобнее набирать JSON, чем пользоваться теми инструментами, которые предоставлены.

не всегда

ты, test event посмотрел в работе?

Ну мне так удобно. Я прошу сделать "кнопку", аналогичную "Test Event", но которая будет работать с событием, которое находится в поле "description"

я планировал сделать аналог тушенки для событий

Уже есть готовая тушенка в поле "description". Осталось только сделать "кнопку", которая будет ее тестировать.

Народу легче будет писать правила.

trap'ы ты как туда пихнешь?

Ну пусть тестирует хотя-бы сислог.

Условие то на источник события сделать можно? И если источник SNMP, то эту кнопку не показывать

Я больше времени трачу на клацание мышкой, чем на создание самих правил.

На одной только FreeBSD ошибок аутентификации и авторизации несколько десятков. И мне их все проверить надо.

dvolodin: Можно ли расширить поле "Expression" в окне "Test Regular Expression" ?

можно

А внизу расположить такой код: http://stevenlevithan.com/regex/syntaxhighlighter/

ты маньяк

я и так уже с вашими запросами javascript освоил :)

Это библиотечка подсветки regex выражений. Чтобы ошибки в них было удобнее искать.

After .scripts/post-update I get: OSError: [Errno 13] Permission denied: 'etc/ssh/id_rsaOdsHQb.tmp' post-update: : generate-ssh-keys failed

Добавь в Event Class'ы "Security | Firewall | Deny", "Security | Firewall | Pass", "Security | Firewall | Forward" и "Security | Firewall | NAT"

vispi: chown -R noc:noc *

Dmitry1, чуток опередил

на слово sudo

I take it this is /opt/noc/etc and not THE /etc/ssh dir?

vispi: yes

cd /opt/noc

chown -R noc:noc *

Yea I got it, it's running now

./script post-update

BTW is there rancid-integration in NOC?

:)

vispi, no

noc simply better than rancid

much

build succeeded. post-update complete \:D/

congratulation !

Примотал FM к своей сети через сислог... Через snmp trap было бы лучше?

Во к стати, извините за вопрос не по теме, есть большое колл-во комутаторов циско, есть ли утилиты для массового управления ими ? в смысле я знаю что должны быть...) нужно пару команд прописать.

fxpester, snippet

в нок

Есть некласифицированные ивенты... Завтра обновлюсь и займусь класификацией...

Let's see what's next...

In the next time we can see great reworks in inventory

Links between SA and other modules and much more...

freeseacher, noc я пока не победил) я уверен есть что-нибудь на перле, поэтому и спрашиваю

The number of features is indeed impressive :)

fxpester, перл... ужс нах

ты еще екселем...

Yes, but some in the alpha quality

freeseacher, троллей не кормлю.

В общем если кто может чего подсказать - скинте в приват.

А чем родные утилиты от Циско не подходят?

fxpester: Run Command или snippets

vispi: congratulations :)

коллеги, кстати про rancid

может кто-нибудь напишет сравнение NOC с RANCID где-нибудь в блоге или на форуме (желательно на nag.ru тогда)

народ часто интересуется, а у меня слишком пристрастная точка зрения ;)

Dmitry1, тем что я не знаю даже как они называются, вообще я unix admin, cisco внезапно боком пришло.

fxpester: Для начала глянь сюда: http://www.telconi.com/

В свое время им пользовался, пока не перерос :)

Накидал FM по FreeBSD. 13 штук только на аутентификацию.

Dmitry1, у мя щас на бубне Gnome Connection Manager. вполне

Есть 3 события на FreeBSD связанные с ARP. Не знаю, в какой класс их засунуть.

arp changed?

сейчас оливки дозапущу, сделаю классов

arp: 10.111.0.8 moved from 00:0c:46:65:9b:42 to 00:1e:49:10:5f:41 on em0

dvolodin_, rancid лучше....потому как noc сейчас напоминает постройку самолета в процессе его полета...

arplookup 10.109.7.197 failed: host is not on local network

arp: 193.34.20.5 is on em0 but got reply from 00:e0:81:b8:62:db on em1

inoyat_kayumov: что в части работа с конфигами не доделано? ;)

Просветите, что такое rancid

именно в части функционала ранцида - они идентичный. почти.

*идентичны

Dmitry1, ну если совсем по-простому - собиралка конфигов с устройств, запихивающая эти конфиги в cvs

Хм. Пользуюсь NOC для этого. Вполне доволен функционалом. На данном этапе пока все устраивает. Возможно потом что-нибудь и поменяется в лучшую сторону.

