3 Capturador SNMP

Descripción general

Recibir capturas SNMP es lo opuesto a consultar dispositivos habilitados para SNMP.

En este caso, la información se envía desde un dispositivo habilitado para SNMP y se recoge o "captura" por Zabbix.

Por lo general, las capturas se envían ante algún cambio de condición y el agente se conecta al servidor en el puerto 162 (a diferencia del puerto 161 en el lado del agente que se utiliza para consultas). El uso de capturas puede detectar algunos problemas cortos que ocurren durante el intervalo de consulta y pueden ser pasados por alto por los datos de consulta.

La recepción de capturas SNMP en Zabbix está diseñada para funcionar con snmptrapd y uno de los mecanismos para pasar las capturas a Zabbix - ya sea un script Bash o Perl o SNMPTT.

El flujo de trabajo de recibir una captura:

1. snmptrapd recibe una captura
2. snmptrapd pasa la captura al script del receptor (Bash, Perl) o SNMPTT
3. El receptor analiza, formatea y escribe la captura en un archivo
4. El capturador SNMP de Zabbix lee y analiza el archivo de captura
5. Para cada captura, Zabbix encuentra todos los elementos del "capturador SNMP" con los interfaces del equipo que coinciden con la dirección de captura recibida. Tenga en cuenta que sólo la "IP" o "DNS" seleccionada en la interfaz del equipo se utiliza durante la comprobación.
6. Para cada métrica encontrada, la captura se compara con la expresión regular en snmptrap[expresión regular]. La captura se establece como el valor de todas las métricas coincidentes. Si no se encuentra ninguna métrica coincidente y hay una métrica snmptrap.fallback, la captura se establece como el valor de esa.
7. Si la captura no se estableció como el valor de ninguna métrica, Zabbix de forma predeterminada registra la captura no coincidente. (Esto se configura mediante "Registrar capturas SNMP no coincidentes" en Administración → General → Otros.)

Notes on HA failover

During high-availability (HA) node switch, Zabbix will continue processing after the last record within the last ISO 8601 timestamp; if the same record is not found then only the timestamp will be used to identify last position.

Configuración de capturas SNMP

Configurar en la interfaz los siguientes campos específicos para este tipo de métrica:

• Su equipo debe tener una interfaz SNMP

En Recopilación de datos → Equipos, en el campo Interfaz de equipo establezca una interfaz SNMP con la dirección IP o DNS correcta. La dirección de cada captura recibida se compara con las direcciones IP y DNS de todos los interfaces SNMP para encontrar los equipos correspondientes.

• Configurar la métrica

En el campo Clave utilice una de las claves de captura SNMP:

Establezca el Tipo de información en 'Registro' para que se analicen las marcas de tiempo. Tenga en cuenta que también se aceptan otros formatos como "Numérico" pero puede requerir un controlador de capturas personalizado.

1 Configuración de la supervisión de trampas SNMP

Configuración del servidor/proxy Zabbix

Para leer las capturas, el servidor Zabbix o el proxy deben estar configurados para iniciar el proceso de captura SNMP y apuntar al archivo de captura que se está escribiendo por SNMPTT o un receptor de captura Bash/Perl. Para hacer eso, edite el archivo de configuración (zabbix_server.conf o zabbix_proxy.conf):

StartSNMPTrapper=1
       SNMPTrapperFile=[TRAP FILE]

Configuración del receptor de capturas Bash

Requisitos: sólo snmptrapd.

Un receptor de capturas Bash [script] (https://raw.githubusercontent.com/zabbix/zabbix-docker/6.4/Dockerfiles/snmptraps/alpine/conf/usr/sbin/zabbix_trap_handler.sh) se puede utilizar para pasar capturas al servidor Zabbix directamente desde snmptrapd. Para configurarlo, agregue la opción traphandle al archivo de configuración de snmptrapd (snmptrapd.conf), consulte el [ejemplo] (https://raw.githubusercontent.com/zabbix/zabbix-docker/6.4/Dockerfiles/snmptraps/alpine/conf/etc/snmp/snmptrapd.conf).

Configuración de SNMPTT

Al principio, snmptrapd debe configurarse para utilizar SNMPTT.

