Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

SNMPトラップとインフォーム通知を設定する

Paragon Insightは、デバイスが障害管理のためにネットワークに送信するインフォームおよびトラップ通知をサポートしています。 SNMPマネージャー (Paragon Insights)と SNMPエージェント (デバイス)は、ネットワークの状態変化に関する通知としてトラップとインフォームを送信します。Paragon Insightは、トラップとインフォームのトリガー評価を実行します。Paragon Insightsは、SNMP通知ルールを含むプレイブックが指定されたデバイスに対して実行されている場合にのみ、設定されたデバイスからのトラップとインフォームを処理します。それ以外の場合は、SNMP マネージャーがトラップまたはインフォーム メッセージをドロップします。

以下のセクションでは、関連する用語、CLIによるトラップおよびインフォームの設定、ポート設定、CLIによるSNMPトラップのアクセスステータスについて説明します。

メモ:

SNMP トラップ通知は、SNMPv2c と SNMPv3 で設定できます。SNMP インフォーム メッセージは、SNMPv3 プロトコルを使用する場合にのみ設定できます。

実行できるタスク

SNMPトラップとインフォーム設定について詳しく説明する前に、以下の用語集でSNMPv3プロトコルの重要な概念を理解できます。

The authoritative agent

2つのエンティティ(エージェントとマネージャー)間のSNMPv3トランザクションでは、Paragon Insightsは認証とプライバシを通じて通知の送信元デバイスを検証します。認証は、SNMPv3 メッセージの送信元を識別および検証します。プライバシ機能は、パケットアナライザが通知メッセージを暗号化することで、メッセージの内容をスヌーピングすることを防ぎます。通知フローを制御するエンティティは、権限のあるエージェントとして知られています。SNMPv3 では、信頼性のないエンティティは、通信を <Engine ID> 成功させるには、信頼できるエージェントを把握する必要があります。
Traps or trap messages

トラップは、SNMP マネージャーに送信される未認識の通知です。トラップメッセージでは、SNMPエージェントは信頼できるエージェントです。管理者は、SNMP v3 <user> (ローカルの IAM ユーザーとは異なる)と <Context Engine ID> 、トラップメッセージを送信するデバイスで設定する必要があります。トラップの場合、 <Context Engine ID> は SNMP エージェントを Engine ID 一意に識別する です。
Informs or inform messages

インフォームは、SNMPエージェントからSNMPマネージャーに送信される通知でもあります。インフォーム メッセージでは、SNMP マネージャーは信頼できるエージェントです。リモートの信頼できるエージェントであるSNMPマネージャー(Paragon Insights)の詳細を含むインフォームメッセージを送信する必要があるデバイスを設定します。管理者は、リモートSNMPマネージャーで見つかった を設定 <user> する必要があります。
Engine ID

<Engine ID>は、SNMP エージェントを一意に識別し、特定の管理ドメインで一意にする必要がある特定のエージェントに対して生成される 16 進数値です。また、再起動またはアップグレード中も永続的である必要があります。
Security Engine ID

これは、エージェントとマネージャー間のSNMP通信におけるセキュリティパラメーターです。 <Security Engine ID> 通常は、関係する <Engine ID> 信頼できるエージェントのものになります。トラップメッセージには、ヘッダーとPDU(トラッププロトコルデータユニット)の2つの部分があります。ヘッダーには、 <Security Engine ID> と のセットが <username> トラップ設定に含まれています。エージェントがトラップを送信すると、トラップヘッダーのパラメーターがUSMテーブルの詳細と照らしてチェックされます。トラップは、ヘッダーのパラメーターが USM テーブルの詳細と一致する場合にのみ、さらに処理されます。

インフォーム通知では、 <Security Engine ID> Paragon Insightの Engine ID.
Context Engine ID

<Context Engine ID>は、トラップPDUの一部です。元のトラップメッセージを送信したデバイスを一意に識別します。<Context Engine ID>ほとんどの<Security Engine ID>場合は同じです
USM Table