я и говорю что функционал CM от noc и rancid - практически идентичны. другое дело что noc сейчас напоминает многорукий многоголовый комбайн -

и функционал отдельных его рук и ног пока еще оставляет желать

Так мы над этим и работаем :)

inoyat_kayumov: умные люди мне сказали, что научно это называется FCAPS

???

так что все в порядке

я про "это"

То, что делает NOC называется FCAPS

а, нашел

мне к стати на #cisco rancid посоветовали %)

fxpester, rancid - узконаправленный

если уж говорить про функционал noc - с огромным интересом слежу за развитием FM, "в быту" реально пока только CM, IPA

DNS, peering - пока нет

кстати

dvolodin_, можно тут список "хотелок" от моего руководства к софту?

можно, конечно

:) У Володина "хотелками" наверное уже весь винт забит.

Система мониторинга "всего". Что в идеале должно быть:

а. возможность укрупнения -- облачка по районам/интересам -- и

"наследования" аварий (типа железка упала -- площадка стал красная,

город стал желтым, район стал синим типа "гляньте шо тут у меня

отвалилось").

б. сегментирование карты с возможностью регулирования прав доступа

к разным сегментам. т.е. к примеру создаем "слой" "инфоматы" и отдаем

его в режиме просмотра абстрактному лицу. и он может только

смотреть только инфоматы, не забивая себе мозг остальными 5000 объектами.

в. мониторить сеть порядка 5000 объектов.

г. иметь режим карты

д. иметь возможность дописки кода, для мониторинга более сложных

событий чем просто ping timeout.

Это все и так в планах. Ничего нового ты не озвучил.

это с учетом того что железо - cicsco, d-link, zyxel, huawei

я не вижу пока пункта к примеру с картой и укрупнением

карта - это расширение Inventory

Inventory сейчас в процессе разработки.

Сейчас все силы "брошены" на новый FM

я заметил

написал же - очень внимательно слежу за ним

ну а дальше только терпение

или посильная помощь

ну я вроде нигде не топал ногами с криком "подать мне функционал сейчас"...

teamleader у нас один, его нужно беречь :)

именно

Dmitry1: сотоварищей растить нужно

в идеале у каждого направления должен нарисоваться свой лидер

Сильно далеко ты от меня географически находишься, вот когда мне был нужен новый функционал к mpd, так я потратил всего 2,5 часа на маршрутке, чтобы доехать к разработчику и угостить его пивом.

да лано, я недавно мимо вас проезжал поездом :)

москва-новороссийск

Совсем рядом :) 480 километров

А до Днепропетровска мне всего 135 километров.

вдоль границы ближе было :)

Так заехал бы на пиво !

<syslog-tag-information>

<syslog-tag>

<name>UI_WRITE_RECONNECT</name>

<message>Re-establishing connection to peer '<variable>peer-name</variable>'</message>

<help>mgd reconnected to peer process</help>

<description>The management process (mgd) reconnected to the indicated JUNOS process running on the routing platform.</description>

<type>Event: This message reports an event, not an error</type>

<severity>notice</severity>

<attributes>

<attribute>peer-name</attribute>

</attributes>

</syslog-tag>

</syslog-tag-information>

juniper отдает уже готовые шаблоны :)

Добрался до Juniper? Сделай с него несколько тушенок по get_interfaces

Интересует ситуация с алиасами на интерфейсах и кучей других мелочей.

Хочу встроить в NOC mpd. Идеи какие-нибудь будут? Скрипты, что сейчас есть абсолютно не подходят.

Или сделать какой-то набор скриптов, который бы подходил для BRAS'ов

все что делаете это прекрасно, только, мог бы кто-нибудь заполнить в документации раздел по Config Managment. а то куда не ткнешь постоянно вываливается

"In template /opt/noc/cm/templates/view.html, error at line 89"

и тому подобные ошибки

и что такое repo path и как его использовать

zi_rus, "методом тыка"

метод тыка приводи к ошибкам иначе уже сам бы разобрался

zi_rus: должность руководителя "Documentation team" вакантна

сначала активатор, пользователи и объекты в SA

repo path - имя файла в который запишется конфиг в папку /var/backup

Приветствую всех!

А в новом fm правила рефрешатся только перезапуском?

или SIGHUP

так же, как и в старом

ну я имел в виду что кнопки нет :)

zi_rus, 1. cp noc-activator.defaults noc-activator.conf 2. vi noc-activator.conf

inoyat_kayumov, он и так дефолтовый, только имя и секрет изменены, вообще все конфиги менял по минимуму, практически вообще не трогал

как почистить mongodb

zi_rus, в activator status ято?

