nocproject.org

Приветствую.

Есть предложение забацать класс для событий вида system: FAN2 RPM value 2746 is lower than its limit RPM value

И соответсвенно system: The RPM of the fan has recovered to normal state

Где-нибудь в Chassis

ну да

Chassis | Fan |

Нужны JSON'ы с событиями

желательно с разных систем

и в issue их

У junos вот такое есть

<message>Fans and impellers are now running at normal speed</message>

<message>Fans and impellers being set to full speed [<variable>reason</variable>]</message>

<message>Fans and impellers being set to intermediate speed</message>

<message>Fan Fail for power supply <variable>pem-slot</variable> </message>

у меня пока только с zyxel - просто прилетели события, вот я и вспомнил о них... вроде раньше на длинке что-то подобное видел, но сейчас нет под рукой таких логов

хотя бы с зухеля для начала

Я немного покурочил коррелятор

теперь он компилирует правила классификации в нативный питоновский код

посмотрите за ним повнимательнее

dvolodin, icmp результаты уже игнорятся?

я выключил пока всю подсистему

пинги то?

ога

Нет, пока честно живут один день

давай табличку сосздеим с игнорированием триггеров

типа триггер такой то не писать в бд.

достаточно просто время жизни задавать

и время жизни в архиве

почему не отображаются алярмы в ФМ, хотя в таблице managed object они присутствуют и по ссылке нормально переходит?

Дмитрий ты по Алармы-EIGRP что то исправлял?

zi_rus: статус у них не closed стал?

wad_: вроде ничего не трогал

заработали?

неа

dvolodin, нет. Может быть это связано с тем что они уже 2 дня висят? В евентах, как положено, пинг failed

нет, срок жизни alarm'а не ограничен

добавил тестовый объект, пинг файлед, но в алярмах тоже не показывает

а вот еще, если сделать фильтр по конкретному объекту, то его алярм показывает, а всех сразу нету

нок обновлял, перезапускал, не помогло

коррелятор живой?

2011-08-05 10:01:32,329 46 events are disposed (success: 46, failed: 0)( 0.4374 second elapsed. 105.1652 events/sec)

однозначно

alarm какого типа?

ping failed?

да

Добрый день

Подскажите, а заигнорить можно Event: NOC | Periodic | Periodic OK?

(event.vars['to_state'].lower() in ['full']) а у меня to_state -- up

исправил на (event.vars['to_state'].lower() in ['full','up']) результата нету...

чего делаю неверно?

wad_: как целиком JSON выглядит?

razered: зачем его игнорить?

повисит денек и уйдет само

Закоммичу скоро archivation rules

Все понял, спасибо :)

JSON правило или событие?

правило

ну и событие не помешает

я стандартное исправлял

события EIGRP Up http://pastebin.com/ubuFNnHa Down http://pastebin.com/7jrw67Gk

правило на Up http://pastebin.com/iYtJAha8

не condition а match_condition

я же говорю - последние патчи править надо

а почему тогда Down работает?

а

тьфу

там не поправил

точнее, запутался :)

все нормально в правилах

вот вот...

down тупо поднимает alarm

без условий

to_state у него какой на UP ?

to_state -- up

"condition": "('to_state' not in event.vars) or (event.vars['to_state'].lower() in ['full'])", в pastebin

"condition": "('to_state' not in event.vars) or (event.vars['to_state'].lower() in ['full', 'up'])",

а вот так по идее должно быть

ну я уже в копиях запутался...

выше писал <wad_> исправил на (event.vars['to_state'].lower() in ['full','up']) результата нету...

./noc sync-collections?

угу

в веб морде этот JSON и видно

в event hiererchy?

а это что такое?

блин

ну и правильно он делает

эээ :-)

нечего бедному коррелятору мозг иметь

смотри

смотрим описание alarm class "Network | EIGRP | Neighbor Down"

смотрим дискриминатор

["interface", "neighbor"]

это уникальный ключ аварии

дальше смотрим событие down

interface = tun 10 neighbor 192.168.221.41

дискриминатор только Json можно увидеть?

смотрим событие up - interface tun 10 neighbor 192.168.221.42

ну не от того дал...

да, в морде надо доделать

noc> ./noc inject-event msk-ap2 ~/tmp/json/cisco_ios_eigrp_*

4e3b98c25a2090525e000000

4e3b98c25a2090525e000001

поправил адрес и заливаю

классификатор говорит

2011-08-05 11:16:18,545 Matching class for event 4e3b98c25a2090525e000000 found: Network | EIGRP | Neighbor Down (Rule: Cisco | IOS | Network | EIGRP | Neighbor Down (SYSLOG))

2011-08-05 11:16:18,575 Matching class for event 4e3b98c25a2090525e000001 found: Network | EIGRP | Neighbor Up (Rule: Cisco | IOS | Network | EIGRP | Neighbor Up (SYSLOG))

2011-08-05 11:16:18,589 2 events are classified (success: 2, failed: 0)( 0.1666 second elapsed. 12.0054 events/sec)

