Métodos de ingesta del modelo push de Paragon Insights
Actualmente, Paragon Insights admite los siguientes sensores de modelo push:
GPB nativo
Los sensores nativos utilizan un modelo de datos propiedad de Juniper que utiliza búferes de protocolo de Google (GPB). El dispositivo inserta datos de telemetría (cuando está configurado) a través de UDP.
El dispositivo envía datos desde el motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea. Esto significa que los datos de telemetría se envían a través del plano de reenvío, por lo que el recopilador debe tener conectividad en banda con el dispositivo.
Para usar el formato nativo, configure el dispositivo con opciones que incluyan dónde enviar los datos de telemetría. Cuando configura Paragon Insights para comenzar a recopilar los datos, la transmisión ya fluye hacia el servidor.
Para obtener más información sobre los sensores nativos, consulte Descripción del formato de exportación de la interfaz de telemetría de Junos de los datos recopilados.
GPB nativo: configuración del dispositivo
A continuación se muestran los requisitos para utilizar el tipo de sensor GPB nativo en un dispositivo Junos OS.
Versión de Junos OS: 15.1 o posterior
Configuración necesaria: configure un perfil de sensor para cada regla relacionada relevante en Paragon Insights:
##Streaming Server Profile set services analytics streaming-server COLLECTOR-1 remote-address <HealthBot-server-address> set services analytics streaming-server COLLECTOR-1 remote-port 22000 ##Export Profile set services analytics export-profile EXP-PROF-1 local-address <local-router-IP> set services analytics export-profile EXP-PROF-1 local-port 22001 set services analytics export-profile EXP-PROF-1 reporting-rate 30 set services analytics export-profile EXP-PROF-1 format gpb set services analytics export-profile EXP-PROF-1 transport udp ##Sensor Profile set services analytics sensor SENSOR-1 server-name COLLECTOR-1 set services analytics sensor SENSOR-1 export-name EXP-PROF-1 set services analytics sensor SENSOR-1 resource <resource> # example /junos/system/linecard/interface/
Para configurar el puerto del servidor de streaming en la GUI de Paragon Insights:
Vaya a Configuración > Ingerir.
Seleccione la pestaña GPB nativo en la página Configuración de ingesta.
Introduzca el número de puerto. El número de puerto debe ser el mismo que el puerto remoto configurado en el perfil del servidor de streaming.
Puede usar el botón de alternancia para habilitar o deshabilitar el campo Puerto .
Haga clic en Guardar e implementar para permitir que el sensor recopile datos en su red.
Consulte Configuración de un sensor de interfaz de telemetría de Junos para obtener más información.
Netflow
A partir de la versión 3.0.0, Paragon Insights (anteriormente HealthBot) admite NetFlow de forma nativa como otro método de ingesta, mediante un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones. Con esta versión, Paragon Insights admite NetFlow v9 y NetFlow v10 (IPFIX).
How it Works
NetFlow es un protocolo de red para recopilar estadísticas de tráfico IP, que luego se pueden exportar a una herramienta de análisis. NetFlow está disponible en diferentes versiones, las últimas son NetFlow v9 y NetFlow v10. El formato de exportación de datos de NetFlow v9 se describe en RFC 3954; NetFlow v10 se conoce oficialmente como IPFIX y se estandariza en RFC 7011.
Los dispositivos Junos admiten la supervisión y agregación de flujo mediante estos protocolos; Junos OS toma muestras del tráfico, crea una tabla de flujo y envía los detalles de la tabla de flujo a través de un puerto UDP configurado a un recopilador, en este caso Paragon Insights. Paragon Insights recibe los datos entrantes de Netflow, los detecta automáticamente como v9 o v10 y los procesa aún más.
Como se muestra arriba, el dispositivo de red envía datos desde el motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea. Esto significa que los datos de flujo se envían a través del plano de reenvío, por lo que el recopilador debe tener conectividad en banda con el dispositivo. Para usar la opción de sensor de flujo, configure el dispositivo con opciones que incluyan dónde enviar los datos de flujo. Cuando configura Paragon Insights para comenzar a recopilar los datos, los datos de flujo ya fluyen hacia el servidor.
Plantillas de NetFlow
Cuando otros métodos de ingesta han establecido formatos de sensor y detalles de identificación, por ejemplo, rutas de referencia GPB nativas, MIB de referencia SNMP, etc., el flujo no tiene un mecanismo equivalente. En su lugar, Paragon Insights utiliza plantillas. Estas plantillas de flujo proporcionan un mecanismo para identificar y descodificar los datos de flujo entrantes antes de enviarlos para su posterior procesamiento.
Paragon Insights proporciona plantillas de flujo predefinidas para NetFlow v9 y v10 (IPFIX), o puede definir las suyas propias. Las plantillas predefinidas coinciden con las que Junos OS admite actualmente. Por ejemplo, la plantilla de Junos OS, ipv4-template
, se alinea con la plantilla hb-ipfix-ipv4-template
de Paragon Insights. Para ver los campos utilizados en las plantillas de Junos OS, consulte Descripción de la supervisión de flujo activo en línea.
En la implementación de ingesta actual para NetFlow, no se admiten los siguientes tipos de campo:
Campos para elementos específicos de la empresa
Campos de longitud variable
Procesamiento de ingesta de NetFlow
Los datos de flujo sin procesar que recibe Paragon Insights están en formato binario e ilegibles. Para que estos datos sean utilizables, Paragon Insights procesa los datos de flujo entrantes de la siguiente manera:
Paragon Insights escucha los datos de flujo entrantes en un puerto configurado
Dado que los mensajes de NetFlow no incluyen un campo que identifique el dispositivo de envío, Paragon Insights utiliza la dirección IP de origen configurada para derivar un ID de dispositivo
Las plantillas identifican y descodifican los datos de flujo entrantes para determinar qué campos contienen
Los datos decodificados y normalizados resultantes ahora están en un formato legible y utilizable. Aquí hay un ejemplo de datos de flujo decodificados usando la plantilla hb-ipfix-ipv4-template:
hb-ipfix-ipv4-template, destinationIPv4Address=192.168.48.200, destinationTransportPort=443, icmpTypeCodeIPv4=0,ingressInterface=1113, ipClassOfService=0,protocolIdentifier=6, sourceIPv4Address=172.16.235.191,sourceTransportPort=51032, bgpDestinationAsNumber=4200000000i,bgpSourceAsNumber=65000i, destinationIPv4PrefixLength=24i, dot1qCustomerVlanId=0i,dot1qVlanId=0i,egressInterface=1041i, flowEndMilliseconds=1483484591502u, flowEndReason=2i,flowStartMilliseconds=1483484577531u, ipNextHopIPv4Address="192.168.41.49", maximumTTL=120i,minimumTTL=120i,octetDeltaCount=188i, packetDeltaCount=4i,sourceIPv4PrefixLength=19i, tcpControlBits=16i,vlanId=0i 1483484642000000000
Los datos muestran información de los mensajes de NetFlow mediante la nomenclatura según los elementos de información IPFIX. Por ejemplo, destinationIPv4Address se asigna al elemento ID 12 de la tabla de elementos.
A continuación, Paragon Insights realiza un etiquetado, normalización y agregación adicionales, tal como los define el usuario en la regla correspondiente.
Finalmente, la base de datos de series temporales, TSDB recibe los datos. Aquí es donde ocurren cosas como la evaluación de desencadenantes.
Para la ingesta de NetFlujo, asegúrese de que no haya ninguna NAT de origen en las rutas de red entre el dispositivo y Paragon Insights. Si la ruta de red contiene NAT de origen, la información del dispositivo recibida no es precisa.
NetFlow - Configuración del dispositivo
Para utilizar NetFlow como método de ingesta en Paragon Insights, debe agregar configuración al dispositivo que desea supervisar para que pueda exportar datos de flujo a Paragon Insights.
En este ejemplo se incluye la plantilla IPv4 de Netflow v10; Ajuste según sea necesario para su entorno. Si aún no lo ha hecho, complete la configuración del dispositivo para enviar datos de NetFlow a Paragon Insights como se muestra a continuación.
## Configuración de la plantilla IPFIX
set services flow-monitoring version-ipfix template IPv4-TEMPLATE ipv4-template
## Aplicar plantilla IPFIX para habilitar el muestreo de tráfico
set forwarding-options sampling instance IPFIX-IPv4-INSTANCE input rate 10 set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output flow-server 10.102.70.200 port 2055
## 10.102.70.200 = Servidor de Paragon Insights
NOTE: esta es la dirección IP del nodo Paragon Insights que recibe el tráfico de NetFlow según el campo de configuración del grupo de dispositivos de los nodos de despliegue de flujo. Esta no es la dirección IP virtual del clúster de Paragon Insights (el protocolo Netflow tiene una limitación en la recepción del tráfico mediante la dirección IP virtual).
## puerto 2055; use este valor en la GUI de Paragon Insights (configuración de grupo de dispositivos)
set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output flow-server 10.102.70.200 version-ipfix template IPv4-TEMPLATE set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output inline-jflow source-address 198.51.100.1
## inline-jflow = Habilitar monitoreo de flujo en línea para el tráfico desde la dirección designada
## 198.51.100.1 = interfaz en banda que realiza la exportación; use este valor en la GUI de Paragon Insights (configuración del dispositivo)
## Asociar la instancia de muestreo con el FPC
set chassis fpc 0 sampling-instance IPFIX-IPv4-INSTANCE
## Especifique qué tráfico de interfaz se va a muestrear
set interfaces ge-0/0/0 unit 0 family inet sampling input set interfaces ge-0/0/0 unit 0 family inet sampling output
Ejemplo: Agregar un dispositivo en Paragon Insights, configurar Paragon Insights para NetFlow y supervisar
En el ejemplo siguiente se explica cómo:
- Agregar el dispositivo en Paragon Insights
- Agregar grupo de dispositivos
- Definir la configuración de ingesta de NetFlow: revisar plantillas predefinidas
- Definir la configuración de ingesta de NetFlow - (Opcional) Cree su propia plantilla de NetFlow
- Definir la configuración de ingesta de NetFlow: clonar una plantilla de NetFlow existente
- Definir la configuración de ingesta de NetFlow: eliminar una plantilla de NetFlow
- Configurar una regla mediante el sensor de flujo
- Agregar la regla a un manual
- Aplicar el Manual de estrategias a un grupo de dispositivos
- Monitorear los dispositivos
Agregar el dispositivo en Paragon Insights
Ahora agregue el dispositivo en Paragon Insights, especificando las direcciones IP que enviarán los datos de flujo.
Para obtener más información acerca de cómo agregar un dispositivo, consulte Agregar un dispositivo en Administrar dispositivos, grupos de dispositivos y grupos de red.
Usage Notes:
Los mensajes entrantes de NetFlow no incluyen un ID de dispositivo; Paragon Insights utiliza la dirección IP de origen del mensaje para derivar un ID de dispositivo
Al configurar este paso, utilice la dirección IP de la interfaz en banda que configuró en la configuración de la instancia de muestreo en el dispositivo.
Agregar grupo de dispositivos
Con el dispositivo agregado, ahora debe crear un grupo de dispositivos y definir el puerto de ingesta de flujo para el grupo de dispositivos.
Definir la configuración de ingesta de NetFlow: revisar plantillas predefinidas
Las plantillas de NetFlow proporcionan un mecanismo para identificar y descodificar los datos de flujo entrantes antes de enviarlos para su posterior procesamiento en Paragon Insights.
Usage Notes:
Tenga en cuenta que hay plantillas de flujo predeterminadas para IPv4, IPv6, MPLS, MPLS-IPv4, MPLS-IPv6 y VPLS, para cada uno de NetFlow v9 y v10.
Las plantillas de NetFlow incluyen patrones de reconocimiento, llamados campos de inclusión y campos de exclusión, que ayudan a reconocer, identificar y categorizar los mensajes entrantes.
