nocproject.org

я сам могу его запустить

freeseacher, кто же хнал

*знал

ну вот :)

бедняга печалится и задумывается

dvolodin, но мы не об этом, тут с ФМ вопрос обратно поднялся

dvolodin, надо бы его на daemon tools посадить

<zi_rus> Dmitry1, есть такое мнение, поднимать инфо аларм, все равно его, в той куче мусора, что попадает в инфо, никто не увидит, а если число повторных сообщений превышает лимит, то поднимать и уровень аларма

<Dmitry1> Так нету у нас такого механизма. Хотя разговор об этом был.

<Dmitry1> Я обеими руками за, чтобы поднимать аларм при достижении каких-то условий.

<Dmitry1> По идее это должно решаться через eventtrigger, но сейчас этот механизм ничего делать не умеет.

freeseacher: не поможет, процесс не умирает

давайте поподробнее, что вы поднимать собрались?

хотят промежуток между ивентом и алармом

есть такое

только промежутка мало

например, 1 инфо-ивент в месяц, что где-то что-то плохо - сбой, когда он раз в час - это реально плохо

надо чтобы либо соблюдалась последовательность event'ов

или через какое-то время не пришло нужного event'а

не, промежуточную сущность хотят. Иерархия по возрастанию : свалка инфосообщений - важные сообщения, за которыми надо последить - алармы, когда случилась жопа

как например NOC-863

event это event, он есть и случился

а вот требует он внимания или нет -- это отдельный вопрос

dvolodin, ты знаешь сколько всякого говна сейчас попадает под инфо

ну хотят просто event и важный event

event не может быть важный и неважный

alarms: 947 - из ни 2 требуют внимания

важный event это тот, который учавствует в alarm'е

алармы уровня инфо уже стали второй свалкой

zi_rus: какого именно?

вот этого быть не должно

например

Invalid MAC 00:00:00:00:00:00 detected

Invalid MAC 01:00:5A:52:4C:4D

куча макфлапов, но это надо просто доработать, чтобы польза была

PIM DR change - я уговорил чтобы понизили до ИНФО, но и там они лично мне не нужны, может я не прав и для кого-то это существенное событие?

тогда может быть нужны отдельные настройки для приоритетов

например, если тебе неинтересен клас invalid mac -- задавить его целиком?

да, я про это и говорил, давно, а ты сказал что не надо

ну так какие предложения по реализации?

настраиваемые из интерфейсы уровни алармов

в принципе что надо -- некий механизм который позволит настраивать приоритеты под себя и поднимать и опускать приоритеты по каким-либо правилам

ты давай конкретнее

:)

dvolodin, alarm classes еще не переписали на новый UI, можно туда засунуть

там не только подстройка приоритета нужна

но и возможность добавлять правила

угу

еще бы классификатор, хотя бы по таймеру, перечитывал правила

он по hup перечитывает

а то наклепаешь правил, лезешь в консоль прибивать классификатор

лучше, чтоб оно делало это без вмешательства с настраиваемым интервалом/по кнопке

его за stopm завязать надо

бантиком

за стомп это правильно

а лучше и остальные модули тоже

ну для демонов должны быть контрольные очереди

а то аларм триггер сделал и ждешь пока он применится

которые принимают команды вроде shutdown, restart, get_info

грубо говоря -- после запуска демон должен подписываться на парочку топиков в STOMP

первый -- управление всеми демонами этого типа

второй -- управление конкретным instance

собственно туда же должна уползти и проверка heartbeat'ов launcher'ом

dvolodin: Я предлагаю понаделать кучу pyrules для event triggers.

Но! В этих pyrules иметь возможность задавать через WEB какие-то переменные, и брать переменные из ивентов

К примеру, pyRules на LinkDown будет брать из ивента номер порта, а из базы - флажок - реагировать на это событие, или нет

кто Custom fields пользуется. Флажки searchable/filtered/hidden только для веб-морды?

