nocproject.org

Доброе утро. Порог вхождения высоковат. Я об описании своей сети в ноке.

вряд ли он будет низким

в силу специфики

я взаимосвязи не могу уловить, именно начальные. интерфейс. А структура в целом при этом вроде понятна.

может быть

хорошая книжка не помешала бы

типа той же RT Essentials

задал юзеру права в prefix access видеть только 10,0,0,0/8, а он все равно видит все сети

права на запись только

view - на будущее

а говорили что ipam полностью готов к продакшену

тогда я подожду спрашивать почему в остальных разделах права неправильно раздаются

эта. вернусь к своим баранам. покажите плз у кого сколько есть noc-correlator.py

759108kb -(

`kk, 114Мб

dvolodin, подскажи как глянуть кол-во событий

zi_rus, много оборудования ?

47

zi_rus: IPAM полностью готов в production

хех. у меня <500

и используется в нем

dvolodin, как же тогда сделать чтобы юзеры видели только свои сети

zi_rus: а оно надо?

адресный план должен быть виден целиком, иначе лажа может выйти

`kk: Events показывает в заголовке

dvolodin, для начала, это правильно, а еще это удобней самому юзеру, он не будет отвлекаться на сети к которым не имеет отношения

Bookmarks на свои сети ставят и не парятся

вот навскидку сразу вопрос

блок вложен в 3 аггрегирующих блока

dvolodin, вообще это эксперимент, мне важнее чтобы мой юзер видел адреса только из своего врф, и не лез во все остальное

что показывать юзеру?

показывать только необходимое, сам этот блок

А если он не один?

Лажа будет - вместо адресного плана юзер увидит какие-то непонятные блоки

тогда отображать вложенность. для одного блока не имеет смысла вникать как и куда он вложен, для нескольких это уже можно показать

Events: 310208

`kk: Я сейчас 500k перетряхиваю

а так - за 1M зашкаливает регулярно

это нормально

так а сколько корелятор кушает у тебя на таком объёме ?

300 virtual, 150 rss

виртуал у меня 1.1гб на эти 300к

ладно. время будет помониторю чё он так отжирает

хорошо, я посмотрю, может он слишком аггресивно root cause в разных позах устанавливает

там и комп слабенький Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz и 2гб рам

dvolodin, если я даю человеку права распределять адреса в сетке /24, зачем ему постоянно бегать по всему дереву вложенности? к нему это ника не относится что у меня одни сети разбиты на другие, другие на третьи и тд. вот у нас сеть по всей стране, есть диапазо

н серых адресов которые не должны пересекаться, поэтому на каждый город голова выделили диапазон для нас, мне абсолютно лишнее видеть чужие сети, а если я кому-то делегирую права на маленькую сеть из своего диапазона, зачем ему видеть всю иерархию де

ления миллионов адресов на подсети, это же будет просто отвлекать. можно использовать правило "для трех и более блоков, отображать полную иерархию вложенности"

zi_rus: обычно юзер ставит bookmark'и на свою сеть и сразу на них переходит

и не видит больше вообще ничего

зачем бегать по дереву?

`kk: у меня такая же машинка :) объектов под 800 уже, правда логи идут далеко не со всех, со всех только сбор конфигов и пинг

`kk: вот RAM NOC'у желателен

особенно под mongo

zi_rus: теоретически ограничения видимости сделать можно, на практике они приводили к существенным неудобствам

и не прижились как класс

неудобство скорее всего возникало из-за неправильного делегирования прав на префиксы

событий: 390322, vsz / rss - 119196 / 114048 соответственно

нет, не из-за этого

простейший пример - должен ли юзер в городе видеть, какие блоки выделены соседям?

или администратор онлайн проекта - соседние блоки, которые используют коллеги

По твоей логике - нет

а на практике - в целом должен

если он должен их видеть ему надо соответсвенно давать права

то есть давать ему права на блоки, которые содержат его блоки?