Dado que los mensajes de NetFlow no distinguen entre claves y valores (todos los campos son simplemente datos entrantes), las plantillas especifican qué campos deben tratarse como claves para los datos sin procesar.
Definir la configuración de ingesta de NetFlow - (Opcional) Cree su propia plantilla de NetFlow
Si las plantillas existentes no satisfacen sus necesidades, puede crear su propia plantilla. También puede usar plantillas personalizadas para admitir dispositivos de otros proveedores.
Usage Notes:
Prioridad: cuando un libro de estrategias incluye varias reglas utilizando el sensor de flujo, el valor de prioridad identifica qué sensor y plantilla tienen prioridad sobre los demás.
Incluir/Excluir campos: incluya campos para ayudar a identificar la plantilla que se va a utilizar, o al menos una "lista corta" de plantillas a utilizar; Excluya los campos y, a continuación, limítelos a la única plantilla deseada.
Ejemplo 1: considere la plantilla hb-ipfix-ipv4-template : incluye dos campos IPv4 para reducir a hb-ipfix-ipv4-template y hb-ipfix-mpls-ipv4-template, y excluye un campo MPLS para eliminar hb-ipfix-mpls-ipv4-template, dejando solo hb-ipfix-ipv4-template.
Ejemplo 2: considere la plantilla hb-ipfix-mpls-ipv4-template : incluye los mismos dos campos IPv4 para reducir a hb-ipfix-ipv4-template y hb-ipfix-mpls-ipv4-template. También incluye un campo MPLS, que elimina inmediatamente la plantilla anterior y deja a la segunda como la plantilla para usar.
Definir la configuración de ingesta de NetFlow: clonar una plantilla de NetFlow existente
A partir de Paragon Insights versión 4.0.0, puede clonar una plantilla de NetFlow existente.
Para clonar una plantilla de NetFlow existente:
Definir la configuración de ingesta de NetFlow: eliminar una plantilla de NetFlow
Para eliminar una plantilla de NetFlow:
Configurar una regla mediante el sensor de flujo
Una vez completada la configuración de ingesta de NetFlow, ahora puede crear una regla utilizando el flujo como sensor.
Esta regla de ejemplo incluye tres elementos:
Un sensor de flujo que usa la plantilla IPv4 de NetFlow v10
Seis campos que capturan datos de interés
Un desencadenador que indica cuándo el flujo de tráfico es mayor o menor de lo esperado
Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.
Usage Notes:
Sensor Tab:
El nombre del sensor ipv4-flow-sensor está definido por el usuario
El tipo de sensor es flujo
El sensor utiliza la plantilla predefinida hb-ipfix-ipv4-template
Variables Tab:
Las variables traffic-count-max y traffic-count-min son enteros configurados estáticamente. En este caso, los valores representan bytes por segundo
Se hace referencia a estos valores en los campos traffic-count-maximum y traffic-count-minimum y proporcionan un punto de referencia para comparar con el campo total-traffic-count
Fields Tab:
Se definen seis campos; Algunos campos se utilizan en la configuración del desencadenador, mientras que se hace referencia a un campo dentro de otro campo
Los nombres de campo son campos definidos por el usuario (UDF)
Los campos source-ipv4-address, destination-ipv4-address y sensor-traffic-count extraen información de la entrada del sensor de flujo
Los valores de ruta de estos campos identifican valores específicos de los mensajes de NetFlow, utilizando la nomenclatura según los elementos de información IPFIX
Los campos source-ipv4-address y destination-ipv4-address tienen habilitada la opción Agregar a clave de regla, lo que indica que este campo debe mostrarse como una clave de búsqueda para esta regla en las páginas de estado del dispositivo
Field total-traffic-count : suma el recuento de paquetes IPv4 del campo sensor-traffic-count cada 10 segundos
Los campos traffic-count-maximum y traffic-count-minimum son simplemente valores fijos; Los valores se derivan de las variables definidas anteriormente
Rango de tiempo de agregación de campos: normalmente se establece en un valor más alto (más largo) que la configuración de rango de tiempo de campo individual con el objetivo de reducir la frecuencia de la información que se envía a la base de datos
Triggers Tab:
El nombre del desencadenador traffic-measurement-trigger está definido por el usuario.
frecuencia 90s : HearthBot compara los recuentos de tráfico cada 90 segundos
En el término traffic-abnormal-gr:
Cuando $total-traffic-count (el recuento periódico del tráfico IPv4 entrante) sea mayor que $traffic-count-maxim (2500 Bps), muestre en rojo y el mensaje: "Total traffic count is above normal. El recuento de tráfico total actual es: $total-traffic-count".
En el término traffic-abnormal-ls:
Cuando $total-traffic-count (el recuento periódico del tráfico IPv4 entrante) sea inferior a $traffic-count-minimum (500 Bps), muestre en amarillo y el mensaje: "Total traffic count is below normal. El recuento de tráfico total actual es: $total-traffic-count".
En el término plazo de incumplimiento:
De lo contrario, muestre verde y el mensaje: "El recuento total de tráfico es normal. El recuento de tráfico total actual es: $total-traffic-count".
Agregar la regla a un manual
Con la regla creada, ahora puede agregarla a un libro de estrategias. En este ejemplo, cree un nuevo manual para contener la nueva regla.
Aplicar el Manual de estrategias a un grupo de dispositivos
Monitorear los dispositivos
Con el libro de estrategias aplicado, puede comenzar a monitorear los dispositivos.
- Haga clic en Supervisar > estado del grupo de dispositivos en la barra de navegación izquierda y seleccione el grupo de dispositivos al que aplicó el manual en el menú desplegable Grupo de dispositivos .
- Seleccione uno o más de los dispositivos que desea supervisar.
- En la vista de mosaico, el icono externo contiene los parámetros de la regla que configuró anteriormente.
Diferencias entre NetFlow y sFlow
Si bien los nombres suenan similares, NetFlow y sFlow son dos protocolos muy diferentes. La Tabla 1 muestra las diferencias entre NetFlow y sFlow.
NetFlow/IPFIX |
Sflow |
|
---|---|---|
Visión general |
Un flujo es una secuencia de paquetes que comparten las mismas propiedades y viajan entre un host emisor y un host receptor. El análisis de flujo examina los metadatos del flujo de paquetes. NetFlow se basa en técnicas de análisis de flujo. |
sFlow toma muestras reales de paquetes de red de un dispositivo y las reenvía a un recopilador para su análisis. sFlow es una tecnología de muestreo y análisis de paquetes, no una tecnología de análisis de flujo. |
Más detalles |
El análisis de flujo se ocupa de identificar a los principales habladores, los principales protocolos, el uso del ancho de banda, etc. dentro de la red. Utiliza metadatos de tráfico para proporcionar esta información. |
El análisis de paquetes se ocupa de obtener información detallada sobre una conversación de red específica. Esto es posible porque el encabezado del paquete y la carga se incluyen en los datos de sFlow. |
Datos |
NetFlow/IPFIX permite al usuario definir qué datos se recopilan de los dispositivos como campos en una plantilla. Los datos pueden basarse en encabezados de paquetes, características de tráfico o valores desde dentro de los propios dispositivos. NetFlow puede proporcionar información de la capa 2 a la capa 4 del modelo OSI. |
sFlow especifica una única forma de reportar datos: proporcionar el encabezado completo del paquete y los datos de la carga desde una interfaz muestreada. sFlow puede proporcionar información desde la capa 2 hasta la capa 7 del modelo OSI. |
Hora |
Los encabezados NetFlow/IPFIX contienen el tiempo de exportación del flujo. Los datos de flujo pueden acumularse y enviarse a cualquier frecuencia configurada. Las definiciones de plantillas permiten más de 30 métodos diferentes para representar el tiempo de un flujo observado. |
El estándar sFlow requiere que los paquetes muestreados se reenvíen al recolector inmediatamente después de la captura. |
Estado |
NetFlow/IPFIX es un protocolo con estado. El dispositivo que recibe datos de NetFlow (Paragon Insights) debe confirmar la recepción de los datos antes de enviar más. |
sFlow es un protocolo sin estado. El remitente simplemente reenvía los paquetes capturados al receptor (Paragon Insights). |
Tratamiento |
NetFlow/IPFIX es un protocolo con estado. Los dispositivos de envío y recepción deben tener la plantilla NetFlow/IPFIX correcta para codificar y descodificar el flujo. Los usuarios pueden configurar nuevas plantillas y compartirlas entre el emisor y el receptor (Paragon Insights) |
El dispositivo de envío utiliza el estándar sFlow para codificar los mensajes (paquetes) y el recopilador (Paragon Insights) utiliza el mismo estándar para descodificarlos. |
Sflow
A partir de la versión 3.2.0 de Paragon Insights, Paragon Insights admite sFlow (v5) de forma nativa como otro método de ingesta basado en flujos, mediante un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones.
- Protocolo sFlow
- Procesamiento de ingesta de sFlow
- sFlow: configuración en Paragon Insights
- sFlow - Configuración del dispositivo
Protocolo sFlow
sFlow es una tecnología basada en muestreo estadístico para redes conmutadas o enrutadas de alta velocidad. Si lo desea, puede configurar sFlow para monitorear continuamente el tráfico a velocidad de cable en todas las interfaces simultáneamente.
sFlow proporciona o ayuda con:
Mediciones de tráfico detalladas y cuantitativas a velocidades de gigabit
Información sobre las decisiones de reenvío
Solución de problemas de red
control de congestión
Análisis de seguridad y pistas de auditoría
Generación de perfiles de rutas
Todo lo que sFlow hace arriba, lo hace sin afectar el reenvío o el rendimiento de la red. Para obtener más información sobre sFlow, consulte: RFC 3176, InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks.
Como protocolo de muestreo estadístico, el agente sFlow de Juniper toma muestras del tráfico y los contadores en las interfaces de red, crea datagramas sFlow y los reenvía a recolectores sFlow externos. Paragon Insights es uno de esos coleccionistas.
Procesamiento de ingesta de sFlow
Los datos sFlow sin procesar que recibe Paragon Insights están en formato binario e ilegibles. Para que estos datos sean utilizables, Paragon Insights procesa los datos de flujo entrantes de la siguiente manera:
Paragon Insights escucha los datos de flujo entrantes en un puerto configurado
Según la configuración de reglas de Paragon Insights, los datos se decodifican y agrupan en conjuntos de datos por tipo de registro (encabezado de paquete sin formato, trama Ethernet, etc.).
Asigna la IP de origen de sFlow (extraída de los paquetes de sFlow) a un ID de dispositivo de Paragon Insights
Nota:Si no se puede hacer ninguna coincidencia, el paquete se descarta sin que se realice ninguna otra decodificación.
Normaliza los campos para su uso posterior dentro del sistema
A continuación, Paragon Insights realiza un etiquetado, normalización y agregación adicionales, tal como los define el usuario en la regla correspondiente.
Finalmente, la base de datos de series temporales, TSDB recibe los datos. Aquí es donde ocurren cosas como la evaluación de desencadenantes.
sFlow: configuración en Paragon Insights
Como se mencionó anteriormente, el procesamiento de los paquetes sFlow depende de la configuración de las reglas de Paragon Insights. También requiere que habilite sFlow en el grupo de dispositivos o en la definición de dispositivo. En esta sección se describe la habilitación de sFlow y las opciones de configuración de reglas y sensores para sFlow.
En primer lugar, para habilitar sFlow, debe introducir al menos una dirección IP en la definición de dispositivo en IP de origen de flujo e introducir al menos un número de puerto en la definición de grupo de dispositivos en puertos de sFlow. La figura 2 a continuación es una imagen compuesta que muestra la definición de grupo de dispositivos superpuesta con la definición de dispositivo. Las secciones apropiadas de cada ventana se resaltan en rojo.
Los dispositivos del grupo envían sus paquetes sFlow a Paragon Insights a través del puerto UDP configurado desde las direcciones IP configuradas. Los números de puerto utilizados en estas definiciones deben ser únicos en toda la instalación de Paragon Insights.
