Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Métodos de ingesta del modelo push de Paragon Insights

Actualmente, Paragon Insights admite los siguientes sensores de modelo push:

GPB nativo

Los sensores nativos utilizan un modelo de datos propiedad de Juniper que utiliza búferes de protocolo de Google (GPB). El dispositivo inserta datos de telemetría (cuando está configurado) a través de UDP.

El dispositivo envía datos desde el motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea. Esto significa que los datos de telemetría se envían a través del plano de reenvío, por lo que el recopilador debe tener conectividad en banda con el dispositivo.

Para usar el formato nativo, configure el dispositivo con opciones que incluyan dónde enviar los datos de telemetría. Cuando configura Paragon Insights para comenzar a recopilar los datos, la transmisión ya fluye hacia el servidor.

Para obtener más información sobre los sensores nativos, consulte Descripción del formato de exportación de la interfaz de telemetría de Junos de los datos recopilados.

GPB nativo: configuración del dispositivo

A continuación se muestran los requisitos para utilizar el tipo de sensor GPB nativo en un dispositivo Junos OS.

  • Versión de Junos OS: 15.1 o posterior

  • Configuración necesaria: configure un perfil de sensor para cada regla relacionada relevante en Paragon Insights:

    Para configurar el puerto del servidor de streaming en la GUI de Paragon Insights:

    1. Vaya a Configuración > Ingerir.

    2. Seleccione la pestaña GPB nativo en la página Configuración de ingesta.

    3. Introduzca el número de puerto. El número de puerto debe ser el mismo que el puerto remoto configurado en el perfil del servidor de streaming.

      Puede usar el botón de alternancia para habilitar o deshabilitar el campo Puerto .

    4. Haga clic en Guardar e implementar para permitir que el sensor recopile datos en su red.

    Consulte Configuración de un sensor de interfaz de telemetría de Junos para obtener más información.

Netflow

A partir de la versión 3.0.0, Paragon Insights (anteriormente HealthBot) admite NetFlow de forma nativa como otro método de ingesta, mediante un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones. Con esta versión, Paragon Insights admite NetFlow v9 y NetFlow v10 (IPFIX).

How it Works

NetFlow es un protocolo de red para recopilar estadísticas de tráfico IP, que luego se pueden exportar a una herramienta de análisis. NetFlow está disponible en diferentes versiones, las últimas son NetFlow v9 y NetFlow v10. El formato de exportación de datos de NetFlow v9 se describe en RFC 3954; NetFlow v10 se conoce oficialmente como IPFIX y se estandariza en RFC 7011.

Los dispositivos Junos admiten la supervisión y agregación de flujo mediante estos protocolos; Junos OS toma muestras del tráfico, crea una tabla de flujo y envía los detalles de la tabla de flujo a través de un puerto UDP configurado a un recopilador, en este caso Paragon Insights. Paragon Insights recibe los datos entrantes de Netflow, los detecta automáticamente como v9 o v10 y los procesa aún más.

Como se muestra arriba, el dispositivo de red envía datos desde el motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea. Esto significa que los datos de flujo se envían a través del plano de reenvío, por lo que el recopilador debe tener conectividad en banda con el dispositivo. Para usar la opción de sensor de flujo, configure el dispositivo con opciones que incluyan dónde enviar los datos de flujo. Cuando configura Paragon Insights para comenzar a recopilar los datos, los datos de flujo ya fluyen hacia el servidor.

Plantillas de NetFlow

Cuando otros métodos de ingesta han establecido formatos de sensor y detalles de identificación, por ejemplo, rutas de referencia GPB nativas, MIB de referencia SNMP, etc., el flujo no tiene un mecanismo equivalente. En su lugar, Paragon Insights utiliza plantillas. Estas plantillas de flujo proporcionan un mecanismo para identificar y descodificar los datos de flujo entrantes antes de enviarlos para su posterior procesamiento.

Paragon Insights proporciona plantillas de flujo predefinidas para NetFlow v9 y v10 (IPFIX), o puede definir las suyas propias. Las plantillas predefinidas coinciden con las que Junos OS admite actualmente. Por ejemplo, la plantilla de Junos OS, ipv4-template, se alinea con la plantilla hb-ipfix-ipv4-templatede Paragon Insights. Para ver los campos utilizados en las plantillas de Junos OS, consulte Descripción de la supervisión de flujo activo en línea.

Nota:

En la implementación de ingesta actual para NetFlow, no se admiten los siguientes tipos de campo:

  • Campos para elementos específicos de la empresa

  • Campos de longitud variable

Procesamiento de ingesta de NetFlow

Los datos de flujo sin procesar que recibe Paragon Insights están en formato binario e ilegibles. Para que estos datos sean utilizables, Paragon Insights procesa los datos de flujo entrantes de la siguiente manera:

  • Paragon Insights escucha los datos de flujo entrantes en un puerto configurado

  • Dado que los mensajes de NetFlow no incluyen un campo que identifique el dispositivo de envío, Paragon Insights utiliza la dirección IP de origen configurada para derivar un ID de dispositivo

  • Las plantillas identifican y descodifican los datos de flujo entrantes para determinar qué campos contienen

    Los datos decodificados y normalizados resultantes ahora están en un formato legible y utilizable. Aquí hay un ejemplo de datos de flujo decodificados usando la plantilla hb-ipfix-ipv4-template:

    hb-ipfix-ipv4-template, destinationIPv4Address=192.168.48.200, destinationTransportPort=443, icmpTypeCodeIPv4=0,ingressInterface=1113, ipClassOfService=0,protocolIdentifier=6, sourceIPv4Address=172.16.235.191,sourceTransportPort=51032, bgpDestinationAsNumber=4200000000i,bgpSourceAsNumber=65000i, destinationIPv4PrefixLength=24i, dot1qCustomerVlanId=0i,dot1qVlanId=0i,egressInterface=1041i, flowEndMilliseconds=1483484591502u, flowEndReason=2i,flowStartMilliseconds=1483484577531u, ipNextHopIPv4Address="192.168.41.49", maximumTTL=120i,minimumTTL=120i,octetDeltaCount=188i, packetDeltaCount=4i,sourceIPv4PrefixLength=19i, tcpControlBits=16i,vlanId=0i 1483484642000000000

    Los datos muestran información de los mensajes de NetFlow mediante la nomenclatura según los elementos de información IPFIX. Por ejemplo, destinationIPv4Address se asigna al elemento ID 12 de la tabla de elementos.

  • A continuación, Paragon Insights realiza un etiquetado, normalización y agregación adicionales, tal como los define el usuario en la regla correspondiente.

  • Finalmente, la base de datos de series temporales, TSDB recibe los datos. Aquí es donde ocurren cosas como la evaluación de desencadenantes.

Advertencia:

Para la ingesta de NetFlujo, asegúrese de que no haya ninguna NAT de origen en las rutas de red entre el dispositivo y Paragon Insights. Si la ruta de red contiene NAT de origen, la información del dispositivo recibida no es precisa.

NetFlow - Configuración del dispositivo

Para utilizar NetFlow como método de ingesta en Paragon Insights, debe agregar configuración al dispositivo que desea supervisar para que pueda exportar datos de flujo a Paragon Insights.

En este ejemplo se incluye la plantilla IPv4 de Netflow v10; Ajuste según sea necesario para su entorno. Si aún no lo ha hecho, complete la configuración del dispositivo para enviar datos de NetFlow a Paragon Insights como se muestra a continuación.

## Configuración de la plantilla IPFIX

## Aplicar plantilla IPFIX para habilitar el muestreo de tráfico

## 10.102.70.200 = Servidor de Paragon Insights

NOTE: esta es la dirección IP del nodo Paragon Insights que recibe el tráfico de NetFlow según el campo de configuración del grupo de dispositivos de los nodos de despliegue de flujo. Esta no es la dirección IP virtual del clúster de Paragon Insights (el protocolo Netflow tiene una limitación en la recepción del tráfico mediante la dirección IP virtual).

## puerto 2055; use este valor en la GUI de Paragon Insights (configuración de grupo de dispositivos)

## inline-jflow = Habilitar monitoreo de flujo en línea para el tráfico desde la dirección designada

## 198.51.100.1 = interfaz en banda que realiza la exportación; use este valor en la GUI de Paragon Insights (configuración del dispositivo)

## Asociar la instancia de muestreo con el FPC

## Especifique qué tráfico de interfaz se va a muestrear

Ejemplo: Agregar un dispositivo en Paragon Insights, configurar Paragon Insights para NetFlow y supervisar

En el ejemplo siguiente se explica cómo:

Agregar el dispositivo en Paragon Insights

Ahora agregue el dispositivo en Paragon Insights, especificando las direcciones IP que enviarán los datos de flujo.

  1. En la GUI de Paragon Insights, haga clic en Configuración > dispositivo en la barra de navegación izquierda y haga clic en el botón Agregar dispositivo (+ Dispositivo).
  2. Haga clic en el botón + (Agregar dispositivo)
  3. En la ventana Agregar dispositivo(s) que aparece, rellene los campos correspondientes.

    Asegúrese de completar el campo IP de flujo con las direcciones IP desde las que llegarán los datos de NetFlow.

