Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SNMPトラップとインフォーム通知の設定

Paragon Insightsは、障害管理のためにデバイスがネットワークに送信するインフォームとトラップ通知をサポートしています。 SNMPマネージャー (Paragon Insights)と SNMPエージェント (デバイス)は、ネットワークの状態変化を通知としてトラップとインフォームを送信します。Paragon Insightsは、トラップとインフォームに対してトリガー評価を実行します。Paragon Insightsは、SNMP通知ルールを含むプレイブックが指定されたデバイスで実行されている場合にのみ、設定されたデバイスからのトラップと通知を処理します。それ以外の場合、SNMP Manager はトラップまたはインフォーム メッセージをドロップします。

以下のセクションでは、関連用語、CLIを使用したトラップとインフォームの構成、ポート設定、CLIを使用したSNMPトラップのステータスへのアクセスについて説明します。

手記:

SNMPv2c および SNMPv3 で SNMP トラップ通知を設定できます。SNMP インフォーム メッセージは、SNMPv3 プロトコルを使用している場合にのみ設定できます。

実行可能なタスク

SNMPトラップおよびインフォームの設定を詳しく調べる前に、以下の用語集を読むことでSNMPv3プロトコルの重要な概念を理解できます。

The authoritative agent

2つのエンティティ(エージェントとマネージャー)間のSNMPv3トランザクションでは、Paragon Insightsは認証とプライバシを通じて通知の送信元デバイスを検証します。認証は、SNMPv3メッセージの送信元を識別して検証します。プライバシ機能は、通知メッセージを暗号化することで、パケットアナライザがメッセージの内容をスヌーピングすることを防ぎます。通知フローを制御するエンティティは、権限のあるエージェントと呼ばれます。SNMPv3 では、通信を成功させるために、権限のないエンティティが権限のあるエージェントの <Engine ID> を知っている必要があります。
Traps or trap messages

トラップは、SNMP マネージャーに送信される未確認の通知です。トラップ メッセージでは、SNMP エージェントが権限のあるエージェントです。管理者は、トラップメッセージを送信するデバイスでSNMP v3 <user> (ローカルIAMユーザーとは異なる)と <Context Engine ID> を設定する必要があります。トラップの場合、 <Context Engine ID> はSNMPエージェントを一意に識別する Engine ID です。
Informs or inform messages

インフォームは、SNMP エージェントから SNMP マネージャーに送信される通知でもあります。インフォームメッセージでは、SNMPマネージャーが権限のあるエージェントです。リモート権限のあるエージェント、SNMPマネージャー(Paragon Insights)の詳細を含むインフォームメッセージを送信する必要があるデバイスを設定します。管理者は、リモートの SNMP マネージャにある <user> を設定する必要があります。
Engine ID

<Engine ID>は、SNMPエージェントを一意に識別する、特定のエージェントに対して生成される16進数であり、特定の管理ドメイン全体で一意である必要があります。また、再起動やアップグレード後も維持する必要があります。
Security Engine ID

これは、エージェントとマネージャー間のSNMP通信におけるセキュリティパラメーターです。 <Security Engine ID> は、通常、関係する権限のあるエージェントの <Engine ID> です。トラップ メッセージは、ヘッダーとトラップ プロトコル データ ユニット(PDU)の 2 つの部分で構成されています。ヘッダーには、トラップ設定で設定された <Security Engine ID><username> が含まれています。エージェントがトラップを送信すると、トラップヘッダーのパラメータがUSMテーブルの詳細と照合されます。トラップがさらに処理されるのは、ヘッダーのパラメータが USM テーブルの詳細と一致した場合のみです。

インフォーム通知では、 <Security Engine ID> はParagon Insightの Engine IDです。
Context Engine ID

<Context Engine ID>はトラップPDUの一部です。元のトラップメッセージを送信したデバイスを一意に識別します。ほとんどの場合、<Context Engine ID><Security Engine ID>は同一です。
USM Table

トラップを受信するSNMPマネージャは、トラップメッセージの送信元を検証するためのキーとして <Security Engine ID><username> を持つUSMテーブル(ユーザーベースセキュリティモデル)を維持する必要があります。