Las direcciones IP de origen del flujo deben coincidir con una dirección IP que se pueda asignar desde el campo Nombre de host/Dirección IP/Rango en la definición del dispositivo. Si los dispositivos envían paquetes sFlow, pero Paragon Insights no puede hacer coincidir la IP de origen con la IP de dispositivo definida, los paquetes se descartan sin descodificar.
Paragon Insights no puede diferenciar sFlow de NetFlow mirando los paquetes. Si utiliza NetFlow y sFlow, los números de puerto también deben ser únicos entre los dos tipos de flujo.
Debido a la naturaleza de sFlow y a la cantidad potencialmente enorme de datos que pueden provenir incluso de un solo dispositivo, recomendamos las siguientes prácticas recomendadas para administrar la ingesta de sFlow:
Utilice puertos únicos del rango: UDP/49152 a UDP/65535 para sFlow.
Utilice la agregación periódica para reducir el número de procedimientos de escritura en la TSDB.
No habilite la opción de almacenamiento de datos de tabla sin procesar en sFlow a menos que haya suficiente almacenamiento de alta velocidad disponible para Paragon Insights TSDB.
- Configurar la ingesta de sFlow
- Amplíe las capacidades de decodificación de sFlow
- Configurar reglas de sFlow
- Eliminar la configuración de sFlow
Configurar la ingesta de sFlow
Al igual que con otros métodos de ingesta, vaya a Configuración > Ingesta y elija la pestaña sFlow a la izquierda de la ventana Ingesta .
La configuración de flujo se divide en 4 secciones:
-
Sample Hay dos categorías de ejemplo predefinidas y cada una se representa en el encabezado sFlow como un valor de tipo de muestra entero. La Tabla 2 a continuación muestra los tipos de muestra y su valor numérico.
Tabla 2: Tipos de muestras de sFlow Tipo de muestra
Valor entero en el encabezado sFlow
Contramuestra
2
muestra de contador expandida
4
muestra de flujo
1
muestra de flujo expandido
3
Nota:La diferencia entre los tipos de sensores expandidos y los tipos de muestra no expandidos es el tamaño de los campos de datos. Los nombres y tipos de campo son los mismos, pero los tamaños de campo son mayores en los tipos de muestra expandidos.
Las definiciones de paquetes para estos tipos de muestra se pueden encontrar aquí: Ejemplos de sFlow
En la tabla 3 se muestran los demás campos contenidos en un encabezado de ejemplo sFlow (por tipo de muestra) junto con el tipo de campo.
Tabla 3: Campos de encabezado de paquete sFlow Tipo/tamaño de campo en bits
Contramuestra
muestra de flujo
entero/32
sampleSequenceNumber
sampleSequenceNumber
entero/8
sourceIDType
0 = índice de interfaz SNMP
1 = ID de VLAN (smonVlanDataSource)
2 = Entidad física (entPhysicalEntry)
sourceIDType
0 = índice de interfaz SNMP
1 = ID de VLAN (smonVlanDataSource)
2 = Entidad física (entPhysicalEntry)
entero/24
fuenteIDValue
fuenteIDValue
entero/32
n (el número de registros muestreados contenidos en la contramuestra)
sampleSamplingRate
entero/32
-
samplePool (número de paquetes de los que se podría haber muestreado)
entero/32
-
sampleDroppedPackets (número de paquetes descartados debido a la falta de recursos)
entero/8
-
sampleInputInterfaceFormat (tipo de interfaz de entrada)
entero/32
-
sampleInputInterfaceValue (interfaz de entrada (índice de interfaz SNMP)
entero/1
sampleOutputInterfaceFormat (tipo de interfaz de salida)
entero/33
-
sampleOutputInterfaceValue (índice de interfaz SNMP)
entero/32
-
n (el número de registros de flujo)
Datos
Registros de contador
Registros de flujo
-
Flow Record La sección Registro de flujo proporciona las herramientas necesarias para definir los diferentes tipos de flujo que se pueden ver en una captura de sFlow. Paragon Insights incluye 16 tipos de registros de flujo predefinidos, cada uno de los cuales tiene un número de formato y una ruta de sensor para usar en la definición de reglas de sFlow, como se muestra en la Tabla 4 a continuación. Hay varios campos en cada tipo de registro de flujo. Estos se pueden ver seleccionando el tipo de registro deseado de la lista y haciendo clic en el botón editar (lápiz).
Tabla 4: Tipos de registros de flujo Tipo de registro
Número de formato
Valor de la ruta del sensor
Encabezados de paquetes sin procesar
1
/sflow-v5/flow-sample/raw-packet-header
Datos de trama Ethernet
2
/sflow-v5/flow-sample/ethernet-frame-data
Datos IPv4
3
/sflow-v5/flow-sample/ipv4-data
Datos IPv6
4
/sflow-v5/flow-sample/ipv6-data
Datos ampliados del conmutador
1001
/sflow-v5/flow-sample/extended-switch-data
Datos extendidos del enrutador
1002
/sflow-v5/flow-sample/extended-router-data
Datos de puerta de enlace ampliada
1003
/sflow-v5/flow-sample/extended-gateway-data
Datos de usuario ampliados
1004
/sflow-v5/flow-sample/extended-user-data
datos de URL extendidos
1005
/sflow-v5/flow-sample/extended-url-data
datos MPLS extendidos
1006
/sflow-v5/flow-sample/extended-mpls-data
datos NAT extendidos
1007
sflow-v5/flow-sample/extended-nat-data
túnel MPLS extendido
1008
/sflow-v5/flow-sample/extended-mpls-tunnel
VC MPLS extendido
1009
/sflow-v5/flow-sample/extended-mpls-vc
MPLS extendido FEC
1010
/sflow-v5/flow-sample/extended-mpls-fec
LVP FEC extendido
1011
/sflow-v5/flow-sample/extended-mpls-lvp-fec
túnel VLAN extendido
1012
/sflow-v5/flow-sample/extended-vlan-tunnel
Al configurar reglas para sFlow, puede elegir entre cualquiera de estos tipos de registro. Puede crear nuevos registros de flujo haciendo clic en el icono Agregar (+) en la página Configuración de flujo .
-
Counter Record La sección Registro de contador proporciona la definición de los dos tipos de registros de contador predefinidos. Hay dos tipos de registros de contador, contadores de interfaz Ethernet y contadores de interfaz genérica. Los contadores de interfaz genéricos son el formato número 1 y los contadores de interfaz Ethernet son el formato número 2. La ruta del sensor para los contadores de interfaz genéricos es /sflow-v5/counter-sample/generic-interface-counter. La ruta del sensor para los contadores de interfaz Ethernet es /sflow-v5/counter-sample/ethernet-interface-counter.
Los campos disponibles dentro de los registros del contador son los posibles errores y las estadísticas contables como:
Errores de trama
Colisiones
Transmisiones diferidas
Transmitir errores
Estado de administración
Estado operativo
paquetes de entrada
paquetes de salida
errores de entrada
Errores de salida
y otros
Puede utilizar el contador de interfaz genérico o el contador de interfaz Ethernet en las reglas que defina. Los sensores de contador se pueden definir para seleccionar incluso campos individuales de cualquiera de los contadores disponibles. Puede crear tipos de registros de contador adicionales haciendo clic en el icono Agregar (+) en la página Configuración de flujo (sección Registro de contador ).
-
Protocol La sección Protocolo proporciona un medio para definir qué protocolo contienen las capturas de sFlow y permite la decodificación de muchos protocolos de red. Los campos contenidos en cada entrada de protocolo son los mismos que se verían en una trama o paquete de ese tipo. Por ejemplo, una trama Ethernet tendría una dirección MAC de destino, una dirección MAC de origen y un campo de tipo ethernet-next-header. Los campos definidos en cualquier protocolo que desee descodificar deben aparecer en la definición de protocolo en el mismo orden en que aparecerían en el paquete o trama.
La columna de número que aparece es el número de protocolo de la IANA asignado a ese protocolo. Por ejemplo, el protocolo tcp es el protocolo número 6.
En las secciones Muestra, Registro de flujo y Registro de contador , hay una columna Empresa . Esta columna es para el uso de detalles de decodificación personalizados o específicos del proveedor. Por ejemplo, un ejemplo de flujo basado en ACL de fundición tiene el valor de empresa 1991, formato 1, que incluye campos adicionales específicamente para ese flujo de fundición. En la mayoría de los casos, el valor Enterprise es 0.
Amplíe las capacidades de decodificación de sFlow
Puede ampliar las capacidades de descodificación de protocolo de Paragon Insights creando esquemas de descodificación adicionales en las pestañas Muestra, Registro de flujo, Registro de contador y Protocolo de la página de configuración de ingesta de sFlow.
Una vez que haya actualizado la configuración de ingesta, las nuevas reglas pueden hacer uso de ellas de la siguiente manera:
Utilice una utilidad de captura de paquetes como Wireshark para identificar el orden en que aparecen los nuevos protocolos dentro de los paquetes sFlow.
Asegúrese de que la ruta del sensor que utiliza en la definición del sensor tiene el siguiente formato:
/sflow-v5/<sample-name>/<record-name>/<l2-protocol>/<l3-protocol>
, donde sample-name es la nueva muestra, record-name es el nuevo contador o registro de flujo y y l2-protocol l3-protocol son los nuevos protocolos. Una vez más, estos protocolos deben nombrarse y colocarse tal como aparecen en las capturas de sFlow.
Configurar reglas de sFlow
Al igual que con otras definiciones de reglas, las reglas sFlow se componen de sensores, campos, vectores, etc. Un sensor sFlow tiene un nombre de sensor, un tipo de sensor de sFlow y una ruta de sFlow , como se muestra en la figura 3.
La ruta del sensor desempeña un papel importante en la definición del sensor. Paragon Insights utiliza la ruta del sensor para definir no solo el tipo de flujo sFlow, sino también el tipo de muestra, el tipo de registro, el protocolo y otros elementos de ruta personalizados si es necesario.
Eliminar la configuración de sFlow
Para eliminar una configuración de sFlow:
Haga clic en Configuración > Ingesta en la barra de navegación izquierda.
Se muestra la página Configuración de ingesta .
Haga clic en la pestaña sFlow para ver la página Configuración de sFlow .
Realice una de las siguientes acciones.
Para eliminar una muestra de sFlow:
Haga clic en Ejemplo para ver la lista de ejemplos de sFlow.
Seleccione la muestra de sFlow que desea eliminar.
Haga clic en el icono de eliminar (papelera).
Aparecerá la ventana emergente CONFIRMAR MUESTRA DE ELIMINACIÓN .
Figura 4: Confirmar eliminación de muestra emergente
Para eliminar un registro de flujo:
Haga clic en Registro de flujo para ver la lista de registros de flujo.
Seleccione el registro de flujo que desea eliminar.
Haga clic en el icono de eliminar (papelera).
Aparece la ventana emergente CONFIRM DELETE FLOW RECORD .
Figura 5: Confirmar eliminar la ventana emergente de registro de flujo
Para eliminar un registro de contador:
Haga clic en Registro de contador para ver la lista de registros de contador.
Seleccione el registro de contador que desea eliminar.
Haga clic en el icono de eliminar (papelera).
Aparecerá la ventana emergente CONFIRMAR REGISTRO DE CONTADOR DE ELIMINACIÓN .
Figura 6: Confirmar eliminar ventana emergente
Para eliminar un protocolo:
Haga clic en Protocolo para ver la lista de protocolos.
Seleccione el protocolo que desea eliminar.
Haga clic en el icono de eliminar (papelera).
Aparecerá la ventana emergente CONFIRM DELETE PROTOCOL .
Figura 7: Confirmar la ventana emergente del protocolo de eliminación
En la ventana emergente que aparece, realice una de las siguientes acciones:
Haga clic en Sí para eliminar la configuración sFlow de la base de datos. Sin embargo, los cambios no se aplican al servicio de ingesta.
