Not For Public Diffusion



Documents pareils
White Paper - Livre Blanc

Surveillance de Scripts LUA et de réception d EVENT. avec LoriotPro Extended & Broadcast Edition

Installer le patch P-2746 et configurer le Firewall avancé

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

OUVRIR UN COMPTE CLIENT PRIVÉ

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Créer un site e-commerce avec Dreamweaver CS4 et PHP/MySQL

SEPA Direct Debit La domiciliation dans un marché unifié pour les paiements européens au 1er février 2014

FORMULAIRE D OUVERTURE DE COMPTE ENTREPRISE

ANDRITZ Atro Vis hydrodynamique

IPS : Corrélation de vulnérabilités et Prévention des menaces

Département Informatique et Données Marines Service Ingénierie des Systèmes d'informations Référence IFREMER-DCB-IDM-ISI/DDC

Magento. Pratique du e-commerce avec Magento. Christophe Le Bot avec la contribution technique de Bruno Sebarte

Mise en route de PRTG Network Monitor Paessler AG

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

RAMOS. Etude d Application. All rights reserved, CONTEG 2013

Mise en route de PRTG Network Monitor 8

Manuel d utilisation

TechSoftware Présentations

n.paradoxa online, issue 3 May 1997

COPYRIGHT Danish Standards. NOT FOR COMMERCIAL USE OR REPRODUCTION. DS/EN 61303:1997

LoriotPro V5.00 «Extended Edition» System Expert et Scripts

Guide de récupération de Windows Server 2003 R2 pour serveurs Sun x64

imvision System Manager

This is a preview - click here to buy the full publication NORME INTERNATIONALE INTERNATIONAL STAN DARD. Telecontrol equipment and systems

Smart Notification Management

Configuration de Zabbix

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

EXIN Agile Scrum Master

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Conditions de l'examen

NORME INTERNATIONALE INTERNATIONAL STANDARD. Dispositifs à semiconducteurs Dispositifs discrets. Semiconductor devices Discrete devices

l'internet banking professionnel dans un environnement multibancaire Le meilleur de chaque banque

COACH-II Manuel d utilisation

NetCrunch 6. Superviser

Développement d applications professionnelles avec Android 2

Filtres maîtres et distribués ADSL

Wobe.

Installation d'un TSE (Terminal Serveur Edition)


Présentation des autres éléments du résultat global

L ADMINISTRATION Les concepts

Mode d emploi. PJ Network Manager pour Windows. Logiciel SNMP Manager

(Projet de modification )

Travaux pratiques Détermination de la capacité de stockage des données

Les différentes méthodes pour se connecter

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

Descriptif de Kelio Protect

Dexia Guide d installation de NetWorker Server 25 juin Legato Systems, Inc.

Fiche de version N 12.28a Nov SOMMAIRE

Exemple de présentation orale

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

Fin du support Windows XP Comment gérer la journée du 9 Avril 2014?

DOCUMENTATION - FRANCAIS... 2

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

JKW-IP. Mettez votre intercom vidéo en ligne.

SQL Server 2012 Administration d une base de données transactionnelle

DOCUMENTATION MODULE BLOCKCATEGORIESCUSTOM Module crée par Prestacrea - Version : 2.0

MSP Center Plus. Vue du Produit

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

SUPERVISION DE RÉSEAU AVEC NAGIOS

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Configurer la supervision pour une base MS SQL Server Viadéis Services

ManageEngine VQManager connaître la qualité de la voix

Tâches planifiées. Chapitre Introduction

Module Web Service Amazon

DIGITAL NETWORK. Le Idle Host Scan

Guide d installation d un filtre ADSL LEA Qu est-ce que l ADSL?

Efficace et ciblée : La surveillance des signaux de télévision numérique (2)

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Problème physique. CH5 Administration centralisée

Information Equipment

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

Contents Windows

A. Présentation. LanScanner2006

TVD 03 GSM - Transmetteur Téléphonique Vocal

Table des matières 1. Chapitre 1 Introduction à Nagios et la supervision

Transférez Vos Alarmes Critiques Aux Personnes Chargées D intervenir

L OREE DU MONT 70 rue de l Abbé Coulon BP Halluin Cedex Tél :

Android. Trucs et astuces

Licence Pro ASUR Supervision Mai 2013

Mise en oeuvre d un Serveur de CD AXIS StorPoint

Tutoriel. Google Analytics et Microsoft Office 365

SAP Runs SAP Reporting Opérationnel & BI avec HANA et SAP Analytics. Pierre Combe, Enterprise Analytics Juin, 2015

(Projet de modification )

Administration Réseau

Sun Java SystemWeb Server 7.0 Documentation Center

Guide de démarrage Intellipool Network Monitor

Installation d un patch de mise à jour et d un pack langue dans SugarCRM Open Source 4.5.1