トラップを受信するSNMPマネージャーは、トラップメッセージの送信元を検証するためのキーを持つ <Security Engine ID> <username> USMテーブル(ユーザーベースセキュリティモデル)を維持する必要があります。

以下のセクションでは、その方法について詳しく説明します。

エンジンIDを検索

トラップまたはインフォーム通知を送信するようにデバイスを設定する場合に応じて、まずSNMPエージェントのいずれかを見つける <Engine ID> 必要があります。以下のサンプルコマンドを参照して、JunosデバイスのエンジンIDを検索できます。

メモ:

検索する <Engine ID> CLI コマンドは、ベンダーによって異なります。

Junosベースの <Engine ID> プラットフォームであるSNMPエージェント(デバイス)を検索するには、CLIで次のコマンドを入力します。

デバイス <Engine ID>として HEX 出力が表示されます。

トラップ通知の設定

SNMPv2c と SNMPv3 を使用してトラップ通知を送信するようにデバイスを設定できます。

送信元IPアドレスは、デバイスを一意に識別するため、すべてのデバイスで一意にする必要があります。送信元 IP アドレスはデバイスに対してのみ設定できます。

メモ:

Paragon Insightsでは、SNMPv2cとSNMPv3のインジェストとトラップ設定が同じワークフローを共有します。

デバイスレベルでSNMPトラップ通知を設定するには:

  1. 左ナビゲーション バーの [構成>デバイス] オプションをクリックします。
  2. チェックボックスをクリックしてデバイスを選択し、デバイス編集ボタン(鉛筆アイコン)をクリックします。

    編集Device-Nameウィンドウが表示されます。

  3. [プロトコル > SNMP] をクリックします。
  4. テキスト ボックスに必要な値を入力し、デバイスに適したオプションを選択します。

    次の表では 、編集 Device-Name ウィンドウ内の属性について説明します。

    属性

    説明

    SNMP>プロトコル

    バージョン

    リストから v2c または v3 のいずれかを選択します。

    コミュニティを取得(SNMPv2c の場合のみ)

    SNMPv2c インジェストの SNMP コミュニティ文字列を入力します。

    SNMPv2cでは、コミュニティ文字列は、SNMPエージェントによって発行されたインジェスト(リクエストレスポンス)メッセージ(ルーター、スイッチ、サーバーなどのデバイス)の信頼性を検証するために使用されます。

    ポート

    SNMP インジェスト(リクエストレスポンス)メッセージに必要なポート番号。標準ポート番号は 161です

    タイムアウト

    SNMP 通知のタイムアウト期間を秒単位で入力します。0~65535の値を入力できます。

    タイムアウトは、SNMP エージェントが再送信通知を停止する秒数を示します。

    再試行回数

    0~255 の再試行回数を入力します。

    再試行回数は、SNMP エージェントが通知の再送信を試みる回数です。

    V3 ユーザー名

    SNMPv3インジェスト(リクエストレスポンス)、トラップ、インフォーム通知のユーザー名を入力します。

    V3 コンテキスト名

    (オプション)SNMPv3トラップとインフォーム通知のコンテキスト名を入力します。

    SNMP のコンテキストは、MIB(管理情報ベース)内の管理ドメインに関連する情報(オブジェクト)のコレクションを示します。MIB オブジェクトの複数のインスタンスは、ネットワーク内の異なるデバイスで使用されます。デバイスは、SNMPコンテキスト名とコンテキストエンジンIDを使用して識別されます。