  4. Haga clic en Guardar e implementar.

Para obtener más información acerca de cómo agregar un dispositivo, consulte Agregar un dispositivo en Administrar dispositivos, grupos de dispositivos y grupos de red.

Usage Notes:

  • Los mensajes entrantes de NetFlow no incluyen un ID de dispositivo; Paragon Insights utiliza la dirección IP de origen del mensaje para derivar un ID de dispositivo

  • Al configurar este paso, utilice la dirección IP de la interfaz en banda que configuró en la configuración de la instancia de muestreo en el dispositivo.

Agregar grupo de dispositivos

Con el dispositivo agregado, ahora debe crear un grupo de dispositivos y definir el puerto de ingesta de flujo para el grupo de dispositivos.

  1. Haga clic en Configuración > grupo de dispositivos
  2. Haga clic en el botón + (Agregar grupo de dispositivos)
  3. En la ventana Agregar grupo de dispositivos que aparece, rellene los campos según corresponda. En el campo Puertos de flujo , introduzca los puertos a los que llegarán los datos de NetFlow.
    Nota:

    Si su instalación de Paragon Insights es una instalación de varios nodos que utiliza Kubernetes, también debe especificar qué nodos de Paragon Insights recibirán el tráfico de NetFlow rellenando el campo Nodos de implementación de flujo en la ventana Agregar/editar grupo de dispositivos .

  4. Haga clic en Guardar e implementar

    Usage Notes:

    • Paragon Insights escuchará los mensajes de NetFlow en este puerto para los dispositivos de este grupo.

    • Los puertos de ingesta de NetFlow configurados no pueden ser los mismos en todos los grupos de dispositivos. Debe configurar un puerto (o puertos) diferente para cada grupo.

Definir la configuración de ingesta de NetFlow: revisar plantillas predefinidas

Las plantillas de NetFlow proporcionan un mecanismo para identificar y descodificar los datos de flujo entrantes antes de enviarlos para su posterior procesamiento en Paragon Insights.

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

    Aparecerá la página Configuración de ingesta .

  2. Haga clic en la pestaña NetFlow para ver la página Configuración de NetFlow .
  3. En la página de configuración de NetFlow, revise las plantillas disponibles para usarlas en una regla.

Usage Notes:

  • Tenga en cuenta que hay plantillas de flujo predeterminadas para IPv4, IPv6, MPLS, MPLS-IPv4, MPLS-IPv6 y VPLS, para cada uno de NetFlow v9 y v10.

  • Las plantillas de NetFlow incluyen patrones de reconocimiento, llamados campos de inclusión y campos de exclusión, que ayudan a reconocer, identificar y categorizar los mensajes entrantes.

  • Dado que los mensajes de NetFlow no distinguen entre claves y valores (todos los campos son simplemente datos entrantes), las plantillas especifican qué campos deben tratarse como claves para los datos sin procesar.

Definir la configuración de ingesta de NetFlow - (Opcional) Cree su propia plantilla de NetFlow

Si las plantillas existentes no satisfacen sus necesidades, puede crear su propia plantilla. También puede usar plantillas personalizadas para admitir dispositivos de otros proveedores.

  1. Haga clic en el icono más (+) de la página de configuración de NetFlow. .
  2. En la ventana Agregar plantilla que aparece, rellene los siguientes campos (puede dejar el resto de la configuración como está):
    • Nombre de plantilla: asigne un nombre a la plantilla

    • Versión de NetFlow: seleccione v9 o v10

    • Prioridad: los valores disponibles son del 1 al 10

    • Incluir campos: agregue uno o más campos que desee incluir en la plantilla que desea utilizar

    • Excluir campos: agregue uno o más campos que no desee incluir en la plantilla que desea utilizar.

    • Campos clave: especifique qué campos de los mensajes entrantes deben tratarse como claves

  3. Haga clic en Guardar e implementar

    Ahora debería ver la plantilla agregada a la página de configuración de NetFlow.

  4. (Opcional) Repita los pasos anteriores para crear más plantillas.

Usage Notes:

  • Prioridad: cuando un libro de estrategias incluye varias reglas utilizando el sensor de flujo, el valor de prioridad identifica qué sensor y plantilla tienen prioridad sobre los demás.

  • Incluir/Excluir campos: incluya campos para ayudar a identificar la plantilla que se va a utilizar, o al menos una "lista corta" de plantillas a utilizar; Excluya los campos y, a continuación, limítelos a la única plantilla deseada.

    • Ejemplo 1: considere la plantilla hb-ipfix-ipv4-template : incluye dos campos IPv4 para reducir a hb-ipfix-ipv4-template y hb-ipfix-mpls-ipv4-template, y excluye un campo MPLS para eliminar hb-ipfix-mpls-ipv4-template, dejando solo hb-ipfix-ipv4-template.

    • Ejemplo 2: considere la plantilla hb-ipfix-mpls-ipv4-template : incluye los mismos dos campos IPv4 para reducir a hb-ipfix-ipv4-template y hb-ipfix-mpls-ipv4-template. También incluye un campo MPLS, que elimina inmediatamente la plantilla anterior y deja a la segunda como la plantilla para usar.

Definir la configuración de ingesta de NetFlow: clonar una plantilla de NetFlow existente

A partir de Paragon Insights versión 4.0.0, puede clonar una plantilla de NetFlow existente.

Para clonar una plantilla de NetFlow existente:

  1. Haga clic en Configuración > Ingerir en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en la pestaña NetFlow para ver la página Configuración de Netflow .
  3. Para clonar una plantilla concreta para las versiones 4.1.0 y 4.0.0 de Paragon Insights, haga clic en el icono Clonar .

    Para clonar una plantilla concreta para Paragon Insights versión 4.2.0 y posteriores, seleccione el botón de opción situado junto al nombre de la plantilla y haga clic en Clonar.

    Se muestra la página Clonar plantilla: <name of template>.

    Desde la página Clonar plantilla: <name of template> , puedes

    • Edite las secciones Nombre de plantilla, Descripción y Prioridad .

    • Elija entre las versiones de Netflow v9 o Netflow v10 .

    • Agregar o excluir campos de Incluir campos, Excluir campos y Campos clave.

  4. Después de realizar las modificaciones necesarias, haga clic en Guardar para guardar las modificaciones y clonar la plantilla.

    Como alternativa, haga clic en Guardar e implementar para guardar las modificaciones, clonar la plantilla e implementar la plantilla.

Definir la configuración de ingesta de NetFlow: eliminar una plantilla de NetFlow

Para eliminar una plantilla de NetFlow:

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en la pestaña NetFlow para ver la página NetFlow .
  3. Seleccione el dispositivo que desea eliminar y haga clic en el icono Eliminar (papelera).

    Aparece la ventana emergente CONFIRMAR PLANTILLA DE ELIMINACIÓN .

    Figura 1: Confirmar eliminar plantilla emergente Confirm Delete Template Pop-up
  4. Realice una de las siguientes acciones:
    • Haga clic en para eliminar la plantilla NetFlow de la base de datos. Sin embargo, los cambios no se aplican al servicio de ingesta.

      Nota:
      • Se recomienda no eliminar un tempate de NetFlow que esté actualmente en uso.

      • Después de eliminar una plantilla de NetFlow de la base de datos, no puede asociar esa plantilla con otro grupo de dispositivos o dispositivo, incluso si no ha implementado cambios.

      • También puede implementar cambios en el servicio de ingesta o revertir los cambios que ya haya eliminado desde la página CONFIGURACIÓN PENDIENTE . Para obtener más información, consulte Confirmar o revertir cambios de configuración en Paragon Insights.

    • Active la casilla Implementar cambios y, a continuación, haga clic en para eliminar la plantilla de la base de datos y aplicar los cambios al servicio de ingesta.

    • (Opcional) Haga clic en No para cancelar esta operación.

Configurar una regla mediante el sensor de flujo

Una vez completada la configuración de ingesta de NetFlow, ahora puede crear una regla utilizando el flujo como sensor.

Esta regla de ejemplo incluye tres elementos:

  • Un sensor de flujo que usa la plantilla IPv4 de NetFlow v10

  • Seis campos que capturan datos de interés

  • Un desencadenador que indica cuándo el flujo de tráfico es mayor o menor de lo esperado

Nota:

Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.

  1. Haga clic en Configuración > Reglas en la barra de navegación izquierda.
  2. En la página Reglas, haga clic en el botón + Agregar regla .

    La página Reglas se actualiza para mostrar una regla casi vacía en la parte derecha de la página.

  3. En la fila superior de la ventana de reglas, deje el tema establecido como externo y establezca el nombre de la regla que aparece después de la barra diagonal (/). En este ejemplo, es la regla de flujo de agregación periódica.
  4. Agregue una descripción y una sinopsis si lo desea.
  5. Haga clic en el botón + Agregar sensor e introduzca los siguientes parámetros en la ficha Sensores:
  6. Ahora vaya a la pestaña Campos, haga clic en el botón + Agregar campo e ingrese los siguientes parámetros para configurar el primer campo, source-ipv4-address:
  7. Vuelva a hacer clic en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el segundo campo, destination-ipv4-address:
  8. Haga clic de nuevo en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el tercer campo, sensor-traffic-count:
  9. Haga clic de nuevo en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el cuarto campo, total-traffic-count:
  10. Haga clic de nuevo en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el quinto campo, traffic-count-maximum:
  11. Haga clic en el botón + Agregar campo una vez más e ingrese los siguientes parámetros para configurar el sexto campo, traffic-count-minimum:
  12. Como último paso para la configuración de campos, establezca el valor del intervalo de tiempo de agregación de campos en 10s:
  13. Ahora vaya a la pestaña Variables, haga clic en el botón + AGREGAR VARIABLE y cree las traffic-count-max variables y traffic-count-min que son las constantes para los traffic-count-maximum campos y traffic-count-minimum , respectivamente.
    Nota:

    Sólo la definición de la traffic-count-max se muestra gráficamente. Elija un valor predeterminado adecuado al configurar ambas traffic-count-max traffic-count-min variables. El valor que se muestra arriba es solo para fines de prueba y puede no ser apropiado para su red.

