Filtrage des informations de journalisation reçues par votre serveur syslog

12 0 0 0


Avez-vous des difficultés à surveiller votre réseau Huawei en raison de la grande quantité de pièges reçus de chaque appareil? Dans ce cas, vous devriez rechercher un moyen de filtrer les données critiques des messages d’information et j’ai la solution idéale pour vous!


Nous savons tous que le meilleur moyen d'éviter ou de réparer les pannes du réseau consiste à maintenir tous les périphériques sous observation et surveillance. Il existe de nombreuses approches pour cela, en fonction de la taille du réseau. Pour un petit à moyen, il peut suffire d’envoyer les informations du tampon de journal à un serveur syslog et de les vérifier périodiquement, mais dans le cas d’un réseau de grande taille, cette méthode pourrait se révéler inefficace et fastidieuse. Une approche plus efficace consiste à utiliser le logiciel NMS (Network Monitoring System). Parce que ce type de logiciel est assez complexe, il offre le moyen de filtrer les alarmes que vous recevez de vos appareils et d’afficher uniquement celles qui sont pertinentes. Dans un cas particulier, notre propre produit, eSight, propose ce type de service via la fonction de masquage des alarmes. C'est pourquoi, dans les lignes suivantes, je vais présenter un moyen de filtrer les alarmes lorsque vous souhaitez uniquement utiliser un serveur Syslog pour surveiller votre réseau.


Considérons la topologie suivante: 

215328clcvzekcve3gg69m.png

Comme vous pouvez le voir sur le schéma de réseau ci-dessus, un serveur Syslog a été déployé dans la zone 1. Ce serveur contient des informations sur le tampon de journal reçues de tous les périphériques de votre réseau. pièges reçus de chacun.

Pour aggraver les choses, R2 est devenu défectueux et à cause d'un problème matériel, l'interface GE0 / 0/0 continue de changer entre les états UP / DOWN. S'agissant d'un réseau OSPF, tout changement d'état de l'interface se traduit par de nombreux paquets OSPF envoyés à des homologues et de nombreux recalculs SPT du côté des homologues. Comme il s'agit maintenant d'un problème connu et qu'une opération de permutation a été planifiée pour remplacer le routeur OSPF R2 défectueux, je ne suis plus intéressé par les alarmes associées sur mon serveur syslog et je souhaite les filtrer. Vous trouverez ci-dessous quelques exemples du type de piège dont je traite:

#

%INFO/4/SUPPRESS_LOG(l)[21]:Slot=1;Last message repeated 4 times.(InfoID=4284026888, ModuleName=POE, InfoAlias=PORTPW)

#

%INFO/4/SUPPRESS_LOG(l)[22]:Last message repeated 19times.(InfoID=1079382037, ModuleName=INFO, InfoAlias=SUPPRESS_LOG)

#

%DEFD/4/CPCAR_DROP_LPU(l)[3]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ospf, ExceededPacketCount=08)

#

01INFO/4/SUPPRESS_LOG(l)[115]:Last message repeated 45 times

#

%DEFD/4/CPCAR_DROP_LPU(l)[3]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ospf, ExceededPacketCount=085)

#

%DEFD/4/CPCAR_DROP_LPU(l)[2]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ttl-expired, ExceededPacketCount=02342)

#

%INFO/4/SUPPRESS_LOG(l)[2]:Last message repeated 4 times.(InfoID=1880560034, ModuleName=OSPF, InfoAlias=LSA_CHANGE_FREQUENT)

#

Comme je l’ai déjà déterminé, toutes ces interruptions sont liées au fait que R2 est défectueux, je souhaite que tous les autres périphériques de mon réseau cessent d’enregistrer ces informations et de les envoyer au serveur Syslog. Étant donné que les périphériques Huawei utilisent la fonction Info-center pour enregistrer des informations dans le journal et les envoyer au serveur Syslog, j'utilise la commande info-center filter-id pour permettre à mes périphériques Huawei de supprimer les informations de journalisation ci-dessus. 


Tout d’abord, veuillez vous reporter à la configuration de base du centre d’information ci-dessous:

#

info-center enable

info-center loghost 10.0.6.2 channel 2 à Cette commande permet au périphérique d'envoyer des informations au serveur syslog avec l'adresse IP 10.0.6.2

info-center logbuffer channel logbuffer à cette commande permet à l'appareil d'envoyer des informations au tampon de journal via le module de centre d'informations

#

Cette configuration est déjà présente sur tous les périphériques de mon réseau.

Maintenant, je vais devoir ajouter les commandes filter-id suivantes sur tous les périphériques, mais je voudrais d’abord présenter la syntaxe générale de la commande:

220159iywwj5w5fgz1wtwv.png

Compte tenu de la syntaxe présentée ci-dessus, il faudra ajouter la séquence de commandes suivante sur tous les périphériques:

#

info-center filter-id bymodule-alias POE PORTPW

info-center filter-id bymodule-alias INFO SUPRESS_LOG

info-center filter-id bymodule-alias DEFD CPCAR_DROP_LPU

#


Avec cette configuration en place, j'ai maintenant des informations de journalisation personnalisées stockées sur mon serveur Syslog et je peux surveiller plus efficacement mon réseau.
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page