Опять же, наш любимый ивент BGP,OSPF,RIP, EIBGP и т.п. down

В PyRules нужно возможность задать IP адреса пиров, при событии на которых игнорировать ивенты

это Rocket Science

=)

Куча таких event triggers должны идти в базовой поставке NOC, а пользователь иметь возможность задействовать нужные ему

Например. У нас событие "Link Down"

В event trigger мы запускаем command snippet со следующими скриптами:

get_copper_tdr_diag или get_dom_status

И в аларме Link Down мы можем отобразить дополнительную информацию

На ивент "STP Loop Detected" и подобные выполнить команду get_stanning_tree

какой смысл

и есть джобы

есть job'ы, действительно

галочку синхронизации с ipam кто-нибудь проверял?

я хз сколько уже не обновлялся

я не проверял ибо мне кажется что текущая реализация не решает никакой задачи

а для 3100 чо, не должна отрабатывать нормализация Interface_name?

а...

все норм :)

наверное...

вот, матерное слово, до чего удобно отлаживать pyRule/IReduceTask, это же просто праздник какой-то

mikevlz|2: а что с ними не так?

PyRule.call(....)

а на вход ему чо дать?

не, просто я отлаживать пытаюсь через Run Task, оно выдает дофига информативные сообщения об ошибках...

сказало index out of range, а где - хрен знает =)

да, с 3100 интерфейсы не снимаются принципиально?

или это мне обновиться надо?

mikevlz|2: Не снимаются. У меня единственно доступный 3100 после обновления прошивки перестал быть доступным по ssh

а телнет тебя пугает своей открытойстью и простотой?

а там в ssh дело?

там дело в ssh со стороны длинка, видимо. Я вот телднетом их пинаю, все норм вроде

блин, придется для 3100 писать гет_интерфейсис, шоле...

Reduce для get_lldp_neighbors я индусский накорябал...

но т.к. оно завязано на inv.Interfaces - половина связок выходит с одной стороны пустая =)

для 3100 нету интерфейсов в базе :(

mikevlz|2: погоди, ты что делаешь?

свою построялку топологии с сохранением в БД в виде линков между интерфейсами

я же в пятницу тут писал, как все плохо :)

:)

а я как раз на бумаге прикидываю, как оно должно выглядеть

ну я тут второпроходимец... Первопроходимец на форуме уже выложил скрипты

и статиквлан.

сделаю, чтоб нормально находило, примусь за приложение для того самого автопроброса вланов по топологии

благо всякие networkX бесплатны и просты в эксплуатации

собственно что я хочу -- job'ы на разные виды discovery в соответсвии с профилями железок

по идее -- один из job'ов должен ввскребать chassis id и fqdn железок и хранить в кеше

я для этого custom field сегодня все же сделал

для lldp -- равномерно размазывает job'ы

берем железку -- смотрим lldp neighbor'ов

по кешу смотрим -- кто может быть с другого конца

вопрос в том, что оно не всегда корректно отрабатывает вообще.

_4ePTeHok: кто?

я про построение топологии

делаем job'ы и проверям, что говорят с других концов

у меня стабильно б ывает в одном вилане висят пару свитчей в воздухе

то есть общий подход такой

_4ePTeHok: бывает...

это по макам

у меня больше

мы про lldp

ибо тупое железо другие методы неумеет

из железки выскребаем данные, проверяем кандидатов на линки

для каждого кандидата топаем в другой конец и проверяем гипотезу

для lldp/cdp/fdp это должно работать достаточно надежно

ну я не видел еще, чтоб lldp убежал дальше физического линка. Если конечно не сказать длинку, что он должен прокидывать сообщение дальше

cdp по влану со свистом пролетает, я ему не верю

c stp примерно то же

fdp по влану может пробежать

потому я и собрался верить lldp, остальное проверять с двух концов...