  14. Ahora vaya a la pestaña Disparadores, haga clic en el botón + Agregar disparador e ingrese los siguientes parámetros para configurar un disparador llamado traffic-measurement-trigger:
  15. En la parte superior derecha de la ventana, haga clic en el botón Guardar e implementar .

Usage Notes:

  • Sensor Tab:

    • El nombre del sensor ipv4-flow-sensor está definido por el usuario

    • El tipo de sensor es flujo

    • El sensor utiliza la plantilla predefinida hb-ipfix-ipv4-template

  • Variables Tab:

    • Las variables traffic-count-max y traffic-count-min son enteros configurados estáticamente. En este caso, los valores representan bytes por segundo

    • Se hace referencia a estos valores en los campos traffic-count-maximum y traffic-count-minimum y proporcionan un punto de referencia para comparar con el campo total-traffic-count

  • Fields Tab:

    • Se definen seis campos; Algunos campos se utilizan en la configuración del desencadenador, mientras que se hace referencia a un campo dentro de otro campo

    • Los nombres de campo son campos definidos por el usuario (UDF)

    • Los campos source-ipv4-address, destination-ipv4-address y sensor-traffic-count extraen información de la entrada del sensor de flujo

    • Los valores de ruta de estos campos identifican valores específicos de los mensajes de NetFlow, utilizando la nomenclatura según los elementos de información IPFIX

    • Los campos source-ipv4-address y destination-ipv4-address tienen habilitada la opción Agregar a clave de regla, lo que indica que este campo debe mostrarse como una clave de búsqueda para esta regla en las páginas de estado del dispositivo

    • Field total-traffic-count : suma el recuento de paquetes IPv4 del campo sensor-traffic-count cada 10 segundos

    • Los campos traffic-count-maximum y traffic-count-minimum son simplemente valores fijos; Los valores se derivan de las variables definidas anteriormente

    • Rango de tiempo de agregación de campos: normalmente se establece en un valor más alto (más largo) que la configuración de rango de tiempo de campo individual con el objetivo de reducir la frecuencia de la información que se envía a la base de datos

  • Triggers Tab:

    • El nombre del desencadenador traffic-measurement-trigger está definido por el usuario.

    • frecuencia 90s : HearthBot compara los recuentos de tráfico cada 90 segundos

    • En el término traffic-abnormal-gr:

      • Cuando $total-traffic-count (el recuento periódico del tráfico IPv4 entrante) sea mayor que $traffic-count-maxim (2500 Bps), muestre en rojo y el mensaje: "Total traffic count is above normal. El recuento de tráfico total actual es: $total-traffic-count".

    • En el término traffic-abnormal-ls:

      • Cuando $total-traffic-count (el recuento periódico del tráfico IPv4 entrante) sea inferior a $traffic-count-minimum (500 Bps), muestre en amarillo y el mensaje: "Total traffic count is below normal. El recuento de tráfico total actual es: $total-traffic-count".

    • En el término plazo de incumplimiento:

    • De lo contrario, muestre verde y el mensaje: "El recuento total de tráfico es normal. El recuento de tráfico total actual es: $total-traffic-count".

Agregar la regla a un manual

Con la regla creada, ahora puede agregarla a un libro de estrategias. En este ejemplo, cree un nuevo manual para contener la nueva regla.

  1. Haga clic en Configuración > Playbooks en la barra de navegación izquierda.
  2. En la página Playbooks, haga clic en el botón Create + Create Playbook (Crear cuaderno de estrategias ).
  3. En la página que aparece, introduzca los siguientes parámetros:
  4. Haga clic en Guardar e implementar

Aplicar el Manual de estrategias a un grupo de dispositivos

  1. En la página Playbooks, haga clic en el icono Aplicar (avión) del playbook que configuró anteriormente.
  2. En la página Ejecutar manual que aparece
    • Escriba un nombre para la instancia del manual.

    • Seleccione el grupo de dispositivos deseado en el menú desplegable Aplicar grupo .

    • Haga clic en Ejecutar instancia.

  3. En la página Playbooks, confirme que la instancia de Playbook se está ejecutando. Tenga en cuenta que el libro de estrategias puede tardar algún tiempo en activarse.

Monitorear los dispositivos

Con el libro de estrategias aplicado, puede comenzar a monitorear los dispositivos.

  1. Haga clic en Supervisar > estado del grupo de dispositivos en la barra de navegación izquierda y seleccione el grupo de dispositivos al que aplicó el manual en el menú desplegable Grupo de dispositivos .
  2. Seleccione uno o más de los dispositivos que desea supervisar.
  3. En la vista de mosaico, el icono externo contiene los parámetros de la regla que configuró anteriormente.

Diferencias entre NetFlow y sFlow

Si bien los nombres suenan similares, NetFlow y sFlow son dos protocolos muy diferentes. La Tabla 1 muestra las diferencias entre NetFlow y sFlow.

Tabla 1: Diferencias entre NetFlow y sFlow

NetFlow/IPFIX

Sflow

Visión general

Un flujo es una secuencia de paquetes que comparten las mismas propiedades y viajan entre un host emisor y un host receptor. El análisis de flujo examina los metadatos del flujo de paquetes. NetFlow se basa en técnicas de análisis de flujo.

sFlow toma muestras reales de paquetes de red de un dispositivo y las reenvía a un recopilador para su análisis. sFlow es una tecnología de muestreo y análisis de paquetes, no una tecnología de análisis de flujo.

Más detalles

El análisis de flujo se ocupa de identificar a los principales habladores, los principales protocolos, el uso del ancho de banda, etc. dentro de la red. Utiliza metadatos de tráfico para proporcionar esta información.

El análisis de paquetes se ocupa de obtener información detallada sobre una conversación de red específica. Esto es posible porque el encabezado del paquete y la carga se incluyen en los datos de sFlow.

Datos

NetFlow/IPFIX permite al usuario definir qué datos se recopilan de los dispositivos como campos en una plantilla. Los datos pueden basarse en encabezados de paquetes, características de tráfico o valores desde dentro de los propios dispositivos.

NetFlow puede proporcionar información de la capa 2 a la capa 4 del modelo OSI.

sFlow especifica una única forma de reportar datos: proporcionar el encabezado completo del paquete y los datos de la carga desde una interfaz muestreada.

sFlow puede proporcionar información desde la capa 2 hasta la capa 7 del modelo OSI.

Hora

Los encabezados NetFlow/IPFIX contienen el tiempo de exportación del flujo. Los datos de flujo pueden acumularse y enviarse a cualquier frecuencia configurada. Las definiciones de plantillas permiten más de 30 métodos diferentes para representar el tiempo de un flujo observado.

El estándar sFlow requiere que los paquetes muestreados se reenvíen al recolector inmediatamente después de la captura.

Estado

NetFlow/IPFIX es un protocolo con estado. El dispositivo que recibe datos de NetFlow (Paragon Insights) debe confirmar la recepción de los datos antes de enviar más.

sFlow es un protocolo sin estado. El remitente simplemente reenvía los paquetes capturados al receptor (Paragon Insights).

Tratamiento

NetFlow/IPFIX es un protocolo con estado. Los dispositivos de envío y recepción deben tener la plantilla NetFlow/IPFIX correcta para codificar y descodificar el flujo. Los usuarios pueden configurar nuevas plantillas y compartirlas entre el emisor y el receptor (Paragon Insights)

El dispositivo de envío utiliza el estándar sFlow para codificar los mensajes (paquetes) y el recopilador (Paragon Insights) utiliza el mismo estándar para descodificarlos.

Sflow

A partir de la versión 3.2.0 de Paragon Insights, Paragon Insights admite sFlow (v5) de forma nativa como otro método de ingesta basado en flujos, mediante un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones.

Protocolo sFlow

sFlow es una tecnología basada en muestreo estadístico para redes conmutadas o enrutadas de alta velocidad. Si lo desea, puede configurar sFlow para monitorear continuamente el tráfico a velocidad de cable en todas las interfaces simultáneamente.

sFlow proporciona o ayuda con:

  • Mediciones de tráfico detalladas y cuantitativas a velocidades de gigabit

  • Información sobre las decisiones de reenvío

  • Solución de problemas de red

  • control de congestión

  • Análisis de seguridad y pistas de auditoría

  • Generación de perfiles de rutas

Todo lo que sFlow hace arriba, lo hace sin afectar el reenvío o el rendimiento de la red. Para obtener más información sobre sFlow, consulte: RFC 3176, InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks.

