Filtrar información de registro recibida por su servidor syslog

Pubilicado 2019-1-10 15:29:36 41 0 0 0

¿Tiene problemas para monitorear su red de Huawei debido a la gran cantidad de traps que recibe de cada dispositivo? En este caso usted debe estar buscando una manera de filtrar los datos críticos de los mensajes informativos y tengo la solución perfecta para usted!

Todos sabemos que la mejor manera de evitar o corregir fallos en la red es manteniendo todos los dispositivos bajo constante observación y monitoreo. Hay muchos enfoques a esto dependiendo del tamaño de la red. Para una red  pequeña o mediana puede ser suficiente para enviar la información de logbuffer a un servidor syslog y verificarla periódicamente, pero en caso de una red grande ese método podría resultar ineficiente y consume mucho tiempo. Un enfoque más eficiente es utilizar el software del NMS (Network Monitoring System). Debido a que este tipo de software es bastante complejo, ofrece los medios para filtrar las alarmas que recibe de sus dispositivos y sólo muestra los relevantes. En un caso particular, nuestro propio producto, eSight, ofrece este tipo de servicio a través de la función Alarm Masking. Debido a esto, en las siguientes líneas presentaré un medio para filtrar alarmas cuando sólo desee utilizar un servidor syslog para monitorear su red.

Dejar que considere la siguiente topología:

                                              052819onffhi8oevifgtz8.png

 

Como se puede ver en el esquema de red anterior, se ha implementado un servidor Syslog en el Área 1. Este servidor contiene información de logbuffer recibida de todos los dispositivos de su red y puede ser difícil comprobar el estado de funcionamiento de cada dispositivo debido al gran número de trampas recibidas de cada uno.

Para hacer las cosas aún peor, R2 se ha vuelto defectuoso y debido a una interfaz de problema de hardware GE0/0 / 0 sigue cambiando entre estados UP/DOWN. Debido a que esta es una red OSPF, cualquier cambio de estado de la interfaz se traduce en un montón de paquetes OSPF enviados a pares y muchos nuevos cálculos de SPT en el lado Peer. Como esto es ahora un problema de conocimiento y una operación de Swap ha sido programada para reemplazar el router R2 OSPF defectuoso ya no estoy interesado en recibir las alarmas relacionadas en mi servidor syslog y me gustaría filtrarlas. Usted puede encontrar algunos ejemplos del tipo de trampas que estoy tratando con abajo:


#

%%01INFO/4/SUPPRESS_LOG(l)[21]:Slot=1;Last message repeated 4 times.(InfoID=4284026888, ModuleName=POE, InfoAlias=PORTPW)

#

%%01INFO/4/SUPPRESS_LOG(l)[22]:Last message repeated 19times.(InfoID=1079382037, ModuleName=INFO, InfoAlias=SUPPRESS_LOG)

#

%%01DEFD/4/CPCAR_DROP_LPU(l)[3]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ospf, ExceededPacketCount=08)

#

01INFO/4/SUPPRESS_LOG(l)[115]:Last message repeated 45 times

#

%%01DEFD/4/CPCAR_DROP_LPU(l)[3]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ospf, ExceededPacketCount=085)

#

%%01DEFD/4/CPCAR_DROP_LPU(l)[2]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ttl-expired, ExceededPacketCount=02342)

#

%%01INFO/4/SUPPRESS_LOG(l)[2]:Last message repeated 4 times.(InfoID=1880560034, ModuleName=OSPF, InfoAlias=LSA_CHANGE_FREQUENT)

#



Como ya he determinado que todas estas trampas están relacionadas con R2 siendo defectuosas, quiero que todos los demás dispositivos de mi red dejen de grabar esta información y enviarla al servidor Syslog. Debido a que los dispositivos de Huawei utilizan la función Info-center para grabar información en el búfer de inicio de sesión y enviarla al servidor Syslog, usaré el comando info-center filter-id para permitir que mis dispositivos de Huawei supriman la información de registro anterior.

En primer lugar, por favor referirse a la configuración básica de info-center a continuación:


#

info-center enable

info-center loghost 10.0.6.2 channel 2 à Este comando permite al dispositivo enviar información al servidor syslog con la dirección ip 10.0.6.2

info-center logbuffer channel logbuffer à Este comando permite al dispositivo enviar información al logbuffer a través del módulo info-center.

#


Esta configuración ya está presente en todos los dispositivos de mi red.

Ahora tendré que añadir los siguientes comandos de filtro -id en todos los dispositivos, pero primero me gustaría presentar la sintaxis general de comandos:



052848vei55pn5911leply.png

 

 

Teniendo en cuenta la sintaxis presentada anteriormente, tendré que añadir la siguiente secuencia de comandos en todos los dispositivos:

#

info-center filter-id bymodule-alias POE PORTPW

info-center filter-id bymodule-alias INFO SUPRESS _ LOG.

info-center filter-id bymodule-alias DEFDCPCAR _ drop _ LPU

#

Con esta configuración en su lugar ahora tengo información de registro personalizada almacenada en mi servidor Syslog y puedo monitorizar más eficientemente mi red.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba