NetXMS Support Forum

Добрый день.
есть сообщения

"11.08.2013 19:59:55","MGD-3500-24-19","SNMP_UNMATCHED_TRAP","Normal","SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.58.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.3362 == 'W 08/12/13 12:30:12 03362 auth: User 'admin' login from 172.16.46.120')"
"11.08.2013 20:00:05","MGD-3500-24-19","SNMP_UNMATCHED_TRAP","Normal","SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.58.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.179 == 'I 08/12/13 12:30:22 00179 mgr: SME SSH from 172.16.46.120 - OPERATOR Mode')"
"11.08.2013 20:00:09","MGD-3500-24-19","SNMP_UNMATCHED_TRAP","Normal","SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.58.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.179 == 'I 08/12/13 12:30:26 00179 mgr: SME SSH from 172.16.46.120 - MANAGER Mode')"
"11.08.2013 20:01:34","MGD-3500-24-19","SNMP_UNMATCHED_TRAP","Normal","SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.58.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.3125 == 'I 08/12/13 12:31:51 03125 mgr: Startup configuration changed by CLI.  New seq.
            number 35')"

Создаю Event Configuration строку типа c именем  "SNMP_Change""

в SNTP trap configuration добовляю новый параметр
trap OID .1.3.6.1.4.1.11.2.3.7.11.58.0.2
добовляю параметр .1.3.6.1.2.1.16.9.1.1.2.3125

но всеравно срабатывает на каждый трап а не на последний подскажите как исправить..

Сделал отсылку SMTP trap
приходит trap
22.08.2013 06:54:07   HP2610-48-15   SNMP_UNMATCHED_TRAP   Normal   SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.77.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.435 == 'I 08/22/13 23:24:09 ports: port 30 is Blocked by STP')
или
22.08.2013 17:26:18   HP2610-48-15   SNMP_UNMATCHED_TRAP   Normal   SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.77.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.854 == 'W 08/23/13 09:56:20 dhcp-snoop: backplane: Unauthorized server 172.16.16.16 detected on port 50')

.1.3.6.1.4.1.11.2.3.7.11.58.0.2  - означает модель коммутатора в данном случае HP2610-48(J9088A)
дальше идут параметры...
например
Parameters: .1.3.6.1.2.1.16.9.1.1.2.854 что отработал dhcp-snoop
[1.3.6.1.2.1.16.9.1.1.2.854] = %s: Unauthorized server %u.%u.%u.%u detected on port %s
Parameters: .1.3.6.1.2.1.16.9.1.1.2.435 что на порту отработал STP.
[1.3.6.1.2.1.16.9.1.1.2.435] = port %s is Blocked by %s

Вопрос как можно сделать в Event что бы отрабатывал на нужный трап ??

Добрый день

смотрю Wireshark приходит пакет

data: trap (4)
trap
enterprise: 1.3.6.1.4.1.11.2.3.7.11.79 (iso.3.6.1.4.1.11.2.3.7.11.79)
agent-addr: 172.19.47.134 (172.19.47.134)
generic-trap: enterpriseSpecific (6)
specific-trap: 2
time-stamp: 2316374635
variable-bindings: 1 item
1.3.6.1.2.1.16.9.1.1.2.418: 572030392f31312f31332031303a35383a35392061757468...
Object Name: 1.3.6.1.2.1.16.9.1.1.2.418 (iso.3.6.1.2.1.16.9.1.1.2.418)
Value (OctetString): 572030392f31312f31332031303a35383a35392061757468...

в событиях
11.09.2013 16:52:00   hp2610-48PWR-01   Normal   SNMP_UNMATCHED_TRAP   SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.79.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.418 == 'W 09/11/13 16:52:00 auth: Invalid user name/password on SSH session')

если прописываю в SNmp traps configuration
Trap oid .1.3.6.1.4.1.11.2.3.7.11.79
в параметре добавляю
by object id (OID)
.1.3.6.1.2.1.16.9.1.1.2.418
указываю event событие..
все равно отрыбатывает для всех trap приходящих с устройства. 
не как не могу победить ...
и еще вопрос кто ни будь знает почему в Monitor SNMP traps вообще нечего не отображается ??

1 Создаем событие в Event Configuration и присваиваем ему имя


2 Создаем в SNMP Trap Configuration
В Trap OID вносим значение которое с которого устройства приходит трап.


Например, если в event видим
В событиях

^{11.09.2013 16:52:00   hp2610-48PWR-01   Normal   SNMP_UNMATCHED_TRAP   SNMP trap received: .1.3.6.1.4.1.11.2.3.7.11.79.0.2 (Parameters: .1.3.6.1.2.1.16.9.1.1.2.418 == 'W 09/11/13 16:52:00 auth: Invalid user name/password on SSH session')}
Или Wireshark
^{data: trap (4)
trap
enterprise: 1.3.6.1.4.1.11.2.3.7.11.79 (iso.3.6.1.4.1.11.2.3.7.11.79)
agent-addr: 172.19.47.134 (172.19.47.134)
generic-trap: enterpriseSpecific (6)
specific-trap: 2
time-stamp: 2316374635
variable-bindings: 1 item
1.3.6.1.2.1.16.9.1.1.2.418: 572030392f31312f31332031303a35383a35392061757468...
Object Name: 1.3.6.1.2.1.16.9.1.1.2.418 (iso.3.6.1.2.1.16.9.1.1.2.418)
Value (OctetString): 572030392f31312f31332031303a35383a35392061757468...}

В Trap OID вносим значение .1.3.6.1.4.1.11.2.3.7.11.79
Так же это значение можно посмотреть в свойствах объекта


Далее Выбираем к какому событию будут передаваться параметры. Например SNMP_trap_HP.


Далее в Параметрах добавляем параметр, который будет передаваться в Event.
Можно передавать как позицию в трапе, так и отбор конкретного OID. Если передаем конкретный OID например
.1.3.6.1.2.1.16.9.1.1.2.418 = STRING:
.1.3.6.1.2.1.16.9.1.1.2.419 = STRING: Invalid user name/password on %s session
(Эти значения можно посмотреть например в описании snmp output oid hp procurve)
И Его не будет в Trap значение параметра Event Будет пустым.

Таким образом создав

Мы получим что при прохождении SNMP Trap от устройств hp2610-48 мы получим Event c параметрами
$1   Name node
$2   Значение равное параметру трапа  позиция №1
$3   Значение равное параметру трапа  позиция №2
$4   Значение равное  параметру трапа содержащий OID .1.3.6.1.2.1.16.9.1.1.2.418
$5   Значение равное параметру трапа  позиция №3

В Event processing Policy.
Создаем политику для события SNMP_Trap HP


Как создать Фильтр Если праметр 4 Eventa не пустой, т.е. если в trap есть OID .1.3.6.1.2.1.16.9.1.1.2.418

Решил


получается
когда приходят SNMP Trap, в которых есть OID .1.3.6.1.2.1.16.9.1.1.2.418 или OID .1.3.6.1.2.1.16.9.1.1.2.419
заносятся в праметры event 6 и 7
и далее мы просто смотрим не пустые ли они.
придумал как то так.. 

Я бы посоветовал проверку на пусто/не пусто делать как

($6 != "") || ($7 != "")

иначе она не сработает если параметр будет, но не числовой.