Como protocolo de muestreo estadístico, el agente sFlow de Juniper toma muestras del tráfico y los contadores en las interfaces de red, crea datagramas sFlow y los reenvía a recolectores sFlow externos. Paragon Insights es uno de esos coleccionistas.

Procesamiento de ingesta de sFlow

Los datos sFlow sin procesar que recibe Paragon Insights están en formato binario e ilegibles. Para que estos datos sean utilizables, Paragon Insights procesa los datos de flujo entrantes de la siguiente manera:

  • Paragon Insights escucha los datos de flujo entrantes en un puerto configurado

  • Según la configuración de reglas de Paragon Insights, los datos se decodifican y agrupan en conjuntos de datos por tipo de registro (encabezado de paquete sin formato, trama Ethernet, etc.).

  • Asigna la IP de origen de sFlow (extraída de los paquetes de sFlow) a un ID de dispositivo de Paragon Insights

    Nota:

    Si no se puede hacer ninguna coincidencia, el paquete se descarta sin que se realice ninguna otra decodificación.

  • Normaliza los campos para su uso posterior dentro del sistema

  • A continuación, Paragon Insights realiza un etiquetado, normalización y agregación adicionales, tal como los define el usuario en la regla correspondiente.

  • Finalmente, la base de datos de series temporales, TSDB recibe los datos. Aquí es donde ocurren cosas como la evaluación de desencadenantes.

sFlow: configuración en Paragon Insights

Como se mencionó anteriormente, el procesamiento de los paquetes sFlow depende de la configuración de las reglas de Paragon Insights. También requiere que habilite sFlow en el grupo de dispositivos o en la definición de dispositivo. En esta sección se describe la habilitación de sFlow y las opciones de configuración de reglas y sensores para sFlow.

En primer lugar, para habilitar sFlow, debe introducir al menos una dirección IP en la definición de dispositivo en IP de origen de flujo e introducir al menos un número de puerto en la definición de grupo de dispositivos en puertos de sFlow. La figura 2 a continuación es una imagen compuesta que muestra la definición de grupo de dispositivos superpuesta con la definición de dispositivo. Las secciones apropiadas de cada ventana se resaltan en rojo.

Figura 2: Habilitar imagen Enable sFlow Composite Image compuesta de sFlow

Los dispositivos del grupo envían sus paquetes sFlow a Paragon Insights a través del puerto UDP configurado desde las direcciones IP configuradas. Los números de puerto utilizados en estas definiciones deben ser únicos en toda la instalación de Paragon Insights.

Nota:
  • Las direcciones IP de origen del flujo deben coincidir con una dirección IP que se pueda asignar desde el campo Nombre de host/Dirección IP/Rango en la definición del dispositivo. Si los dispositivos envían paquetes sFlow, pero Paragon Insights no puede hacer coincidir la IP de origen con la IP de dispositivo definida, los paquetes se descartan sin descodificar.

  • Paragon Insights no puede diferenciar sFlow de NetFlow mirando los paquetes. Si utiliza NetFlow y sFlow, los números de puerto también deben ser únicos entre los dos tipos de flujo.

Debido a la naturaleza de sFlow y a la cantidad potencialmente enorme de datos que pueden provenir incluso de un solo dispositivo, recomendamos las siguientes prácticas recomendadas para administrar la ingesta de sFlow:

Práctica recomendada:
  • Utilice puertos únicos del rango: UDP/49152 a UDP/65535 para sFlow.

  • Utilice la agregación periódica para reducir el número de procedimientos de escritura en la TSDB.

  • No habilite la opción de almacenamiento de datos de tabla sin procesar en sFlow a menos que haya suficiente almacenamiento de alta velocidad disponible para Paragon Insights TSDB.

Configurar la ingesta de sFlow

Al igual que con otros métodos de ingesta, vaya a Configuración > Ingesta y elija la pestaña sFlow a la izquierda de la ventana Ingesta .

La configuración de flujo se divide en 4 secciones:

  • Sample

    Hay dos categorías de ejemplo predefinidas y cada una se representa en el encabezado sFlow como un valor de tipo de muestra entero. La Tabla 2 a continuación muestra los tipos de muestra y su valor numérico.

    Tabla 2: Tipos de muestras de sFlow

    Tipo de muestra

    Valor entero en el encabezado sFlow

    Contramuestra

    2

    muestra de contador expandida

    4

    muestra de flujo

    1

    muestra de flujo expandido

    3

    Nota:

    La diferencia entre los tipos de sensores expandidos y los tipos de muestra no expandidos es el tamaño de los campos de datos. Los nombres y tipos de campo son los mismos, pero los tamaños de campo son mayores en los tipos de muestra expandidos.

    Las definiciones de paquetes para estos tipos de muestra se pueden encontrar aquí: Ejemplos de sFlow

    En la tabla 3 se muestran los demás campos contenidos en un encabezado de ejemplo sFlow (por tipo de muestra) junto con el tipo de campo.

    Tabla 3: Campos de encabezado de paquete sFlow

    Tipo/tamaño de campo en bits

    Contramuestra

    muestra de flujo

    entero/32

    sampleSequenceNumber

    sampleSequenceNumber

    entero/8

    sourceIDType

    • 0 = índice de interfaz SNMP

    • 1 = ID de VLAN (smonVlanDataSource)

    • 2 = Entidad física (entPhysicalEntry)

    sourceIDType

    • 0 = índice de interfaz SNMP

    • 1 = ID de VLAN (smonVlanDataSource)

    • 2 = Entidad física (entPhysicalEntry)

    entero/24

    fuenteIDValue

    fuenteIDValue

    entero/32

    n (el número de registros muestreados contenidos en la contramuestra)

    sampleSamplingRate

    entero/32

    -

    samplePool (número de paquetes de los que se podría haber muestreado)

    entero/32

    -

    sampleDroppedPackets (número de paquetes descartados debido a la falta de recursos)

    entero/8

    -

    sampleInputInterfaceFormat (tipo de interfaz de entrada)

    entero/32

    -

    sampleInputInterfaceValue (interfaz de entrada (índice de interfaz SNMP)

    entero/1

    sampleOutputInterfaceFormat (tipo de interfaz de salida)

    entero/33

    -

    sampleOutputInterfaceValue (índice de interfaz SNMP)

    entero/32

    -

    n (el número de registros de flujo)

    Datos

    Registros de contador

    Registros de flujo

  • Flow Record

    La sección Registro de flujo proporciona las herramientas necesarias para definir los diferentes tipos de flujo que se pueden ver en una captura de sFlow. Paragon Insights incluye 16 tipos de registros de flujo predefinidos, cada uno de los cuales tiene un número de formato y una ruta de sensor para usar en la definición de reglas de sFlow, como se muestra en la Tabla 4 a continuación. Hay varios campos en cada tipo de registro de flujo. Estos se pueden ver seleccionando el tipo de registro deseado de la lista y haciendo clic en el botón editar (lápiz).

    Tabla 4: Tipos de registros de flujo

    Tipo de registro

    Número de formato

    Valor de la ruta del sensor

    Encabezados de paquetes sin procesar

    1

    /sflow-v5/flow-sample/raw-packet-header

    Datos de trama Ethernet

    2

    /sflow-v5/flow-sample/ethernet-frame-data

    Datos IPv4

    3

    /sflow-v5/flow-sample/ipv4-data

    Datos IPv6

    4

    /sflow-v5/flow-sample/ipv6-data

    Datos ampliados del conmutador

    1001

    /sflow-v5/flow-sample/extended-switch-data

    Datos extendidos del enrutador

    1002

    /sflow-v5/flow-sample/extended-router-data

    Datos de puerta de enlace ampliada

    1003

    /sflow-v5/flow-sample/extended-gateway-data

    Datos de usuario ampliados

    1004

    /sflow-v5/flow-sample/extended-user-data

    datos de URL extendidos

    1005

    /sflow-v5/flow-sample/extended-url-data

    datos MPLS extendidos

    1006

    /sflow-v5/flow-sample/extended-mpls-data

    datos NAT extendidos

    1007

    sflow-v5/flow-sample/extended-nat-data

    túnel MPLS extendido

    1008

    /sflow-v5/flow-sample/extended-mpls-tunnel

    VC MPLS extendido

    1009

    /sflow-v5/flow-sample/extended-mpls-vc

    MPLS extendido FEC

    1010

    /sflow-v5/flow-sample/extended-mpls-fec

    LVP FEC extendido

    1011

    /sflow-v5/flow-sample/extended-mpls-lvp-fec

    túnel VLAN extendido

    1012

    /sflow-v5/flow-sample/extended-vlan-tunnel

    Al configurar reglas para sFlow, puede elegir entre cualquiera de estos tipos de registro. Puede crear nuevos registros de flujo haciendo clic en el icono Agregar (+) en la página Configuración de flujo .

  • Counter Record

    La sección Registro de contador proporciona la definición de los dos tipos de registros de contador predefinidos. Hay dos tipos de registros de contador, contadores de interfaz Ethernet y contadores de interfaz genérica. Los contadores de interfaz genéricos son el formato número 1 y los contadores de interfaz Ethernet son el formato número 2. La ruta del sensor para los contadores de interfaz genéricos es /sflow-v5/counter-sample/generic-interface-counter. La ruta del sensor para los contadores de interfaz Ethernet es /sflow-v5/counter-sample/ethernet-interface-counter.