да и lldp тоже нужно проверять

грубо говоря - у discovery есть 2 типа job'ов

зависит от настроек. Мы запрещаем проброс lldp-пакетов дальше в другие линки. Через foundry оно не проходит

get_*_links и check_*_links

или даже еще боле изящный вариант можно

для каждого типа discovery делать кеш -- какие линки нужно проверить

типа <протокол>, <железка>, <другая железка>, <порт>

когда запускаешь, скажем get_lldp_links

он выдирает get_lldp_neighbors

смотрит, что ему надо было проверить -- если нашел подтверждение, что линк действиетльно есть -- пишет в базу

если ему ничего не оставили на проверку - пишет сам в кеш, что надо проверить и подстегивает проверки на соседних железках

когда?

?

он спрашивает, когда будет счастье и кнопка "сделать заебись!"

zi_rus: правильно перевел?

гг

да

:)~

из вредности не сделаю это сегодня

Не хватает web-морды на "типа <протокол>, <железка>, <другая железка>, <порт>"

счастье или кнопку?

Dmitry1: она не особо нужна

да и модели как таковой нету :)

чтоб вебморду к ней лепить

Конечный юзер должен иметь посредством web-морды доступ ко всяким внутренним переменным и процессам

Dmitry1: морда делается как modelapplication

Конечный юзер не должен знать python.perl и т.п.

только PHP

только хардкор

и php ему тоже не нужно

ммм... предлагаешь программировать на html?

=)

у конечного юзера должна быть "волшебная кнопка" и возможность настроить действия, которые она будет исполнять

Из маленьких кирпичиков выстроить последовательность действий, которые будут происходить по какому-ниюудь ивенту

не должно быть выбора, это вводит пользователя в ступор

у конечного юзера должна быть волшебная пачка денег

она волшебным образом влияет на то, сколько волшебных кнопок ему придется жать

ну так вот, она волшебная, ты ее не видишь, а она есть

zi_rus: речь не про суслика, речь про деньги

простая замена переменных

угу, шорты превращаются в элегантные джинсы

mikevlz|2: лучше подумай, как нам топологию в морде рисовать

Смотрите идеологию. У нас есть event trigger

Событие syslog FM - event

Событие SNMP FM - event

Новый объект в SA - event

Новый объект в IPAM - event

ну

Новый объект в Peers - event

Соответственно ивенты на изменение/удаление объектов SA,IPAM,Peers

аудит трейл впихивается в фм)

Hi everyone! I'm trying to configure NOC to use groups defined in LDAP. Is the configuration key ldap_groups_base the correct one to use?

dvolodin: самое простое - import graphvis, отдавайть png/gif/etc динамически. Если хочется, чтоб клиент рендерил - то рисовать в принципе не сложно, но надо будет писать свои layout менеджеры

а кликать в это как?

dvolodin, Дим, с агрегированными линками и профилями интерфейсов надо порешать. И с удалением интерфейсов которые уже не существуют.

значит, чтоб клиент рендерил...

эта штука уже полгода болтается нерешенной

а по топологии - вот бы как yED

mrdk_: reading http://kb.nocproject.org/display/DOC/noc.conf and search "ldap" may help you

=)

Dmitry1: thanks. The key ldap_groups_base is described as "Base DN to search for groups". However this does not seem to work. The list of groups in the GUI under "Home > Main > groups" stays empty.

No. This groups must be created manually. I think :)

Dmitry1: so there's no way to automatically assign users to groups as defined in LDAP?

Do you have one or more group in "Home > Main > groups" ?

Dmitry1: yes, I created a group named "test"

And set up all permission, you can want ?

Dmitry1: Yes, I also did that. However, I need to manually assign the groups to the users. Isn't NOC supposed to load groups using "ldap_groups_base" automatically?

And simply create group with equal name in LDAP server. I think, this shuld help you.

s/shuld/should/

dvolodin: Ответь правильно человеку, а то я ldap вместе с NOC не настраивал

привет. есть тут кто? :)

Нет никого.

