nocproject.org
07:13
Желающие помочь мне настроить sa/profiles/DLink/DIR/__init__.py а то я мучяюсь и скрипт не может залогинится....
07:15
Ну я наброски нового профиля для DLink DIR-* делаю,а залогинится не получается, гдето в __init__.py ошибка
07:15
которую я не вижу или терминал там странный что noc с ним работать не может...
07:16
Я на эти грабли наступил с пол-года назад. Тоже хотел сделать профиль для DIR-100
07:17
Никак. Тоже залогинится не смог.
07:19
Я уже в свое время логи Володину отсылал. Он обещал, что когда перепишет telnet и ssh, все заработает.
07:23
telnet надо! DIR-* ssh не умеет....
07:28
Все вопросы - к Володину :)
08:07
При помощи бубна и такой-то матери проапгрейдил оливку до 10.4
08:07
image нужен?
08:22
dvolodin: Вопрос по правилу "Juniper | JUNOS | Security | Audit | Cron (SYSLOG)"
08:23
dvolodin, думаю я бекап базы mongodb в задание по бекапу надо включить.
08:23
FreeBSD генерирует один-в-один такое же сообщение. Как классификатор разберется?
08:23
freeseacher: надо, руки пока не дошли
08:23
Dmitry1: может просто обобщить это правило?
08:24
для всех профилей сделать
08:24
Тебе виднее...
08:25
А подклассы для "Security | Attack" когда сделаешь?
08:25
да
08:26
чуть попозже
08:26
можешь рыбы набросать?
08:26
Плюс почему-то не вижу классов "Network | BGP", "Network | PIM"
08:26
Куда ее то набросать? Классов для этого нету!
08:26
Так сами классы набросай
08:27
До BGP пока руки не дошли
08:27
Ятолько названия привожу. Как рекомендацию.
08:27
сделал только базовые для ISIS, OSPF, RSVP
08:27
сейчас курочу MPLS
08:28
Описания атак отсюда:
08:28
08:29
по твоим правилам - я думаю, надо сделать раздел Security | SSH
08:29
Имеет смысл сделать класс "Balance", где сделать подклассы "ECMP", "VRRP", "CARP", "LACP", "SLB"
08:29
Возможно.
08:30
и в него включить события - accepted password, authenticated user, login, logout, invalid user и так далее
08:30
и там правила будут общие
08:31
туда openssh попадет
08:31
по balance - нет смысла в таком виде
08:31
Network | LACP
08:31
Network | VRRP будет
08:32
Network | SLB
08:32
Network | CARP
08:32
а телнет будет дублировать логины ?
08:32
и RSH
08:33
в смысле дублировать
08:33
, надо сделать раздел Security | SSH и в него включить события - accepted password, authenticated user, login, logout, invalid user и так дале
08:33
не пайдет.
08:33
Заодно сделай большой класс "Hardware" с подклассами "Temperature", "Power", "Memory", "Disk" и т.п.
08:33
тогда будет еще и Security | TELNET accepted password, authenticated user, login, logout, invalid user и так дале
08:34
надо сгруппировать толково
08:34
рыба начинает вырисовываться
08:35
Опять же, ничего не нашел про изменение топологии и BPDU
08:35
Дим, я же не робот :)
08:35
я сейчас так делаю - NOC на ноуте и две оливки в виртуалках
08:36
настраиваю протокол, имитирую аварийные ситуации, делаю классы для alarm'ов и событий и правила для junos
08:37
для того, чтобы сделать подклассы надо знать переменные
08:38
Вот. На счет переменных. Добавь в необязательные переменные для Config | * - IP и MAC
08:39
ip там каким боком?
08:42
он в логине есть
08:42
Некоторые устройства протоколируют IP и MAC, с которого записывалась конфигурация
08:42
где это может пригодиться?
08:43
добавить в целом не проблема, но какое применение?
08:43
кстати из забавного
08:44
juniper'ы регулярно пускают newsyslog по крону и тупо срут в лог
08:44
но при этом тупо давить все не хочется
08:44
Хм. FreeBSD то же самое делает.