ну вот мы уже и вылетели на уровень макрорегиона/федерального округа, или как он там у вас называется

у него есть права на свой блок, на них у него есть прва, если ему надо видеть блоки соседей, то соответственно давать права и на их блоки, если нет, то не давать все же логично

dvolodin: в классе для Chassis | Fan .... очепятка, видимо с Power Supply скопировал ;)

запалился :)

где

description

fan failed для zyxel сделал

а в recovered нет названия вентилятора

поправил

dvolodin, тут еще можно долго рассуждать, дать всем все и сразу, либо возложить все на правильное разделение прав админом, но почему юзер видит нетолько все блоки в своем врф но и соседние врф и блоки в них - это уж ни в какие ворота

zi_rus: мир полон несправедливости :)

можно думать на эту тему - но вопрос реально очень спорный

и на него существует множество точек зрения

Можно открыть Arch Decision на эту тему

насчёт recovered - надо ещё на других прошивках глянуть, может там указывает имя... сейчас опытного образца нет под рукой да и с "боевых" сообщений подобных больше не было

ok, тогда делаю с заглушкой

у меня уже начинает вырисовываться программа измывательств над новыми моделями железок с целью тренировки FM

:)

на свиче вентилятор можно застопорить карандашом

а вот турбину GSR'а как-то стремно останавливать, там мясорубка откровенная :)

dvolodin, во все времена был один ответ, "все запрещено, разрешено только, то что явно разрешено" как в cisco acl нужные адреса резрешаются, а что не описано, то запрещается (implicit deny)

zi_rus: ну да, и наивные военные придумывали всякие mandatory access control'ы и схемы доступа по уровням

потому как разрешить все, что нужно для работы далеко не всегда возможно в принципе

с таким подходом не доводилось сталкиваться? когда тупо полы и двери красят в разные цвета и выдают пропуск определенного цвета

?

и ходишь везде, где цвет пропуска позволяет

и что здесь плохого?

тоже система контроля доступа, и тоже весьма эффективная

чем она хуже?

ъ

я первый спросил

ничего плохого, кроме того, что "все запрещено, кроме того, что разрешено" - это один из частных случаев. Не самый плохой и не самый хороший.

И проблема, в общем-то, не в этом, а в постановке вопроса

IPAM используется в production во многих местах и по несколько лет. Так что ответ на вопрос - готов ли он -- однозначно - да

Второй вопрос - скрытый -- "Подходит ли IPAM под мой workflow"

на него ответить сложнее, так как надо представлять себе workflow

и третий вопрос - можно ли запилить IPAM, чтобы он подошел под мой workflow -- тут то же самое, надо представлять себе workflow. Наверное, запилить можно, было бы желание. Но при этом надо, как минимум, ничего не сломать у всех остальных и не создавать

дополнительных сложностей тем, кто ставит систему в первый раз

dvolodin, это все вопрос договоренности, да они могут как-то работать, да я могу дать юзеру права и ничего страшного, что он будет видеть чужие сети, но это неправильно

Правильность или неправильность определяется сложившейся практикой

пока она такая как есть

и в ее основе лежат конкретные и объективные причины

хотелось бы услышать еще мнения, кому нравится, что каждый пользователь независимо от прав видит все сети, которые занесены в нок

скорее - кто хочет иметь возможность ограничивать права на просмотр чужих блоков

при условии что адреса из них все равно попадут в реверсные зоны

и будут общедоступны

ну если реверс общедоступный, то какой смысл

а с чего ему не быть общедоступным?

в общем случае - да, реверс увидят все

но, всё же, у некоторых в их workflow такой функционал необходим

для серых адресов мы не ведем реверс, а именно они крутятся в врф

это именно то, что я говорю -- ответы на вопросы #2 и #3

на пред. работе мне такой функционал был бы необходим.

возможно -)

значит кому то там он сейчас необходим

А дальше приходим к логике разработки любого софта, будь он коммерческий или открытый

для реализации какого-либо функционала нужно обоснование

zi_rus, клиентам будешь доваьт доступ в нок ?

нет

настоятельно не рекомендую

прятать от сотрудников ?

врф

да

в итоге будет, конечно, self care сайт

где кастомер увидит свои ресурсы, заявки, состояние своих сервисов и статисткику по SLA

но это будет отдельный абсолютно продукт и отдельный web-сервис

вот это и хочет zi_rus. я так думаю

есть отдел который занимается своей частью сети, эта сеть подключена к ядру в врф управляемому нами, я хочу дать им права чтобы они видели только свои объекты только свои алармы, только свои адреса, но этого нету

zi_rus: видимость объектов ограничивается уже сейчас

видимость alarm-ов будет ограничена к релизу 0.7, будут очереди алармов со своими правилами эскалации и видимости

по селектору "админ домен", но он может добавить объект с любыми другими свойствами, так что потом не сможет сам получить к нему доступ

по адресам - ограничения видимости нет

zi_rus: добавление объектов - процесс ответсвенный

не все же подряд их лепят

они умудряются конфиги на железки криво заливать так, что потом бегут к нам и спрашивают, то клиент адрес не получает то мультикаст не работает. "защита от дурака" всегда должна быть

Должна быть, никто не спорит

Если есть проблема - всегда можно оформить issue

для разделения прав на view есть селекторы. как раздать правильно права на add/change? это не просто issue, тут надо всю архитектуру делегирования прав в системе рассматривать

у оракла в свое время был принцип - нельзя создать то, что нельзя посмотреть :)

боюсь, что здесь я могу создать то, что не смогу посмотреть

вот это можно исправлять, да

или еще фильтры объектов остаются все. например я дал право просмотра всех объектов в админ домене qqq, но этому пользователю все еще доступен фильтр объектов по домену www, который ничего не покажет потому что у него нет на это права

а также фильтр по другим параметрам

зачем нужен там фильтр по профилю циско_иос, если в отображении нет ни одного объекта с этим профилем

у конкретного пользователя с ограниченными правами

zi_rus: а если завтра появится?

селекторы - это способ выделить группу объектов, даже если ее еще нет

я говорю про фильтр справа

By Is Managed?

All

Yes

No

By Is Configuration Managed?

All

Yes

No

By Administrative Domain

All

FTTB

default

By Profile

All

Alcatel.OS62xx

DLink.DxS

NOC.SAE

он неизменен независимо от прав пользователя

ну нормально

не хватает еще пересчитывать фильтры при каждом просмотре

почему просмотре. sae находится в домене default, у юзера есть права на домен fttb, зачем еще тут нужен фильтр по домену и зачем тут нужен профиль сае, ЕСЛИ Я ЕГО ВСЕ РАВНО НЕ УВИЖУ

*капс случайно включился

Ж)

придав всему предложению правильную эмоциональную раскраску :)

Опять же - в issue это

замечание полезное, но достаточно низкоприоритетное

NOC - open-source продукт со всемы вытекажщими последствиями

которые заключаются примерно в следующем

есть люди, которые импользуют его для решения своих повседневных задач

и дорабатывают то, что им нужно

есть несколько компаний которые финансируют развитие продукта

и получают тот функционал, который им нужен

есть экологическая ниша вокруг NOC связанная с консалтингом и помошью в решении чужих проблем

есть общие соображения позиционирования NOC относительно других продуктов, которые заключаются в том, что надо быть, как минимум, лучше других продуктов как в целом, так и по направлениям

Ресурсы любого проекта не безграничны, что накладывает свои ограничения

мораль в целом понятна?

изменение может появиться либо если кто-то сделал его для себя, прислал патч и он соответсвует общей логике

либо если кто-то заказал его разработку, подтолкнув кого-то сделать патчик для себя

"соответсвует общей логике", с этим большие проблемы

либо если видно, что этот функционал положительно скажется на общем позиционировании проекта

Какие именно проблемы?

права на ipam, с чего все началось. если просто устроить голосование среди тех кто использует или хотел бы использовать НОК, победили бы 2 варианта "мне нужен этот функционал" и " мне не нужен, но я не против", и кто-то написал бы патч который добавляет нужн

ую, функцию, боюсь в нок бы этот патч не попал, выдь вы против

если патч не ломает имеющийся функционал и, скажем, включается настройкой, то почему бы не включить?

