Syslogを使用してルールを構成する
syslogの取り込み設定が完了したら、syslogをセンサーとして使用してルールを作成できます。
このルールには、次の 3 つの要素が含まれます。
Syslogセンサー
関心のあるデータを取得する 4 つのフィールド
インターフェイスがダウンしたタイミングを示すトリガー
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
- [+ センサーの追加] ボタンをクリックし、[センサー] タブに次のパラメーターを入力します。
- 次に、[フィールド] タブに移動し、[ + フィールドの追加 ] ボタンをクリックして、次のパラメーターを入力し、 event-id という名前の最初のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、fpc-slot という名前の 2 番目のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、if-name という名前の 3 番目のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、snmp-index という名前の 4 番目のフィールドを設定します。
- 次に、[トリガー] タブに移動し、[ + トリガーの追加 ] ボタンをクリックして、次のパラメーターを入力し、 link-down という名前のトリガーを構成します。
ルールの使用上の注意
[センサー] タブ
センサー名 if-status-sensor はユーザーが定義します。
センサー タイプは syslog です。
パターンセット check-interface-status :パターンセットが以前に設定されていることを前提としています。
設定しない場合、最大保持期間の既定値は 1 秒です。
[フィールド] タブ
4 つのフィールドが定義されています。パターンは 4 つ以上のデータ フィールドをキャプチャしていますが、この例では 4 つの対象フィールドを定義しています。これらのフィールドは、トリガー設定で使用されます。
フィールド名(event-id、 fpc-slot、 if-name、 snmp-index)はユーザーが定義したものです。
path event-id: 生テーブルのsyslog取り込みによって作成されるデフォルトフィールド。は、パターン設定のフィールドを参照します。
パス FPC(Path FPC ):非構造化パターン設定で使用されるフィルターの値を参照します。
path if-name :パターン設定のインターフェイス名フィールドを参照します。 「システムログ取り込みの設定」を参照してください。
Data if missing all interfaces :syslogメッセージにif-name値が含まれていない場合は、文字列値「all interfaces」を使用します。
path snmp-index :パターン設定の フィールドを参照します。
「トリガー」タブ
トリガー名link-downはユーザー定義です。
頻度 2s - Paragon Insightsは、2秒ごとにリンクダウンsyslogメッセージをチェックします
用語 is-link-down : $event-ID が SNMP_TRAP_LINK_DOWNに似ている場合、過去 300秒間のsyslogメッセージで、 赤 色にして、メッセージ「 Link down for $if-name(snmp-id: $snmp-index)」を表示します。
$event-id - $ は、ルール フィールド event-id を参照することを示します。
$if-name(snmp-id: $snmp-index)のリンク ダウン - 例:「FPC 2のge-2/0/0のリンクダウン」。
$if-name :フィールド値、つまりsyslogメッセージのインターフェイス名を参照します。
用語 is-fpc-down : $event-ID が PSEUDO_FPC_DOWNのような場合、過去300秒間のsyslogメッセージで、 赤色にして メッセージを表示します FPC$fpc-slotの$if名のためのリンクダウン。
$event-id - $ は、ルール フィールド event-id を参照することを示します。
$if-name - 「すべてのインターフェイス」。
FPC$fpc-slot の$if名のリンクダウン (例:「FPC 2 のすべてのインターフェイスのリンクダウン」)。