以下のセクションでは、次の方法について詳しく説明します。

エンジンIDの検索

トラップ通知またはインフォーム通知を送信するようにデバイスを設定するかどうかに応じて、最初にいずれかのSNMPエージェントの <Engine ID> を見つける必要があります。以下のサンプル コマンドを参照して、Junos デバイスのエンジン ID を確認できます。

手記:

<Engine ID>を検索するためのCLIコマンドはベンダーによって異なります。

JunosベースのプラットフォームであるSNMPエージェント(デバイス)の <Engine ID> を検索するには、CLIで以下のコマンドを入力します。

デバイス <Engine ID>としてHEX出力を受け取ります。

トラップ通知を設定する

SNMPv2c および SNMPv3 を使用してトラップ通知を送信するようにデバイスを設定できます。

送信元IPアドレスは、デバイスを一意に識別するため、すべてのデバイスで一意である必要があります。送信元 IP アドレスは、デバイスに対してのみ設定できます。

手記:

Paragon Insightsでは、SNMPv2cとSNMPv3の取り込みとトラップの設定は同じワークフローを共有します。

デバイスレベルでSNMPトラップ通知を設定するには:

  1. 左側のナビゲーション バーで [Configuration > Device] オプションをクリックします。
  2. チェックボックスをクリックしてデバイスを選択し、デバイスの編集ボタン(鉛筆アイコン)をクリックします。

    [ Edit Device-Name ] ウィンドウが表示されます。

  3. [Protocol > SNMP] をクリックします。
  4. テキストボックスに必要な値を入力し、デバイスに適したオプションを選択します。

    以下の表は、「Device-Nameの編集」ウィンドウの属性を説明しています。

    属性

    形容

    SNMP >プロトコル

    バージョン

    リストから [v2c ] または [v3 ] を選択します。

    コミュニティの取得(SNMPv2c のみ)

    SNMPv2c 取り込み用の SNMP コミュニティ文字列を入力します。

    SNMPv2cでは、コミュニティ文字列を使用して、SNMPエージェント(ルーター、スイッチ、サーバーなどのデバイス)によって発行された取り込み(リクエスト-応答)メッセージの信頼性を確認します。

    SNMP 取り込み (要求 - 応答) メッセージに必要なポート番号。標準ポート番号は 161 です。

    タイムアウト

    SNMP 通知のタイムアウト期間を秒単位で入力します。0 から 65535 までの値を指定できます。

    タイムアウトは、SNMP エージェントが通知の再送信を停止するまでの秒数を示します。

    再試行回数

    0 から 255 までの再試行回数を入力します。

    再試行回数は、SNMP エージェントが通知の再送信を試みた回数です。

    v3 ユーザー名

    SNMPv3 取り込み(リクエスト-応答)、トラップ、およびインフォーム通知のユーザー名を入力します。

    v3 コンテキスト名

    (オプション)SNMPv3トラップおよびインフォーム通知のコンテキスト名を入力します。

    SNMP のコンテキストは、管理情報ベース(MIB)内の管理ドメインに関連する情報(オブジェクト)の集合を表します。MIB オブジェクトの複数のインスタンスは、ネットワーク内の異なるデバイスによって使用されます。デバイスは、SNMP コンテキスト名とコンテキスト エンジン ID を使用して識別されます。