коррелятор говорит

2011-08-05 11:16:21,521 Network | EIGRP | Neighbor Down: dispose: Contributing event 4e3b98c25a2090525e000000(Network | EIGRP | Neighbor Down) to active alarm 4e3b970b5a2090521f00001c(Network | EIGRP | Neighbor Down)

2011-08-05 11:16:21,538 Network | EIGRP | Neighbor Up: dispose: Event 4e3b98c25a2090525e000001(Network | EIGRP | Neighbor Up) clears alarm 4e3b970b5a2090521f00001c(Network | EIGRP | Neighbor Down)

2011-08-05 11:16:21,543 2 events are disposed (success: 2, failed: 0)( 0.1186 second elapsed. 16.8570 events/sec)

все пучком

да, disposition rules обрабатываются коррелятором

вот от одного адреса и интерфейса куски http://pastebin.com/B881SEZR

его тоже надо перезапустить

я уже поправил у себя в json

а вот рестарт не подумал

Доброго времени суток коллеги

мде я мего тормоз... Спасибо Дмитрий

патчик на eigrp ушел

коллеги, при работе с FM обязательно регулярно посматривайте на Failed Events

Прямо в event manager'е

traceback'и мне скидывайте

Дмитрий следующий вопрос.

интерфейсы у циски http://pastebin.com/9NpbGy7i

к какому типу отнести Virtual-Access2 ?

я не уверен, что они нужны в get_interfaces

игнорировать?

подумать надо

нужны ли динамические subscriber интерфейсы

они же меняются регулярно и в базу их пихать смысла нет

:-) ну и убрать..

вот и ответ на вопрос

нет virtual-access, нет проблемы :)

то же и с темплейтами

может все-таки кто знает почему у меня не отображаются активые алармы?

Интресно, а почему досих пор не добавили в проифиль DxS Possible spoofing attack from? =)

Кто занимается классами для D-Link'а?

razered: а какая проблема?

JSON'ы соответсвующие в issue на сайте

В Main > Reports есть прикольный отчет Classification Quality

у меня на двух инсталляциях

Active Events 85 223 160 506 53%

Active Events 140 144 404 351 34%

Active Events, 85 223, 160 506, 53%

Active Events, 140 144, 404 351, 34%

есть еще куда двигаться

В основном - ACL, IPsec и с f5

Уже несколько дней немогу добавить новый клас "Sensors" в нок - Fault Management -> Setup -> Event Classes Падает: http://pastie.org/2324052

JSON'ом

формы не доделаны

Хорошо попробую JSON'ом

вот, кстати, и работа для людей, знакомых с django

сделать добавление и редактирование alarm и event class'ов через морду

zi_rus: пару дней назад мозг ломал о ту же проблему

в итоге оказалось что "сам дурак" - поудалял ненужные объекты, а в алармах ссылки остались... ну и вылезала 500 ошибка http, только вот невидно невооружёным глазом её было

индикатор какой-нибудь в javascript надо, что зафейлились

как посмотреть все возможные {{ event.* }} ?

чтоб в templates вставлять

атрибуты?

fm/models.py

аг

сп

class ActiveEvent

это instance

lexus-omsk, дык нет 500 ошибки, есть окно с алармами где нет ни одного аларма, а если начать фильтровать по managed object, то аларм к нему относящийся показывается

а всех сразу нету

точно так же и было, 500 не видно, но она есть :)

кста. письмо приходит 2 раза при срабатывании Refresh Config

Странно. Сегодня обновился и шедеудер при забирании конфига и diff его, начал выдавать:

2011-08-05 13:52:46,729 UNHANDLED EXCEPTION (2011-08-05 13:52:46.721536)

Working directory: /opt/noc

<type 'exceptions.ValueError'>

too many values to unpack

lexus-omsk, "- ты суслика видишь? - нет! - и я нет, а он есть", и как это лечить?

razered: traceback мне

zi_rus: я где-то ещё трейсбэк видел, то ли в логах классификатора или коррелятора, то ли ещё где-то... там был id удалённого объекта, я удалял эти записи вручную из коллекции events и alarms

а есть тут люди умеющие понимать Cisco?

wad_, а что надо?

это дурацкая штука у нее 2 интерфейса (нас интересуют)

Vlan249 192.168.249.2

Loopback1 192.168.222.2

lexus-omsk, все логи стерильны

wad_, продолжай ))

строка logging source-interface Loopback1 -- отсылать от лоопбака - сислог

и в ноке периодически вылазит... Unknown Event Source: 192.168.249.2

откуда это пролазит.....

trap source какой пробит?

192.168.222.2

wad_: а на трапы?

?

да вот я и не помню точно, где я эти id увидел... может и не в логах... можно попробовать debug включить и в foreground режиме запустить... страно, не так давно было, а детали не помню :(

пятница :)

и все ловится .. нормально но периодически приходит.. с левого ареса..

бывает

каталистка?

2811 и 2821

как бы с таком случае очестить всю базу евентов и алармов, так нчего не могу найти

оо Дмитриий а можно в Mercurial в игнор поставить файлы .orig а то после реверта чистить потом...

Как лучше обозвать комнату? Box, Rac, Room ну для контроля доступа?

