业软“祺”谈
告警的生成
iMC&U-Center
运筹帷幄四方,掌管机房八百
叮~紧急告警,锅从天降
遂,召集四方,协作灭火
事了拂袖去,深藏功与名
告警,乃运维人“甩锅”之大计,故欲了解告警生成之奥妙,且听在下娓娓道来~
01 告警的生成
# 轮询告警
iMC&U-Center支持对已纳管设备主动轮询,根据设备状态产生对应告警。只需纳管时SNMP参数配置正确即可。
# Trap升级告警
接收设备上报的trap,从而产生告警,具备实时性。
# Syslog升级告警
接收设备上报的syslog,从而产生告警,具备实时性,且覆盖全面。
02 Trap升级成告警
设备通过SNMP协议实时上报trap,由iMC&U-Center网管平台判断是否升级成告警,判断流程如下:
Ø 平台接收到Trap后首先判断本地是否存在定义
Ø 是否匹配过滤规则
Ø 是否启用升级告警规则
Ø 发送trap设备是否被正常纳管
设备上报Trap
设备启用Trap上报功能后,可通过SNMP V1、V2或V3版本,将Trap进行上报至iMC&U-Center网管平台。
设备启用Trap配置,本例以H3C S3600为例,IP地址根据实际修改:
<S3600V2-28TP-EI>system
[S3600V2-28TP-EI]snmp-agent
[S3600V2-28TP-EI]snmp-agent community read public
[S3600V2-28TP-EI]snmp-agent community write private
[S3600V2-28TP-EI]snmp-agent sys-info version v1 v2c
[S3600V2-28TP-EI]snmp-agent target-host trap address udp-domain 192.168.113.113 params securityname public v2c
iMC网管平台Trap定义
设备上报Trap的SNMP报文中会包含Trap OID信息以及每个Trap中定义的参数。
iMC&U-Center平台预定义一部分Trap信息,根据设备上报的Trap OID进行匹配,匹配后根据Trap携带的参数进行内容填充,从而得到一条可理解可阅读的Trap信息。
<-点击图片可以查看放大原图->
Trap定义可手动逐条增加,或通过导入mib的方式批量增加。
设备厂商会将Trap内容编译为mib格式的文件供网管软件使用,iMC&U-Center支持导入mib文件的方式提取设备方所有的Trap定义。
<-点击图片可以查看放大原图->
iMC&U-Center接收到的Trap信息可统一在“浏览Trap”中查看。
升级告警规则
iMC&U-Center接收到设备上送的Trap后,会进行升级告警规则的匹配,若存在已启用的升级告警规则,则可正常升级为告警。
升级告警规则可手动进行定义,定义规则可包含四个角度:
Ø 关键字匹配:根据Trap中是否包含关键字匹配确认是否升级告警。
Ø Trap源设置:根据Trap上送的设备IP进行匹配确认是否升级告警。
Ø Trap类型设置:根据上送的Trap OID进行匹配确认是否升级告警。
Ø 时间范围设置:根据Trap上送的时间进行匹配确认是否升级告警。
以上可同时勾选,则为与的关系。
<-点击图片可以查看放大原图->
告警查看
告警浏览中即可查看告警信息,支持从不同角度展示当前平台所产生的所有告警内容。
Ø 实时告警:仅展示当前未恢复的告警。
Ø 全部告警:展示iMC&U-Center产生的所有告警。
目前iMC&U-Center前台页面展示告警信息最多展示10万条,10万条以前的告警内容可通过高级查询调整查询的时间范围进行查看。
<-点击图片可以查看放大原图->
03 Syslog升级成告警
iMC&U-Center亦可接受设备上报的syslog并升级成告警,流程如下:
Ø 设备上报syslog
Ø iMC&U-Center平台配置解析模板库用于解析syslog内容及升级告警
Ø 未被过滤且匹配升级告警规则
Ø 设备有被纳管
解析模板库定义
解析模板是用于提取Syslog日志内容的匹配文本。创建升级告警规则时,则是基于选择对应的解析模板进行匹配。故Syslog升级为告警时,设备上送的Syslog首先需要匹配上解析模板,才能匹配对应的升级告警规则。
在进行解析模板创建时,模板内容支持关键字匹配以及正则表达式匹配
Ø 正则表达式匹配:需要对Syslog内容进行正则表达式撰写,模板内容的匹配文本中带有的参数要以正则表达式的组“()”来定义,并需要为参数自定义参数名称。
Ø 关键字匹配:即从syslog日志内容中提取一部分内容作为解析模板的关键字,当设备上送的syslog中包含这部分关键字即可匹配该解析模板。模板内容填写时,可不带参数,以固定的关键字进行输入;同时模板内容也支持匹配文本中带有参数,参数的形式:$(参数名称)。
<-点击图片可以查看放大原图->
Syslog升级告警规则定义