    V3認証

    このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます。

    リストから認証プロトコルを選択します。

    SNMPv3 認証を [なし] に設定する場合は、リストから [なし ] を選択します。

    V3 プライバシー

    このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます。

    リストからプライバシープロトコルを選択します。

    SNMPv3 プライバシーを [なし] に設定する場合は、リスト メニューから [なし ] を選択します。

    V3 コンテキスト エンジン

    このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます。

    Engine IDは、SNMP エージェントの engine-id に設定する必要があります。

    v3 認証パスフレーズ

    このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます。

    SNMPv3認証用のパスフレーズを入力します。

    SNMPv3 プライバシー パスフレーズ

    このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます

    パスフレーズを入力して、取り込みメッセージを暗号化します。

    デバイスIDの詳細

    SNMP 送信元 IP

    送信元デバイスの IP アドレスを 1 つ以上入力します。デバイスに複数の IP アドレスがある場合は、カンマで区切ります。

    送信元IPアドレスは、トラップおよびインフォーム通知の送信者(SNMPエージェント)を識別するために使用されます。

    インストール時にSNMPトラップレシーバーの仮想IPアドレスを設定した場合は、ここに仮想IPアドレスを入力できます。
  5. OK」をクリックして、設定を保存します。

    編集操作が成功したことを確認する確認ウィンドウが表示されます。

デバイスグループでは、トラップおよびインフォーム通知用のポート番号を設定できます。また、SNMP通知のログレベルを設定することもできます。

  1. 左側のナビゲーションバーで [ Configuration > Device Groups ] オプションをクリックします。

  2. デバイスグループを選択し、編集ボタン(鉛筆アイコン)をクリックします。

    [Edit Device Group] ページが表示されます。

  3. [Advanced > Ports] をクリックして、トラップとインフォームの通知ポートを設定します。

  4. [ Advanced > Logging] > [Service Logging Overrides ] をクリックして、SNMP ログを設定します。

    次の表は、[ Add a Device Group ] ウィンドウの属性の説明です。

    表 1:表 2:[Add Device Group] ページの詳細

    属性

    形容

    名前

    デバイス・グループの名前。(必須)

    形容

    デバイス・グループの説明。

    デバイス

    リストからデバイス・グループにデバイスを追加します。(必須)

    Paragon Insightsでは、デバイスグループごとに50台以上のデバイスを追加できます。ただし、追加できるデバイスの実際の規模は、使用可能なシステムリソースによって異なります。

    たとえば、120台のデバイスのデバイスグループを作成するとします。リリース 4.0.0 より前のリリースでは、それぞれ 50、50、および 20 台のデバイスの 3 つのデバイス グループを作成することをお勧めします。Paragon Insightsでは、デバイスグループを1つ作成するだけです。

    ロギング設定

    SNMP 通知

    Paragon Insightsは、SNMP通知用のログデータの収集をサポートしています。デバイスグループ内のsnmp-notificationサービスのログには、さまざまな重大度レベルを収集できます。

    これらのフィールドを使用して、収集するログレベルを設定します。

    Global Setting Log Level

    リストから、デバイスグループに対して実行中のすべてのParagon Insightsサービスについて収集するログメッセージのレベルを選択します。レベルはデフォルトで 「なし」 に設定されています。
    Services Logging Overrides

    グローバル設定のログレベルとは異なる設定を行う特定のサービスのログレベルをリストから選択します。特定のサービスに対して選択したログレベルは、グローバル設定のログ設定よりも優先されます。

    ポート

    SNMP 通知ポート

    複数のポートを設定する場合は、ポート番号をカンマで区切って入力します。Paragon Insightsは、これらのポートでトラップとインフォームの通知をリッスンします。

  5. [ 保存 ]をクリックして設定をコミットするか、[ 保存して展開 ]をクリックしてParagon Insightsに設定を展開します。

インフォーム通知の構成

デバイスがインフォーム通知を送信できるようにするには、SNMPv3 USM ユーザーを設定する必要があります。

Paragon InsightsでUSMユーザーを作成するには:

  1. [Configuration > Data Ingest > Settings に移動します。
  2. [取り込み設定] ページの [SNMP 通知] タブを選択します。
  3. [Usm Users] セクションをクリックします。
  4. プラス(+)アイコンをクリックして、USM ユーザーを追加します。
  5. [USM ユーザの追加(Add USM User)] ページで、ユーザ名を入力し、クリックしを使用して認証とプライバシー プロトコルを有効または無効にします。

    [認証とプライバシー(Authentication and Privacy)] を無効にすると、プロトコルとパスフレーズのフィールドは表示されません。

    手記:

    認証プロトコルを無効にすると、プライバシープロトコルを有効にできません。
  6. [保存] をクリックして構成のみを保存するか、[保存して展開] をクリックして構成を Insights に展開します。

USM ユーザーを追加した後、デバイス構成 の [ Device-Name の編集] ページおよび [デバイス グループ設定] の [デバイス グループの編集] ページで、次の詳細を設定できます。

表 2:表 3:デバイス グループ内のインフォームの SNMP 設定

属性

形容

SNMP

バージョン

このフィールドは、[ Edit Device-Name ] ページの [Protocols > SNMP caret] で設定できます。

メニューから [v3 ] を選択します。

ポート(デバイスのみ)

このフィールドは、[Device-Nameの編集(Edit )] ページの [プロトコル(Protocols)] > SNMP キャレット(SNMPキャレット)で設定できます。

SNMP インフォームの通知に必要なポート番号。トラップおよびインフォーム通知の標準ポート番号は 162 です。

通知ポート(デバイスグループのみ)

このフィールドは、[ Edit Device Group ] ページの [Advanced > Ports > SNMP Notification Ports ] フィールドで設定できます。

通知ポートをコンマで区切って入力します。

Paragon Insightsは、デバイスグループからのトラップおよびインフォームメッセージを通知ポートでリッスンします。

コンテキストエンジン ID(デバイスのみ)

このフィールドは、[ Edit Device-Name ] ページの [ Protocols > SNMP caret] で設定できます。

このフィールドは、[ バージョン ] フィールドで [v3] を選択した場合に表示されます。

Engine IDは、SNMP エージェントの engine-id に設定する必要があります。

元 IP アドレス(デバイスのみ)

このフィールドは 、[Edit Device-Name ] ページの [Device Details ID] > [SNMP Source IPs ] キャレットで設定できます。

このフィールドは、[ SNMP Version ] フィールドで [v3] を選択した場合に表示されます。

デバイスの source IP address を入力します。このフィールドはオプションです。

NAT または SNMP プロキシを使用する場合は、SNMP プロキシに設定する仮想 IP アドレスを送信元 IP アドレスとして設定する必要があります。

インフォーム通知用のポートを構成する

デフォルトでは、Paragon Insightsはトラップをリッスンし、標準のSNMPトラップポート162で通知します。必要に応じて、このポートをグローバル・レベル(すべてのデバイス・グループに適用可能)または特定のデバイス・グループに適用可能なデバイス・グループ・レベルで変更できます。

取り込みで構成されたポートは、すべてのデバイスグループに適用されます。他のポート経由で受信したトラップおよびインフォームメッセージは破棄されます。

取り込みレベルでポート番号を設定するには:

  1. 左側のナビゲーションバーで、[Configuration > Data Ingest > Settings に移動します。
  2. [取り込み設定] ページの [SNMP 通知] タブを選択します。
  3. [ポート] セクションで、ポート番号を入力します。
  4. [保存]をクリックして設定のみを保存し、[保存して展開]をクリックして設定をParagon Insightsに展開します。

デバイスグループで構成されたポートは、特定のデバイスグループにのみ適用されます。他のポート経由で受信したトラップやインフォームは破棄されます。デバイス・グループ・レベルでポート番号を構成するには、 表 1 を参照してください。

SNMP 通知のルールを構成する

トラップまたはインフォーム通知を送信するようにデバイスを設定したら、Paragon Insightsがデバイスからのトラップを処理できるように、SNMPトラップを使用してデバイスにルールを構成する必要があります。デバイスグループでは、snmp-notification ルールを持つ Playbook インスタンスを適用できます。任意のルールで SNMP 通知を構成する場合、監視する MIB 名を選択する必要があります。 Juniper MIB Explorer に移動して Junos OS デバイスの MIB ファイルを参照し、Cisco MIB Locator に移動して Cisco デバイスの MIB ファイルを参照します。

次の例は、 chassis.interfaces/ トピックでインターフェイスが起動した場合にアラートを送信するために、SNMP 通知を含むルールを設定する方法を示しています。

手記:

SNMPトラップ通知用にデバイスまたはデバイスグループを設定していることを前提としています。デバイスまたはデバイス グループに SNMP トラップ通知を設定するには、 トラップ通知の設定 を参照してください。

トピック chassis.interfaces/でルールを設定するには:

  1. [Configuration > Rules] に移動します。
  2. 「ルール」ページの「ルールの追加」ボタンをクリックします。

    ルール名を topic/rule-name の形式で [Rule] フィールドに入力し、[description] フィールドに説明を入力します。たとえば、 chassis.interfaces/linkupです。

  3. [センサー]タブの[センサーの追加]ボタンをクリックします。
  4. 「センサー名」フィールドに名前を入力し、「センサー・タイプ」のリストから「SNMP Notification」を選択します。
  5. 通知名をMIB-Name::Notification Name形式で入力します。

    たとえば、 IF-MIB::linkDown

  6. 「フィールド」タブの「フィールドを追加」ボタンをクリックします。

    SNMP 通知ルールのフィールドは、以下のいずれかの方法で取得できます。

    • 指定されたトラップ名の変数(varbinds)。

      トラップ名の変数は、フィールドとして定義できます。次の手順では、例の IfAdminStatus を varbind として、 IF-MIB:linkDown を snmp-notification として使用します。

      1. [フィールド名] に「 IfAdminStatus 」と入力します。

      2. [フィールド タイプ] として [Integer] を選択します。

        GUIに入力する フィールドタイプ は、MIBファイルで定義されたタイプと同じである必要があります。

      3. 取り込みタイプ(フィールドソース)としてSensorを選択します。

        取り込みタイプ(フィールドソース)は、センサーに設定する必要があります。

      4. [センサー] の下のリストからセンサー名を選択します。

        センサー名は、snmp-notificationセンサーに入力した名前です。

      5. センサー パスとして IfAdminStatus を入力します。

        パスは、MIBファイルで定義された変数(varbind)名に設定する必要があります。

      特定のsnmp-notificationの変数(varbind)として IfOperStatus の2番目のフィールドを追加するには、上記の手順に従いますが、フィールド名とセンサーパスを IfOperStatusに変更します。

    • フィールド名としての通知名。

      SNMP 通知名自体をフィールド名として定義することで、どの SNMP 通知タイプを受信したかを知ることができます。SNMP 通知タイプの例としては、 coldStartwarmStartauthenticationFailedlinkUplinkDownなどがあります。

      次の手順では、例の IfAdminStatus を varbind として、 IF-MIB:linkDown を snmp-notification として使用します。

      1. [フィールド名] に「 desired-name 」と入力します。

      2. [フィールド タイプ] に「string」と入力します。

        フィールド タイプは 文字列に設定する必要があります。

      3. 取り込みタイプ(フィールドソース)としてSensorを選択します。

        取り込みタイプ(フィールドソース)は、センサーに設定する必要があります。

      4. [センサー] の下のリストからセンサー名を選択します。

        センサー名は、snmp-notificationセンサーに入力した名前です。

      5. センサー パスとして _notification_name を入力します。

        パスは「_notification_name」に設定する必要があります。_notification_name は、センサー データから通知名を取得するために Paragon Insights で定義されている特別なパスです。

  7. [Save]をクリックしてルールをコミットするか、[Save & Deploy]をクリックしてParagon Insightsにルールを展開します。

    既存のルールのリストに、新しいトピック名とルールが表示されます。

    また、追加したフィールドに基づいてトリガーや関数を設定することもできます。 Paragon Insightsのルールとプレイブックで説明されているように、GUIでルールを作成する方法をご覧ください。

このルールをプレイブックに含め、プレイブックのインスタンスをデバイスまたはデバイスグループに適用する必要があります。

デバイスグループから送信された新しいSNMP通知を確認するには、Paragon Insightsサーバーにrootユーザーとしてログインし、次のコマンドを入力します。

SNMP トラップ通知の新しいエントリーを追跡できます。通知は、設定したフィールド(IfAdminStatusなど)のParagon Insightsサーバーに送信されます。

関連資料