хорошо ;) тогда подскажите, на линуксе можно ли настроить правило исходящих пакетов через один интерфейс, чтобы они натились, но кроме направления на одну сеть.

просто линукс не сразу в интернет выходит.. а сначала в локалку.. а там дальше уже в сеть

вот надо, чтобы пользователи за линукс-севрером в локалку имели полноценный доступ без ната (из локалки к пользователям тоже надо доступ сделать). но в интернет тоже ходили

просто на маршрутизаторе ЛВС я не могу добавить новую подсеть для НАТа..

Dmitry1: that doesn't work, unfortunately. It looks like the "ldap_groups_base" key is never used.

Какое-то извращение получается.

Dionys, ну да.. есть такое..

я уже думаю. может просто поднять дополнительный интерфейс, на котором не будет НАТа, и туда кидать пакеты в направлении нужной сети..

но думал, что может, можно все просто решить одной строчкой в iptables..

mrdk_: Ask for that dvolodin. He is better, when I am, has knowlege an inside NOC

Dmitry1: ok, thanks :)

У меня например НАТ дивертами реализован и мне никто не помешает отправлять в НАТ только те пакеты которые мне нужны.

Прадва у меня фря с ipfw. :)

Как в iptables честно не помню...

там просто

-d !192.168.0.0/16

в строке с натом

кажетсмя

типм

*типа

$ipt -t nat -A POSTROUTING -o $ext_if -d !192.168.0.0/16 -j SNAT --to-source $ext_ip

если локалка /16

! - отрицание

те весь трафиккоторый идет не влокалку, тот натить

но тут надо проверить, как правильно отрицание ставить, я один раз пробовал, у меня не получилось

shell восклицательный знак разворачивает

\! тогда

да, может быть из-за этого

у нас вырисовывается новый интерфейс и новые скрипты, похоже

нужен скрипт, который выдает всевозможные идентификаторы железки

например -- fqdn, диапазон chassis id

может что-то еще в протоколах будет использоваться

dvolodin, что ты думаешь чтобы в NOC были встроены сразу 3 профиля интерфейсов (default, UNI, NNI) и по определенной логике NOC сам их расставлял, например все погашенные порты в default, все порты за которыми есть линк к другому МО - NNI, все остальные UNI + доп логика при из

менениях на портах из одного типа в другой

что скажешь?

логика UNI простая, если порт в апе и за ним не видно другой железки, значит это клиентский порт

для этого надо найти линки

не спорю

и соотвественно настроенные профили

для NNI маки не собираются

для UNI алармы не поднимаются

dvolodin: quick question: what's the use of the configuration key "ldap_groups_base"? Will NOC create groups based on this key's base DN?

а еще для этого нужно разделить Admin и Oper ыефегы

*status

http://dpaste.org/EvJRG/

http://dpaste.org/E4Rm6/

собственно переделываем get_chassis_id

чтобы прихватить диапазоны маков

и делаем общий композитный интерфейс, чтобы за один раз выдрать hostname и chassis id

делаем job и кладем все это дело в кеш

mrdk_, no. On this moment ldap_groups_base didn't used in ldap auth backend

по крайней мере в коде нигде не вижу чтобы оно парсилось.

_4ePTeHok: ok. But how can I assign a group to a user? When I try to assign a group to a user, I need to enter the user's password (the user was created automatically via LDAP).

dvolodin, подскажи товарищу как быть с группами)

это завтра все

mrdk_, dvolodin only may answer you, but sorry, only tomorrow.

_4ePTeHok: ok, thank you

Hey guys. I am trying to do an install of NOC on ArchLinux and I am running into an issue. I was wondering if someone could help. I make it to the step where you run ./scripts/post-update but I get the follwoing error message.

post-update: 28: Inconsistent .pyc files found

"/usr/bin/env: python: No such file or directory"

when I sure pdb against the post-update script I get an exception with the deffinition for dirname $0

anyone have any ideas on this?