    Los campos disponibles dentro de los registros del contador son los posibles errores y las estadísticas contables como:

    • Errores de trama

    • Colisiones

    • Transmisiones diferidas

    • Transmitir errores

    • Estado de administración

    • Estado operativo

    • paquetes de entrada

    • paquetes de salida

    • errores de entrada

    • Errores de salida

    • y otros

    Puede utilizar el contador de interfaz genérico o el contador de interfaz Ethernet en las reglas que defina. Los sensores de contador se pueden definir para seleccionar incluso campos individuales de cualquiera de los contadores disponibles. Puede crear tipos de registros de contador adicionales haciendo clic en el icono Agregar (+) en la página Configuración de flujo (sección Registro de contador ).

  • Protocol

    La sección Protocolo proporciona un medio para definir qué protocolo contienen las capturas de sFlow y permite la decodificación de muchos protocolos de red. Los campos contenidos en cada entrada de protocolo son los mismos que se verían en una trama o paquete de ese tipo. Por ejemplo, una trama Ethernet tendría una dirección MAC de destino, una dirección MAC de origen y un campo de tipo ethernet-next-header. Los campos definidos en cualquier protocolo que desee descodificar deben aparecer en la definición de protocolo en el mismo orden en que aparecerían en el paquete o trama.

    La columna de número que aparece es el número de protocolo de la IANA asignado a ese protocolo. Por ejemplo, el protocolo tcp es el protocolo número 6.

Nota:

En las secciones Muestra, Registro de flujo y Registro de contador , hay una columna Empresa . Esta columna es para el uso de detalles de decodificación personalizados o específicos del proveedor. Por ejemplo, un ejemplo de flujo basado en ACL de fundición tiene el valor de empresa 1991, formato 1, que incluye campos adicionales específicamente para ese flujo de fundición. En la mayoría de los casos, el valor Enterprise es 0.

Amplíe las capacidades de decodificación de sFlow

Puede ampliar las capacidades de descodificación de protocolo de Paragon Insights creando esquemas de descodificación adicionales en las pestañas Muestra, Registro de flujo, Registro de contador y Protocolo de la página de configuración de ingesta de sFlow.

Una vez que haya actualizado la configuración de ingesta, las nuevas reglas pueden hacer uso de ellas de la siguiente manera:

  • Utilice una utilidad de captura de paquetes como Wireshark para identificar el orden en que aparecen los nuevos protocolos dentro de los paquetes sFlow.

  • Asegúrese de que la ruta del sensor que utiliza en la definición del sensor tiene el siguiente formato: /sflow-v5/<sample-name>/<record-name>/<l2-protocol>/<l3-protocol>, donde sample-name es la nueva muestra, record-name es el nuevo contador o registro de flujo y y l2-protocol l3-protocol son los nuevos protocolos. Una vez más, estos protocolos deben nombrarse y colocarse tal como aparecen en las capturas de sFlow.

Configurar reglas de sFlow

Al igual que con otras definiciones de reglas, las reglas sFlow se componen de sensores, campos, vectores, etc. Un sensor sFlow tiene un nombre de sensor, un tipo de sensor de sFlow y una ruta de sFlow , como se muestra en la figura 3.

Figura 3: Definición del sFlow Sensor Definition sensor sFlow

La ruta del sensor desempeña un papel importante en la definición del sensor. Paragon Insights utiliza la ruta del sensor para definir no solo el tipo de flujo sFlow, sino también el tipo de muestra, el tipo de registro, el protocolo y otros elementos de ruta personalizados si es necesario.

Eliminar la configuración de sFlow

Para eliminar una configuración de sFlow:

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en la pestaña sFlow para ver la página Configuración de sFlow .

  3. Realice una de las siguientes acciones.

    • Para eliminar una muestra de sFlow:

      1. Haga clic en Ejemplo para ver la lista de ejemplos de sFlow.

      2. Seleccione la muestra de sFlow que desea eliminar.

      3. Haga clic en el icono de eliminar (papelera).

        Aparecerá la ventana emergente CONFIRMAR MUESTRA DE ELIMINACIÓN .

        Figura 4: Confirmar eliminación de muestra emergente Confirm Delete Sample Pop-up
    • Para eliminar un registro de flujo:

      1. Haga clic en Registro de flujo para ver la lista de registros de flujo.

      2. Seleccione el registro de flujo que desea eliminar.

      3. Haga clic en el icono de eliminar (papelera).

        Aparece la ventana emergente CONFIRM DELETE FLOW RECORD .

        Figura 5: Confirmar eliminar la ventana emergente de registro de Confirm Delete Flow Record Pop-up flujo
    • Para eliminar un registro de contador:

      1. Haga clic en Registro de contador para ver la lista de registros de contador.

      2. Seleccione el registro de contador que desea eliminar.

      3. Haga clic en el icono de eliminar (papelera).

        Aparecerá la ventana emergente CONFIRMAR REGISTRO DE CONTADOR DE ELIMINACIÓN .

        Figura 6: Confirmar eliminar ventana emergente Confirm Delete Pop-up
    • Para eliminar un protocolo:

      1. Haga clic en Protocolo para ver la lista de protocolos.

      2. Seleccione el protocolo que desea eliminar.

      3. Haga clic en el icono de eliminar (papelera).

        Aparecerá la ventana emergente CONFIRM DELETE PROTOCOL .

        Figura 7: Confirmar la ventana emergente Confirm Delete Protocol Pop-up del protocolo de eliminación
  4. En la ventana emergente que aparece, realice una de las siguientes acciones:

    • Haga clic en para eliminar la configuración sFlow de la base de datos. Sin embargo, los cambios no se aplican al servicio de ingesta.

      Nota:
      • Se recomienda no eliminar una configuración de sFlow que esté actualmente en uso.

      • Después de eliminar una configuración de sFlow de la base de datos, no puede configurar esa opción de sFlow en nuevos dispositivos o grupos de dispositivos, incluso si no ha implementado cambios.

      • También puede implementar cambios en el servicio de ingesta o revertir los cambios que ya haya eliminado desde la página CONFIGURACIÓN PENDIENTE . Para obtener más información, consulte Confirmar o revertir cambios de configuración en Paragon Insights.

    • Active la casilla Implementar cambios y, a continuación, haga clic en para eliminar la configuración sFlow de la base de datos y aplicar los cambios al servicio de ingesta.

    • (Opcional) Haga clic en No para cancelar esta operación.

sFlow - Configuración del dispositivo

Cuando configure un dispositivo para enviar sFlow a un recopilador, simplemente establezca una dirección IP de origen, una frecuencia de muestreo, un intervalo de sondeo, un puerto udp y una interfaz desde la que capturar y proporcione la dirección IP del recopilador. No hay oportunidad de filtrar o elegir qué datos se envían desde el lado del dispositivo.

En el ejemplo siguiente se muestra el resultado de un conmutador ya configurado para enviar sFlow a un recopilador en la dirección IP 10.204.32.46

OpenConfig

Este formato utiliza el modelo de datos OpenConfig mediante gRPC. El dispositivo de red actúa como un servidor gRPC para terminar las sesiones gRPC de Paragon Insights, que se ejecuta como cliente. Las llamadas RPC de Paragon Insights desencadenan la creación de sensores que transmiten datos periódicamente o informan de eventos, que luego se canalizan al canal gRPC apropiado como mensajes protobuf (GPB).

En las versiones de Paragon Insights anteriores a la 3.1.0, OpenConfig solo se podía utilizar en Junos OS y determinados dispositivos de Cisco. Esto se debe a que Paragon Insights tiene soporte nativo para los RPC de OpenConfig utilizados por Juniper y Cisco, cada uno de los cuales utiliza su propia codificación patentada para los datos de OpenConfig. A partir de la versión 3.1.0, Paragon Insights admite la interfaz de administración de red gRPC (gNMI) para la comunicación OpenConfig. Este protocolo permite a Paragon Insights trabajar con muchas implementaciones de OpenConfig de terceros de forma independiente del proveedor.

Con OpenConfig, el dispositivo recibe suscripciones de sensores de Paragon Insights y envía datos de telemetría a través de cualquier interfaz disponible, ya sea dentro o fuera de banda.

Tenga en cuenta que en la figura anterior, la conexión fuera de banda se muestra como conectándose a la fxp0 interfaz de un dispositivo Junos. Si el dispositivo era de un proveedor externo, la conexión fuera de banda sería al puerto de administración específico del proveedor. Del mismo modo, la(s) conexión(es) en banda serían a la designación de interfaz específica del proveedor.

OpenConfig RPC

Para utilizar el formato OpenConfig, configure el dispositivo como un servidor gRPC. Con Paragon Insights actuando como cliente, usted define a qué sensores desea que se suscriba y realiza solicitudes de suscripción al dispositivo.

Los datos transmitidos a través de gRPC se formatean en pares clave/valor OpenConfig en mensajes codificados de búfer de protocolo (GPB). Las claves son cadenas que corresponden a la ruta de los recursos del sistema en el esquema OpenConfig para el dispositivo que se está supervisando; Los valores corresponden a enteros o cadenas que identifican el estado operativo del recurso del sistema, como los contadores de interfaz. Los mensajes RPC de OpenConfig se pueden transferir de forma masiva, como proporcionar varios contadores de interfaz en un mensaje, lo que aumenta la eficiencia de la transferencia de mensajes.