    V3 認証

    このフィールドは 、SNMP バージョン フィールドで v3 を選択した場合に表示されます。

    リストから認証プロトコルを選択します。

    SNMPv3 認証を [なし] に設定する場合は、リストから [なし] を選択します。

    V3プライバシ

    このフィールドは 、SNMP バージョン フィールドで v3 を選択した場合に表示されます。

    リストからプライバシプロトコルを選択します。

    SNMPv3 プライバシを [なし] に設定する場合は、リスト メニューから [なし] を選択します。

    V3 コンテキスト エンジン

    このフィールドは 、SNMP バージョン フィールドで v3 を選択した場合に表示されます。

    は、 Engine ID SNMPエージェントのエンジンIDに設定する必要があります。

    V3 認証の秘密鍵のパスワード

    このフィールドは 、SNMP バージョン フィールドで v3 を選択した場合に表示されます。

    SNMPv3 認証用の秘密鍵の秘密鍵を入力します。

    SNMPv3 プライバシ 秘密鍵の使用

    このフィールドは SNMPバージョン フィールドでv3を選択した場合に表示されます

    取り込みメッセージを暗号化するための秘密鍵を入力します。

    デバイスIDの詳細

    SNMP ソース IP

    送信元デバイスの 1 つ以上の IP アドレスを入力します。デバイスに複数の IP アドレスがある場合は、コンマで区切ります。

    送信元IPアドレスは、トラップおよびインフォーム通知の送信者(SNMPエージェント)を識別するために使用されます。

    インストール中にSNMPトラップレシーバーに仮想IPアドレスを設定した場合、ここに仮想IPアドレスを入力できます。
  5. [OK] をクリックして設定を保存します。

    確認ウィンドウは、編集操作が成功したことを確認します。

デバイス グループでは、トラップとインフォーム通知のポート番号を設定できます。SNMP 通知のログ レベルを設定することもできます。

  1. 左ナビゲーション バーの [ 構成>デバイス グループ ] オプションをクリックします。

  2. デバイス グループを選択し、編集ボタン(鉛筆アイコン)をクリックします。

    [デバイス グループの編集] ページが表示されます。

  3. 高度な>ポートをクリックして、トラップとインフォームの通知ポートを設定します。

  4. [ 高度な>ロギング>サービスロギングの上書き をクリックして、SNMPログを設定します。

    次の表では、 デバイス グループの追加 ウィンドウ内の属性について説明します。

    表 1:表 2:デバイス グループ ページの詳細の追加

    属性

    説明

    名前

    デバイス グループの名前。(必須)

    説明

    デバイス グループの説明。

    デバイス

    リストからデバイスをデバイス グループに追加します。(必須)

    Paragon Insightでは、デバイスグループごとに50台以上のデバイスを追加できます。ただし、追加できるデバイス数の実際の規模は、使用可能なシステムリソースによって異なります。

    たとえば、120 台のデバイスのデバイス グループを作成するとします。リリース 4.0.0 より前のリリースでは、それぞれ 50、50、および 20 のデバイスの 3 つのデバイス グループを作成することをお勧めします。Paragon Insightを使用すると、1つのデバイスグループを作成するだけです。

    ロギング設定

    SNMP 通知

    Paragon Insightは、SNMP通知用のログデータの収集をサポートしています。デバイス グループ内の snmp 通知サービスのさまざまな重大度レベルのログを収集できます。

    収集するログ レベルを設定するには、次のフィールドを使用します。

    Global Setting Log Level

    リストから、デバイスグループで実行しているすべてのParagon Insightsサービスに対して収集するログメッセージのレベルを選択します。デフォルトでは、レベルは 「なし」 に設定されています。
    Services Logging Overrides

    グローバル設定ログ レベルとは異なる方法で構成する特定のサービスのログ レベルを一覧から選択します。特定のサービスに対して選択したログ レベルが、グローバル設定ログ構成よりも優先されます。

    ポート

    SNMP 通知ポート

    複数のポートを設定する場合は、ポート番号をカンマで区切って入力します。Paragon Insightは、トラップとインフォーム通知のためにこれらのポートをリッスンします。

  5. [保存]をクリックして設定をコミットするか、[保存して導入]をクリックしてParagon Insightsに設定を導入します。

インフォーム通知の設定

デバイスがインフォーム通知を送信できるようにするには、SNMPv3 USMユーザーを設定する必要があります。

Paragon InsightsでUSMユーザーを作成するには::

  1. データインジェスト>設定>構成に移動します。
  2. [インジェスト設定] ページの [SNMP 通知] タブを選択します。
  3. [Usm Users]セクションをクリックします。
  4. プラス(+)アイコンをクリックして USM ユーザーを追加します。
  5. [USM ユーザーの追加] ページでユーザー名を入力し、切り替えボタンを使用して認証とプライバシー プロトコルを有効または無効にします。

