Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Webhooks e alertas

Configuração de alertas

Você pode configurar alertas para toda uma organização, sites únicos ou vários sites a partir da página de configuração de alertas no portal.

Alerts page in the Juniper Mist portal

Nota:

Para encontrar esta página, selecione Monitor > Alertas > Configuração de alertas no menu esquerdo do portal Juniper Mist.

Todos os alertas visíveis aqui estão disponíveis para enviar um webhook de alerta simplesmente habilitando o alerta.

Os alertas são divididos por cor com base na gravidade, da seguinte forma:

  • Vermelho — crítico

  • Laranja — Aviso

  • Azul — informativo

Os alarmes também são categorizados nesses grupos:

  • Infraestrutura — os alarmes de infraestrutura não mantêm o estado. Eles são baseados diretamente em eventos de dispositivos. Quando você monitora dispositivos a partir de alarmes de infraestrutura, normalmente trata cada evento como um evento independente, ou combina com mudanças de dispositivo stateful.

  • Marvis — Eventos do Marvis são eventos identificados nas ações do Marvis. Esses eventos geralmente são stateful. Dentro de sua carga é uma chave chamada details. Abaixo details você pode ver state e os valores: open ouvalidated.

    • open significa que esse problema está acontecendo no momento.

    • validated significa que o Marvis validou que o problema está resolvido. Após o problema ser considerado validado, o mesmo tipo de webhook será definido com o estado atualizado.

      Devido à natureza da IA das ações do Marvis, o Marvis requer dados suficientes para garantir que esses alarmes sejam precisos e acionáveis. O Marvis precisa acumular dados suficientes para eliminar falsos positivos. Esse requisito resulta em um número variado de vezes para que os eventos cheguem.

  • Segurança — A maioria dos eventos em segurança são eventos únicos. Esses alertas detectarão apenas ataques específicos e não determinarão se o ataque está ativo. Os APs desonestos são limitados à taxa de relatórios uma vez a cada 10 horas. Clientes desonestos e eventos AP da Honeypot são enviados uma vez a cada 10 minutos.

Os alertas a seguir também têm limiares de falha configuráveis:

  • Falha de ARP

  • Falha no DHCP

  • Falha de DNS

  • Dispositivo offline

Para obter informações sobre a configuração de alertas, veja as informações de configuração de alerta no Guia de monitoramento de rede da Juniper Mist.

Detalhes do alerta

Para ver a lista completa de tipos de alarme e suas definições, você pode emitir a seguinte solicitação:

Para testar isso, veja definições de alarme de lista.

A tabela apresenta informações detalhadas para apenas alguns dos alertas.

Nota:

Na tabela a seguir, você pode ver os requisitos de assinatura para o webhook dado. Alertas comuns de webhooks relacionados a logs de auditoria, alarmes ou eventos de dispositivos, por exemplo, exigirão que você tenha uma assinatura de um dos seguintes: Wireless, Wired ou WAN Assurance.

Tabela 1: Exemplos de alertas de webhook
Alerta/Webhook Name Group Category Description desencadeando requisitos de assinatura de mecanismos

device_down

infra-estrutura

Ap

dispositivo desativado/offline

AP desconectado da nuvem.

Req SUB-wireless, com fio ou WAN Assurance

honeypot_ssid

segurança

Ap

AP honeypot detectado. Os APs honeypot são APs não autorizados que anunciam seu SSID.

SSID de honeypot detectado.

Req SUB-wireless, com fio ou WAN Assurance

authentication_failure marvis Conectividade Falhas na conexão com fio e sem fio em todo o site Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/switch/WLAN/VLAN/AP

Req SUB-VNA

OU SUB-SVNA

bad_cable marvis interruptor Cabo defeituoso conectado a um switchport da Juniper Com base em erros de porta, consumo de energia sem enlace de ethernet, aumento de bytes para fora e 0 in (e vice-versa) Req SUB-VNA
dhcp_failure marvis Conectividade Falhas na conexão com fio e sem fio em todo o site Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/WLAN/VLAN/AP

Req SUB-VNA

OU SUB-SVNA

dns_failure marvis Conectividade Falhas na conexão sem fio em todo o site Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/WLAN/AP Req SUB-VNA

Dentro de cada alarme estão dados contextuais que você pode extrapolar para correlação de eventos comparando vários dispositivos. Você pode encontrar exemplos de todas as definições de alerta (alarme) existentes com a função /api/v1/const/alarm_defs (exige que você esteja logado na Juniper Mist).

Agregação de eventos

A Juniper Mist agrega eventos com base em tópicos que você configurou. No entanto, nem todos os eventos são agregados. Os eventos são agregados para quaisquer tópicos relacionados aos serviços de localização, por exemplo, a localização, asset-raw-rssi, sdkclient-scan-data e tópicos rssi-zone.

Se vários eventos ocorrerem para o mesmo tópico durante a janela de agregação especificada, a Juniper Mist os agrupa em uma única mensagem. Devido à agregação de mensagens, você precisará analisar os eventos de cada mensagem quando eles forem recebidos.

Veja as mensagens do Webhookpara conhecer o formato de mensagem e cargas para vários tópicos webhook.

Consulte o Webhook Message Flow para obter mais informações sobre o fluxo de mensagens e o tempo de reviravolta.