Cuando SNMPTT esté configurado para recibir las capturas, configure snmptt.ini:

1. habilite el uso del módulo Perl del paquete NET-SNMP:

net_snmp_perl_enable = 1

2. registre las capturas en el archivo de capturas que Zabbix leerá:

log_enable = 1
       log_file = [ARCHIVO CAPTURA]

3. establezca el formato de fecha y hora:

date_time_format = %H:%M:%S %Y/%m/%d

Ahora formatee las capturas para que Zabbix las reconozca (edite snmptt.conf):

1. Cada instrucción FORMAT debe comenzar con "ZBXTRAP [dirección]", donde [dirección] se comparará con las direcciones IP y DNS de los interfaces SNMP en Zabbix. P.ej.:

EVENT coldStart .1.3.6.1.6.3.1.1.5.1 "Status Events" Normal
       FORMAT ZBXTRAP $aA Device reinitialized (coldStart)

2. Vea más sobre el formato de captura SNMP a continuación.

EVENT general .* "General event" Normal

Configuración del receptor de capturas de Perl

Requisitos: Perl, Net-SNMP compilado con --enable-embedded-perl (hecho por defecto desde Net-SNMP 5.4)

Un receptor de capturas Perl (busque misc/snmptrap/zabbix_trap_receiver.pl) se puede utilizar para pasar capturas al servidor Zabbix directamente desde snmptrapd. Para configurarlo:

• agregue el script Perl al archivo de configuración snmptrapd (snmptrapd.conf), por ejemplo:

perl do "[FULL PATH TO PERL RECEIVER SCRIPT]";

• configurar el receptor, por ejemplo:

$SNMPTrapperFile = '[TRAP FILE]';
       $DateTimeFormat = '[DATE TIME FORMAT]';

Los modificadores de expresiones regulares "/l" y "/a" son mutuamente excluyentes en (eval 2) línea 1, al final de la línea
       El modificador Regexp "/l" no puede aparecer dos veces en (eval 2) línea 1, al final de la línea

Formato de captura SNMP

Todos los receptores de capturas Perl personalizados y la configuración de capturas SNMPTT deben formatear la captura de la siguiente manera:

[timestamp] [the trap, part 1] ZBXTRAP [address] [the trap, part 2]

dónde

• [timestamp] - la marca de tiempo utilizada para los elementos del registro
• ZBXTRAP - encabezado que indica que una nueva captura comienza en esta línea
• [dirección] - Dirección IP utilizada para encontrar el equipo para esta captura

Tenga en cuenta que "ZBXTRAP" y "[dirección]" se eliminarán del mensaje. durante el procesamiento. Si la captura tiene otro formato, Zabbix podría analizar las capturas de forma no esperada.

Captura de ejemplo:

11:30:15 2011/07/27 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events" localhost - ZBXTRAP 192.168.1.1 Link down on interface 2. Admin state: 1. Operational state: 2

Esto dará como resultado la siguiente captura para la interfaz SNMP con IP=192.168.1.1:

11:30:15 2011/07/27 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events"localhost - Link down on interface 2. Admin state: 1. Operational state: 2

2 Requisitos del sistema

Compatibilidad con archivos grandes

Zabbix tiene "soporte de archivos grandes" para archivos de captura SNMP. El tamaño máximo de archivo que Zabbix puede leer es 2^63 (8 EiB). Tenga en cuenta que el sistema de archivos puede imponer un límite inferior en el tamaño del archivo.

Rotación de registros

Zabbix no proporciona ningún sistema de rotación de registros; eso debe manejarse por el usuario La rotación de registros primero debe cambiar el nombre del archivo antiguo y solo luego elimínelo para que no se pierdan trampas:

1. Zabbix abre el archivo de captura en la última ubicación conocida y va a paso 3
2. Zabbix verifica si el archivo actualmente abierto ha sido rotado por comparando el número de inodo con el número de inodo del archivo trap definido. Si no hay ningún archivo abierto, Zabbix restablece la última ubicación y va al paso 1.
3. Zabbix lee los datos del archivo abierto actualmente y establece el nueva ubicacion.
4. Los nuevos datos se analizan. Si este fue el archivo girado, el archivo es cierra y vuelve al paso 2.
5. Si no hubo datos nuevos, Zabbix duerme durante 1 segundo y vuelve al paso 2.

Sistema de archivos

Debido a la implementación del archivo trampa, Zabbix necesita que el sistema de archivos soportar inodos para diferenciar archivos (la información es adquirida por un llamada stat()).