Обсуждение патча - это конкретика

Обсуждение несуществующего патча, который непонятно кто будет делать - разговоры ни о чем

Все патчи выкладываются в Issue. Там их смотрит куча народу и решает, применять или не применять.

Как пример - staticvlan

Он есть, работает, и решает конкретные проблемы как у авторов, так и в ряде других сетей

Если сильно хочется, то велкам сюда: http://redmine.nocproject.org/projects/noc/wiki/CommercialSupportRU

Кроме того, авторы несколько раз его переписывали, чтобы он соответствовал общей архитектуре, а не был пришлепкой сбоку

В целом, хорошая работа

Лично я стараюсь удовлетворить запросы всех, кто шлет патчи по моему профилю.

Но она пересекается с запланированным функционалом, который сейчас находится в разработке и в текущем виде включать его в основное дерево нет смысла. В первую очередь потому, что это притормозит развитие staticvlan

но все, кому это необходимо, его используют

Когда в базу ляжет топология - половину staticvlan можно будет выкинуть

когда появится каталог сервисов - весь его функционал будет перектываться штатными средствами

при этом наработки не пропадут а частично попадут в основное дерево

Вот хороший пример

=) опять недовольства обсуждаете)

конструктивный такой

_4ePTeHok: да, пытаюсь склонить недовольных к конструктивному подходу

Или такой вариант

чесно говоря всегда удивлялся такому подходу как среди пользователей *bsd, так и *gnu/linux - типа мне надо, делайте.

Нет бы по человечески хотя бы попросить - нужно так, есть возможность сделать?

Или подсказать как сделать самому

"Уважаемые коллеги, компания $TELECOM представляет из себя то-то то-то, мы начинаем проект такой-то, вот наши RFP"

или как продолжение -- мы посмотрели такие-то такие-то продукты, вот сравнительная таблица

это у вас есть, этого у вас нет, в итоге мы выбрали то-то

это тоже максимально полезный feedback

а затем перевод в компанию какого то количества финансов, для доработки под конкретную задачу)

_4ePTeHok: тоже как вариант

вас почитаешь - столько всяких страшных слов незнакомых... всякие TAC, RFP... хоть гугли по каждому отдельному случаю =)

например, у вас все в целом лучше, чем другие варианты, но нет телефонной базы

Read the Fucking Paper?)

вот наши требования, какой бюджет и какие сроки

request for proposals, но порой действительно really fucking paper

гг)

так вот - при таких условиях телефонная база появится быстро и будет весьма неплохой, вне зависимости от финансовой составляющей

или, например, корейская локализация

Или вполне конкретный пример - автоматический сбор информации для TAC от компании, которая 3 года поддерживает развитие проекта - естественно, функционал будет реализован

В целом примерно вот так

Если я в чем-то заблуждаюсь - очень прошу меня поправить

Во всех остальных случаях - лучше сделать issue, если идея хорошая - ее кто-нибудь реализует

как по мне, так хотя бы без наездов и претензий в стиле "я сказал, это неправильно, значит это так. Делайте!"

Любая точка зрения имеет право на существование.

Но личный опыт подсказывает, что чересчур категоричный подход имеет нулевые шансы на успех

И чем более конструктивный подход, тем больше шансов добиться того, что нужно

примеров тому масса

в свое время, например, нам было проще заплатить авторам nginx чтобы поправили несколько застарелых багов, нежели в качестве альтернативы использовать те же кеши от f5. При этом затраты отличались на 3 порядка

у него же вроде русский разработчик

да

Игорь, кстати, недавно запустил контору по поддержке

и правильно сделал

потому как есть реальный спрос со стороны крупных онлайн проектов

ровно с той же стороны есть и серьезный интерес к NOC

да, вообще дельная вещь. Правда не всегда понятная в настройке)

Тем не менее она есть

И очень гибка

И когда его поставили пару тысяч раз - настройка сисадминам кажется простой и логичной

:)

привет

dvolodin, наверно любая вещь после пары тыщь раз станет простой)) Ну разве что кроме женской логики)))

_4ePTeHok: да ты что, а сколько заявлений о том, что после IIS nginx нифига не понятет

-)))

и что nginx потеряет целых три инсталляции, так как вместо него поставят IIS, если срочно ре реализует такую же морду для управления

да ну вас с этим IIS)

_4ePTeHok: работаем с тем, что есть, будь то IIS или корейский игрософт

:)

я еще понимаю, когда там нагиос допустим, куча объектов и текстовые конфы портянками - там банально неудобно да. А в нджинксе вполне вменяемо с конфигурацией, просто надо въехать.

nginx хорошо попёр после апача -)

его бы в нок....