Mémoire technique Mise en place de l appliance SMS Couplage Supervision V1.0

Trier les ventes (sales order) avec Vtiger CRM

SUGARCRM Sugar Open Source Guide d Installation de French SugarCRM Open Source Version 4.2

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

PlantVisorPRO. Supervision d installations. Manuel rapide. Integrated Control Solutions & Energy Savings

DMRAlert STREET. Présentation générale. Géolocalisation Urgences - Statuts- Zones Opération Tranquillité Vacances OTV - POI

WHATSUP GOLD GESTION DE LA BASE DE

Transcription:

LoriotPro V4 Extended Edition Module de corrélation d événements de type down/up (BETA) Lecointe Ludovic Copyright 2005-2006 LUTEUS SARL. All rights reserved. This documentation is copyrighted by LUTEUS SARL. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, photocopying or otherwise, without the prior express written permission of LUTEUS SARL LoriotPro Module de corrélation des événements down/up page : 1/15

Sommaire LoriotPro V4 Extended Edition... 1 Module de corrélation d événements de type down/up (BETA)... 1 Introduction... 2 Exemple d utilisation... 3 Paramètre de polling d un host... 4 Filtrage... 5 Evénement de type down... 5 Evénement de type UP... 10 Exemple sur un groupe de machines... 13 Problème posé par l algorithme... 15 Introduction La corrélation d événements permet de surveiller un ou des enchaînement(s) d événements attendus et consécutifs sur une période de temps bornée. L apparition ou l absence de la séquence d événements attendus permet d alerter un administrateur d une anomalie de fonctionnement. Il est fréquent que dans un contexte de supervision des événements ne doivent déclencher une action qu après un certain laps de temps. Ce temps étant mis à profit pour recevoir un autre événement qui annulerait le premier. La corrélation peut de cette façon s appliquer à tous les événements qui fonctionnent par paires avec un événement d alarme puis un événement d acquittement de cette alarme. Dans le cas des Trap SNMP il sera nécessaire de créer un événement LoriotPro pour chaque Trap (Utilisation des filtres de TRAP) si l on veut utiliser le module (Plugin) de corrélation. L exemple le plus fréquemment rencontré ou la corrélation de Trap se justifie est celui des interfaces réseaux qui peuvent momentanément être hors service (envoi d un Trap Link down) suivi dans les secondes qui suivent d un retour à la normal «link up». La corrélation permet ici de surveiller l intervalle de temps entre le Link Down et le Link Up et d informer l administrateur en cas de non retour à l état UP dans un délai prédéfinit. Un nouveau Plugin de service LoriotPro associé à un programme indépendant (utilitaire DOS) permet de corréler des événements successifs. LoriotPro Module de corrélation des événements down/up page : 2/15

Le plugin «Event Correlator» doit être chargé dans les services pour activer le mécanisme de corrélation. Exemple d utilisation Pour expliquer le principe d utilisation de ce plugin il sera fait appel à un exemple simple et classique. Un host passe en état «down» (il ne répond plus au polling de LoriotPro) mais on désire lui donner le temps de repasser «up» (le host répond de nouveau au polling). Si il ne repasse pas «up» dans un temps donné alors on génère un événement pour prévenir l administrateur du réseau. LoriotPro émet un message référencé 101 lorsqu un host passe down (level 4) Et un message 100 lorsque le host passe up (level 1 ou 2) LoriotPro Module de corrélation des événements down/up page : 3/15

Cette option se configure avec le module Poller Process. Paramètre de polling d un host Les paramètres de polling d un host sont définis dans le module de propriété du host. LoriotPro Module de corrélation des événements down/up page : 4/15

Ce host sera down après 4 non réponse (4*5) = 20 s «environ» et un événement 101 sera émit avec les paramètres du host concerné. Filtrage Evénement de type down Il est possible de définir un filtre sur la réception de l événement 101 qui va réaliser une action de mémorisation de l événement. Le message 101 suivant : <4> Session ip [82.250.213.11] Linksys WAG54G is not longer responding to LoriotPro Polling (old status 3) Nous indique que le host 192.168.100.1 ne répond plus (down) et que son ancien statut était 3. LoriotPro Module de corrélation des événements down/up page : 5/15

Le wizard nous propose de créer un nouveau filtre d événement. On choisit «Start Windows program» LoriotPro Module de corrélation des événements down/up page : 6/15

