snmptrap/snmptt
Zabbix Snmp Trap 配置
1. Zabbix Server 操作
1.1 Snmp Trap 安装配置
yum install -y net-snmp net-snmp-utils
vim /usr/lib/systemd/system/snmptrapd.service
ExecStart=/usr/sbin/snmptrapd $OPTIONS -f -O n
vim /etc/snmp/snmptrapd.conf
authCommunity execute public
traphandle default /sbin/snmptthandler
systemctl enable snmptrapd
systemctl start snmptrapd
netstat -unpl |grep 162
1.2 SnmpTT 安装配置
# rpm -ivh http://dl.fedoraproject.org/pub/epel
yum install snmptt perl-Sys-Syslog
vim /etc/snmp/snmptt.ini
date_time_format= %Y/%m/%d %H:%M:%S
#设置时间格式,读取的SNMPTrap信息之后写入SNMPTrapperFile里的时间格式,也是ZabbixTrapper读取时的时间格式
mode = daemon
~~~
snmptt_conf_files = <<END
/etc/snmp/snmptt.conf #默认的格式化日志配置文件
/etc/snmp/nbu.conf # 在这里可以指定其他的格式化trap日志的配置文件
END
~~~
vim /etc/snmp/nbu.conf #snmptrapd接受设备打过来的日志信息,传输到snmptt进行格式化,
~~~
EVENT general .1.3.6.1.4.1.318.* "UPSTrap" Error #EVENT general 固定格式 .1.3.6......匹配日志信息中的oid,后面的.*支持统配,将收到的日志添加 "UPSTrap" Error
FORMAT ZBXTRAP $ar $+* # 格式化数据,都打上ZABTRAP 头,$ar $+* $ar一般是ip,$+*就是后面的oid信息
EXEC /etc/snmp/xxxx.py "$+*" #执行指定的py脚本,传入format中匹配的参数,
~~~
xxxx.py中的处理 #在EXEC中指定执行的脚本
def handle(param):
param = """127.0.0.1 .1.3.6.1.4.1.318.2.3.10.0:B925f92_nbErrorCond_E7DC65F3 .1.3.6.1.4.1.318.2.3.23.0:E5 80 BC E9 94 99 E8 AF AF .1.3.6.1.4.1.318.2.3.1.0:9 .1.3.6.1.4.1.318.2.3.11.0:B925f92_nbSNMPEnc156223BD .1.3.6.1.4.1.318.2.3.24.0:E5 85 AC E5 AE 89 E9 BA BB E8 B1 AA E6 94 AF E8 A1 8C 20 28 31 30 2E 34 32 2E 37 30 2E 31 39 39 29 .1.3.6.1.4.1.318.2.3.16.0: .1.3.6.1.4.1.318.2.3.25.0:UPS .1.3.6.1.4.1.318.2.3.17.0:US1503103638 .1.3.6.1.4.1.318.2.3.20.0:Smart-UPS RT 5000 XL .1.3.6.1.4.1.318.2.3.21.0:10.42.70.199 .1.3.6.1.4.1.318.2.3.26.0:E6 B9 96 E5 8C 97 E7 9C 81 E8 8D 86 E5 B7 9E E5 B8 82 .1.3.6.1.4.1.318.2.3.27.0:E6 9D 8E E6 99 93 E7 BB B4 .1.3.6.1.4.1.318.2.3.22.0:B925f92_nbSNMPEnc156223BD_UPS_BASIC_OUTPUT_STATE .1.3.6.1.4.1.318.2.3.28.0:55 50 53 20 E6 93 8D E4 BD 9C E6 A8 A1 E5 BC 8F .1.3.6.1.4.1.318.2.3.29.0:1 .1.3.6.1.4.1.318.2.3.6.0:1547028468 .1.3.6.1.4.1.318.2.3.7.0:1547028528 .1.3.6.1.4.1.318.2.3.30.0:27 55 50 53 20 E6 93 8D E4 BD 9C E6 A8 A1 E5 BC 8F 27 E7 9A 84 E5 80 BC E8 A1 A8 E6 98 8E E4 B9 8B E5 89 8D 27 E4 B8 A5 E9 87 8D 27 E8 AD A6 E6 8A A5 E6 9B BE E7 BB 8F E5 8F 91 E7 94 9F EF BC 8C E4 BD 86 E8 AF A5 E5 80 BC E7 8E B0 E5 9C A8 E5 B7 B2 E6 81 A2 E5 A4 8D E6 AD A3 E5 B8 B8 E3 80 82
"""
data = {}
param_list = param.split('.1.3.6.1.4.1.318.2.3.')[1:] #使用1.3.6.1.4.1.318.2.3来切割字符串,得到.1.3.6.1.4.1.318.2.3.后面的值 >'10.0:B925f92_nbErrorCond_E7DC65F3 ',
"""
param.split('.1.3.6.1.4.1.318.2.3.')
