Het ontvangen van SNMP-traps is het tegenovergestelde van het opvragen van SNMP-enabled apparaten.
In dit geval wordt de informatie verzonden vanaf een SNMP-enabled apparaat en wordt deze verzameld of "gevangen" door Zabbix.
Gewoonlijk worden traps verzonden wanneer er een verandering van toestand optreedt en de agent maakt verbinding met de server op poort 162 (in tegenstelling tot poort 161 aan de kant van de agent die wordt gebruikt voor het opvragen). Het gebruik van traps kan sommige kortdurende problemen detecteren die zich voordoen te midden van het opvraaginterval en die mogelijk worden gemist door de query-gegevens.
Het ontvangen van SNMP-traps in Zabbix is ontworpen om te werken met snmptrapd en een van de mechanismen voor het doorgeven van de traps aan Zabbix - hetzij een Bash- of Perl-script of SNMPTT.
De eenvoudigste manier om trap-monitoring in te stellen na het configureren van Zabbix is het gebruik van de Bash-scriptoplossing, omdat Perl en SNMPTT vaak ontbreken in moderne distributies en een complexere configuratie vereisen. Deze oplossing maakt echter gebruik van een script geconfigureerd als traphandle
. Voor betere prestaties op productiesystemen kunt u de ingebedde Perl-oplossing gebruiken (either script with do perl
option or SNMPTT).
Het werkproces voor het ontvangen van een trap:
snmptrapd
ontvangt een trapsnmptrapd
geeft de trap door aan het ontvangende script (Bash, Perl) of SNMPTTsnmptrap[regexp]
. De trap wordt ingesteld als de waarde van alle overeenkomende items. Als er geen overeenkomend item wordt gevonden en er een snmptrap.fallback
item is, wordt de trap ingesteld als de waarde van dat item.Het configureren van de volgende velden in de frontend is specifiek voor dit itemtype:
In Gegevensverzameling → Hosts, in het veld Hostinterface, stelt u een SNMP-interface in met het juiste IP- of DNS-adres. Het adres van elke ontvangen trap wordt vergeleken met de IP- en DNS-adressen van alle SNMP-interfaces om de overeenkomstige hosts te vinden.
In het veld Sleutel gebruikt u een van de SNMP-trapsleutels:
Sleutel | ||
---|---|---|
Omschrijving | Terugwaarde | Opmerkingen |
snmptrap[regexp] | ||
Vangt alle SNMP-traps die overeenkomen met de reguliere expressie die is opgegeven in regexp. Als regexp niet is gespecificeerd, vangt het elke willekeurige trap. | SNMP-trap | Dit item kan alleen worden ingesteld voor SNMP-interfaces. Gebruikermacro's en globale reguliere expressies worden ondersteund in de parameter van deze itemsleutel. |
snmptrap.fallback | ||
Vangt alle SNMP-traps die niet werden gevangen door een van de snmptrap[] items voor die interface. | SNMP-trap | Dit item kan alleen worden ingesteld voor SNMP-interfaces. |
Multiline regular expression matching wordt op dit moment niet ondersteund.
Stel het Type informatie in op 'Log' zodat de tijdstempels worden geparseerd. Merk op dat andere formaten zoals 'Numeriek' ook acceptabel zijn, maar mogelijk een aangepaste trap-handler vereisen.
Om SNMP-trapbewaking te laten werken, moet dit eerst correct worden ingesteld (zie hieronder).
Om de traps te lezen, moet Zabbix server of proxy worden geconfigureerd om het SNMP-trapperproces te starten en te verwijzen naar het trapebestand dat wordt geschreven door SNMPTT of een Bash/Perl trape-ontvanger. Om dit te doen, bewerkt u het configuratiebestand (zabbix_server.conf of zabbix_proxy.conf):
Als de systemd-parameter PrivateTmp wordt gebruikt, werkt dit bestand waarschijnlijk niet in /tmp.
Vereisten: alleen snmptrapd.
Een Bash trape-ontvanger script kan worden gebruikt om traps rechtstreeks van snmptrapd naar Zabbix-server door te sturen. Om dit te configureren, voegt u de traphandle
optie toe aan het snmptrapd configuratiebestand (snmptrapd.conf
), zie voorbeeld.
Allereerst moet snmptrapd worden geconfigureerd om SNMPTT te gebruiken.
Voor de beste prestaties moet SNMPTT worden geconfigureerd als een daemon met snmptthandler-embedded om de traps door te geven. Zie instructies voor het configureren van SNMPTT.
Wanneer SNMPTT is geconfigureerd om de traps te ontvangen, configureer snmptt.ini
:
Het "net-snmp-perl" pakket is verwijderd in RHEL 8.0-8.2; hersteld in RHEL 8.3. Voor meer informatie, zie de bekende problemen.
Formatteer nu de traps zodat Zabbix ze herkent (bewerk snmptt.conf):
EVENT coldStart .1.3.6.1.6.3.1.1.5.1 "Status Events" Normal
FORMAT ZBXTRAP $aA Apparaat opnieuw geïnitialiseerd (coldStart)
Gebruik geen onbekende traps - Zabbix zal ze niet kunnen herkennen. Onbekende traps kunnen worden afgehandeld door een algemeen evenement in snmptt.conf te definiëren:
Vereisten: Perl, Net-SNMP gecompileerd met --enable-embedded-perl (standaard gedaan sinds Net-SNMP 5.4)
Een Perl trappenontvanger (zoek naar misc/snmptrap/zabbix_trap_receiver.pl) kan worden gebruikt om trappen rechtstreeks van snmptrapd naar de Zabbix-server door te sturen. Om het te configureren:
Als de naam van het script niet tussen aanhalingstekens staat, zal snmptrapd weigeren op te starten met meldingen vergelijkbaar met deze:
Alle aangepaste Perl trap ontvangers en SNMPTT trapconfiguraties moeten de trap op de volgende manier formatteren:
waarbij
Merk op dat "ZBXTRAP" en "[adres]" uit het bericht worden verwijderd tijdens de verwerking. Als de trap op een andere manier is opgemaakt, kan Zabbix de trappen onverwachts interpreteren.
