SNMPトラップとインフォーム通知を設定する
Paragon Insightsは、障害管理のためにデバイスがネットワークに送信するインフォーム通知とトラップ通知をサポートします。 SNMPマネージャー (Paragon Insights)と SNMPエージェント (デバイス)は、ネットワークの状態変化に関する通知としてトラップとインフォームを送信します。Paragon Insightsは、トラップとインフォームに対してトリガー評価を実行します。Paragon Insightは、SNMP通知ルールを含むプレイブックが指定されたデバイスに対して実行されている場合にのみ、設定されたデバイスからのトラップとインフォームを処理します。それ以外の場合、SNMP マネージャーはトラップまたはインフォーム メッセージをドロップします。
次のセクションでは、関連する用語、CLIを使用したトラップとインフォームの設定、ポートの設定、CLIを使用したSNMPトラップのアクセスステータスについて説明します。
SNMPv2c および SNMPv3 で SNMP トラップ通知を設定できます。SNMPv3プロトコルを使用する場合にのみ、SNMPインフォームメッセージを設定できます。
実行できるタスク
SNMPトラップとインフォームの構成を詳しく調べる前に、以下の用語集でSNMPv3プロトコルの重要な概念をよく理解できます。
The authoritative agent | 2つのエンティティ(エージェントとマネージャー)間のSNMPv3トランザクションでは、Paragon Insightsは認証とプライバシーを通じて通知の送信元デバイスを検証します。認証は、SNMPv3 メッセージの送信元を識別して検証します。プライバシー機能は、パケット アナライザが通知メッセージを暗号化することによって、メッセージの内容をスヌーピングするのを防ぎます。通知フローを制御するエンティティは、権限のあるエージェントと呼ばれます。SNMPv3 では、権限のないエンティティは、通信を成功させるために権限のあるエージェントの を知っている <Engine ID> 必要があります。 |
Traps or trap messages | トラップとは、SNMP マネージャーに送信される未確認の通知のことです。トラップメッセージでは、SNMPエージェントが権限のあるエージェントです。管理者は、SNMP v3 <user> (ローカルの IAM ユーザーとは異なる)および <Context Engine ID> トラップメッセージを送信するデバイス上で設定する必要があります。トラップの場合、 <Context Engine ID> は Engine ID SNMPエージェントを一意に識別するものです。 |
Informs or inform messages | インフォームは、SNMP エージェントから SNMP マネージャーに送信される通知でもあります。インフォームメッセージでは、SNMPマネージャーが権限のあるエージェントです。リモート権限エージェントであるSNMPマネージャー(Paragon Insights)の詳細を使用して、インフォームメッセージを送信する必要があるデバイスを設定します。管理者は、リモート SNMP マネージャーで見つかった を設定する必要があります <user> 。 |
Engine ID | <Engine ID>は、SNMPエージェントを一意に識別する特定のエージェントに対して生成された16進数であり、特定の管理ドメイン全体で一意である必要があります。また、再起動またはアップグレード間で永続的である必要があります。 |
Security Engine ID | これは、エージェントとマネージャ間のSNMP通信におけるセキュリティパラメータです。<Security Engine ID>は通常、<Engine ID>関係する権威あるエージェントの です。トラップ メッセージには、ヘッダーとトラップ PDU(プロトコル データ ユニット)の 2 つの部分があります。ヘッダーには、トラップ設定内の と セットが含まれています<Security Engine ID><username>。エージェントがトラップを送信すると、トラップヘッダーのパラメーターがUSMテーブルの詳細と照合されます。トラップがさらに処理されるのは、ヘッダー内のパラメーターが USM テーブルの詳細と一致する場合のみです。 インフォーム通知では、 <Security Engine ID> はParagon Insightの Engine ID. |
Context Engine ID | <Context Engine ID>トラップPDUの一部です。元のトラップメッセージを送信したデバイスを一意に識別します。<Context Engine ID>ほとんどの場合<Security Engine ID>、同一です。 |