Nota:Se recomienda no eliminar una configuración de sFlow que esté actualmente en uso.
Después de eliminar una configuración de sFlow de la base de datos, no puede configurar esa opción de sFlow en nuevos dispositivos o grupos de dispositivos, incluso si no ha implementado cambios.
También puede implementar cambios en el servicio de ingesta o revertir los cambios que ya haya eliminado desde la página CONFIGURACIÓN PENDIENTE . Para obtener más información, consulte Confirmar o revertir cambios de configuración en Paragon Insights.
Active la casilla Implementar cambios y, a continuación, haga clic en Sí para eliminar la configuración sFlow de la base de datos y aplicar los cambios al servicio de ingesta.
(Opcional) Haga clic en No para cancelar esta operación.
sFlow - Configuración del dispositivo
Cuando configure un dispositivo para enviar sFlow a un recopilador, simplemente establezca una dirección IP de origen, una frecuencia de muestreo, un intervalo de sondeo, un puerto udp y una interfaz desde la que capturar y proporcione la dirección IP del recopilador. No hay oportunidad de filtrar o elegir qué datos se envían desde el lado del dispositivo.
En el ejemplo siguiente se muestra el resultado de un conmutador ya configurado para enviar sFlow a un recopilador en la dirección IP 10.204.32.46
[edit protocols sflow] user@switch# show polling-interval 20; sample-rate egress 1000; collector 10.204.32.46 { udp-port 5600; } interfaces ge-0/0/0.0;
OpenConfig
Este formato utiliza el modelo de datos OpenConfig mediante gRPC. El dispositivo de red actúa como un servidor gRPC para terminar las sesiones gRPC de Paragon Insights, que se ejecuta como cliente. Las llamadas RPC de Paragon Insights desencadenan la creación de sensores que transmiten datos periódicamente o informan de eventos, que luego se canalizan al canal gRPC apropiado como mensajes protobuf (GPB).
En las versiones de Paragon Insights anteriores a la 3.1.0, OpenConfig solo se podía utilizar en Junos OS y determinados dispositivos de Cisco. Esto se debe a que Paragon Insights tiene soporte nativo para los RPC de OpenConfig utilizados por Juniper y Cisco, cada uno de los cuales utiliza su propia codificación patentada para los datos de OpenConfig. A partir de la versión 3.1.0, Paragon Insights admite la interfaz de administración de red gRPC (gNMI) para la comunicación OpenConfig. Este protocolo permite a Paragon Insights trabajar con muchas implementaciones de OpenConfig de terceros de forma independiente del proveedor.
Con OpenConfig, el dispositivo recibe suscripciones de sensores de Paragon Insights y envía datos de telemetría a través de cualquier interfaz disponible, ya sea dentro o fuera de banda.
Tenga en cuenta que en la figura anterior, la conexión fuera de banda se muestra como conectándose a la fxp0
interfaz de un dispositivo Junos. Si el dispositivo era de un proveedor externo, la conexión fuera de banda sería al puerto de administración específico del proveedor. Del mismo modo, la(s) conexión(es) en banda serían a la designación de interfaz específica del proveedor.
OpenConfig RPC
Para utilizar el formato OpenConfig, configure el dispositivo como un servidor gRPC. Con Paragon Insights actuando como cliente, usted define a qué sensores desea que se suscriba y realiza solicitudes de suscripción al dispositivo.
Los datos transmitidos a través de gRPC se formatean en pares clave/valor OpenConfig en mensajes codificados de búfer de protocolo (GPB). Las claves son cadenas que corresponden a la ruta de los recursos del sistema en el esquema OpenConfig para el dispositivo que se está supervisando; Los valores corresponden a enteros o cadenas que identifican el estado operativo del recurso del sistema, como los contadores de interfaz. Los mensajes RPC de OpenConfig se pueden transferir de forma masiva, como proporcionar varios contadores de interfaz en un mensaje, lo que aumenta la eficiencia de la transferencia de mensajes.
Para obtener más información sobre los sensores OpenConfig, consulte Descripción de OpenConfig y gRPC en la interfaz de telemetría de Junos.
RPC de OpenConfig codificado en gNMI
OpenConfig codificado en gNMI funciona de manera muy similar a OpenConfig RPC en el sentido de que debe configurar el dispositivo de red como un servidor OpenConfig al que Paragon Insights realiza solicitudes de suscripción. Sin embargo, gNMI admite más tipos de suscripción de los que Paragon Insights admite actualmente. Actualmente, Paragon Insights solo admite suscripciones a gNMI STREAM en el modo SAMPLE. Las suscripciones STREAM son suscripciones de larga duración que continúan, indefinidamente, transmitiendo actualizaciones relacionadas con el conjunto de rutas configuradas dentro de la suscripción. Las suscripciones de STREAM en modo SAMPLE deben incluir un sample_interval
archivo .
Los mensajes devueltos al cliente a través de gNMI son codificados por el dispositivo en formato protobuf, JSON o JSON-IETF y no se pueden enviar de forma masiva. Esto, en parte, hace que la mensajería codificada en gNMI sea menos eficiente que la mensajería codificada en gRPC.
Para JSON o JSON-IETF, se supone que el dispositivo devuelve actualizaciones de gNMI como solo valores leaf codificados en JSON, en lugar de devolver una jerarquía o subjerarquía completa como un objeto JSON.
Paragon Insights decodifica los números codificados en JSON o JSON-IETF como float64, int64 o string, según RFC 7159 y RFC 7951. Si las reglas de OpenConfig contienen campos de un tipo diferente, le recomendamos que cambie los tipos de campo en consecuencia.
Paragon Insights puede administrar dispositivos Junos OS y Cisco mediante OpenConfig codificado en gNMI. Si un dispositivo no admite gNMI en general, o la suscripción STREAM en modo SAMPLE, o no admite una solicitud OpenConfig, devuelve uno de los siguientes errores:
No implementado
Carácter
InvalidArgument
En el caso de un dispositivo Junos OS o Cisco, el error hace que la conexión vuelva a OpenConfig RPC. En el caso de un dispositivo de terceros, la conexión simplemente falla debido al error.
OpenConfig codificado en gNMI se puede habilitar a nivel de dispositivo o grupo de dispositivos. Si está habilitado a nivel de grupo de dispositivos, todos los dispositivos agregados al grupo usan gNMI de forma predeterminada. Si está habilitada (o no habilitada) en el nivel de dispositivo, la configuración de nivel de dispositivo tiene prioridad sobre la configuración de nivel de grupo de dispositivos.
Durante la conexión inicial, los dispositivos gNMI intentan realizar una sincronización inicial con el cliente. El dispositivo envía un flujo continuo de datos hasta que el dispositivo y el recopilador (Paragon Insights) están sincronizados. Después de la sincronización inicial, el dispositivo comienza las operaciones normales de transmisión en función de la velocidad de informes configurada. Debido a la carga de procesamiento que esto crea, Paragon Insights tiene esta función deshabilitada de forma predeterminada. Se puede habilitar a nivel de grupo de dispositivos o dispositivo si es necesario.
Para obtener más información acerca de gNMI, consulte: Interfaz de administración de red gRPC (gNMI).
OpenConfig - Configuración del dispositivo
OpenConfig requiere:
Versión de Junos OS: 16.1 o posterior
El sensor OpenConfig requiere que el dispositivo Junos tenga instalados los paquetes OpenConfig y del agente de red. Estos paquetes están integrados en Junos OS versiones 18.2X75, 18.3 y posteriores. Para las versiones entre 16.1 y 18.2X75 o 18.2, debe instalar los paquetes.
Para obtener información sobre la instalación del paquete del agente de red, consulte el tema Instalación del paquete del agente de red (interfaz de telemetría de Junos ).
Para comprobar si tiene estos paquetes, escriba el siguiente comando:
user@host> show version | match "Junos:|openconfig|na telemetry" Junos: 19.2R1.8 JUNOS na telemetry [19.2R1.8] JUNOS Openconfig [19.2R1.8]
Consulte Descripción de OpenConfig y gRPC en la interfaz de telemetría de Junos para obtener más información.
El Agente de red no es compatible con plataformas PPC (MX104, MX80, etc.)
Configuración requerida:
set system services extension-service request-response grpc clear-text port number
Syslog
Además de las opciones relacionadas con JTI anteriores, a partir de la versión 2.1.0, Paragon Insights también admite syslog de forma nativa como otro método de recopilación de datos, utilizando un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones.
Un dispositivo puede enviar mensajes syslog (cuando está configurado) a través de UDP al servidor de Paragon Insights, ya sea fuera de banda a través del motor de enrutamiento (RE) utilizando la interfaz de administración del enrutador, o dentro de banda a través del motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea.
Para utilizar el formato syslog, configure el dispositivo con opciones que incluyan dónde enviar los mensajes syslog. Consulte Syslog - Configuración de dispositivos a continuación para obtener más información. Cuando configura Paragon Insights para comenzar a recopilar los datos, los mensajes ya fluyen hacia el servidor.
Para obtener más información sobre syslog utilizado por los dispositivos Juniper, consulte Descripción general del registro del sistema de Junos OS.
- Visión general
- Campos generados por el sistema
- Notas de uso
- Elementos de configuración opcionales
- Ejemplo: Creación de una regla mediante la ingesta de syslog
- CONFIGURAR DISPOSITIVOS DE RED
- CONFIGURAR LA INGESTA DE SYSLOG
- CREAR REGLA, APLICAR MANUAL
Visión general
La ingesta de syslog requiere cierta configuración antes de poder usarla como sensor en una regla:
Patrón: un patrón identifica algún evento syslog; Puede crear un patrón para cada evento que desee supervisar. Puede configurar patrones para eventos estructurados y no estructurados.
Conjunto de patrones: con los patrones configurados, puede agruparlos en un conjunto de patrones, al que se hace referencia al definir la configuración del sensor syslog dentro de una regla.
Para ver cómo se utilizan los patrones y los conjuntos de patrones, consulte Ejemplo: Creación de una regla mediante la ingesta de syslog.
Campos generados por el sistema
Algunos campos son comunes en los mensajes syslog. Paragon Insights extrae estos campos y los incluye automáticamente en la tabla sin procesar, lo que le permite utilizarlos directamente al crear una regla y evitar la necesidad de configurar patrones.
Para ilustrar el uso de estos valores, considere los siguientes mensajes syslog de ejemplo:
Estructurado- <30>1 2019-11-22T03:17:53.605-08:00 R1 mib2d 28633 SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16
Equivalente no estructurado - <30>Nov 22 03:17:53 R1 mib2d[28633]: SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16
Campos generados por el sistema:
"__log_priority__" - Prioridad del mensaje syslog
En los ejemplos,
<30>
denota la prioridad
"__log_timestamp__" - Marca de tiempo en epcoh en el mensaje syslog
En el ejemplo estructurado,
2019-11-22T03:17:53.605-08:00
se convierte a época con -08:00 que indica la zona horariaEn el ejemplo no estructurado, la zona horaria de la configuración se utilizará para calcular la época
"__log_host__" - Nombre de host en el mensaje syslog
En los ejemplos,
R1
denota el nombre de host
"__log_application_name__": nombre de la aplicación en el mensaje syslog
En los ejemplos,
mib2d
es el nombre de la aplicación
"__log_application_process_id__" - ID de proceso de aplicación en el mensaje syslog
En los ejemplos,
28633
es el ID
"__log_message_payload__" - Carga útil en el mensaje
Ejemplo estructurado -
“SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”
Ejemplo no estructurado -
“SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”
"Id. de evento": indica el identificador de evento configurado en el patrón.
En los ejemplos,
SNMP_TRAP_LINK_DOWN
es el identificador de evento
Asegúrese de no definir ningún campo nuevo con un nombre ya definido anteriormente.