Ont sélectionne le programme _EventToFile.exe présent dans le répertoire bin de LoriotPro. On utilise la syntaxe suivante : _EvenToFile temps numero ip mask numero_event level %3message%3 temps numéro le temps d attente en secondes avant d envoyer un nouveau message avec le numero_event et le level contenant le message. une référence pour identifier l événement sauvegardé ip mask numero_event l adresse IP concerné par cet événement, ici la variable %I est utilisée le mask de l adresse IP le numéro d événement utilisé pour envoyer un événement si cette événement n est pas acquitté dans (temps) secondes level le level du message renvoyer (0-9) message le message accompagnant l émission de l événement ici on réutilise le message LoriotPro Module de corrélation des événements down/up page : 7/15

d origine %3%m%3 le message doit être encadré par %3message%3 si il contient des blancs. Il ne doit pas contenir de caractères «. Ont choisie l option Match All. Maintenant lorsque un message 101 arrive pour ce host il y a un fichier stocké dans le répertoire bin/events Le plugin de corrélation scanne a intervalle régulier ce répertoire et reroute les messages n étant pas arrêtés dans les temps. LoriotPro Module de corrélation des événements down/up page : 8/15

5 minutes après la mémorisation de ce message un événement 60000 au level 4 sera envoyé à LoriotPro. Si un autre message d annulation n est pas envoyé à temps. Par défaut le plugin balaye le répertoire toutes les 20secondes mais il est possible de changer ce paramètre (minimum 5s) Le message 60000 pourra être filtré à son tour par LoriotPro et réaliser une action différente. LoriotPro Module de corrélation des événements down/up page : 9/15

Evénement de type UP Il est possible de définir un filtre sur la réception de l événement 100 qui va réaliser une action d acquittement de l événement. L événement 100 est utilisé pour différent type de passe du host dans un état up il faudra donc analyser les variable de l événement. le message 100 suivant : <1> session 82.250.213.11 linksys wag54g responding to loriotpro snmp polling (old status 1) Indique que le host 82.250.213.11 était déjà UP mais a un niveau ICMP (1) uniquement. Ce message ne nous intéresse pas. Nous sommes uniquement intéressé par un message 100 avec l information suivante : LoriotPro Module de corrélation des événements down/up page : 10/15

<1> session 82.250.213.11 linksys wag54g responding to loriotpro snmp polling (old status 4) Notre filtre sera plus complexe : Il intègre une recherche sur la chaîne de caractères (strings) (old status 4) pour être sûr qu il s agit bien d un passage du mode down à un mode up. La syntaxe utilisée avec le programme _EventToFile.exe est différente : _EventToFile numero ip mask Numéro une référence pour identifier l événement sauvegardé LoriotPro Module de corrélation des événements down/up page : 11/15

IP Mask l adresse IP concernée par cet événement, ici la variable %I est utilisée le mask de l adresse IP On sélectionne l option «Match all» pour tous les événements de ce type. A la réception de cet événement un fichier de type ack est créé dans le répertoire bin/events Le plugin de corrélation n envoie pas le message 60000 et supprime les fichiers. LoriotPro Module de corrélation des événements down/up page : 12/15

Si on désire envoyer un événement sur un acquittement «ack» qui arrive trop tard la syntaxe est la suivante : _EventToFile ack numero ip mask numero_event level %3message%3 ack le mot ack (pour différencié la syntaxe associée a un événement de type down) Numéro une référence pour identifier l événement sauvegardé IP l adresse IP concerné par cet événement, ici la variable %I est utilisée Mask le mask de l adresse IP Numero_event le numéro d événement utilisé pour envoyer un événement si cette événement n est pas acquitté dans (temps) secondes Level le level du message renvoyer (0-9) Message le message accompagnant l émission de l événement ici ont réutilise le message d origine %3%m%3 le message doit être encadré par %3message%3 si il contient des blanc. Il ne doit pas contenir de caractère «. Exemple sur un groupe de machines On peut vouloir temporiser une action sur l événement «host down» de façon globale pour éviter les flux de messages «host goes down» en cas de coupure de ligne avec un rétablissement rapide. Exemple de filtre down sur 101 pour un ensemble de machines (dans notre cas toutes) LoriotPro Module de corrélation des événements down/up page : 13/15

Exemple de filtre down sur 100 pour un ensemble de machines Les fichiers générés seront personnalisés par adresse IP. Dans ce cas car nous utilisons comme variable l adresse IP du host en défaut. LoriotPro Module de corrélation des événements down/up page : 14/15

Problème posé par l algorithme Il n y a pas de lien réel entre le fichier généré au «down» et le fichier généré au «up» (autre que des références temporelles time stamp) si plusieurs fichiers de type down arrive durant la période down+temps alors un fichier de up peut annulé un fichier down qui n est pas le sien. C est pour cela que le système ne marche bien que sur des mécanismes down/up et des paramètres de temps cohérent. Les filtres doivent être le plus précis possible. LoriotPro Module de corrélation des événements down/up page : 15/15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back