    認証とプライバシを無効にすると、プロトコルと秘密鍵のフィールドは表示されません。

    メモ:

    認証プロトコルを無効にした場合、プライバシプロトコルは有効にできません。
  6. [保存] をクリックして構成のみを保存するか、 [保存してデプロイ] をクリックして構成を Insights に展開します。

USMユーザーを追加した後、デバイスグループ設定の[デバイス設定の編集 Device-Name ]ページと[デバイスグループの編集]ページで以下の詳細を設定できます。

表 2:表 3:デバイス グループ内のインフォームの SNMP 設定

属性

説明

Snmp

バージョン

[プロトコル>SNMPキャレットの編集Device-Nameページでこのフィールドを設定できます。

メニューから [v3 ]を選択します。

ポート(デバイスのみ)

[プロトコル>SNMPキャレットの編集Device-Nameページでこのフィールドを設定できます。

SNMP インフォーム通知に必要なポート番号。トラップおよびインフォーム通知の標準ポート番号は 162です

通知ポート(デバイス グループのみ)

[デバイス グループの編集 ] ページの [ 高度な> ポート> SNMP 通知ポート ] フィールドでこのフィールドを設定できます。

通知ポートをカンマで区切って入力します。

Paragon Insightは、デバイスグループからのトラップとインフォームメッセージの通知ポートでリッスンします。

コンテキストエンジンID(デバイスのみ)

[プロトコル>SNMPキャレットの編集Device-Nameページでこのフィールドを設定できます。

[ バージョン ] フィールドで [v3] を選択した場合、このフィールドが表示されます。

は、 Engine ID SNMPエージェントのエンジンIDに設定する必要があります。

送信元 IP アドレス(デバイスのみ)

SNMP ソース IP キャレットのデバイス詳細 ID >編集Device-Nameページでこのフィールドを設定できます。

このフィールドは 、SNMP バージョン フィールドで v3 を選択した場合に表示されます。

デバイスの を source IP address 入力します。このフィールドはオプションです。

NAT または SNMP プロキシーを使用する場合、SNMP プロキシーに設定する仮想 IP アドレスをソース IP アドレスとして設定する必要があります。

インフォーム通知のポートを設定する

デフォルトでは、Paragon Insightsは標準SNMPトラップポート162でトラップとインフォームをリッスンします。必要に応じて、このポートは、グローバルレベル(すべてのデバイスグループに適用されます)または特定のデバイスグループに適用されるデバイスグループレベルで変更できます。

インジェストで設定されたポートは、すべてのデバイス グループに適用されます。他のポートを介して受信したトラップメッセージとインフォームメッセージは破棄されます。

インジェストレベルでポート番号を設定するには:

  1. 左側のナビゲーション バーの [構成>データインジェスト >設定] に移動します。
  2. [インジェスト設定] ページの [SNMP 通知] タブを選択します。
  3. ポート」セクションで、ポート番号を入力します。
  4. [保存]をクリックすると、設定のみが保存され、保存と導入が行い、設定がParagon Insightsに導入されます。

デバイス グループで設定されたポートは、特定のデバイス グループにのみ適用されます。他のポートを介して受信したトラップとインフォームは破棄されます。デバイス グループ レベルでポート番号を設定するには、 表 1 を参照してください。

SNMP 通知のルールを設定する

トラップまたはインフォーム通知を送信するようにデバイスが設定されると、Paragon Insightsがデバイスからのトラップを処理できるように、SNMPトラップでデバイス上にルールを設定する必要があります。デバイス グループでは、snmp 通知ルールを持つプレイブック インスタンスを適用できます。任意のルールで SNMP 通知を設定する場合、監視する MIB 名を選択する必要があります。 ジュニパー MIB エクスプローラに移動して、Junos OS デバイスの MIB ファイルを参照し、 Cisco MIB Locator で Cisco デバイスの MIB ファイルを参照します。

以下の例では、 chassis.interfaces/ トピックに対してインターフェイスが立ち上がった場合にアラートを送信する SNMP 通知でルールを設定する方法を示しています。

メモ:

デバイスまたはデバイスグループがSNMPトラップ通知用に設定されていることを前提としています。デバイスまたはデバイスグループでSNMPトラップ通知を設定するには、 トラップ 通知の設定を参照してください。

トピック chassis.interfaces/の下でルールを設定するには:

  1. [構成>ルール] に移動します。
  2. [ルール] ページの [ルールの追加] ボタンをクリックします。

    [ルール] フィールドに トピック/ルール名形式でルール名 を入力し、[説明] フィールドに説明を入力します。例えば、 chassis.interfaces/linkup.