Syslog升级告警规则即将升级告警的解析模板以及恢复告警的解析模板进行关联,即当接收到产生告警的Syslog时,满足升级告警规则,则可正常产生告警,后再次接收到恢复告警的Syslog时,即可将原告警内容进行自动恢复。
Ø 升级告警规则:
Syslog分类:即表示该规则内可升级告警的Syslog分类
Syslog级别:即表示该规则内可升级告警的Syslog级别,全选即代表所有级别的Syslog都可通过该规则升级告警
统计方式:统计Syslog重复次数的方式,全网统计即代表对已纳管的所有设备同一Syslog重复次数统计,满足则告警,单设备统计即按设备IP分别统计
Syslog重复间隔/重复次数:即在设置的时间间隔内收到超过次数的同条Syslog内容满足升级告警规则
解析模板:匹配该解析模板的Syslog可升级成告警
以上为升级成告警的判断条件,为与关系,则需同时满足,满足后可升级成告警。
以下为升级成告警的内容和级别设置。
告警级别:生成告警的告警级别
告警描述:即为告警中显示的告警内容。默认为"%Syslog%",表示整条Syslog的内容;告警描述支持输入参数,但参数必须是告警生成规则中解析模板所包含参数。
<-点击图片可以查看放大原图->
勾选恢复告警规则,需关联用于恢复升级告警的解析模板,关联后,接收到匹配恢复告警的解析模板后,即将该Syslog升级成通知级别的告警,与此同时,会将升级的告警进行自动恢复。
Ø 告警恢复规则:
Syslog分类:即表示该规则内可升级告警的Syslog分类
Syslog级别:即表示该规则内可升级告警的Syslog级别
解析模板:关联恢复该告警的Syslog解析模板
告警描述:显示该告警的告警内容
<-点击图片可以查看放大原图->
需升级告警的Syslog:
<189>Oct 30 13:00:57 2020 LYB_XW5883 %%10BFD/5/BFD_CHANGE_FSM: -DevIP=192.168.113.23; Sess[192.168.1.3/192.168.1.8, LD/RD:3088/95, Interface:GE2/1/0.202, SessType:Ctrl, LinkType:INET], Ver:1, Sta: UP->DOWN, Diag: 1
恢复该告警的Syslog:
<189>Oct 30 13:00:57 2020 LYB_XW5883 %%10BFD/5/BFD_CHANGE_FSM: -DevIP=192.168.113.23; Sess[192.168.1.3/192.168.1.8, LD/RD:3088/95, Interface:GE2/1/0.202, SessType:Ctrl, LinkType:INET], Ver:1, Sta: DOWN->UP, Diag: 1
Syslog解析模板创建
提取Syslog中参数内容,以$(参数名称)方式进行参数部分替换,比如,本例提取DevIP及Interface作为参数内容,分别以$(ip)及$(interface)进行替换,其余变量内容可以符号*进行替换,即代表匹配任意值;若存在固定不变内容,全复制即可。
BFD状态变为DOWN的syslog解析模板内容定义如下:
DevIP=$(ip); Sess[*, *, Interface:$(interface), *, *], Ver:1, Sta: UP->DOWN, Diag: 1
<-点击图片可以查看放大原图->
BFD状态由DOWN恢复为UP的Syslog内容进行解析模板创建。
DOWN恢复为UP的Syslog解析模板内容定义如下:
DevIP=$(ip); Sess[*, *, Interface:$(interface), *, *], Ver:1, Sta: UP->DOWN, Diag: 1
<-点击图片可以查看放大原图->
Syslog升级告警规则创建
创建Syslog升级告警规则时,主要分为两大部分内容填写,升级告警的规则以及恢复告警的规则。
Ø 升级告警规则:
告警描述:本例告警内容包含解析模板中设置的两个变量参数,故将告警内容定义为:BFD状态变化,设备$(ip)的接口$(interface)状态变为DOWN。
<-点击图片可以查看放大原图->
Ø 恢复告警规则:
选择恢复告警的解析模板信息,并将告警内容格式和升级告警的告警描述内容保持一致。
告警内容定义为:BFD状态变化,设备$(ip)的接口$(interface)状态变为UP。
<-点击图片可以查看放大原图->
告警查看
设备上报Syslog后,皆可在浏览Syslog中查看到设备上报的Syslog原文信息,在浏览Trap及全部告警中可查看到升级成告警内容。
<-点击图片可以查看放大原图->
以上为本期全部内容,让我们一起呐喊三连
我们的目标是
我们的理想是
我们的任务是
预知后事如何
且听下回分解
想了解更多业软产品相关内容,可访问下方链接
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Management/