*что

Dmitry1: надо немного подправить правило DLink - Config Save, там некоторые девайсы ещё и мак пишут:

Configuration saved to flash (Username: admin, IP: 192.168.220.33, MAC: 00-00-00-00-00-00)

inoyat_kayumov, default status off; noc status ok

zi_rus, тогда дальше - добавляем объект

найду такие устройства - подправлю

или кинь сюда строчку, которую они пишут

inoyat_kayumov, есть уже объект, для него указан repo path = test (знать бы что это еще). вообще на объекте все скрипты выполняются нормально

dvolodin, beef@..

, хотя его нет в supported.csv

`kk: db.noc.......remove(...)

Dmitry1: так вроде написал, или не отправилось?

inoyat_kayumov, test 86400 (None) (None) (None) Waiting

в config mangment/configs

клик на repo path "test" приводит к ошибке

Dmitry1: У меня появился доступ к длинкам des-1210, до апгрейда телнета они вообще не работали с ноком, с новой реализацией телнета - заработали, но профиль нужно полностью переделывать, я костяк наваял типа get_version, get_config, а дальше надо подумать чего с ним дел

ать

Dmitry1: про get_config прогнал - он там бинарный

кстати да - получил такую же ошибку как и zi_rus

У меня вроде на DLink.DxS.get_vesion педусмотрен бинарный конфиг для DES-1210

Вживую DES-1210 не видел, поддерживаемые команды смотрел из документации к ним.

lexus-omsk: Исправил. Смотри в репозитории.

теперь работает, спасибо

venter: Что там с DES-1210? Настолько не похож на все остальные свичи?

I just can't get it to work in lighttpd :S

Tried this http://redmine.nocproject.org/projects/noc/docs/en/nocbook/html/installation/webserver.html#lighttpd-setup to no avail

vispi: Try nginx. It has worked with NOC on the first try.

lighttpd works fine too

do you have a noc-fcgi process started. check permissions

мэтры.....проблема озвученная zi_rus - есть.

dfлится при просмотре несуществующего конфига?

скорее - несуществующего repo path, хотя в конфиге noc и на диске физически папка есть, и права на нее нормальные

при этом конфиг с устройства нормально забрался и лежит там где положено

а где положено? я хочу посмотреть

Dmitry1: Похож, да не похож, совсем.

у меня repo path = /var/repo

сам конфиг лег в /var/repo/config/имя_железки_из_SA

нету его там

а шедулер настроен? у меня его забрал именно он

2011-07-20 16:22:04,492 Periodic task=cm.config_pull:Any status=running

2011-07-20 16:22:10,535 cm.config_pull: al-ats1, status=OK, reason=OK

2011-07-20 16:22:10,538 Periodic task=cm.config_pull:Any status=completed

все по дефолту. status waiting

main-shedules-cm.config_pull включить надо

где? как?

я путь прямо по менюшкам написал

main->setup->shedules - ткнуть в нужную - поставить галку включить

cm.config_pull. сделал enable

last run у шедулера стал текучим временем. last status красный

*текущим

теперь смотрим в noc-scheduler.log

а вот и ошибка - если сейчас в CM выделить конфиг нужного устройства и сделать Get now - поулчаем OSError at /cm/config/get_now/9/

[Errno 2] No such file or directory

*получаем

в логах status=running, status=completed

у шедулера

но файла в папке все равно нет

ок. в логах есть записи "alcatel6224, status=UNKNOWN, reason=Timed out"

dvolodin: Сделай, плиз, новые классы для FM. Если хочешь, можем в привате обсудить.

однако, get_config скрипт медленно, но все же выводит конфиг железки

лучше публично по классам

Хм. Я вроде выше предлагал "Security | Firewall | Deny", "Security | Firewall | Pass", "Security | Firewall | Forward" и "Security | Firewall | NAT"

А так же наделать подклассы для "Security | Attack"

на каждую атаку по классу?

http://www.opennet.ru/opennews/art.shtml?num=3536

http://support.anthill.ru/forum/index.php?topic=4843.0

тогда делать по типам Security | Attack | DNS, Security | Attack | IP, Security | Attack | TCP

и подклассы

Хотя бы различать атаки на IP уровне от атак по подмене MAC адреса

Да

туда же всунуть ARP, DHCP и STP

На некоторых свичах есть защита от поддельных DHCP серверов.