Notas de uso
Si agrega un dispositivo en Paragon Insights utilizando su dirección IP (y la dirección no es el nombre de host real del dispositivo), también debe agregar el nombre de host del dispositivo en el campo Nombres de host de Syslog .
Varios grupos de dispositivos pueden escuchar mensajes syslog utilizando el mismo puerto.
Al procesar mensajes estructurados, no se tiene en cuenta una zona horaria configurada, ya que los propios mensajes incluyen la zona horaria.
Actualmente no se admite el horario de verano.
Elementos de configuración opcionales
- Configurar puertos Syslog
- Configurar la zona horaria de un dispositivo
- Configurar varias direcciones IP de origen para un dispositivo
- Configurar alias de nombre de host para un dispositivo
- Syslog - Configuración del dispositivo
Configurar puertos Syslog
De forma predeterminada, Paragon Insights escucha los mensajes syslog de todos los grupos de dispositivos en el puerto UDP 514. Puede cambiar el puerto syslog de nivel del sistema, así como configurar uno o más puertos por grupo de dispositivos. La configuración de grupo de dispositivos más específica tiene prioridad sobre la configuración de nivel de sistema.
Para cambiar el puerto syslog de nivel de sistema:
Haga clic en Configuración > Ingesta en la barra de navegación izquierda.
Seleccione la pestaña Syslog en la página Configuración de ingesta.
En la página Syslog, edite el número de puerto.
Haga clic en Guardar e implementar.
Para configurar un puerto syslog para un grupo de dispositivos:
Vaya a la página Configuración > grupo de dispositivos y haga clic en el nombre de un grupo de dispositivos.
Haga clic en el icono Editar (lápiz).
En la ventana emergente, introduzca los puertos en el campo Puertos syslog .
Haga clic en Guardar e implementar.
Configurar la zona horaria de un dispositivo
Cuando un dispositivo exporta mensajes syslog estructurados, la información de zona horaria se incluye dentro del mensaje. Sin embargo, los mensajes syslog no estructurados no incluyen información de zona horaria. De forma predeterminada, Paragon Insights utiliza GMT como zona horaria de un dispositivo. En estos casos, puede asignar una zona horaria a un dispositivo o grupo de dispositivos dentro de Paragon Insights.
Para configurar la zona horaria de un dispositivo a nivel de grupo de dispositivos:
Vaya a la página Configuración > grupo de dispositivos y haga clic en el nombre de un grupo de dispositivos.
Haga clic en el icono Editar (lápiz).
En la ventana emergente, introduzca un valor en el campo Zona horaria , por ejemplo -05:00.
Para configurar la zona horaria de un dispositivo a nivel de dispositivo:
Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.
Haga clic en el icono Editar (lápiz).
En la ventana emergente, introduzca un valor en el campo Zona horaria , por ejemplo -05:00.
La configuración de dispositivo más específica tiene prioridad sobre la configuración de grupo de dispositivos.
Configurar varias direcciones IP de origen para un dispositivo
En los casos en que los mensajes syslog lleguen de un dispositivo utilizando una dirección IP de origen diferente a la configurada originalmente en la GUI de Paragon Insights, puede agregar direcciones IP de origen adicionales.
Para admitir direcciones IP de origen adicionales:
Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.
Haga clic en el icono Editar (lápiz).
En la ventana emergente, introduzca la(s) dirección(es) IP(s) en el campo Syslog Source IPs .
Configurar alias de nombre de host para un dispositivo
Cuando un dispositivo tiene más de un nombre de host, como un dispositivo con RE duales, los mensajes syslog pueden llegar al servidor de Paragon Insights con un nombre de host que no es el nombre de host principal del dispositivo. En estos casos, puede agregar alias de nombre de host para ese dispositivo.
Si agrega un dispositivo en Paragon Insights utilizando su dirección IP, también debe agregar el nombre de host que aparecerá en los mensajes syslog.
Para configurar alias de nombre de host adicionales:
Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.
Haga clic en el icono Editar (lápiz).
En la ventana emergente, introduzca los nombres de host en el campo Nombres de host de Syslog .
Syslog - Configuración del dispositivo
Syslog requiere que tenga al menos los siguientes elementos de configuración comprometidos en su(s) dispositivo(s), además de
Versión de Junos OS: Cualquier versión
Configuración requerida:
set system syslog host 110.1x.x0.1 any any set system syslog host 10.1x.x0.1 allow-duplicates set system syslog host 10.1x.x0.1 structured-data
## 10.1x.x0.1 = Servidor de Paragon Insights
Ejemplo: Creación de una regla mediante la ingesta de syslog
Para ilustrar cómo configurar y usar un sensor syslog, considere un escenario en el que desee:
Supervisar el estado operativo de la interfaz
Utilice dos eventos syslog, uno estructurado y otro no estructurado
PSEUDO_FPC_DOWN
Usar una regla con un desencadenador para indicar cuándo se cae la interfaz
Para implementar este escenario, deberá completar las siguientes actividades:
El flujo de trabajo es el siguiente:
CONFIGURAR DISPOSITIVOS DE RED
En este ejemplo, se supone que ya ha agregado sus dispositivos a Paragon Insights y los ha asignado a un grupo de dispositivos.
Agregar configuración de Syslog al dispositivo de red
Si aún no lo ha hecho, configure sus dispositivos de red para enviar datos syslog a Paragon Insights. La configuración de dispositivo de ejemplo de la sección anterior se repite aquí:
set system syslog host 10.1x.x0.1 any any set system syslog host 10.1x.x0.1 allow-duplicates set system syslog host 10.1x.x0.1 structured-data
## 10.1x.x0.1 = Servidor de Paragon Insights
CONFIGURAR LA INGESTA DE SYSLOG
- Configurar patrones de eventos
- Clonar un patrón de eventos syslog existente
- Agregar patrones a un conjunto de patrones
- Clonar un conjunto de patrones de syslog existente
- Configurar patrón de encabezado
Configurar patrones de eventos
Un patrón de evento es una configuración para supervisar algún evento syslog; Puede crear un patrón para cada evento que desee supervisar. En este ejemplo se utilizan patrones para supervisar cuatro eventos syslog (dos estructurados y dos no estructurados).
Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.
En la GUI de Paragon Insights, haga clic en Configuración > Ingesta en la barra de navegación izquierda.
Seleccione la pestaña Syslog en la página Configuración de ingesta.
En la página Syslog, haga clic en el icono más (+).
En la ventana emergente que aparece, introduzca los siguientes parámetros para el primer patrón, denominado snmp-if-link-down:
Haga clic en Guardar e implementar.
Haga clic en el icono más (+) una vez más e introduzca los siguientes parámetros para el segundo patrón, denominado fpc-offline:
Nota:El valor completo introducido en el campo Filtro es fpc%{NUMBER:fpc} Marcando puertos %{WORD:port-status}
Haga clic en Guardar e implementar. En la página Syslog debería ver los dos patrones que acaba de crear.
Notas de uso de los patrones
Para syslog estructurado:
El identificador de evento (SNMP_TRAP_LINK_DOWN) hace referencia al nombre del evento que se encuentra en los mensajes syslog.
Los campos son opcionales para los mensajes syslog estructurados; Si no configura campos, los nombres de atributo del mensaje se tratarán como nombres de campo.
En este ejemplo, sin embargo, tenemos campos definidos por el usuario:
Los nombres de campo (if-name, snmp-index) están definidos por el usuario.
El valor de nombre de interfaz de campo es un atributo del mensaje syslog, por ejemplo,
ge-0/3/1.0
; este campo se renombra como if-nameEl valor del campo snmp-interface-index es un atributo del mensaje syslog, por ejemplo,
ifIndex 539
; este campo se renombra como snmp-indexEl campo snmp-interface-index aquí se define como un número entero; De forma predeterminada, los campos extraídos de un mensaje syslog son de tipo cadena, sin embargo, escriba integer lo cambia para tratar el valor como un entero
La sección de constantes es opcional, en este ejemplo, tenemos constantes definidas por el usuario.
El nombre constante ifOperStatus está definido por el usuario; En este caso tiene el valor entero de '2'
La configuración del filtro es opcional para un syslog estructurado, aunque puede hacerlo si lo desea; Si se utilizan, los campos generados por el filtro anularán los campos incluidos en el mensaje syslog.
La sección de campos clave es opcional; de forma predeterminada, el nombre de host y el ID del evento serán las claves utilizadas por Paragon Insights; agregue campos clave adicionales aquí; En este ejemplo, tenemos campos clave, es decir, nombre-interfaz, donde el nombre y el valor se extraen del par atributo-valor del mensaje syslog
Para syslog no estructurado:
El identificador de evento está definido por el usuario, este caso PSEUDO_FPC_DOWN
Por ejemplo, ni el syslog
Nov 22 02:27:05 R1 fpc1 Marking ports down
no estructurado ni su homólogo<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down
estructurado incluyen un identificador de evento
Se debe usar un filtro para derivar campos (a diferencia del syslog estructurado adecuado); en este ejemplo se utiliza
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}
, donde fpc se convierte en el nombre del campo y NUMBER denota la sintaxis utilizada para extraer los caracteres de esa parte concreta del mensaje, por ejemplo "2"Un ejemplo de un mensaje syslog que coincide con el filtro grok es "fpc2 Marking ports down"
Estado de FPC constante: tiene el valor de cadena 'En línea'
En cuanto a los filtros:
De forma predeterminada, en un patrón, los valores de campo y constante son una cadena; Para tratarlo como un entero o flotante, defina el tipo de campo del patrón como entero o flotante
Para patrones no estructurados, debe configurar un filtro, ya que los mensajes se envían esencialmente como texto sin formato y no incluyen información de campo por sí solos
Los filtros siempre deben escribirse para que coincidan con la parte del mensaje después del ID del evento; Esto permite que el filtro analice un mensaje syslog independientemente de si llega en formato estructurado o no estructurado
Por ejemplo, el filtro
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}
coincide con ambas versiones del siguiente mensaje syslog:Estructurado:
<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down
Desestructurado:
Nov 22 02:27:05 R1 fpc1 Marking ports down
Clonar un patrón de eventos syslog existente
A partir de Paragon Insights versión 4.0.0, puede clonar un patrón Syslog existente.
Para clonar un patrón de eventos de Syslog existente:
Haga clic en Configuración > Ingesta en la barra de navegación izquierda.
Se muestra la página Configuración de ingesta .
Haga clic en la ficha Syslog para ver la página Syslog .
Haga clic para expandir la sección Patrón de eventos en la página Configuración de syslog para ver los patrones de eventos syslog existentes.
Para clonar un patrón para Paragon Insights versión 4.0.0 y 4.1.0, haga clic en el icono Clonar .
Para clonar una plantilla concreta para Paragon Insights versión 4.2.0 y posteriores, seleccione el botón de opción situado junto al nombre de la plantilla y haga clic en Clonar.
Se muestra la página Patrón de clonación: <name of syslog pattern> .
Desde la página Patrón de clonación: <name of syslog pattern>, puedes
Editar campos existentes
Agregar nuevos campos o constantes
Agregar o quitar campos clave
Haga clic en Guardar para guardar la configuración y clonar el patrón syslog.
Como alternativa, haga clic en Guardar e implementar para guardar la configuración, clonar el patrón syslog e implementar el patrón.
Agregar patrones a un conjunto de patrones
Con los patrones configurados, agrúpelos en un conjunto de patrones.
En la página Syslog, haga clic para expandir la sección Conjunto de patrones y haga clic en el icono más (+).
En la ventana emergente que aparece, introduzca los siguientes parámetros:
Haga clic en Guardar e implementar. En la página Syslog debería ver el conjunto de patrones que acaba de crear.
Clonar un conjunto de patrones de syslog existente
A partir de Paragon Insights versión 4.0.0, puede clonar un conjunto de patrones de Syslog existente.
Para clonar un conjunto de patrones de Syslog existente:
Haga clic en Configuración > Ingesta en la barra de navegación izquierda.