  3. [センサー] タブの [センサーの追加] ボタンをクリックします。
  4. [センサー名] フィールドに名前を入力し、[センサー タイプ] のリストから選択SNMP Notificationします。
  5. 通知名を形式でMIB-Name::Notification Name入力します。

    例えば、 IF-MIB::linkDown.

  6. [フィールド] タブの [フィールドの追加] ボタンをクリックします。

    SNMP 通知ルールのフィールドは、以下のいずれかの方法で取得できます。

    • 指定されたトラップ名の変数(varbinds)。

      トラップ名の変数は、フィールドとして定義できます。次の手順では、varbind と IF-MIB:linkDown snmp-notification としてこの例IfAdminStatusを使用します。

      1. フィールド名に を入力 IfAdminStatus します。

      2. [フィールド タイプ] として選択Integerします。

        GUIで入力する フィールドタイプ は、MIBファイルで定義されたタイプと同じにする必要があります。

      3. インジェストタイプ(フィールドソース)として選択Sensorします。

        インジェスト タイプ(フィールド ソース)はセンサーに設定する必要があります。

      4. [センサー] の下のリストから センサー名を選択します。

        センサー名は、snmp 通知センサーに入力した名前です。

      5. をセンサー パスとして入力 IfAdminStatus します。

        パスは、 MIBファイルで定義された変数(varbind)名に設定する必要があります。

      指定された snmp-notification の IfOperStatus as 変数(varbind)の 2 番目のフィールドを追加するには、前述の手順に従いますが、フィールド名とセンサー パスを IfOperStatus に変更します。

    • フィールド名としての通知名。

      SNMP 通知名自体は、受信する SNMP 通知タイプを知るために、フィールド名として定義できます。SNMP 通知タイプの例としては、 coldStartlinkUpwarmStartauthenticationFailedおよび があります。linkDown

      次の手順では、varbind と IF-MIB:linkDown snmp-notification としてこの例IfAdminStatusを使用します。

      1. フィールド名に を入力 desired-name します。

      2. フィールドタイプとして を入力stringします。

        フィールドタイプは 文字列に設定する必要があります。

      3. インジェストタイプ(フィールドソース)として選択Sensorします。

        インジェスト タイプ(フィールド ソース)はセンサーに設定する必要があります。

      4. [センサー] の下のリストから センサー名を選択します。

        センサー名は、snmp 通知センサーに入力した名前です。

      5. をセンサー パスとして入力 _notification_name します。

        パスは「_notification_name」に設定する必要があります。_notification_nameは、センサーデータから通知名を取得するためにParagon Insightsで定義された特別なパスです。

  7. [保存]をクリックしてルールをコミットするか、または[保存&導入]をクリックしてParagon Insightsにルールを導入します。

    新しいトピック名とルールは、既存のルールのリストで確認できます。

    追加したフィールドに基づいてトリガーまたは機能を設定することもできます。 Paragon Insightsルールとプレイブックで説明されているように、GUIでルールを作成する方法をご覧ください。

このルールをプレイブックに含め、デバイスまたはデバイス グループにプレイブックのインスタンスを適用する必要があります。

デバイスグループから送信された新しいSNMP通知を確認するには、RootユーザーとしてParagon Insightsサーバーにログインし、次のコマンドを入力します。

SNMP トラップ通知の新しいエントリーを追跡できます。通知は、設定したフィールド(IfAdminStatusなど)に対してParagon Insightsサーバーに送信されます。

関連ドキュメント