В частности ARP Spoofing и DHCP Spoofing - это совершенно разные классы атак

просто если делать на каждую атаку свой класс, можно будет и pyrule вертеть

да

В принципе они могут один и тот же alarm поднимать, если припрет

чем более мелким сделаем класс, тем точнее можно будет его проанализировать и использовать Alarm Classes

Test regular expression

event пока

В принципе, пока достаточно будет подклассов ARP, IP, TCP, DHCP, DNS

поле ввода Expression, подлиннее надо бы

JUNOS в оливке соизволил прогрузиться и пошел разматывать себя

поддерживаю nixwizard. Заодно прикрутить туда подсветку синтаксиса, что я выше постил.

ну поправьте и закиньте патчик :)

Я готовлю очередной релиз mpd :) Немного занят.

вечерком или завтра гляну

root@% uname -a

JUNOS 9.3R4.4 JUNOS 9.3R4.4 #0: 2009-08-12 04:46:23 UTC builder@elliath.juniper.net:/volume/build/junos/9.3/release/9.3R4.4/obj-i386/sys/compile/JUNIPER i386

root@% cli

root> show version

dvolodin: ты с mpd работал? Как бы его в NOC встроить?

Model: olive

JUNOS Base OS boot [9.3R4.4]

JUNOS Base OS Software Suite [9.3R4.4]

JUNOS Kernel Software Suite [9.3R4.4]

JUNOS Crypto Software Suite [9.3R4.4]

JUNOS Packet Forwarding Engine Support (M/T Common) [9.3R4.4]

JUNOS Packet Forwarding Engine Support (M20/M40) [9.3R4.4]

JUNOS Online Documentation [9.3R4.4]

JUNOS Routing Software Suite [9.3R4.4]

размотался :)

с mpd не работал

в каком смысле встроить?

Там CLI внутри есть. Работает как BRAS.

профиль ему сделать

mpd классная штука, помню на нем делал vpn с авторизацией по x.509

Тут один чувак поднял одновременно 7K l2tp сессий.

Он не свич, ку него нет vlan, конфигов, интерфейсов и т.п.

фрюха рулит!))

да уж

Нужны специализированные скрипты для BRAS

сейчас поставил в virtual box фрю 4.11

:)

и на нее junos

сказал клонировать виртуалку - и вот у меня уже тестовая сетка :)

4ка была классная, не даром dragonfly отпочковался

Последний mpd "взлетает" нормально на 7.2, не меньше. А последние "плюшки" работают так вообще не ниже 8.0

SMP в четверке страшный был :)

это да, но тогда особо и не требовалось

требовалось :)

В частности сейчас вместо Cisco многие банки ставят себе роутеры D-Link с FreeBSD + mpd +IPSec внутри

Вот пример: http://wiki.ddteam.net/wiki.cgi?page=DIR-320

стабильно работает IPSEC фрюшный с длинками?

Через KAME. Как положено.

ipsec-tools - это KAME?

я тут отстал немного

http://www.kame.net/

http://www.freebsd.org/doc/ru/books/handbook/ipsec.html

мда

ага точно, там isakmp демон отдельный

Короче, к чему это я. Сейчас на рынке появляются роутеры с embedded FreeBSD. Не многих из них в качестве "звонилки" для 3G модемов используется mpd.

Нужно какие-то интерфейсы для SA, чтобы можно было вытягивать оттуда какую-нибудь информацию.

racoon там, не к ночи будет упомянут

Возможно. Видел только издалека на KievBSD/

сегодня новость проскочила, яндекс и рамблер мигрируют с фрюхи на линукс, печально(

Собственно сам разработчик этой прошивки работает в киевском представительстве D-Link и является src-комиттером FreeBSD.

nixwizard, имхо утка

особенно с учетом того что в статье было написано про переход на убунту)

Кстати, тот же Huawei производит BRAS'ы.

и у многих они даже работают..

MA'шки у хуавея вполне рабочие

хоть и барахло

два juniper'овских роутера в virtualbox увидели друг друга

вот теперь можно издеваться над ними

изверг)

у нас собсно венду на джуниперы по приколу ставили)

а чего не поставить-то

RE-шка - обычный PC

root@r1> show isis adjacency

Interface System L State Hold (secs) SNPA

em0.0 r2 2 Up 23 8:0:27:33:f1:30

вот, жизнь налаживается, можно потрясти стариной

image виртуалки выложить? для всяких извращений?

давай

вечерком тогда кину