USM Table | トラップを受信するSNMPマネージャーは、トラップメッセージの送信元を検証するためのキーとして と <username> を持つUSMテーブル(ユーザーベースセキュリティモデル)<Security Engine ID>を維持する必要があります。 |
次のセクションでは、次の方法について詳しく説明します。
エンジンIDを確認する
トラップまたはインフォーム通知を送信するようにデバイスを構成するかどうかに応じて、まずいずれかのSNMPエージェントの を見つける <Engine ID> 必要があります。以下のサンプル コマンドを参照すると、Junos デバイスのエンジン ID を確認できます。
検索 <Engine ID> する CLI コマンドは、ベンダーによって異なります。
JunosベースのプラットフォームであるSNMPエージェント(デバイス)を見つける <Engine ID> には、CLIで次のコマンドを入力します。
show snmp v3 engine-id
デバイス <Engine ID>としてHEX出力を受け取ります。
トラップ通知の設定
SNMPv2c と SNMPv3 を使用してトラップ通知を送信するようにデバイスを設定できます。
送信元 IP アドレスはデバイスを一意に識別するため、すべてのデバイスで一意である必要があります。送信元 IP アドレスは、デバイスに対してのみ設定できます。
Paragon Insightsでは、SNMPv2cとSNMPv3のインジェストとトラップの構成は同じワークフローを共有しています。
デバイスレベルでSNMPトラップ通知を設定するには:
デバイスグループでは、トラップおよびインフォーム通知用のポート番号を設定できます。SNMP通知のログレベルを設定することもできます。
-
左側のナビゲーション バー で [デバイス グループ>の構成 ] オプションをクリックします。
-
デバイスグループを選択し、編集ボタン(鉛筆アイコン)をクリックします。
デバイス グループの編集 ページが表示されます。
-
[高度な>ポート] をクリックして、トラップとインフォームの通知ポートを設定します。
-
SNMP ログを設定するには、[高度な> ログ] > [サービス ログの上書き ] をクリックします。
次の表では、[ デバイス グループの追加 ] ウィンドウの属性について説明します。
表 1: 表 2: デバイス グループの追加ページの詳細 属性
説明
名前
デバイス グループの名前。(必須)
説明
デバイス グループの説明。
デバイス
リストからデバイスをデバイス グループに追加します。(必須)
Paragon Insightsでは、デバイスグループごとに50を超えるデバイスを追加できます。ただし、追加できるデバイス数の実際の規模は、使用可能なシステム リソースによって異なります。
たとえば、120 台のデバイスのデバイス グループを作成するとします。リリース 4.0.0 より前のリリースでは、50、50、20 デバイスのデバイス グループをそれぞれ 3 つ作成することをお勧めします。Paragon Insightsでは、デバイスグループを1つ作成するだけです。
ロギング設定
SNMP 通知
Paragon Insightsは、SNMP通知のためのログデータの収集をサポートしています。デバイスグループ内のsnmp通知サービスのログの異なる重大度レベルを収集できます。
これらのフィールドを使用して、収集するログ レベルを構成します。
Global Setting Log Level リストから、デバイスグループに対して実行中のParagon Insightsサービスごとに収集するログメッセージのレベルを選択します。既定では、レベルは [なし ] に設定されています。
Services Logging Overrides グローバル設定のログ レベルとは異なる方法で構成する特定のサービスのログ レベルを一覧から選択します。特定のサービスに対して選択したログ レベルは、グローバル設定のログ構成よりも優先されます。
ポート
SNMP 通知ポート
複数のポートを設定する場合は、ポート番号をカンマで区切って入力します。Paragon Insightは、これらのポートでトラップとインフォームの通知をリッスンします。
-
[保存]をクリックして設定をコミットするか、[保存して展開]をクリックしてParagon Insightsに設定を展開します。
インフォーム通知の設定
デバイスがインフォーム通知を送信できるようにするには、SNMPv3 USMユーザーを設定する必要があります。
Paragon InsightsでUSMユーザーを作成するには:
USM ユーザーを追加した後、デバイス構成の [編集] ページと [デバイス グループ構成] の [ Device-Name デバイス グループの編集] ページで、次の詳細を構成できます。
属性 |
説明 |
---|---|
Snmp |
|
バージョン |
このフィールドは、[ プロトコル Device-Name ] の下の [編集] ページで SNMP キャレット>設定できます。 メニューから v3 を選択します。 |