Para obtener más información sobre los sensores OpenConfig, consulte Descripción de OpenConfig y gRPC en la interfaz de telemetría de Junos.

RPC de OpenConfig codificado en gNMI

OpenConfig codificado en gNMI funciona de manera muy similar a OpenConfig RPC en el sentido de que debe configurar el dispositivo de red como un servidor OpenConfig al que Paragon Insights realiza solicitudes de suscripción. Sin embargo, gNMI admite más tipos de suscripción de los que Paragon Insights admite actualmente. Actualmente, Paragon Insights solo admite suscripciones a gNMI STREAM en el modo SAMPLE. Las suscripciones STREAM son suscripciones de larga duración que continúan, indefinidamente, transmitiendo actualizaciones relacionadas con el conjunto de rutas configuradas dentro de la suscripción. Las suscripciones de STREAM en modo SAMPLE deben incluir un sample_intervalarchivo .

Los mensajes devueltos al cliente a través de gNMI son codificados por el dispositivo en formato protobuf, JSON o JSON-IETF y no se pueden enviar de forma masiva. Esto, en parte, hace que la mensajería codificada en gNMI sea menos eficiente que la mensajería codificada en gRPC.

Advertencia:
  • Para JSON o JSON-IETF, se supone que el dispositivo devuelve actualizaciones de gNMI como solo valores leaf codificados en JSON, en lugar de devolver una jerarquía o subjerarquía completa como un objeto JSON.

  • Paragon Insights decodifica los números codificados en JSON o JSON-IETF como float64, int64 o string, según RFC 7159 y RFC 7951. Si las reglas de OpenConfig contienen campos de un tipo diferente, le recomendamos que cambie los tipos de campo en consecuencia.

Paragon Insights puede administrar dispositivos Junos OS y Cisco mediante OpenConfig codificado en gNMI. Si un dispositivo no admite gNMI en general, o la suscripción STREAM en modo SAMPLE, o no admite una solicitud OpenConfig, devuelve uno de los siguientes errores:

  • No implementado

  • Carácter

  • InvalidArgument

En el caso de un dispositivo Junos OS o Cisco, el error hace que la conexión vuelva a OpenConfig RPC. En el caso de un dispositivo de terceros, la conexión simplemente falla debido al error.

OpenConfig codificado en gNMI se puede habilitar a nivel de dispositivo o grupo de dispositivos. Si está habilitado a nivel de grupo de dispositivos, todos los dispositivos agregados al grupo usan gNMI de forma predeterminada. Si está habilitada (o no habilitada) en el nivel de dispositivo, la configuración de nivel de dispositivo tiene prioridad sobre la configuración de nivel de grupo de dispositivos.

Nota:

Durante la conexión inicial, los dispositivos gNMI intentan realizar una sincronización inicial con el cliente. El dispositivo envía un flujo continuo de datos hasta que el dispositivo y el recopilador (Paragon Insights) están sincronizados. Después de la sincronización inicial, el dispositivo comienza las operaciones normales de transmisión en función de la velocidad de informes configurada. Debido a la carga de procesamiento que esto crea, Paragon Insights tiene esta función deshabilitada de forma predeterminada. Se puede habilitar a nivel de grupo de dispositivos o dispositivo si es necesario.

Para obtener más información acerca de gNMI, consulte: Interfaz de administración de red gRPC (gNMI).

OpenConfig - Configuración del dispositivo

OpenConfig requiere:

Syslog

Además de las opciones relacionadas con JTI anteriores, a partir de la versión 2.1.0, Paragon Insights también admite syslog de forma nativa como otro método de recopilación de datos, utilizando un modelo de datos que se alinea con otros mecanismos de ingesta de Paragon Insights para proporcionar la misma riqueza de funciones.

Un dispositivo puede enviar mensajes syslog (cuando está configurado) a través de UDP al servidor de Paragon Insights, ya sea fuera de banda a través del motor de enrutamiento (RE) utilizando la interfaz de administración del enrutador, o dentro de banda a través del motor de reenvío de paquetes, es decir, directamente desde una tarjeta de línea.

Para utilizar el formato syslog, configure el dispositivo con opciones que incluyan dónde enviar los mensajes syslog. Consulte Syslog - Configuración de dispositivos a continuación para obtener más información. Cuando configura Paragon Insights para comenzar a recopilar los datos, los mensajes ya fluyen hacia el servidor.

Para obtener más información sobre syslog utilizado por los dispositivos Juniper, consulte Descripción general del registro del sistema de Junos OS.

Visión general

La ingesta de syslog requiere cierta configuración antes de poder usarla como sensor en una regla:

  • Patrón: un patrón identifica algún evento syslog; Puede crear un patrón para cada evento que desee supervisar. Puede configurar patrones para eventos estructurados y no estructurados.

  • Conjunto de patrones: con los patrones configurados, puede agruparlos en un conjunto de patrones, al que se hace referencia al definir la configuración del sensor syslog dentro de una regla.

Para ver cómo se utilizan los patrones y los conjuntos de patrones, consulte Ejemplo: Creación de una regla mediante la ingesta de syslog.

Campos generados por el sistema

Algunos campos son comunes en los mensajes syslog. Paragon Insights extrae estos campos y los incluye automáticamente en la tabla sin procesar, lo que le permite utilizarlos directamente al crear una regla y evitar la necesidad de configurar patrones.

Para ilustrar el uso de estos valores, considere los siguientes mensajes syslog de ejemplo:

Estructurado- <30>1 2019-11-22T03:17:53.605-08:00 R1 mib2d 28633 SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16

Equivalente no estructurado - <30>Nov 22 03:17:53 R1 mib2d[28633]: SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16

Campos generados por el sistema:

  • "__log_priority__" - Prioridad del mensaje syslog

    • En los ejemplos, <30> denota la prioridad

  • "__log_timestamp__" - Marca de tiempo en epcoh en el mensaje syslog

    • En el ejemplo estructurado, 2019-11-22T03:17:53.605-08:00 se convierte a época con -08:00 que indica la zona horaria

    • En el ejemplo no estructurado, la zona horaria de la configuración se utilizará para calcular la época

  • "__log_host__" - Nombre de host en el mensaje syslog

    • En los ejemplos, R1 denota el nombre de host

  • "__log_application_name__": nombre de la aplicación en el mensaje syslog

    • En los ejemplos, mib2d es el nombre de la aplicación

  • "__log_application_process_id__" - ID de proceso de aplicación en el mensaje syslog

    • En los ejemplos, 28633 es el ID

  • "__log_message_payload__" - Carga útil en el mensaje

    • Ejemplo estructurado - “SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”

    • Ejemplo no estructurado - “SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”

  • "Id. de evento": indica el identificador de evento configurado en el patrón.

    • En los ejemplos, SNMP_TRAP_LINK_DOWN es el identificador de evento

Nota:

Asegúrese de no definir ningún campo nuevo con un nombre ya definido anteriormente.

Notas de uso

  • Si agrega un dispositivo en Paragon Insights utilizando su dirección IP (y la dirección no es el nombre de host real del dispositivo), también debe agregar el nombre de host del dispositivo en el campo Nombres de host de Syslog .

  • Varios grupos de dispositivos pueden escuchar mensajes syslog utilizando el mismo puerto.

  • Al procesar mensajes estructurados, no se tiene en cuenta una zona horaria configurada, ya que los propios mensajes incluyen la zona horaria.

  • Actualmente no se admite el horario de verano.

Elementos de configuración opcionales

Configurar puertos Syslog

De forma predeterminada, Paragon Insights escucha los mensajes syslog de todos los grupos de dispositivos en el puerto UDP 514. Puede cambiar el puerto syslog de nivel del sistema, así como configurar uno o más puertos por grupo de dispositivos. La configuración de grupo de dispositivos más específica tiene prioridad sobre la configuración de nivel de sistema.

Para cambiar el puerto syslog de nivel de sistema:

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

  2. Seleccione la pestaña Syslog en la página Configuración de ingesta.

  3. En la página Syslog, edite el número de puerto.

  4. Haga clic en Guardar e implementar.

Para configurar un puerto syslog para un grupo de dispositivos:

  1. Vaya a la página Configuración > grupo de dispositivos y haga clic en el nombre de un grupo de dispositivos.

  2. Haga clic en el icono Editar (lápiz).

  3. En la ventana emergente, introduzca los puertos en el campo Puertos syslog .

  4. Haga clic en Guardar e implementar.

Configurar la zona horaria de un dispositivo

Cuando un dispositivo exporta mensajes syslog estructurados, la información de zona horaria se incluye dentro del mensaje. Sin embargo, los mensajes syslog no estructurados no incluyen información de zona horaria. De forma predeterminada, Paragon Insights utiliza GMT como zona horaria de un dispositivo. En estos casos, puede asignar una zona horaria a un dispositivo o grupo de dispositivos dentro de Paragon Insights.

Para configurar la zona horaria de un dispositivo a nivel de grupo de dispositivos:

  1. Vaya a la página Configuración > grupo de dispositivos y haga clic en el nombre de un grupo de dispositivos.

  2. Haga clic en el icono Editar (lápiz).

  3. En la ventana emergente, introduzca un valor en el campo Zona horaria , por ejemplo -05:00.

Para configurar la zona horaria de un dispositivo a nivel de dispositivo:

  1. Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.