Se muestra la página Configuración de ingesta .
Haga clic en la ficha Syslog para ver la página Syslog .
Haga clic para expandir la sección Conjunto de patrones en la página Syslog para ver los conjuntos de patrones syslog existentes.
Para clonar un conjunto de patrones para Paragon Insights versión 4.0.0 y 4.1.0, haga clic en el icono Clonar .
Para clonar una plantilla concreta para Paragon Insights versión 4.2.0 y posteriores, seleccione el botón de opción situado junto al nombre de la plantilla y haga clic en Clonar.
Se muestra la página Clone Pattern-set: <name of pattern-set> .
Desde la página Clone Pattern-set: <name of pattern-set> , puede
Editar los campos de nombre y descripción
Agregar o quitar patrones del campo Patrones.
Haga clic en Guardar para guardar la configuración y clonar el conjunto de patrones syslog.
Como alternativa, haga clic en Guardar e implementar para guardar la configuración, clonar el conjunto de patrones syslog e implementar el conjunto de patrones.
Configurar patrón de encabezado
A partir de Paragon Insights versión 4.0.0, puede configurar el patrón para analizar la parte del encabezado de un mensaje syslog. Con esta versión, se admiten mensajes syslog no estructurados de dispositivos que no son de Juniper. En versiones anteriores, solo puede analizar la parte de carga de un mensaje syslog estructurado como se especifica en el estándar RFC 5424 o el mensaje syslog no estructurado de un dispositivo Juniper.
En general, se supone que cualquier mensaje syslog no estructurado coincide con el patrón de mensajes syslog de Juniper. Por ejemplo, no tiene que configurar un patrón de encabezado de Juniper, ya que este patrón está incorporado en Paragon Insights. Sin embargo, en el caso de un mensaje syslog no estructurado de un dispositivo que no sea de Juniper que no coincida con el patrón incorporado, se realiza una primera coincidencia con uno de los patrones de encabezado configurados por el usuario. Después de una coincidencia exitosa, se extraen los campos. Cuando no hay coincidencia, se elimina el mensaje syslog entrante.
Para configurar un patrón de encabezado:
Vaya a Configuración > Ingesta en la barra de navegación izquierda.
Se muestra la página Configuración de ingesta .
Haga clic en Syslog para ver la página Syslog .
Haga clic para expandir la sección Patrón de encabezado .
Se muestra la sección Patrón de encabezado de la página Syslog . Puede agregar un nuevo patrón de encabezado y editar o eliminar un patrón de encabezado existente de esta página.
Haga clic en el icono más (+) para agregar un nuevo encabezado.
Se muestra la página Agregar patrón de encabezado .
Escriba la siguiente información en la página Agregar patrón de encabezado .
Escriba un nombre para el patrón de encabezado en el campo Nombre .
Introduzca una descripción para el patrón de encabezado en el campo Descripción .
Por ejemplo, puede proporcionar una descripción de una línea de por qué está creando este patrón de encabezado.
Introduzca el filtro o la expresión regular (regex) del patrón de encabezado en el campo Filtro .
Nota:Puede utilizar regex101.com para editar, validar y modificar el patrón de filtro que desea agregar al patrón de encabezado.
Un ejemplo de un patrón de filtro es (.*):([A-Z][a-z]{2} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2}\.\d*)\s:\s([a-z]*)\[(\d*)\]:\s*(.*)\s*.
log-host, log-timestamp y log-message-payload de la sección Fields son campos obligatorios que determinan la posición del encabezado.
En la sección Campos,
Haga clic en log-host e introduzca la siguiente información.
Escriba un nombre para el host de registro en el campo Nombre .
log-host es el nombre predeterminado.
Introduzca una descripción para log-host en el campo Descripción .
La descripción predeterminada es Posición del nombre de host.
Introduzca el valor del grupo de captura con el prefijo $ en el campo De .
El grupo de captura determina desde qué posición del encabezado se inicia el log-host .
Haga clic en log-timestamp e introduzca la siguiente información.
Escriba un nombre para la marca de tiempo del registro en el campo Nombre .
log-timestamp es el nombre predeterminado.
Introduzca una descripción para la marca de tiempo del registro en el campo Descripción .
La descripción predeterminada es Posición de la marca de tiempo.
Introduzca el valor del grupo de captura con el prefijo $ en el campo De .
El grupo de captura determina desde qué posición del encabezado se inicia la marca de tiempo del registro .
Nota:Asegúrese de que el formato de marca de tiempo sigue este formato de marca de tiempo de ejemplo: "
Jan _2 15:04:05 2006
". De lo contrario, el análisis de los mensajes syslog dará lugar a un comportamiento indefinido.Haga clic en log-message-payload e introduzca la siguiente información.
Escriba un nombre para la carga del mensaje de registro en el campo Nombre .
log-message-payload es el nombre predeterminado.
Introduzca una descripción para log-message-payload en el campo Descripción .
La descripción predeterminada es Posición de la carga útil.
Introduzca el valor del grupo de captura con el prefijo $ en el campo De .
El grupo de captura determina desde qué posición del encabezado se inicia la carga de mensajes de registro .
(Opcional) Haga clic en el icono más (+) para agregar un nuevo campo.
Escriba un nombre para el nuevo campo en el campo Nombre .
Introduzca una descripción para el nuevo campo en el campo Descripción .
Introduzca el valor del grupo de captura con el prefijo $ en el campo De .
El grupo de captura determina desde qué posición del encabezado comienza el nuevo campo.
Puede agregar uno o más de un campo haciendo clic en el icono más (+).
Escriba los nombres de los campos clave en el cuadro de texto Campos clave .
Haga clic en Guardar para guardar la configuración o haga clic en Guardar e implementar para guardar e implementar inmediatamente la configuración.
Como alternativa, para cancelar la configuración, haga clic en Cancelar.
Editar un patrón de encabezado existente
Para editar un patrón de encabezado ya configurado:
Vaya a Configuración > Ingesta en la barra de navegación izquierda.
Se muestra la página Configuración de ingesta .
Haga clic en Syslog para ver la página Syslog .
Haga clic para expandir la sección Patrón de encabezado .
Se muestra la sección Patrón de encabezado de la página Configuración de Syslog .
Seleccione el patrón de encabezado que desea editar activando la casilla situada junto al nombre del patrón de encabezado y haga clic en el icono Editar (lápiz).
Se muestra la página Editar patrón Header Name de encabezado.
Después de editar los campos obligatorios, haga clic en Guardar para guardar la configuración.
También puede hacer clic en Guardar e implementar para guardar e implementar inmediatamente la configuración editada.
CREAR REGLA, APLICAR MANUAL
- Configurar una regla mediante el sensor syslog
- Agregar la regla a un manual
- Aplicar el Manual de estrategias a un grupo de dispositivos
Configurar una regla mediante el sensor syslog
Una vez completada la configuración de ingesta de syslog, ahora puede crear una regla utilizando syslog como sensor.
Esta regla incluye tres elementos:
Un sensor syslog
Cuatro campos que capturan datos de interés
Un desencadenador que indica cuándo se cae la interfaz
Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.
Haga clic en Configuración > Reglas en la barra de navegación izquierda.
En la página Reglas, haga clic en el botón + Agregar regla .
En la página que aparece, en la fila superior de la ventana de reglas, establezca el nombre de la regla. En este ejemplo, es check-interface-status.
Agregue una descripción y una sinopsis si lo desea.
Haga clic en el botón + Agregar sensor e introduzca los siguientes parámetros en la ficha Sensores:
Ahora vaya a la pestaña Campos, haga clic en el botón + Agregar campo e ingrese los siguientes parámetros para configurar el primer campo, llamado event-id:
Vuelva a hacer clic en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el segundo campo, denominado fpc-slot:
Vuelva a hacer clic en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el tercer campo, denominado if-name:
Haga clic en el botón + Agregar campo una vez más e ingrese los siguientes parámetros para configurar el cuarto campo, llamado snmp-index:
Ahora vaya a la pestaña Disparadores, haga clic en el botón + Agregar desencadenador e ingrese los siguientes parámetros para configurar un desencadenador llamado enlace hacia abajo:
En la parte superior derecha de la ventana, haga clic en el botón + Guardar e implementar .
Notas de uso de la regla
Ficha Sensor
El nombre del sensor if-status-sensor está definido por el usuario
El tipo de sensor es syslog
Conjunto de patrones check-interface-status: referencia al conjunto de patrones configurado anteriormente
Si no se establece, el valor predeterminado del período de retención máximo es 1s
Pestaña Campos
Se definen cuatro campos; Aunque los patrones capturan más de cuatro campos de datos, este ejemplo define cuatro campos de interés aquí; Estos campos se utilizan en la configuración del desencadenador
Los nombres de campo (event-id, fpc-slot, if-name, snmp-index) están definidos por el usuario
path event-id - campo predeterminado creado por syslog ingest en la tabla raw; Hace referencia al campo desde la configuración del patrón
Path FPC: hace referencia al valor del filtro utilizado en la configuración de patrón no estructurado
path if-name : hace referencia al campo desde la configuración del patrón
Datos si faltan todas las interfaces : si el valor if-name no está incluido en el mensaje syslog, utilice el valor de cadena "all interfaces"
path snmp-index: hace referencia al campo desde la configuración del patrón
Pestaña Disparadores
El vínculo hacia abajo del nombre del desencadenador está definido por el usuario
frecuencia 2s : Paragon Insights comprueba si hay mensajes syslog con vínculos caídos cada 2 segundos
El término es-link-down - cuando $event-id es como SNMP_TRAP_LINK_DOWN, en cualquier mensaje syslog en los últimos 300 segundos, haga rojo y muestre el mensaje Enlace hacia abajo para $if-name(snmp-id: $snmp-index)
$event-id: $ indica que se debe hacer referencia al campo de regla event-id
Enlace hacia abajo para $if-name (snmp-id: $snmp-index), por ejemplo, "Enlace hacia abajo para ge-2/0/0 de FPC 2"
$if-name : hace referencia al valor del campo, es decir, al nombre de la interfaz en el mensaje syslog.
term is-fpc-down - cuando $event-id es como PSEUDO_FPC_DOWN, en cualquier mensaje syslog en los últimos 300 segundos, haga rojo y muestre el mensaje Enlace hacia abajo para $if-name de FPC$fpc-slot
$event-id: $ indica que se debe hacer referencia al campo de regla event-id
$if-name - "todas las interfaces"
Enlace hacia abajo para $if nombre de la ranura FPC$fpc, por ejemplo, "Vínculo hacia abajo para todas las interfaces de FPC 2"
Agregar la regla a un manual
Con la regla creada, ahora puede agregarla a un libro de estrategias. En este ejemplo, cree un nuevo manual para contener la nueva regla.
Haga clic en Configuración > Playbooks en la barra de navegación izquierda.
En la página Playbooks, haga clic en el botón + Crear playbook .
En la página que aparece, introduzca los siguientes parámetros:
Haga clic en Guardar e implementar.
Aplicar el Manual de estrategias a un grupo de dispositivos
Para utilizar el manual, aplíquelo a un grupo de dispositivos.
En la página Playbooks, haga clic en el icono Apply (Airplane) (Avión) para el playbook check-interface-status .
En la página que aparece:
Escriba un nombre
Seleccione el grupo de dispositivos deseado
Haga clic en Ejecutar instancia
En la página Playbooks, confirme que la instancia de Playbook se está ejecutando. Tenga en cuenta que el libro de estrategias puede tardar algún tiempo en activarse.
Monitorear los dispositivos
Con el libro de estrategias aplicado, puede comenzar a monitorear los dispositivos.
Haga clic en Supervisar > estado del grupo de dispositivos en la barra de navegación izquierda y seleccione el grupo de dispositivos al que aplicó el manual en el menú desplegable Grupo de dispositivos .
Seleccione uno o más de los dispositivos que desea supervisar.