он под noc нормально пашет

:)

а вот насчет пофолтить его через NOC - скорее всего до этого дело дойдет еще

я про профиль

блин. надо учить питон

да, надо.)

в профиле он не нужен скорее всего

да я,походу, скоро уйду из телекома. =((

надо оборудования набрать домой набрать для нока =))

:)

циску не дают =(

сделаем inventory - можно будет нормально зарабатывать на внедрениях :)

это гуууд

хм. Дим, посоветуй книгу по питону фор дамми

http://docs.python.org/tutorial/

-)))

это первое что открыл

там по регекспам дельный раздел есть, да)

по регекспам нормальное описание в library reference

Event Classes Hierarchy (88 classes, 196 rules), 33 alarms

растет, зараза

правильно что растёт -)

Пишу профиль OS/Linux проблема в зоопарке Линуксов... Хотелось бы сделать универсальный профиль. http://redmine.nocproject.org/boards/3/topics/2450

а надо ли универсальный?

busybox можно отдельно

да, напаритесь с линуксом..)

линукс - зоопарк

там одним профилем не обойтись

gnu-linux, какой дистр ?

к старому вопросу о молотилках трафика

http://force10networks.com/products/z9000.asp

вот новая маленькая зверушка

128 десяток или 23 сороковки в 2U

32

хуясе маленькая

Force10 PVST+ - оно совместимо с cisco?)

теоретически да

но мы их по MSTP дружили обычно

z9000 - младший братец http://force10networks.com/products/z9512.asp

мда, доживу ли до таких объемов трафика)

ага

тут вон говорят инапланетяне захватывать летят нас) SETI и все такое предсказывает типа)

интересно, будут ли лазерные мечи и прочие артефакты)

будем мочить сектоидов кремниевыми топорами

не, надо у них технологии заимствовать. Иначе мы с нашими "нано" далеко не уедем

а так - прорыв был бы

просто так никто не даст технологии

дык топорики же)

а, блин. я не сразу понял о чём вы -=)

а то вон погрязли в собственном.. бакс надулся, пошел падать, и все на свете тоже под откос

придумали же бумажки

а не. понял -)

схема эта ужже давно

с 1641 вроде

ну и фрс. а вообще молодцы в плане поиметь всех и вся такой темой

да только толку с этого

прогресс вообще ощущение что остановился

так и есть

грабь воруй убивай)

зато пол века пожили круто.

мне вот интересно - если таки появится внешний враг человечества - будет какой толк?)

ага

ну типа там всех мразей алчных перестреляют)

аерикосы с ними договорятся -))))

и будут всех иметь дальше)

нам и своих "имелкиных" хватает)

какие вы кровожадные все

отчегож

В UFO: Enemy Unknown переиграли :)

-)))0огого

ты что вспомнил))

http://www.lenta.ru/news/2011/08/09/magic/

коллеги, кто там поближе, не теряйте времени и окучивайте

:)

гыыыыыыыыы

-)))

давайте потелепатим

так я уже

раздел в ноке сделаем - telepatic)

пару школ готово =)

который будет советы давать рандомные на каждый логин

Алармы Chassis | Brain | Not Found

Chassis | Dev | hands ?)

two left hands found?

no found hands

ass in head

hands from ass?)

)

dvolodin, давай коммить -)

шутники

344861

как вам такое: /opt/noc> ./noc events -c "Unknown | Syslog" -S 419002 | wc -l

344861

ASAшка развоевалась

огого

весело ага)

340k сообщений о duplicate tcp syn

за 13:30 переклассифицировало все

420 событий в секунду

huawei/zyxel/edgecore у кого есть?