['127.0.0.1 ',
'10.0:B925f92_nbErrorCond_E7DC65F3 ',
'23.0:E5 80 BC E9 94 99 E8 AF AF ', 16位转码 值错误
'1.0:9 ',
'11.0:B925f92_nbSNMPEnc156223BD ',
'24.0:xxxxxxxxxxx ', 公安xx支行 (10.xx.xx.xxx)
'16.0: ',
'25.0:UPS ',
'17.0:US1503103638 ',
'20.0:Smart-UPS RT 5000 XL ',
'21.0:10.42.70.199 ',
'26.0:E6 B9 96 E5 8C 97 E7 9C 81 E8 8D 86 E5 B7 9E E5 B8 82 ', 湖北省荆州市
'27.0:E6 9D 8E E6 99 93 E7 BB B4 ',
'22.0:B925f92_nbSNMPEnc156223BD_UPS_BASIC_OUTPUT_STATE ',
'28.0:55 50 53 20 E6 93 8D E4 BD 9C E6 A8 A1 E5 BC 8F ', UPS 操作模式
'29.0:1 ',
'6.0:1547028468 ',
'7.0:1547028528 ',
'30.0:27 55 50 53 20 E6 93 8D E4 BD 9C E6 A8 A1 E5 BC 8F 27 E7 9A 84 E5 80 BC E8 A1 A8 E6 98 8E E4 B9 8B E5 89 8D 27 E4 B8 A5 E9 87 8D 27 E8 AD A6 E6 8A A5 E6 9B BE E7 BB 8F E5 8F 91 E7 94 9F EF BC 8C E4 BD 86 E8 AF A5 E5 80 BC E7 8E B0 E5 9C A8 E5 B7 B2 E6 81 A2 E5 A4 8D E6 AD A3 E5 B8 B8 E3 80 82'] UPS 操作模式'的值表明之前'严重'警报曾经发生,但该值现在已恢复正常。
param.split('.1.3.6.1.4.1.318.2.3.')[1:]
将首位的ip去掉,剩下的就是对应的oid信息
'10.0:B925f92_nbErrorCond_E7DC65F3 ',
'23.0:E5 80 BC E9 94 99 E8 AF AF ',
'1.0:9 ',
'11.0:B925f92_nbSNMPEnc156223BD ',
'24.0:E5 85 AC E5 AE 89 E9.......