Ejemplos de configuración utilizando diferentes versiones del protocolo SNMP

Este ejemplo utiliza snmptrapd y un script receptor Bash para pasar capturas al servidor Zabbix.

Configuración:

1. Configure Zabbix para iniciar el Capturador SNMP y configure el archivo de captura. Agregar a zabbix_server.conf:

StartSNMPTrapper=1
       SNMPTrapperFile=/tmp/my_zabbix_traps.tmp

2. Descargue el script Bash en /usr/sbin/zabbix_trap_handler.sh:

curl -o /usr/sbin/zabbix_trap_handler.sh https://raw.githubusercontent.com/zabbix/zabbix-docker/6.4/Dockerfiles/snmptraps/alpine/conf/usr/sbin/zabbix_trap_handler.sh

Si es necesario, ajuste la variable ZABBIX_TRAPS_FILE en el script. Para utilizar el valor predeterminado, cree el directorio principal primero:

mkdir -p /var/lib/zabbix/snmptraps

3. Agregue lo siguiente a snmtrapd.conf (consulte el ejemplo de trabajo)

traphandle default /bin/bash /usr/sbin/zabbix_trap_handler.sh

4. Cree una métrica SNMP TEST:
   

   IP de la interfaz SNMP del equipo: 127.0.0.1
   Clave: snmptrap["linkup"]
   Formato de hora de registro: yyyyMMdd.hhmmss

5. A continuación configuraremos snmptrapd para la versión del protocolo SNMP elegida y enviaremos capturas de prueba utilizando la utilidad snmptrap.

SNMPv1, SNMPv2

Los protocolos SNMPv1 y SNMPv2 se basan en la autenticación de "cadena comunitaria". En el siguiente ejemplo usaremos "secret" como cadena de comunidad. Debe establecerse en el mismo valor en los remitentes de capturas SNMP.

Tenga en cuenta que, si bien todavía se utiliza ampliamente en entornos de producción, SNMPv2 no ofrece ningún cifrado ni autenticación de remitente real. Los datos se envían como texto plano y por lo tanto estas versiones de protocolo solo deben usarse en entornos seguros, como redes privadas, y nunca debe utilizarse en ninguna red pública o de terceros.

La versión 1 de SNMP no se utiliza actualmente porque no admite contadores de 64 bits y se considera un protocolo obsoleto.

Para habilitar la aceptación de capturas SNMPv1 o SNMPv2, debe agregar la siguiente línea a snmptrapd.conf. Reemplace "secret" con la cadena de comunidad SNMP configurada en los remitentes de capturas SNMP:

authCommunity log,execute,net secret

A continuación podemos enviar una captura de prueba usando snmptrap. Usaremos el OID de "enlace" común en este ejemplo:

snmptrap -v 2c -c secret localhost 0 linkUp.0

SNMPv3

SNMPv3 aborda los problemas de seguridad de SNMPv1/v2 y proporciona autenticación y cifrado. Puede utilizar MD5 o varios métodos de autenticación SHA y DES/varios AES como cifrado.

Para habilitar la aceptación de SNMPv3, agregue las siguientes líneas a snmptrapd.conf:

createUser -e 0x8000000001020304 traptest SHA mypassword AES
       authuser log,execute traptest

snmptrap -v 3 -n "" -a SHA -A mypassword -x AES -X mypassword -l authPriv -u traptest -e 0x8000000001020304 localhost 0 linkUp.0

Verificación

En ambos ejemplos verá líneas similares en su /var/lib/zabbix/snmptraps/snmptraps.log:

20220805.102235 ZBXTRAP 127.0.0.1
       UDP: [127.0.0.1]:35736->[127.0.0.1]:162
       DISMAN-EVENT-MIB::sysUpTimeInstance = 0:0:00:00.00
       SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

El valor de la métrica en Zabbix será:

2022-08-05 10:22:35 2022-08-05 10:22:33
       
       20220805.102233 UDP: [127.0.0.1]:35736->[127.0.0.1]:162
       DISMAN-EVENT-MIB::sysUpTimeInstance = 0:0:00:00.00
       SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

Ver también

• Artículo del blog de Zabbix sobre capturas SNMP
• Configuración de snmptrapd (documentación oficial de net-snmp)
• Configuración de snmptrapd para recibir notificaciones SNMPv3 (documentación oficial de net-snmp)