ポート(デバイスのみ) |
このフィールドは、[ プロトコル Device-Name ] の下の [編集] ページで SNMP キャレット>設定できます。 SNMPインフォーム通知に必要なポート番号。トラップおよびインフォーム通知の標準ポート番号は 162です。 |
通知ポート(デバイス グループのみ) |
このフィールドは、[ デバイス グループの編集 ] ページの [高度な > ポート ] > [SNMP 通知ポート ] フィールドで設定できます。 通知ポートをカンマで区切って入力します。 Paragon Insightは、デバイスグループからのトラップとインフォームメッセージの通知ポートをリッスンします。 |
コンテキスト エンジン ID(デバイスのみ) |
このフィールドは、[ プロトコル Device-Name ] の下の [編集] ページで SNMP キャレット>設定できます。 このフィールドは、[ バージョン ] フィールドで v3 を選択した場合に表示されます。 は Engine ID 、SNMP エージェントの engine-id に設定する必要があります。 |
送信元 IP アドレス(デバイスのみ) |
このフィールドは、[ 編集 Device-Name ] ページの [デバイスの詳細 ID] > [SNMP 送信元 IP] キャレットで設定できます。 このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。 デバイスの を入力します source IP address 。このフィールドはオプションです。 NAT または SNMP プロキシを使用する場合は、SNMP プロキシ用に構成する仮想 IP アドレスを送信元 IP アドレスとして設定する必要があります。 |
インフォーム通知用のポートの設定
デフォルトでは、Paragon Insightは標準のSNMPトラップポート162でトラップとインフォームをリッスンします。必要に応じて、このポートをグローバル レベル (すべてのデバイス グループに適用可能) または特定のデバイス グループに適用可能なデバイス グループ レベルで変更できます。
INGEST で構成されたポートは、すべてのデバイス グループに適用されます。その他のポートを介して受信されたトラップおよびインフォームメッセージは破棄されます。
取り込みレベルでポート番号を設定するには:
- 左側のナビゲーション バーの [構成] > [データ取り込み] > [設定] に移動します。
- [取り込み設定] ページの [SNMP 通知] タブを選択します。
- [ポート] セクションで、ポート番号を入力します。
- [保存]をクリックして設定のみを保存し、[保存して展開]をクリックしてParagon Insightsに設定を展開します。
デバイス グループで構成されたポートは、特定のデバイス グループにのみ適用されます。その他のポートを介して受信されたトラップとインフォームは破棄されます。デバイス・グループ・レベルでポート番号を構成するには、 表 1 を参照してください。
SNMP通知のルールを設定する
デバイスがトラップまたはインフォーム通知を送信するように設定されたら、Paragon Insightsがデバイスからのトラップを処理できるように、SNMPトラップを含むルールをデバイスに設定する必要があります。デバイスグループでは、snmp通知ルールを持つプレイブックインスタンスを適用できます。ルールでSNMP通知を設定する場合、監視したいMIB名を選択する必要があります。Junos OS デバイスの MIB ファイルを参照するには Juniper MIB エクスプローラに移動し、シスコ デバイスの MIB ファイルを参照するには Cisco MIB ロケータ に移動します。
次の例は、 chassis.interfaces/ トピックのインターフェイスが起動した場合にアラートを送信するルールを SNMP 通知で設定する方法を示しています。
SNMP トラップ通知用のデバイスまたはデバイス グループを設定済みであることを前提としています。デバイスまたはデバイスグループでSNMPトラップ通知を設定するには、 トラップ通知の設定 を参照してください。
トピック chassis.interfaces/でルールを設定するには:
このルールをプレイブックに含め、デバイスまたはデバイス グループにプレイブックのインスタンスを適用する必要があります。
デバイスグループから送信された新しいSNMP通知を確認するには、rootユーザーとしてParagon Insightsサーバーにログインし、次のコマンドを入力します。
/var/local/healthbot/healthbot cli --device-group healthbot -s influxdb
SNMPトラップ通知の新しいエントリーを追跡できます。通知は、設定したフィールド(例えば、IfAdminStatus)のParagon Insightsサーバーに送信されます。