Exemplo: gere uma mensagem de log de sistema personalizada
Os scripts de confirmação do Junos OS podem gerar mensagens de log de sistema personalizadas durante uma operação de confirmação para alertar quando a configuração não estiver em conformidade com as regras de configuração personalizadas. O processo de confirmação não é afetado pela geração de mensagens de log do sistema. Este exemplo cria um script de confirmação que gera uma mensagem de log de sistema personalizada quando uma declaração específica não está incluída na configuração do dispositivo.
Requisitos
Junos OS Release 16.1R3 ou posterior ao usar um script Python.
Visão geral e script de compromisso
Usando um script de confirmação, escreva uma mensagem de log de sistema personalizada que aparece quando a read-write declaração não estiver incluída no nível de [edit snmp community community-name authorization] hierarquia.
O script é mostrado em XSLT, SLAX e Python.
Sintaxe XSLT
<?xml version="1.0" standalone="yes"?>
<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
xmlns:junos="http://xml.juniper.net/junos/*/junos"
xmlns:xnm="http://xml.juniper.net/xnm/1.1/xnm"
xmlns:jcs="http://xml.juniper.net/junos/commit-scripts/1.0">
<xsl:import href="../import/junos.xsl"/>
<xsl:template match="configuration">
<xsl:for-each select="snmp/community">
<xsl:if test="not(authorization) or (authorization != 'read-write')">
<xsl:variable name="community">
<xsl:call-template name="jcs:edit-path"/>
</xsl:variable>
<xsl:variable name="message" select="concat('SNMP community does not have read-write access: ', $community)"/>
<syslog>
<message>
<xsl:value-of select="$message"/>
</message>
</syslog>
</xsl:if>
</xsl:for-each>
</xsl:template>
</xsl:stylesheet>
Sintaxe SLAX
version 1.2;
ns junos = "http://xml.juniper.net/junos/*/junos";
ns xnm = "http://xml.juniper.net/xnm/1.1/xnm";
ns jcs = "http://xml.juniper.net/junos/commit-scripts/1.0";
import "../import/junos.xsl";
match configuration {
for-each (snmp/community) {
if ( not(authorization) or (authorization != "read-write")) {
var $community = call jcs:edit-path();
var $message = "SNMP community does not have read-write access: " _ $community;
<syslog> {
<message> $message;
}
}
}
}
Sintaxe de Python
from junos import Junos_Configuration
import jcs
def main():
root = Junos_Configuration
for element in root.xpath("./snmp/community"):
if element.find("authorization") is None or \
element.find("authorization").text != 'read-write':
jcs.syslog("172", "SNMP community does not have read-write access: "
+ element.find('name').text)
if __name__ == '__main__':
main()
Configuração
Procedimento
Procedimento passo a passo
Baixe, habilite e teste o script. Para testar se um script de confirmação gera uma mensagem de log do sistema corretamente, certifique-se de que a configuração do candidato contenha a condição que provoca a mensagem de log do sistema. Por este exemplo, certifique-se de que a read-write declaração não esteja incluída no nível de [edit snmp community community-name authorization] hierarquia.
Para testar o exemplo neste tópico:
Copie o script em um arquivo de texto, nomeie o arquivo read-write.xsl, read-write.slax ou read-write.py conforme apropriado, e copie-o para o /var/db/scripts/commit/ directory no dispositivo.
Nota:Os scripts de Python não assinados devem ser de propriedade de um root ou de um usuário na classe de login do Junos OS
super-user, e apenas o proprietário do arquivo pode ter permissão de gravação para o arquivo.No modo de configuração, configure a
filedeclaração e o nome de arquivo de script no nível de[edit system scripts commit]hierarquia.[edit] user@host# set system scripts commit file read-write.xsl
Se o script estiver escrito em Python, habilite a execução de scripts Python não assinados.
[edit] user@host# set system scripts language python
Nota:Configure a declaração para usar o
language python3Python 3 para executar scripts de Python ou configure a declaração para usar olanguage pythonPython 2.7 para executar scripts python. Para obter mais informações, veja o idioma.(Opcional) Para testar a condição, se a
read-writedeclaração for incluída no nível de[edit snmp community community-name authorization]hierarquia para cada comunidade, exclua temporariamente a autorização para uma comunidade SNMP existente.[edit] user@host# delete snmp community community-name authorization read-write
Emita o comando a seguir para verificar se o registro do sistema está configurado para escrever em um arquivo (um nome de arquivo comumente usado são mensagens):
[edit] user@host# show system syslog
Para obter informações sobre a configuração de log do sistema, consulte o System Log Explorer.
Emita o
commitcomando para confirmar a configuração.user@host# commit
Verificação
Verificando a execução de scripts
Propósito
Verifique a mensagem de log do sistema gerada pelo script de confirmação.
As mensagens de log do sistema são geradas durante uma operação de confirmação para scripts Python, SLAX e XSLT, mas elas só são geradas durante uma operação de verificação de confirmação para scripts Python. Isso significa que você não pode usar os comandos de commit check | display xml modo ou commit check | display detail configuração para verificar a saída de mensagens de log do sistema para scripts SLAX e XSLT.
Ação
Quando a operação de confirmação for concluída, inspecione o arquivo de log do sistema. O diretório padrão para arquivos de log é /var/log/. Visualize o arquivo de log emitindo o comando de show log filename modo operacional. Por exemplo, se as mensagens forem registradas no arquivo de mensagens , emita o seguinte comando:
user@host> show log messages | match cscript
As entradas de log do sistema geradas por scripts de confirmação têm o seguinte formato:
timestamp host-name cscript: message
Como a read-write declaração não foi incluída no nível de [edit snmp community community-name authorization] hierarquia, o script de confirmação deve gerar a mensagem "A comunidade SNMP não tem acesso de leitura e gravação" no arquivo de log do sistema.
Jun 3 14:34:37 host-name cscript: SNMP community does not have read-write access: [edit snmp community community-name]