"""
for item in param_list:
key, value = item.split(':') #用:来切割,得到所有的oid及其对应的值 >>> '10.0', 'B925f92_nbErrorCond_E7DC65F3 '
key = key.split('.')[0] #对key在进行.切割,获取统配oid后的第一位值
data[key] = value #构造字典,键值对应,以统配后的首位oid值为键
if key in ['23', '24', '26', '27', '28', '30']: #对key进行筛选,
value = binascii.a2b_hex(value.replace(' ', '')).decode('utf8') #snmptt中收到的信息是16进制转码的,需要对16位进行转义,replace将空格去掉,
else:
value = value.strip() #对于取值不是16位进制的,直接进行去空操作
data[key] = value
host = data['24'].split(' ')[0].strip() #trap信息中24打头oid指代的就是监控系统中配置的host信息
ip = data['21'].strip()
end = int(data['7'])
if end:
value = 0
else:
value = 1
if value: #对告警还是回复进行检查
key, value = check_alert_key(data)
else:
key, value = check_recover_key(data)
start = int(data['6'])
end = int(data['7'])
msg = data['30']
#logging.info(data['29'], data['30'])
return host, ip, key, value, start, end, msg
if __name__ == '__main__':
if len(sys.argv) > 1:
arg = sys.argv[1]
ret = handle(arg) #接受传入参数,这里是匹配的$+*,就是匹配的所有的oid信息
"""
('E5', 'xx.xx.xx.xxx', 'ups.operation.mode', 0, 1547028468, 1547028528, "'UPS 操作模式'的值表明之前'严重'警报曾经发生,但该值现在已恢复正常。")
"""
sender = ZabbixSender() #使用了zabbixsender来给server端发送数据
sender.add(ret[1], ret[2], ret[3]) #指定了ip key value
sender.send() #发送
item = '[{4} - {5}] host: {0} ip: {1} key: {2} value: {3} message: {6}\n'.format(*ret)
logging.info(item)
上面有个问题,就是只能对过滤的哪几个key所对应的16进制码进行转码,可以加个处理
data[key] = value.strip() #对值进行去括号。
#if key in ['23', '24', '26', '27', '28', '30']: #对key进行筛选
不要上面这行了,
if data['key'] find(' ') !=-1:#对值进行空值查找
try: #有些不是16进制的字符串中也含有空格,所以使用try对所有进行转码,
value = binascii.a2b_hex(value.replace(' ', '')).decode('utf8') #snmptt中收到的信息是16进制转码的,需要对16位进行转义,replace将空格去掉,
except Exception as e: #不能转的的就是剩下的非16进制字符串,直接使用即可,
value = value.strip()
else:
value = value.strip() #对于取值不是16位进制的,直接进行去空操作
data[key] = value
这样就解决了对于host转码的不完整
之后可以在snmptt.log中找出匹配的告警内容,手动的更改组成一个oid字符串,然后调用脚本传入参数,将数据发送出去,其中的6键对应的是发生时间,7键对应的是恢复时间,用7键的有无判定是发生告警还是恢复,在手动调用的时候7键值为0,就是发生的告警信息,给7键随便赋值,就可以是恢复了。
重启服务
systemctl enable snmptt
systemctl start snmptt
1.3 Zabbix Server 配置
vi zabbix_server.conf
vi zabbix_proxy.conf
SNMPTrapperFile=/var/log/snmptt/snmptt.log
StartSNMPTrapper=1
systemctl retart zabbix-server
# 测试命令
snmptrap -v 2c -c public 127.0.0.1 "" 1.3.6.1.4.1.2345 1.3.6.1.4.1.2345 s "test v2"
发送的 ip 要与主机的 SNMP接口 ip 一致。
snmptrapd与snmptt的工作流程
1. 例如 hds管理页面配置陷阱的ip 端口和团体名,注意华为类型的格式要求多,中发送测试信息给指定ip的162端,发送的消息传给snmptrapd进程,在指定ip的/var/spool/snmptt/下会生成一个临时文件类似于 #snmptt-trap-1612520804624941
1612520804
localhost