Voorbeeldtrap:
11:30:15 2011/07/27 .1.3.6.1.6.3.1.1.5.3 Normaal "Statusgebeurtenissen" localhost - ZBXTRAP 192.168.1.1 Link down on interface 2. Admin state: 1. Operationele status: 2
Dit zal resulteren in de volgende trap voor de SNMP-interface met IP=192.168.1.1:
11:30:15 2011/07/27 .1.3.6.1.6.3.1.1.5.3 Normaal "Statusgebeurtenissen"
localhost - Link down on interface 2. Admin state: 1. Operationele status: 2
Zabbix heeft ondersteuning voor grote bestanden voor SNMP-trapperbestanden. De maximale bestandsgrootte die Zabbix kan lezen is 2^63 (8 EiB). Houd er rekening mee dat het bestandssysteem een lagere limiet voor de bestandsgrootte kan opleggen.
Zabbix biedt geen logsrotatiesysteem - dat moet door de gebruiker worden afgehandeld. De logrotatie moet eerst het oude bestand een nieuwe naam geven en pas daarna verwijderen, zodat er geen trappen verloren gaan:
Vanwege de implementatie van het trapperbestand heeft Zabbix een bestandssysteem nodig dat inodes ondersteunt om bestanden te onderscheiden (de informatie wordt verkregen via een stat() oproep).
Dit voorbeeld maakt gebruik van snmptrapd en een Bash-ontvangerscript om traps door te sturen naar de Zabbix-server.
Configuratie:
zabbix_server.conf
:/usr/sbin/zabbix_trap_handler.sh
:curl -o /usr/sbin/zabbix_trap_handler.sh https://raw.githubusercontent.com/zabbix/zabbix-docker/6.4/Dockerfiles/snmptraps/alpine/conf/usr/sbin/zabbix_trap_handler.sh
Pas indien nodig de ZABBIX_TRAPS_FILE-variabele in het script aan. Gebruik de standaardwaarde, maak eerst de bovenliggende map aan:
snmtrapd.conf
(raadpleeg een werkend voorbeeld):Maak een SNMP-item TEST aan:
Host SNMP-interface IP: 127.0.0.1
Sleutel: snmptrap["linkup"]
Tijdsindeling loggen: yyyyMMdd.hhmmss
Vervolgens configureren we snmptrapd
voor onze gekozen SNMP-protocolversie en sturen testtraps met behulp van het snmptrap
-hulpprogramma.
De SNMPv1- en SNMPv2-protocollen vertrouwen op "community string" authenticatie. In het onderstaande voorbeeld zullen we "secret" gebruiken als community string. Het moet op dezelfde waarde worden ingesteld op SNMP-trapverzenders.
Let op dat hoewel SNMPv2 nog steeds veel wordt gebruikt in productieomgevingen, het geen enkele versleuteling of echte afzenderauthenticatie biedt. De gegevens worden als platte tekst verzonden en daarom moeten deze protocolversies alleen worden gebruikt in beveiligde omgevingen zoals een privénetwerk en mogen ze nooit worden gebruikt over een openbaar of door derden beheerd netwerk.
SNMP-versie 1 wordt tegenwoordig niet echt meer gebruikt, omdat het geen 64-bits tellers ondersteunt en als een verouderd protocol wordt beschouwd.
Om SNMPv1- of SNMPv2-traps te accepteren, moet u de volgende regel aan snmptrapd.conf
toevoegen. Vervang "secret" door de SNMP-communitystring die is geconfigureerd op SNMP-trapverzenders:
Vervolgens kunnen we een testtrap verzenden met behulp van snmptrap
. We zullen in dit voorbeeld de veelvoorkomende "link up" OID gebruiken:
SNMPv3 adresseert beveiligingsproblemen in SNMPv1/v2 en biedt authenticatie en versleuteling. U kunt de MD5- of meerdere SHA-authenticatiemethoden en DES/meerdere AES als cipher gebruiken.
Voeg de volgende regels toe aan snmptrapd.conf
om SNMPv3 te activeren:
Let op het trefwoord "execute" dat toestaat om scripts uit te voeren voor dit gebruikersbeveiligingsmodel.
snmptrap -v 3 -n "" -a SHA -A mypassword -x AES -X mypassword -l authPriv -u traptest -e 0x8000000001020304 localhost 0 linkUp.0
Als u sterke versleutelingsmethoden zoals AES192 of AES256 wilt gebruiken, gebruik dan net-snmp vanaf versie 5.8. U moet het mogelijk opnieuw compileren met de configure
optie: --enable-blumenthal-aes
. Oudere versies van net-snmp ondersteunen geen AES192/AES256. Zie ook: http://www.net-snmp.org/wiki/index.php/Strong_Authentication_or_Encryption
In beide voorbeelden ziet u vergelijkbare regels in uw /var/lib/zabbix/snmptraps/snmptraps.log
:
20220805.102235 ZBXTRAP 127.0.0.1
UDP: [127.0.0.1]:35736->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 0:0:00:00.00
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0
De itemwaarde in Zabbix zal zijn:
2022-08-05 10:22:35 2022-08-05 10:22:33
20220805.102233 UDP: [127.0.0.1]:35736->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 0:0:00:00.00
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0