Rac ^-)

wad_: сделал

gnu-linux: area :)

или location

уря

?

zi_rus: я вот такой конструкцией делал db.noc.events.active.remove( {"managed_object": 2824} ), если без условий, то вроде всё покоцает

да

ну и соответственно с алармами аналогично

без условий все покоцает

это куда загнать?

это в консольке mongo

mongo

use noc

ну и дальше

/opt/noc/noc db.noc.events.active.remove( {"managed_object": 2824} )

та?

я не понимаю

[root@zab]#mongo /opt/noc/ :)

MongoDB shell version: 1.8.1

connecting to: test

> use noc

switched to db noc

> db.noc.events.active.remove()

ну и iotop можно глянуть =)

да ладно, монго шустрый

у меня ой сколько эвентов

сделал, проверяю

сработало!!!

всем спасибо!!!

а теперь пожелания: может встроить в нок механизмы не позволяющие приходить к такому, ведь не я первый

можно

к релизу сделаем

Сейчас это ранняя альфа :)

Идет отработка концепции и набивка базы знаний

еще предложение. Если какие то события происходят несколько раз в течении 2-5 минут то Аларм долгий делать

точнее не события а аларм - появляется исчезает..

wad_: там еще по частоте можно будет делать

напримере, пока событие повторяется чаще 5 раз за 5 минут, будет держаться alarm

вот вот

это будет

блин. всё таки оооочень не хватает поискаа по логам irc =(( чтоб сразу и по всем. или за период

а вроде яндекс ищет же?

IRC клиент ищет :)

если ты сам пишешь логи

dvolodin, я через 3 клиента в разных местах.

хотя надо баунсер повесить -)

dvolodin, beef@

я настроил тестовый свич для отправки логов и трапов, что надо чтобы нок их принял?

activator.conf

listen_syslog

listen_traps

и в Managed Objects Trap Source IP:

это прописал, тепрь надо понять почему TrapCollector(0x804e490d0)] Permission Denied

потому что от рута надо запускать слушалку чтобы порт системный забиндить

ну активатор то есть

ага.

[noc-activator]

enabled = true

user = root в ./etc/noc-launcher.conf раньше было

как счас хз, давно не обновлял

сейчас там user = noc

угу

от нока тоже запускается, слушает, я вижу что евенты приходят, но в логе активатора все равно появляется запись Permission Denied

от нока активатор не сможет забиндится на системный порт

если конечно в судо где нибудь не прописано

udp4 0 0 172.18.254.250.syslog *.*

udp4 0 0 172.18.254.250.snmptra *.*

запустил от нока

вернее в конфиге прописал user=noc

поставь рута. на тест

поставил

tail /var/log/noc/noc-activator.0.log

2011-08-05 14:03:11,423 In-bundle package. Skiping software updates

2011-08-05 14:03:11,425 Registering as 'noc'

2011-08-05 14:03:11,430 Registration accepted

2011-08-05 14:03:11,430 Authenticating as noc

2011-08-05 14:03:11,435 Authenticated

2011-08-05 14:03:11,435 Sending capabilities

2011-08-05 14:03:11,437 [TrapCollector(0x804e470d0)] Initializing at 172.18.254.250:162

2011-08-05 14:03:11,437 Requesting event source filter

2011-08-05 14:03:11,438 [TrapCollector(0x804e470d0)] Address already in use

2011-08-05 14:03:11,438 [PMCollectorSocket(0x804e47150)] Address already in use

а больше ничего не слушает у тебя там?

кто-то уже есть на этом адресе/порту

угу

остановил нок

netstat -an | grep 162 gecnj

пусто*

запустил

netstat -an | grep 162

udp4 0 0 172.18.254.250.162 *.*

2011-08-05 14:06:47,240 [TrapCollector(0x804e470d0)] Initializing at 172.18.254.250:162

2011-08-05 14:06:47,240 Requesting event source filter

2011-08-05 14:06:47,241 [TrapCollector(0x804e470d0)] Address already in use

cat ./etc/noc-activator.conf |grep listen_instance

чего кажет?

listen_instance = 0

ну странно. один инстанс должен тогда биндится, а кто там мешает тогда

он биндится и слушает, но в логах пишется already in use, не порядок

Добрый день, еще раз

FM -> Alarm Classess -> System == Object Not Found

Я добился того чтобы нужные мне Events приходили на почту

Только вот как поправить шаблон, чтоб мне еще в теле письма указывалась с какого коммутатора (object) пришел шторм =)

{{event.managed_object.name}}

Dmitry1, сделаете правила классификации для длинков snmptrap link up/link down?

кинь мне в приват, что именно посылает d-link

dvolodin: Спасибо большое, все появилось

dvolodin: snmptrap link down неправильно классифицируется

в чем причина

zi_rus: JSON с события нужен

dvolodin, вот http://pastie.org/2324967

жопа там

нет имени интерфейса, только ifindex

с такими подождать придется пока интерфейсы в базу не уложу

в смысле, имени?

ладно, я не спешу,будет,когда будет

в трапе только ifindex

dvolodin, beef@