08:44
сделал так
08:44
event trigger сделал
08:45
event class re: Security \| Audit \| Cron
08:45
condition: event.vars["command"] == "newsyslog"
08:45
pyrule: drop_event
08:46
прикол переменных как раз в том, что их можно использовать в различных condition'ах
08:46
И заодно:
08:46
/usr/sbin/cron[55778]: (root) CMD (/usr/libexec/atrun)
08:46
/usr/sbin/cron[55784]: (operator) CMD (/usr/libexec/save-entropy)
08:46
/usr/sbin/cron[56200]: (root) CMD (adjkerntz -a)
08:47
да не
08:47
триггеры локальны
08:47
то есть если тебя задирает adjkerntz - можешь сам придавить его
08:47
не трогая правил
08:47
или второе применение
08:47
не-не
08:48
Сделай обязательно встроенными. Но с возвожностью включить/выключить
08:49
включение-выключение делается pyrule
08:50
главное - чтобы было встроенным
08:50
там неявный condition для disposition rules
08:51
нужно еще три класса для Shutdown, Reboot и Started
08:54
SPECTRUM так делает
08:55
если увидел Reboot и в течении заданного времени не пришел Started - считается, что хост не поднялся после ребута и поднимается alarm
09:11
dvolodin,реквестирую образ оливки
09:44
сделал checkpoint'ы в FM
09:44
пока в первом приближении
09:47
интересно, halt, reboot и started можно положить в раздел hardware?
09:48
или таки system будет?
09:54
по мне так hardware
10:02
2011-07-22 14:02:33 ОШИБКА 403: Forbidden.
10:03
Лучше system
10:03
Все-таки это софтварные события
10:04
а какие будут хардварные ?
10:06
slot reboot
10:06
fan faulted
10:07
сколько же всякой хрени может случится с сеткой
10:08
`kk: поправил прова
10:08
freeseacher: ага
10:08
для того FM и нужен, чтобы ткнуть обезьяну носом в проблему
10:08
а для блондинистой цыпы это все "контактик не работает"
10:09
dvolodin: Понаделай пока просто кучу разных классов, без описания, без комментариев. мы уже сами догадаемся, что куда пихать. Как только соберется большая коллекция ивентов, можно уже будет и "красиво оформлять" классы.
10:09
dvolodin_, чёт скорость сегодня в 10 раз меньше -(
10:10
Alarm Class: вконтактик не работает
10:10
и второй - блондинка на проводе
10:10
:)
10:11
думаю это только активными проверками.
10:12
ворненг - мейл ру отвалился ага
10:12
надершал кучу ивентов для PIM. Куда их совать?
10:16
noc-probe умеет фолтить, если сайт недоступен
10:16
Dmitry1: Network | PIM
10:17
Состояния : UP, DOWN, DR UP, DR DOWN
10:17
BSR
10:19
Invalid RP еще
10:20
Network | BGP
10:20
Network | RIP
10:21
Везде делай опциональными VRF, IP, MAC, Interface
10:42
dvolodin: у меня права на запись в ветку Cisco есть?
10:43
в киску вроде не было
10:50
системные события сделал
10:53
У меня есть куча сообщений от цисок, всякие там PIM, OSPF, BGP, SLB,
10:54
Есть еще всякие-разные сообщения от uBR, и пары циско-роутеров
10:57
это хорошо
10:59
Дал тебе доступ на запись в коллекции с правилами для Cisco.IOS
10:59
сделай пока правила на те классы, что есть
11:00
линки там, OSPF, системные события
11:00
в Main > Reports смотри Local Classification Rules
11:07
есть кто использует свежий нок на дебиане? с настроенным приемом снмп-трапов
11:09
Итого имеем: 36 classes, 81 rules
11:10
уже неплохо
11:11
root@dv-pb:~/tmp/spectrum> ls CsEvFormat/ | wc -l
11:11
25176
11:11
root@dv-pb:~/tmp/spectrum> ls CsPCause/ | wc -l
11:11
18258
11:11
это из SPECTRUM
11:11
примено на 25k событий у него описаний есть
11:12
inoyat_kayumov: а что с ним не так на debian?
11:13
падает. я уже писал об этом на форуме
11:13
11:14
на конкретном PDU или всегда?
11:15
dvolodin_: Сделай "Network | PIM | Neighbor Up" и "Network | PIM | Neighbor Down"
11:15
Сделай по мотивам ISIS
11:16
я убегаю через 5 минут, вечерком залью, если пришлешь
11:16
Я подожду, пока классы сделаешь.
11:19
еще 20-30 классов и в первом приближении базовые протоколы маршрутизации накроем
11:19
релизить можно будет когда в ruleset будет около сотни классов
11:20
Так я и прошу классов понаделать, как можно больше.
11:20
Для Attack, например
11:21
следующий коммит будет юбилейным, четырехтысячным :)
11:59
json правила клиссификатора надо кидать на beef@?
Share this page
Share this page:
About
Forum
Blogs
NOC Docs
Downloads
KB
Issues
Code
CI
Registration