En la vista de mosaico, el mosaico etiquetado como externo contiene los parámetros de la regla que configuró anteriormente.
Para este ejemplo, dado que el desencadenador de regla no incluye un término "verde", el estado se mostrará en rojo cuando haya un problema y, de lo contrario, se mostrará gris (sin datos).
Captura SNMP y notificaciones de información
Paragon Insights versión 4.0.0 admite notificaciones de información y captura enviadas por dispositivos en la red para la administración de fallos. Las capturas e informes son notificaciones sobre cambios de estado en la red que se envían entre el administrador SNMP (Paragon Insights) y los agentes SNMP (dispositivos), en los que Paragon Insights realiza evaluaciones de desencadenadores. Paragon Insights procesa las capturas e informa desde el dispositivo configurado solo si se está ejecutando un libro de estrategias que contenga una regla de notificación SNMP para el dispositivo especificado. En todos los demás casos, el Administrador SNMP elimina el mensaje de captura o informe.
En las siguientes secciones se describen los términos relevantes, la configuración de las capturas e información a través de la CLI, la configuración de puertos y el estado de acceso de las capturas SNMP mediante la CLI.
Las notificaciones de captura SNMP son compatibles con SNMPv2c y SNMPv3. Los mensajes de información SNMP solo se admiten cuando se utiliza el protocolo SNMPv3.
Glosario
Los siguientes términos se utilizan al describir procesos o conceptos relacionados con las capturas e informes SNMP.
Agente autoritativo : en las transacciones SNMPv3 entre dos entidades (agente y administrador), el flujo de envío de notificaciones se controla mediante autenticación y privacidad, que son características únicas de SNMPv3. La autenticación identifica y verifica el origen de un mensaje SNMPv3. La función de privacidad evita que los analizadores de paquetes husmeen el contenido de los mensajes cifrándolos.
La entidad que controla el flujo de notificaciones se conoce como agente autoritativo. En SNMPv3, la entidad no autoritativa debe conocer al <Engine ID> agente autorizado para que la comunicación sea correcta.
Capturas o mensajes de captura : una captura es una notificación no confirmada enviada desde un agente SNMP al administrador SNMP. En los mensajes de captura, el agente SNMP es el agente autoritativo. El administrador debe configurar SNMP v3 <user> (distinto de los usuarios locales de IAM) y <Context Engine ID> en el dispositivo que envía los mensajes de captura. Para las capturas, el <Context Engine ID> se establece en el Engine ID que identifica de forma exclusiva el agente SNMP.
Informa o informa mensajes : un informe es también una notificación enviada desde un agente SNMP al gestor SNMP. En los mensajes de información, el administrador SNMP es el agente autorizado. La configuración se realiza en el dispositivo que necesita enviar mensajes informados, con los detalles del agente autoritativo remoto, administrador SNMP. El administrador debe configurar el <user> que se encuentra en el administrador SNMP remoto.
ID de motor : <Engine ID> es un hexadecimal generado para un agente determinado que identifica de forma exclusiva al agente SNMP y debe ser único en un dominio administrativo determinado. También debe ser persistente en los reinicios o actualizaciones.
ID del motor de seguridad : es un parámetro de seguridad en la comunicación SNMP entre el agente y el administrador. Por lo general, se establece en el <Engine ID> del agente autorizado involucrado. Un mensaje de captura tiene dos partes: un encabezado y una unidad de datos de protocolo (PDU) de captura. El encabezado contiene el <Security Engine ID> y un <username> conjunto en la configuración de interrupción. Cuando un agente envía una interrupción, estos parámetros en el encabezado de la captura se comprueban con los detalles almacenados en la tabla USM. La trampa se procesa aún más solo cuando hay una coincidencia.
ID del motor de contexto : <Context Engine ID> forma parte de una PDU de captura. Identifica de forma exclusiva un dispositivo que ha enviado el mensaje de captura original. <Context Engine ID> y <Security Engine ID> son idénticos en la mayoría de los casos.
Tabla USM — Los administradores SNMP que reciben las capturas deben mantener la tabla USM (User-based Security Model) que tiene <Security Engine ID> y <username> como clave para verificar el origen de los mensajes de captura.
Dirección IP virtual para proxy SNMP : Paragon Insights se implementa como una aplicación de Kubernetes y utiliza equilibradores de carga que exponen direcciones IP virtuales a entidades externas. Cuando los mensajes se enrutan a través del equilibrador de carga, la dirección IP de origen del mensaje de captura se establecerá en la dirección IP del equilibrador de carga.
El equilibrador de carga tiene la opción de conservar la dirección IP de origen si asigna una dirección IP virtual exclusiva para servicios que requieren que se conserve la dirección IP de origen de los agentes SNMP. Dado que en las notificaciones SNMP, la dirección IP de origen es necesaria para analizar el mensaje, se debe asignar una IP virtual exclusiva para el proxy SNMP. Es necesario configurar la misma IP virtual en el dispositivo o grupos de dispositivos que la dirección de destino.
Eventos como la solapa de la interfaz en la red pueden crear múltiples notificaciones de información o captura. Para determinar el orden de las notificaciones, Paragon Insights debe capturar la marca de tiempo de los dispositivos que envían notificaciones SNMP en nanosegundos. Sin embargo, el protocolo SNMP registra la marca de tiempo del dispositivo (en segundos) a medida que las notificaciones llegan a Paragon Insights. Como las notificaciones SNMP se envían a través de UDP, tampoco hay garantía del orden de las notificaciones SNMP.
Para que pueda capturar el orden de las notificaciones SNMP, se analizan los siguientes campos desde el encabezado SNMP de los paquetes de notificación.
ID del mensaje: Los dispositivos lo utilizan para identificar el mensaje SNMP y hacer coincidir las respuestas con el mensaje. El ID del mensaje se puede encontrar en el encabezado SNMP.
Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __msg_id__ de acceso de un campo para recopilar el ID del mensaje.
ID de solicitud: se utiliza para identificar la unidad de datos del protocolo SNMP (PDU). El ID de solicitud se puede encontrar en la trampa o informar a PDU.
Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __req_id__ de acceso de un campo para recopilar el ID de solicitud.
Versión SNMP: identifica el número de versión de la notificación SNMP (2 o 3).
Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __version__ de acceso de un campo para recopilar el número de versión.
Tipo de PDU SNMP: identifica el tipo de notificación SNMP (captura v2c o solicitud de información).
Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __pdu_type__ de acceso de un campo para recopilar el tipo de PDU.
Los datos de campo de tipo PDU SNMP capturados en la base de datos de series temporales muestran v2c para todas las notificaciones de captura SNMP. Puede comprobar el número de versión para determinar si la captura se genera mediante SNMP v2c o SNMP v3.
Configuraciones
En las secciones siguientes se detalla cómo:
- Buscar el ID del motor
- Configuraciones de captura
- SNMPv3 Informar configuraciones
- Configuración de puertos
- Configuración de reglas
Buscar el ID del motor
Dependiendo de si configura dispositivos para enviar notificaciones de captura o de informe, primero debe encontrar el <Engine ID> del agente SNMP. Puede consultar los siguientes comandos de ejemplo para encontrar el ID del motor en los dispositivos Junos.
El comando de la CLI que se va a buscar <Engine ID> varía de un proveedor a otro.
Para buscar los <Engine ID> agentes SNMP (dispositivos) que son plataformas basadas en Junos, escriba el siguiente comando en la CLI.
show snmp v3 engine-id
Recibirá una salida HEX como dispositivo <Engine ID>.
Configuraciones de captura
Puede configurar un dispositivo para enviar notificaciones de captura mediante SNMPv2c y SNMPv3.
La dirección IP de origen debe ser única en todos los dispositivos, ya que identifica de forma única el dispositivo. La dirección IP de origen solo se puede configurar en dispositivo, mientras que el nombre de comunidad se puede configurar en dispositivo y grupo de dispositivos.
En Paragon Insights, las configuraciones de ingesta y captura SNMPv2c y SNMPv3 comparten el mismo flujo de trabajo.
Para configurar las notificaciones de captura SNMP en el nivel de dispositivo:
Haga clic en la opción Configuración > dispositivo en la barra de navegación izquierda.
Haga clic en el botón Agregar dispositivo (+).
Introduzca los valores necesarios en los cuadros de texto y seleccione las opciones adecuadas para el dispositivo.
En la tabla siguiente se describen los atributos de la ventana Agregar un dispositivo :
Tabla 5: Agregar detalles de página de dispositivo (s) Atributos
Descripción
Nombre
Nombre del dispositivo. El valor predeterminado es el nombre de host. (Requerido)
Nombre de host / Dirección IP / Rango
Nombre de host o dirección IP de un solo dispositivo. Si proporciona un intervalo de direcciones IP, escriba la dirección IP del dispositivo que marca el inicio y el final del intervalo de direcciones. (Requerido)
SNMP
Número de puerto SNMP
Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161.
Versión SNMP
Seleccione v2c o v3 en el menú desplegable.
Comunidad SNMP
Este campo aparece si seleccionó v2c en el campo Versión SNMP .
Introduzca una cadena de comunidad SNMP si configura SNMPv2c para las notificaciones de captura.
En SNMPv2c, la cadena Community se usa para comprobar la autenticidad del mensaje de captura emitido por el agente SNMP (dispositivos como enrutadores, conmutadores, servidores, etc.).
Nombre de usuario SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Introduzca un nombre de usuario para las notificaciones de capturas.
Autenticación Ninguna
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Active esta opción si desea establecer la autenticación SNMPv3 en Ninguno.
Protocolo Ninguno
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Active esta opción activada si desea establecer el protocolo SNMPv3 en Ninguno.
Protocolo de autenticación SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Autenticación ninguna.
Seleccione un protocolo de autenticación en el menú desplegable.
El protocolo de autenticación SNMP aplica un algoritmo hash al SNMP username con la frase de contraseña que ingresa. La salida con hash se envía junto con el mensaje de notificación de captura. Paragon Insights vuelve a aplicar un hash con username la frase de contraseña que ingresó para la autenticación. Si el resultado coincide, la notificación de captura se procesa aún más.
Frase de contraseña de autenticación SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.
Introduzca una frase de contraseña para la autenticación SNMPv3.
Protocolo de privacidad SNMPv3
Seleccione un protocolo de privacidad en el menú desplegable.
El algoritmo de privacidad cifra el mensaje de notificación de captura con la frase de contraseña de protocolo para que una aplicación no autorizada en la red no pueda leer el mensaje.
Contraseña de privacidad SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.
Introduzca una frase de contraseña para cifrar la notificación de captura.
ID del motor de contexto
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
El Engine ID debe establecerse en engine-id del agente SNMP.
Dirección IP de origen
Introduzca el source IP address del dispositivo.
Este campo es obligatorio para las capturas SNMPv2c y opcional para las capturas e informes SNMPv3.
Si utiliza NAT o un proxy SNMP, la dirección IP virtual que configure para el proxy SNMP debe establecerse como dirección IP de origen.
Para establecer la dirección IP virtual para el proxy SNMP, vaya a Configuración > implementación en la barra de navegación izquierda. En la página Loadbalancer, ingrese la dirección IP virtual y haga clic en el botón Guardar e implementar .
Haga clic en Guardar para confirmar la configuración o haga clic en Guardar e implementar para implementar la configuración en Paragon Insights.
Para configurar las notificaciones de captura SNMP en el nivel de grupo de dispositivos:
Haga clic en la opción Configuración > grupo de dispositivos en la barra de navegación izquierda.
Haga clic en el botón Agregar grupo (+).
Introduzca los valores necesarios en los cuadros de texto y seleccione las opciones adecuadas para el grupo de dispositivos.
En la tabla siguiente se describen los atributos de la ventana Agregar un grupo de dispositivos :
Tabla 6: Agregar detalles de página de grupo de dispositivos Atributos
Descripción
Nombre
Nombre del grupo de dispositivos. (Requerido)
Descripción
Descripción del grupo de dispositivos.