поделайте правил классификации для них

зюхель тут у кого то был

lexus вроде

зухель есть, а приавил нету

я тут вот о чём задумался

pyrule refresh_config просто добавляет +10 мин к некст пул?

а как сделать чтоб конфиги забирались только когда пришёл сислог/трап

т.е сm.config_pull раз там в 10 мин проверяет и если надо забирает конфиг

или что-то я перемудрил ?

так и есть

refresh_config ставит next_pull в now + 10min

открыл refresh_config

без сm.config_pull вообщем не обойтись?

не обойтись

а зачем?

туплю чтот. сm.config_pull ставлю запускаться раз в 7 мин, он забирает конфиги. если пришёл трап - он добавляет ещё 10 мин

хочется по минимуму заходить на свичи

аа.. стоп

а нафиг?

сравь его рвз в день

dvolodin, ежики есть, на неделе вынесем нок на новый сервер, и займусь ими.

`kk, дык если трап на config save умеет присылать железка - проще по ней pull делать

как с cisco уже сделано

вот тут я туплю. Pull Every ставлю для всех,допустим, 86400. сm.config_pull делаю на 7 минут. теперь при трапе на железку будет next_pull в now + 10min и конфиг заберётся когда сm.config_pull пройдётся не трогая другие конфиги.

так выходит ?

так и получается - либо по трапу перечитается, либо раз в день для контроля

я просто сам себя успакоить, что правильно всё понял

зачем только раз в 7 минут делать непойму

+10 минут нужно если подряд идут несколько правил

правок

дать время опечатки исправить

это норм. да ещё и подправить если что можно

_4ePTeHok, а сколько у тебя стоит?

раз в сутки пулл обычно

плюс по трапам

я про это и написал

стоп

сm.config_pull делаю на 7 минут.

=)

-))

что-то я не догоняю как эти pyryle работают

что именно в них непонятно?

что это вооще и как их применяют

http://redmine.nocproject.org/boards/1/topics/1481

почитаю

это одно из применений

можно, например, вешать их на наступление событий и аварий в фолте

фолт говорит, что там атака !!! а пируля хлоп и закрывает этот порт -)

этим другие системы должны заниматься

это как пример-шутка

логика pyrule думаю ясна

маленько

`kk: я заводил новый blackhole маршрут на BIRD'е

общая конструкция была такая - собираем сообщения, что кто-то ломится на ssh

откидываем свои адреса

считаем штраф

как только вышел выше порогового значения - делаем бан на время

тупо создавая статики на BIRD

на кваге делали такое

маршруты по BGP уходили на MXы и там ставились в reject по всей границе

дешево и сердито

и прикручивается за пол-часа

или не на ней. вообщем тогда много чего валилось. коллег тогда очень достало -)

ага. дёшево и сердито

придурок отлетал и оставался на время без игрушки

Если подполировать немного и сделать гибкие настройки - можно и в дистрибутив воткнуть

при этом бордеры не трясутся ненужными коммитами

я помню snort ставили. много нового о сети узнали -)

о, да

давно хочу снорт к нашему фолту примотать

ОоО

это очень круто будет

это технически весьма несложно

фолту пофиг, что обрабатывать

он и снортовский лог распарсит

готов теститьhttp://redmine.nocproject.org/boards/1/topics/1481

ой

shift+ins вылетел случайно

я всеми ногами и руками за появление снорта

это, может, к версии 1.0

До версии 1.0 далеко еще.

А какие технические сложности примотать снорт хоть сейчас?

твоё время -)

фолт. инвентори

я то в питоне...

так там питона вообще никакого

просто получить хоть что-то со снорта

тогда гляну дома как он может переслать инфу ноку

ну да, там подумать надо

он в файл пишет как минимум

это надо как-то принимать, конвертить в события в базе

а дальше классификатор и коррелятор пусть имеются

snort умеет слать в сислог.

output alert_syslog: host=10.1.1.1:514, <facility> <priority> <options>

Народ, кто ловил на цисках IP Spoofing - поделитесь ивентами