  2. Haga clic en el icono Editar (lápiz).

  3. En la ventana emergente, introduzca un valor en el campo Zona horaria , por ejemplo -05:00.

Nota:

La configuración de dispositivo más específica tiene prioridad sobre la configuración de grupo de dispositivos.

Configurar varias direcciones IP de origen para un dispositivo

En los casos en que los mensajes syslog lleguen de un dispositivo utilizando una dirección IP de origen diferente a la configurada originalmente en la GUI de Paragon Insights, puede agregar direcciones IP de origen adicionales.

Para admitir direcciones IP de origen adicionales:

  1. Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.

  2. Haga clic en el icono Editar (lápiz).

  3. En la ventana emergente, introduzca la(s) dirección(es) IP(s) en el campo Syslog Source IPs .

Configurar alias de nombre de host para un dispositivo

Cuando un dispositivo tiene más de un nombre de host, como un dispositivo con RE duales, los mensajes syslog pueden llegar al servidor de Paragon Insights con un nombre de host que no es el nombre de host principal del dispositivo. En estos casos, puede agregar alias de nombre de host para ese dispositivo.

Nota:

Si agrega un dispositivo en Paragon Insights utilizando su dirección IP, también debe agregar el nombre de host que aparecerá en los mensajes syslog.

Para configurar alias de nombre de host adicionales:

  1. Vaya a la página Configuración > dispositivo y haga clic en el nombre de un dispositivo.

  2. Haga clic en el icono Editar (lápiz).

  3. En la ventana emergente, introduzca los nombres de host en el campo Nombres de host de Syslog .

Syslog - Configuración del dispositivo

Syslog requiere que tenga al menos los siguientes elementos de configuración comprometidos en su(s) dispositivo(s), además de

  • Versión de Junos OS: Cualquier versión

  • Configuración requerida:

    ## 10.1x.x0.1 = Servidor de Paragon Insights

Ejemplo: Creación de una regla mediante la ingesta de syslog

Para ilustrar cómo configurar y usar un sensor syslog, considere un escenario en el que desee:

  • Supervisar el estado operativo de la interfaz

  • Utilice dos eventos syslog, uno estructurado y otro no estructurado

  • Usar una regla con un desencadenador para indicar cuándo se cae la interfaz

Para implementar este escenario, deberá completar las siguientes actividades:

El flujo de trabajo es el siguiente:

CONFIGURAR DISPOSITIVOS DE RED

Nota:

En este ejemplo, se supone que ya ha agregado sus dispositivos a Paragon Insights y los ha asignado a un grupo de dispositivos.

Agregar configuración de Syslog al dispositivo de red

Si aún no lo ha hecho, configure sus dispositivos de red para enviar datos syslog a Paragon Insights. La configuración de dispositivo de ejemplo de la sección anterior se repite aquí:

## 10.1x.x0.1 = Servidor de Paragon Insights

CONFIGURAR LA INGESTA DE SYSLOG

Configurar patrones de eventos

Un patrón de evento es una configuración para supervisar algún evento syslog; Puede crear un patrón para cada evento que desee supervisar. En este ejemplo se utilizan patrones para supervisar cuatro eventos syslog (dos estructurados y dos no estructurados).

Nota:

Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.

  1. En la GUI de Paragon Insights, haga clic en Configuración > Ingesta en la barra de navegación izquierda.

  2. Seleccione la pestaña Syslog en la página Configuración de ingesta.

  3. En la página Syslog, haga clic en el icono más (+).

  4. En la ventana emergente que aparece, introduzca los siguientes parámetros para el primer patrón, denominado snmp-if-link-down:

  5. Haga clic en Guardar e implementar.

  6. Haga clic en el icono más (+) una vez más e introduzca los siguientes parámetros para el segundo patrón, denominado fpc-offline:

    Nota:

    El valor completo introducido en el campo Filtro es fpc%{NUMBER:fpc} Marcando puertos %{WORD:port-status}

  7. Haga clic en Guardar e implementar. En la página Syslog debería ver los dos patrones que acaba de crear.

Notas de uso de los patrones

Para syslog estructurado:

  • El identificador de evento (SNMP_TRAP_LINK_DOWN) hace referencia al nombre del evento que se encuentra en los mensajes syslog.

  • Los campos son opcionales para los mensajes syslog estructurados; Si no configura campos, los nombres de atributo del mensaje se tratarán como nombres de campo.

    • En este ejemplo, sin embargo, tenemos campos definidos por el usuario:

      • Los nombres de campo (if-name, snmp-index) están definidos por el usuario.

      • El valor de nombre de interfaz de campo es un atributo del mensaje syslog, por ejemplo, ge-0/3/1.0; este campo se renombra como if-name

      • El valor del campo snmp-interface-index es un atributo del mensaje syslog, por ejemplo, ifIndex 539; este campo se renombra como snmp-index

      • El campo snmp-interface-index aquí se define como un número entero; De forma predeterminada, los campos extraídos de un mensaje syslog son de tipo cadena, sin embargo, escriba integer lo cambia para tratar el valor como un entero

  • La sección de constantes es opcional, en este ejemplo, tenemos constantes definidas por el usuario.

    • El nombre constante ifOperStatus está definido por el usuario; En este caso tiene el valor entero de '2'

  • La configuración del filtro es opcional para un syslog estructurado, aunque puede hacerlo si lo desea; Si se utilizan, los campos generados por el filtro anularán los campos incluidos en el mensaje syslog.

  • La sección de campos clave es opcional; de forma predeterminada, el nombre de host y el ID del evento serán las claves utilizadas por Paragon Insights; agregue campos clave adicionales aquí; En este ejemplo, tenemos campos clave, es decir, nombre-interfaz, donde el nombre y el valor se extraen del par atributo-valor del mensaje syslog

Para syslog no estructurado:

  • El identificador de evento está definido por el usuario, este caso PSEUDO_FPC_DOWN

    • Por ejemplo, ni el syslog Nov 22 02:27:05 R1 fpc1 Marking ports down no estructurado ni su homólogo <166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down estructurado incluyen un identificador de evento

  • Se debe usar un filtro para derivar campos (a diferencia del syslog estructurado adecuado); en este ejemplo se utiliza fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}, donde fpc se convierte en el nombre del campo y NUMBER denota la sintaxis utilizada para extraer los caracteres de esa parte concreta del mensaje, por ejemplo "2"

    • Un ejemplo de un mensaje syslog que coincide con el filtro grok es "fpc2 Marking ports down"

  • Estado de FPC constante: tiene el valor de cadena 'En línea'

En cuanto a los filtros:

  • De forma predeterminada, en un patrón, los valores de campo y constante son una cadena; Para tratarlo como un entero o flotante, defina el tipo de campo del patrón como entero o flotante

  • Para patrones no estructurados, debe configurar un filtro, ya que los mensajes se envían esencialmente como texto sin formato y no incluyen información de campo por sí solos

  • Los filtros siempre deben escribirse para que coincidan con la parte del mensaje después del ID del evento; Esto permite que el filtro analice un mensaje syslog independientemente de si llega en formato estructurado o no estructurado

    • Por ejemplo, el filtro fpc%{NUMBER:fpc} Marking ports %{WORD:port-status} coincide con ambas versiones del siguiente mensaje syslog:

      • Estructurado: <166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down

      • Desestructurado: Nov 22 02:27:05 R1 fpc1 Marking ports down

Clonar un patrón de eventos syslog existente

A partir de Paragon Insights versión 4.0.0, puede clonar un patrón Syslog existente.

Para clonar un patrón de eventos de Syslog existente:

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en la ficha Syslog para ver la página Syslog .

  3. Haga clic para expandir la sección Patrón de eventos en la página Configuración de syslog para ver los patrones de eventos syslog existentes.

  4. Para clonar un patrón para Paragon Insights versión 4.0.0 y 4.1.0, haga clic en el icono Clonar .

    Para clonar una plantilla concreta para Paragon Insights versión 4.2.0 y posteriores, seleccione el botón de opción situado junto al nombre de la plantilla y haga clic en Clonar.

    Se muestra la página Patrón de clonación: <name of syslog pattern> .

    Desde la página Patrón de clonación: <name of syslog pattern>, puedes

    • Editar campos existentes

    • Agregar nuevos campos o constantes

    • Agregar o quitar campos clave

  5. Haga clic en Guardar para guardar la configuración y clonar el patrón syslog.

    Como alternativa, haga clic en Guardar e implementar para guardar la configuración, clonar el patrón syslog e implementar el patrón.

Agregar patrones a un conjunto de patrones

Con los patrones configurados, agrúpelos en un conjunto de patrones.

  1. En la página Syslog, haga clic para expandir la sección Conjunto de patrones y haga clic en el icono más (+).

  2. En la ventana emergente que aparece, introduzca los siguientes parámetros:

  3. Haga clic en Guardar e implementar. En la página Syslog debería ver el conjunto de patrones que acaba de crear.

Clonar un conjunto de patrones de syslog existente

A partir de Paragon Insights versión 4.0.0, puede clonar un conjunto de patrones de Syslog existente.