Dispositivos
Agregue dispositivos al grupo de dispositivos desde la lista desplegable. (Requerido)
A partir de Paragon Insights versión 4.0.0, puede agregar más de 50 dispositivos por grupo de dispositivos. Sin embargo, la escala real del número de dispositivos que puede agregar depende de los recursos del sistema disponibles.
Por ejemplo, considere que desea crear un grupo de dispositivos de 120 dispositivos. En versiones anteriores a la versión 4.0.0, se recomienda crear tres grupos de dispositivos de 50, 50 y 20 dispositivos respectivamente. Con Paragon Insights versión 4.0.0, solo puede crear un grupo de dispositivos.
SNMP
Número de puerto SNMP
Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161.
Versión SNMP
Seleccione v2c o v3 en el menú desplegable.
Si selecciona v2c, aparecerá el campo Nombre de comunidad SNMP . La cadena utilizada en la autenticación v2c se establece en public de forma predeterminada. Se recomienda que los usuarios cambien la cadena de comunidad.
Si selecciona v3, se le da la opción de establecer el nombre de usuario, los métodos de autenticación y privacidad, y los secretos de autenticación y privacidad.
Puertos de notificación
Introduzca los puertos de notificación separados por comas.
Paragon Insights escucha estas capturas en estos puertos de notificación e informa los mensajes de notificación de los grupos de dispositivos.
Comunidad SNMP
Este campo aparece si seleccionó v2c en el campo Versión SNMP .
Escriba una cadena de comunidad SNMP si configura SNMPv2c para capturas e ingesta.
En SNMPv2c, la cadena Community se utiliza para comprobar la autenticidad de los mensajes de notificación de captura emitidos por el agente SNMP.
Nombre de usuario SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Introduzca un nombre de usuario para las notificaciones de capturas.
La configuración de USM configurada en grupos de dispositivos se comparte entre dispositivos configurados en el mismo grupo de dispositivos.
Autenticación Ninguna
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Active esta opción si desea establecer la autenticación SNMPv3 en Ninguno.
Privacidad Ninguna
Este campo aparece si seleccionó v3 en el campo Versión SNMP .
Active esta opción en si desea establecer el protocolo de privacidad SNMPv3 en Ninguno.
Protocolo de autenticación SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Autenticación ninguna.
Seleccione un protocolo de autenticación en el menú desplegable.
El protocolo de autenticación SNMP aplica un algoritmo hash al SNMP username con la frase de contraseña que ingresa. La salida con hash se envía junto con el mensaje de notificación de captura. Paragon Insights vuelve a aplicar un hash con username la frase de contraseña que ingresó para la autenticación. Si el resultado coincide, la notificación de captura se procesa aún más.
Frase de contraseña de autenticación SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.
Introduzca una frase de contraseña para la autenticación SNMPv3.
Protocolo de privacidad SNMPv3
Seleccione un protocolo de privacidad en el menú desplegable.
El algoritmo de privacidad cifra el mensaje de notificación de captura con la frase de contraseña de protocolo para que una aplicación no autorizada en la red no pueda leer el mensaje.
Contraseña de privacidad SNMPv3
Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.
Introduzca una frase de contraseña para cifrar la notificación de captura.
Configuración de registro
Notificación SNMP
Paragon Insights versión 4.0.0 admite la recopilación de datos de registro para la notificación SNMP. Puede recopilar diferentes niveles de gravedad de los registros para el servicio de notificación snmp en un grupo de dispositivos.
Use estos campos para configurar qué niveles de registro recopilar:
Global Log Level En la lista desplegable, seleccione el nivel de los mensajes de registro que desea recopilar para cada servicio de Paragon Insights en ejecución para el grupo de dispositivos. El nivel se establece en error de forma predeterminada.
Log Level for specific services Seleccione el nivel de registro en la lista desplegable para cualquier servicio específico que desee configurar de forma diferente a la opción Nivel de registro global . El nivel de registro que seleccione para un servicio específico tiene prioridad sobre la configuración de Nivel de registro global .
Haga clic en Guardar para confirmar la configuración o haga clic en Guardar e implementar para implementar la configuración en Paragon Insights. Para obtener información sobre cómo usar las tarjetas de grupo de dispositivos, consulte Supervisar el estado de los dispositivos y de la red.
SNMPv3 Informar configuraciones
Para permitir que los dispositivos envíen notificaciones informadas, debe configurar los usuarios de SNMPv3 USM.
Para crear usuarios de USM en Paragon Insights:
Vaya a Configuración > Ingerir.
Seleccione la ficha Notificación SNMP en la página Configuración de ingesta.
Haga clic en la sección Usuarios de USM .
Haga clic en el icono más (+) para agregar un usuario de USM.
En la página Agregar usuario de USM, escriba el nombre de usuario, seleccione los protocolos de autenticación y privacidad, e introduzca frases de contraseña.
Si habilitó Autenticación ninguna y Privacidad ninguna, el menú protocolo ni los campos de frase de contraseña no aparecerán.
Haga clic en Guardar para guardar solo la configuración y en Guardar e implementar para implementar la configuración en Insights.
Después de agregar usuarios de USM, puede configurar los siguientes detalles en la página Agregar dispositivos en Configuración de dispositivos o en la página Agregar grupo de dispositivos en Configuración de grupo de dispositivos.
Atributos |
Descripción |
---|---|
SNMP |
|
Número de puerto SNMP |
Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161. |
Versión SNMP |
Seleccione v3 en el menú desplegable. |
Puertos de notificación (solo grupos de dispositivos) |
Introduzca los puertos de notificación separados por comas. Paragon Insights escucha estas capturas en estos puertos de notificación e informa los mensajes de notificación de los grupos de dispositivos. |
ID del motor de contexto (solo dispositivos) |
Este campo aparece si seleccionó v3 en el campo Versión SNMP . El Engine ID debe establecerse en engine-id del agente SNMP. |
Dirección IP de origen (solo dispositivos) |
Este campo aparece si seleccionó v3 en el campo Versión SNMP . Introduzca el source-IP-address del dispositivo. Si utiliza NAT o un proxy SNMP, la dirección IP virtual que configure para el proxy SNMP debe establecerse como dirección IP de origen. Para establecer la dirección IP virtual para el proxy SNMP, vaya a Configuración > implementación en la barra de navegación izquierda. En la página Equilibrador de carga, escriba la dirección IP virtual y haga clic en Guardar e implementar. |
A partir de Paragon Insights 4.2.0, puede recopilar _device_timestamp_ como una métrica de datos sin procesar. La marca de tiempo del dispositivo (en segundos) indica el momento en que se envía la notificación de información desde un dispositivo.
El sensor SNMP captura la marca de tiempo del dispositivo para una notificación de información solo si configuró la autenticación para un mensaje de información.
Los datos de marca de tiempo del dispositivo para las notificaciones de captura SNMP son los mismos que la métrica de tiempo recibida en Paragon Insights. La marca de tiempo del dispositivo para las capturas y la métrica de tiempo para las notificaciones de captura indican la hora en que Paragon Insights recibe la notificación SNMP.
Configuración de puertos
De forma predeterminada, Paragon Insights escucha las capturas e informa en el puerto de captura SNMP estándar 162. Esto se puede cambiar si es necesario, ya sea en el nivel global, que es aplicable a todos los grupos de dispositivos, o en el nivel de grupo de dispositivos aplicable a un grupo de dispositivos específico.
El puerto configurado en la ingesta se aplicará a todos los grupos de dispositivos. Los mensajes de captura e información recibidos a través de cualquier otro puerto se descartan.
Para configurar el número de puerto en el nivel de ingesta:
Vaya a Configuración > Ingesta en la barra de navegación izquierda.
Seleccione la ficha Notificación SNMP en la página Configuración de ingesta.
En la sección Puerto , introduzca el número de puerto.
Haga clic en Guardar para guardar solo la configuración y en Guardar e implementar para implementar la configuración en Insights.
El puerto configurado en grupo de dispositivos se aplicará solo a un grupo de dispositivos específico. Las capturas e informes recibidos a través de cualquier otro puerto se descartan. Para configurar los números de puerto a nivel de grupo de dispositivos, consulte la Tabla 6.
Configuración de reglas
Una vez configurado el dispositivo para enviar capturas o notificar informaciones, debe configurar una regla en el dispositivo con captura SNMP para que Paragon Insights pueda procesar capturas desde el dispositivo. En los grupos de dispositivos, puede aplicar una instancia de playbook que tenga la regla snmp-notification. Cuando configure la notificación SNMP en cualquier regla, debe seleccionar el nombre MIB que desea supervisar. Vaya a Juniper MIBS Explorer para buscar archivos MIB para dispositivos Junos y Cisco MIBS Locator para buscar archivos MIB para dispositivos Cisco.
En el siguiente ejemplo se muestra cómo configurar una regla con notificación SNMP para enviar alertas si aparece una interfaz para el tema chassis.interfaces/ .
Se supone que ha configurado el dispositivo o grupo de dispositivos para la notificación de captura SNMP. Consulte Métodos de ingesta de modelos de extracción de Paragon Insights para configurar las notificaciones de captura SNMP en dispositivos o grupos de dispositivos.
Para configurar una regla en el tema system.trap/:
Vaya a Configuración > Reglas.
Haga clic en el botón Agregar reglas de la página Reglas.
Introduzca el nombre de la regla en el formato de tema/nombre de regla en el campo Regla y la descripción en el campo Descripción. Por ejemplo, chassis.interfaces/linkup.
Haga clic en el botón Agregar sensor en la pestaña Sensores.
Introduzca un nombre en el campo Nombre del sensor y selecciónelo SNMP Notification en el menú desplegable de Tipo de sensor.
Introduzca el nombre de la notificación en MIB-Name::Notification Name el formato.
Por ejemplo, IFMIB::linkDown.
Haga clic en el botón Agregar campo en la pestaña Campos.
Los campos de la regla de notificación SNMP se pueden derivar como se describe:
Variables (varbinds) para la captura dada.
Las variables de la captura se pueden definir como campos. En los pasos siguientes se usa el ejemplo IfAdminStatus como varbind y IF-MIB:linkDown como snmp-notification.
Introduzca IfAdminStatus el nombre del campo.
Seleccione Integer como tipo de campo.
El tipo de campo que introduzca en la GUI debe ser el mismo que el tipo definido en el archivo MIB.
Seleccione Sensor como Tipo de ingesta (campo soruce).
El Tipo de ingesta (origen de campo) debe establecerse en sensor.
Seleccione el nombre del sensor en el menú desplegable en Sensor.
El nombre del sensor es el nombre que ha introducido para el sensor de notificación SNMP.
Introduzca IfAdminStatus como ruta del sensor.
La ruta de acceso debe establecerse en el nombre de variable (varbind) definido en el archivo MIB.
Para agregar un segundo campo para IfOperStatus como variable (varbind) para una notificación snmp determinada, siga los pasos descritos aquí, pero cambie el nombre del campo y la ruta del sensor a IfOperStatus.
Haga clic en Guardar para confirmar la regla o en Guardar e implementar para implementar la regla en Paragon Insights.
Puede ver el nuevo nombre de tema y la regla en la lista de reglas existentes.
También puede configurar desencadenadores o funciones en función de los campos que agregue. Vea cómo crear una nueva regla en la interfaz gráfica de usuario como se explica en Reglas y manuales de Paragon Insights.
Debe incluir esta regla en un cuaderno de estrategias y aplicar la instancia de playbook en un dispositivo o grupo de dispositivos.
Para comprobar las nuevas notificaciones SNMP enviadas por grupos de dispositivos, inicie sesión en el servidor de Paragon Insights como usuario raíz y escriba el siguiente comando.
healthbot cli --device-group healthbot -s influxdb
Puede realizar un seguimiento de las nuevas entradas enviadas por notificaciones de captura SNMP al servidor de Paragon Insights para los campos (por ejemplo, IfAdminStatus) que configuró.