Sie sind hier

HPE IMC Syslog to Alarm Konfiguration

In diesem Beitrag möchte ich demonstrieren, welche Schritte notwendig sind, um eine Syslog Meldung als Alarm darzustellen und ggf. als Email weiterzuleiten.

 

In unserem Versuchsaufbau verwenden wir IMC in der Version Plat 7.2 (E0403P10). Die Aufgabenstellung in unserem Test soll darin bestehen wichtige, hardwarerelevante Meldungen auf HPE Aruba OS Switches (ehemals Procurve / Provision) als Alarm auszugeben. Wir wollen dazu ein Regelwerk erstellen, welches u.a. folgende Syslog Meldungen erkennt:

Ausfall eines Netzteils in einem modularen Switch:

W 11/26/05 07:09:29 00071 chassis: Power Supply failure: Supply: 1, Failures: 1

Überhitzung eines Switches:

W 07/20/10 00:04:35 00553 chassis: Over Temperature: Chassis Intake Air

Defekter SFP:

W 02/07/90 00:20:26 chassis: Port 50 Selftest Failure

Crash oder Neustart eines Moduls:

W 11/05/05 13:49:09 00274 chassis: Slot D Data Bus Error: Addr=0x704a6130
Data=0x00000013 flags=0x10000751, IP=0x4012dae0 Task='mEaseUpdt'

W 11/05/05 10:06:51 00274 chassis: (7F) Slot B: Blade Crash detected - Available

In der IMC Grundkonfiguration werden die Syslog-Meldungen zwar angenommen, aber es gibt keine standardmäßige Weiterleitung in den Alarmierungsprozess. Wie diese erstellt wird, zeige ich in nachfolgender Anleitung. 

Zunächst muss ein Syslog Template erstellt werden. In diesem Template sind die Suchkriterien definiert, mit denen die Syslog Meldungen untersucht werden sollen.Wir wollen alle Meldungen nach dem Schlüsselwort "chassis" untersuchen. Dieser Suchbegriff hat sich bei Aruba Switches bewährt.

 

Alarm | Syslog Management | Syslog Template:

 

Neuerdings kann man auch mit Hilfe der "Test"-Funktion die Wirksamkeit des Templates überprüfen. Man kann dazu eine Syslog-Meldung als Text eingeben und IMC gibt die passenden Templates aus:

 

Anschließen kann die "Syslog to Alarm"-Regel erstellt werden. Hier wird definiert von welchen Geräten (Custom Views) in welchen Zeitabständen Syslog Meldungen als Alarm weitergeleitet werden sollen. In unserem Fall wollen wir vom Device View "Core" Switches jede Meldung innerhalb von 10 Sekunden als Alarm darstellen:

Alarm | Syslog Management | Syslog to Alarm:

Um zu Verhindern, dass der IMC "Syslog to Alarm"-Meldungen ungefragt filtert, sollte man noch eine Einstellungen in der Filter Konfiguration vornehmen. Hier lassen sich dediziert "Syslog to Alarm" Meldungen vom Filter ausklammern:

 

Alarm |  Trap Management | Filtering Trap:

 

Nun müssen noch die Switches passend konfiguriert werden. Wir legen dazu einen Syslog Server auf unserem Testsystem wie folgt an:

HP5406(config)# logging 192.168.2.63

 

Nun ist es an der Zeit unsere Konfiguration einemal zu testen. Wir lösen dazu eine Syslog Meldung auf unserem 5406 Switch aus, in dem wir das Modul in Slot F neu starten:

HP5406# deb dest sess
HP5406# deb event
HP5406# reload module F
The 'reload module' command will shut down the specified modules and
ports on those modules will not send or receive packets while the
module is down.  Any management traffic for the switch passing through
the affected modules will be interrupted, including SSH, TELNET, and
SNMP.  It may take up to 2 minutes to completely reload the modules.
During that time, you can monitor progress by viewing the event log.
Continue (y/n)? y
I 11/15/16 08:22:09 02762 chassis: Request for "reload module F".
HP5406#

 

Relativ zeitnah wird nun auch der Alarm angezeigt:

 

 

Nutzungsbedinungen

Die Nutzung, Vervielfältigung und Verbreitung dieser Publikation und von verbundenen Grafiken wird hiermit unter der Bedingung gestattet, dass der Urheberrechtshinweis auf allen Kopien erscheint und dass sowohl der Urheberrechtshinweis als auch dieser Zustimmungshinweis erscheinen. Alle sonstigen Rechte bleiben vorbehalten. Der Name der Ingentive Networks GmbH darf im Zusammenhang mit der Verbreitung dieser Publikation durch Werbung oder sonstige Veröffentlichung, nur mit ausdrücklicher vorheriger schriftlicher Zustimmung verwendet werden. Ingentive Networks GmbH übernimmt keine Gewähr für die Verwendbarkeit dieser Information zu irgendwelchen Zwecken. Diese Publikation wird so wie hier bestehend zugänglich gemacht, ohne jegliche Gewähr oder sonstige Verpflichtung. Jegliche Gewährleistung im Zusammenhang mit dieser Information und deren Verwendung, ausdrücklich oder stillschweigend, gesetzlich oder aus sonstigem Rechtsgrund (einschließlich der Gewährleistung für bestimmte Eigenschaften oder der Verwendbarkeit für einen bestimmten Zweck) ist ausgeschlossen. Ingentive Networks GmbH haftet nicht für Bearbeitungsfehler oder Nutzungsausfall, entgangenen Gewinn oder erwartete ersparte Aufwendungen, Verlust des Firmenwerts (goodwill) oder Verlust von Daten oder Verträgen sowie für jegliche Art von indirekten Vermögens- oder Folgeschäden (einschließlich Schäden aufgrund von Ansprüchen Dritter), welche im Zusammenhang mit der Verwendung dieser Publikation entstehen. Die Nutzung dieser Publikation ist unter den Bedingungen erlaubt, dass (1) der unten angeführte CopyrightVermerk auf allen Kopien erscheint, und dass der Copyright-Vermerk und dieser Genehmigungsvermerk erscheinen, (2) die Dokumente dieser Web-Site nur zu informatorischen, nichtkommerziellen oder privaten Zwecken genutzt und nicht über Computernetze oder sonstigen Medien veröffentlicht werden, und (3) die Dokumente nicht verändert werden. Die Nutzung zu anderen Zwecken erfordert eine explizite Genehmigung seitens Ingentive Networks GmbH Diese Publikation kann technische Ungenauigkeiten oder typographische Fehler enthalten. Die darin enthaltenen Informationen werden regelmäßig verändert oder ergänzt. Die Ingentive Networks GmbH behält sich vor, jederzeit Änderungen und/oder Verbesserungen an einem oder mehreren der darin beschriebenen Produkte und/oder einem oder mehreren der Programme vorzunehmen. „HP“, „Procurve“ und „Ingentive Networks“ sind eingetragene Warenzeichen.