UDP: [127.0.0.1]:35742->[127.0.0.1]:162
.1.3.6.1.2.1.1.3.0 16:8:37:45.46
.1.3.6.1.6.3.1.1.4.1.0 .1.3.6.1.4.1.2011.2.15.1.7.1
.1.3.6.1.4.1.2011.2.15.1.7.1.7.0 "Critical"
.1.3.6.1.4.1.2011.2.15.1.7.1.10.0 "Recovery"
.1.3.6.1.4.1.2011.2.15.1.7.1.24.0 "NE_NOT_LOGIN"
.1.3.6.1.4.1.2011.2.15.1.7.1.3.0 "73 6F 75 72 63 65 3D 39 2D 35 20 E4 B8 96 E7 BA AA E4 BA 92 E8 81 94 44 30 39 20 6C 6F 63 61 74 69 6F 6E 3D E7 BD 91 E5 85 83 39 2D 35 20 E4 B8 96 E7 BA AA E4 BA 92 E8 81 94 44 30 39 E6 9C AA E7 99 BB E5 BD 95"
.1.3.6.1.4.1.2011.2.15.1.7.1.5.0 "2020/12/30 - 09:11:05Z"
2. snmptrapd.conf中指定了数据转换的handler 允许的团体名
authCommunity execute public
traphandle default /sbin/snmptthandler
3. snmptt进程进行数据格式转化
snmptt.ini中指定了格式化后的输出日志文件的路径(zabbix 自带的snmptrap类型就取这个日志的相关信息)和相应的格式化配置文件
#日志路径
log_file = /var/log/snmptt/snmptt.log
#指定include的其他格式化配置文件,允许自定义
/etc/snmp/snmptt.conf
4. snmptt.conf 及其他指定的conf文件中指定了数据格式化的形式
EVENT general .1.3.6.1.4.1.2.6.182.* "LTOTrap" Error
FORMAT ZBXTRAP $ar $+*
EXEC /etc/snmp/lto_trap_handle.py "$ar $+*"
EVENT general .1.3.6.1.4.1.2.6.201.* "IBMTrap" Error
FORMAT ZBXTRAP $ar $+*
EVENT general .1.3.6.1.4.1.116.* "HDSTrap" Error
FORMAT ZBXTRAP $ar $+*
EXEC /etc/snmp/hds_trap_handle.py "$ar $+*"
关于FORMAT ZBXTRAP $ar $+*的解释:
后续若要针对特定oid处理,通过脚本更新。”ZBXTRAP”必须存在,否则zabbix提取数据失败
后续脚本的入参可以指定这些正则符
$i = 在 .conf 匹配条目的文件中定义的事件 OID(可能是通配符 OID)
$O + 以符号格式陷阱OID
$o + 以数字格式陷印OID
$R,$r + 陷阱主机名
$aR, $ar = IP 地址
$s = 严重性
$T = 正常运行时间:自初始化网络实体以来的时间
$X = 时间陷阱已后台处理(守护进程模式)或当前时间(独立模式)
$x = 日期陷阱已后台处理(守护进程模式)或当前日期(独立模式)
$# = 陷阱中的变量绑定数
$$ = 打印 $
$@ = 自陷阱后台处理(守护进程模式)或当前时间(独立模式)以来的秒数
$n = 展开变量绑定 n (1-n)
$+n = 以变量名称格式展开变量绑定 n (1- n):值
$-n = 以变量名称(变量类型):值的格式展开变量绑定 n (1-n) )
$vn = 展开变量绑定 n (1-n) 的变量名称
$* = 展开所有变量绑定
$=* = 以变量名称格式展开所有变量绑定:值
$-* = 以变量名称格式展开所有变量绑定
5. 在/var/log/snmptt/snmptt.log文件中就会存上格式化好的数据
EXEC 中指定执行的脚本,参数就是格式化之后的一个大字符串,在脚本中可以使用公共的oid进行字符切割找出对应的数据,然后使用sender或者自带的zabbixtrap类型监控项去采集数据
6. 一般在修改完配置项之后需要重启snmptrapd 及 snmptt进程
7. 测试,多个oid信息可以进行拼接
snmptrap -v 2c -c public 127.0.0.1 "" .1.3.6.1.4.1.2011.2.15.1.7.1 .1.3.6.1.4.1.2011.2.15.1.7.1.7.0 s "Critical" .1.3.6.1.4.1.2011.2.15.1.7.1.10.0 s "Recovery" .1.3.6.1.4.1.2011.2.15.1.7.1.24.0 s "NE_NOT_LOGIN" .1.3.6.1.4.1.2011.2.15.1.7.1.3.0 s "73 6F 75 72 63 65 3D 39 2D 35 20 E4 B8 96 E7 BA AA E4 BA 92 E8 81 94 44 30 39 20 6C 6F 63 61 74 69 6F 6E 3D E7 BD 91 E5 85 83 39 2D 35 20 E4 B8 96 E7 BA AA E4 BA 92 E8 81 94 44 30 39 E6 9C AA E7 99 BB E5 BD 95" .1.3.6.1.4.1.2011.2.15.1.7.1.5.0 s "2020/12/30 - 09:11:05Z"
