Webhooks e alertas
Configuração de alertas
Você pode configurar alertas para toda uma organização, sites únicos ou vários sites a partir da página de configuração de alertas no portal.
Para encontrar esta página, selecione Monitor > Alertas > Configuração de alertas no menu esquerdo do portal Juniper Mist.
Todos os alertas visíveis aqui estão disponíveis para enviar um webhook de alerta simplesmente habilitando o alerta.
Os alertas são divididos por cor com base na gravidade, da seguinte forma:
-
Vermelho — crítico
-
Laranja — Aviso
-
Azul — informativo
Os alarmes também são categorizados nesses grupos:
-
Infraestrutura — os alarmes de infraestrutura não mantêm o estado. Eles são baseados diretamente em eventos de dispositivos. Quando você monitora dispositivos a partir de alarmes de infraestrutura, normalmente trata cada evento como um evento independente, ou combina com mudanças de dispositivo stateful.
-
Marvis — Eventos do Marvis são eventos identificados nas ações do Marvis. Esses eventos geralmente são stateful. Dentro de sua carga é uma chave chamada
details
. Abaixodetails
você pode verstate
e os valores:open
ouvalidated
.-
open
significa que esse problema está acontecendo no momento. -
validated
significa que o Marvis validou que o problema está resolvido. Após o problema ser considerado validado, o mesmo tipo de webhook será definido com o estado atualizado.Devido à natureza da IA das ações do Marvis, o Marvis requer dados suficientes para garantir que esses alarmes sejam precisos e acionáveis. O Marvis precisa acumular dados suficientes para eliminar falsos positivos. Esse requisito resulta em um número variado de vezes para que os eventos cheguem.
-
-
Segurança — A maioria dos eventos em segurança são eventos únicos. Esses alertas detectarão apenas ataques específicos e não determinarão se o ataque está ativo. Os APs desonestos são limitados à taxa de relatórios uma vez a cada 10 horas. Clientes desonestos e eventos AP da Honeypot são enviados uma vez a cada 10 minutos.
Os alertas a seguir também têm limiares de falha configuráveis:
-
Falha de ARP
-
Falha no DHCP
-
Falha de DNS
-
Dispositivo offline
Para obter informações sobre a configuração de alertas, veja as informações de configuração de alerta no Guia de monitoramento de rede da Juniper Mist.
Detalhes do alerta
Para ver a lista completa de tipos de alarme e suas definições, você pode emitir a seguinte solicitação:
GET /api/v1/const/alarm_defs
Para testar isso, veja definições de alarme de lista.
A tabela apresenta informações detalhadas para apenas alguns dos alertas.
Na tabela a seguir, você pode ver os requisitos de assinatura para o webhook dado. Alertas comuns de webhooks relacionados a logs de auditoria, alarmes ou eventos de dispositivos, por exemplo, exigirão que você tenha uma assinatura de um dos seguintes: Wireless, Wired ou WAN Assurance.
Alerta/Webhook Name | Group | Category | Description | desencadeando requisitos de assinatura de mecanismos | |
---|---|---|---|---|---|
device_down |
infra-estrutura |
Ap |
dispositivo desativado/offline |
AP desconectado da nuvem. |
Req SUB-wireless, com fio ou WAN Assurance |
honeypot_ssid |
segurança |
Ap |
AP honeypot detectado. Os APs honeypot são APs não autorizados que anunciam seu SSID. |
SSID de honeypot detectado. |
Req SUB-wireless, com fio ou WAN Assurance |
authentication_failure | marvis | Conectividade | Falhas na conexão com fio e sem fio em todo o site | Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/switch/WLAN/VLAN/AP | Req SUB-VNA OU SUB-SVNA |
bad_cable | marvis | interruptor | Cabo defeituoso conectado a um switchport da Juniper | Com base em erros de porta, consumo de energia sem enlace de ethernet, aumento de bytes para fora e 0 in (e vice-versa) | Req SUB-VNA |
dhcp_failure | marvis | Conectividade | Falhas na conexão com fio e sem fio em todo o site | Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/WLAN/VLAN/AP | Req SUB-VNA OU SUB-SVNA |
dns_failure | marvis | Conectividade | Falhas na conexão sem fio em todo o site | Aumento repentino de falhas em todo o site ou falhas de 100% em um servidor/WLAN/AP | Req SUB-VNA |
Dentro de cada alarme estão dados contextuais que você pode extrapolar para correlação de eventos comparando vários dispositivos. Você pode encontrar exemplos de todas as definições de alerta (alarme) existentes com a função /api/v1/const/alarm_defs
(exige que você esteja logado na Juniper Mist).
Agregação de eventos
A Juniper Mist agrega eventos com base em tópicos que você configurou. No entanto, nem todos os eventos são agregados. Os eventos são agregados para quaisquer tópicos relacionados aos serviços de localização, por exemplo, a localização, asset-raw-rssi, sdkclient-scan-data e tópicos rssi-zone.
Se vários eventos ocorrerem para o mesmo tópico durante a janela de agregação especificada, a Juniper Mist os agrupa em uma única mensagem. Devido à agregação de mensagens, você precisará analisar os eventos de cada mensagem quando eles forem recebidos.
Veja as mensagens do Webhookpara conhecer o formato de mensagem e cargas para vários tópicos webhook.
Consulte o Webhook Message Flow para obter mais informações sobre o fluxo de mensagens e o tempo de reviravolta.