Para clonar un conjunto de patrones de Syslog existente:

  1. Haga clic en Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en la ficha Syslog para ver la página Syslog .

  3. Haga clic para expandir la sección Conjunto de patrones en la página Syslog para ver los conjuntos de patrones syslog existentes.

  4. Para clonar un conjunto de patrones para Paragon Insights versión 4.0.0 y 4.1.0, haga clic en el icono Clonar .

    Para clonar una plantilla concreta para Paragon Insights versión 4.2.0 y posteriores, seleccione el botón de opción situado junto al nombre de la plantilla y haga clic en Clonar.

    Se muestra la página Clone Pattern-set: <name of pattern-set> .

    Desde la página Clone Pattern-set: <name of pattern-set> , puede

    • Editar los campos de nombre y descripción

    • Agregar o quitar patrones del campo Patrones.

  5. Haga clic en Guardar para guardar la configuración y clonar el conjunto de patrones syslog.

    Como alternativa, haga clic en Guardar e implementar para guardar la configuración, clonar el conjunto de patrones syslog e implementar el conjunto de patrones.

Configurar patrón de encabezado

A partir de Paragon Insights versión 4.0.0, puede configurar el patrón para analizar la parte del encabezado de un mensaje syslog. Con esta versión, se admiten mensajes syslog no estructurados de dispositivos que no son de Juniper. En versiones anteriores, solo puede analizar la parte de carga de un mensaje syslog estructurado como se especifica en el estándar RFC 5424 o el mensaje syslog no estructurado de un dispositivo Juniper.

En general, se supone que cualquier mensaje syslog no estructurado coincide con el patrón de mensajes syslog de Juniper. Por ejemplo, no tiene que configurar un patrón de encabezado de Juniper, ya que este patrón está incorporado en Paragon Insights. Sin embargo, en el caso de un mensaje syslog no estructurado de un dispositivo que no sea de Juniper que no coincida con el patrón incorporado, se realiza una primera coincidencia con uno de los patrones de encabezado configurados por el usuario. Después de una coincidencia exitosa, se extraen los campos. Cuando no hay coincidencia, se elimina el mensaje syslog entrante.

Para configurar un patrón de encabezado:

  1. Vaya a Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en Syslog para ver la página Syslog .

  3. Haga clic para expandir la sección Patrón de encabezado .

    Se muestra la sección Patrón de encabezado de la página Syslog . Puede agregar un nuevo patrón de encabezado y editar o eliminar un patrón de encabezado existente de esta página.

  4. Haga clic en el icono más (+) para agregar un nuevo encabezado.

    Se muestra la página Agregar patrón de encabezado .

  5. Escriba la siguiente información en la página Agregar patrón de encabezado .

    1. Escriba un nombre para el patrón de encabezado en el campo Nombre .

    2. Introduzca una descripción para el patrón de encabezado en el campo Descripción .

      Por ejemplo, puede proporcionar una descripción de una línea de por qué está creando este patrón de encabezado.

    3. Introduzca el filtro o la expresión regular (regex) del patrón de encabezado en el campo Filtro .

      Nota:

      Puede utilizar regex101.com para editar, validar y modificar el patrón de filtro que desea agregar al patrón de encabezado.

      Un ejemplo de un patrón de filtro es (.*):([A-Z][a-z]{2} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2}\.\d*)\s:\s([a-z]*)\[(\d*)\]:\s*(.*)\s*.

    4. log-host, log-timestamp y log-message-payload de la sección Fields son campos obligatorios que determinan la posición del encabezado.

      En la sección Campos,

      1. Haga clic en log-host e introduzca la siguiente información.

        • Escriba un nombre para el host de registro en el campo Nombre .

          log-host es el nombre predeterminado.

        • Introduzca una descripción para log-host en el campo Descripción .

          La descripción predeterminada es Posición del nombre de host.

        • Introduzca el valor del grupo de captura con el prefijo $ en el campo De .

          El grupo de captura determina desde qué posición del encabezado se inicia el log-host .

      2. Haga clic en log-timestamp e introduzca la siguiente información.

        • Escriba un nombre para la marca de tiempo del registro en el campo Nombre .

          log-timestamp es el nombre predeterminado.

        • Introduzca una descripción para la marca de tiempo del registro en el campo Descripción .

          La descripción predeterminada es Posición de la marca de tiempo.

        • Introduzca el valor del grupo de captura con el prefijo $ en el campo De .

          El grupo de captura determina desde qué posición del encabezado se inicia la marca de tiempo del registro .

        Nota:

        Asegúrese de que el formato de marca de tiempo sigue este formato de marca de tiempo de ejemplo: "Jan _2 15:04:05 2006". De lo contrario, el análisis de los mensajes syslog dará lugar a un comportamiento indefinido.

      3. Haga clic en log-message-payload e introduzca la siguiente información.

        • Escriba un nombre para la carga del mensaje de registro en el campo Nombre .

          log-message-payload es el nombre predeterminado.

        • Introduzca una descripción para log-message-payload en el campo Descripción .

          La descripción predeterminada es Posición de la carga útil.

        • Introduzca el valor del grupo de captura con el prefijo $ en el campo De .

          El grupo de captura determina desde qué posición del encabezado se inicia la carga de mensajes de registro .

      4. (Opcional) Haga clic en el icono más (+) para agregar un nuevo campo.

        • Escriba un nombre para el nuevo campo en el campo Nombre .

        • Introduzca una descripción para el nuevo campo en el campo Descripción .

        • Introduzca el valor del grupo de captura con el prefijo $ en el campo De .

          El grupo de captura determina desde qué posición del encabezado comienza el nuevo campo.

        Puede agregar uno o más de un campo haciendo clic en el icono más (+).

  6. Escriba los nombres de los campos clave en el cuadro de texto Campos clave .

  7. Haga clic en Guardar para guardar la configuración o haga clic en Guardar e implementar para guardar e implementar inmediatamente la configuración.

    Como alternativa, para cancelar la configuración, haga clic en Cancelar.

Editar un patrón de encabezado existente

Para editar un patrón de encabezado ya configurado:

  1. Vaya a Configuración > Ingesta en la barra de navegación izquierda.

    Se muestra la página Configuración de ingesta .

  2. Haga clic en Syslog para ver la página Syslog .

  3. Haga clic para expandir la sección Patrón de encabezado .

    Se muestra la sección Patrón de encabezado de la página Configuración de Syslog .

  4. Seleccione el patrón de encabezado que desea editar activando la casilla situada junto al nombre del patrón de encabezado y haga clic en el icono Editar (lápiz).

    Se muestra la página Editar patrón Header Name de encabezado.

  5. Después de editar los campos obligatorios, haga clic en Guardar para guardar la configuración.

    También puede hacer clic en Guardar e implementar para guardar e implementar inmediatamente la configuración editada.

CREAR REGLA, APLICAR MANUAL

Configurar una regla mediante el sensor syslog

Una vez completada la configuración de ingesta de syslog, ahora puede crear una regla utilizando syslog como sensor.

Esta regla incluye tres elementos:

  • Un sensor syslog

  • Cuatro campos que capturan datos de interés

  • Un desencadenador que indica cuándo se cae la interfaz

Nota:

Consulte las notas de uso al final de esta sección para obtener más detalles sobre lo que se ha configurado.

  1. Haga clic en Configuración > Reglas en la barra de navegación izquierda.

  2. En la página Reglas, haga clic en el botón + Agregar regla .

  3. En la página que aparece, en la fila superior de la ventana de reglas, establezca el nombre de la regla. En este ejemplo, es check-interface-status.

  4. Agregue una descripción y una sinopsis si lo desea.

  5. Haga clic en el botón + Agregar sensor e introduzca los siguientes parámetros en la ficha Sensores:

  6. Ahora vaya a la pestaña Campos, haga clic en el botón + Agregar campo e ingrese los siguientes parámetros para configurar el primer campo, llamado event-id:

  7. Vuelva a hacer clic en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el segundo campo, denominado fpc-slot:

  8. Vuelva a hacer clic en el botón + Agregar campo e introduzca los siguientes parámetros para configurar el tercer campo, denominado if-name:

  9. Haga clic en el botón + Agregar campo una vez más e ingrese los siguientes parámetros para configurar el cuarto campo, llamado snmp-index:

  10. Ahora vaya a la pestaña Disparadores, haga clic en el botón + Agregar desencadenador e ingrese los siguientes parámetros para configurar un desencadenador llamado enlace hacia abajo:

  11. En la parte superior derecha de la ventana, haga clic en el botón + Guardar e implementar .

Notas de uso de la regla

  • Ficha Sensor

    • El nombre del sensor if-status-sensor está definido por el usuario

    • El tipo de sensor es syslog

    • Conjunto de patrones check-interface-status: referencia al conjunto de patrones configurado anteriormente

    • Si no se establece, el valor predeterminado del período de retención máximo es 1s

  • Pestaña Campos

    • Se definen cuatro campos; Aunque los patrones capturan más de cuatro campos de datos, este ejemplo define cuatro campos de interés aquí; Estos campos se utilizan en la configuración del desencadenador

    • Los nombres de campo (event-id, fpc-slot, if-name, snmp-index) están definidos por el usuario

    • path event-id - campo predeterminado creado por syslog ingest en la tabla raw; Hace referencia al campo desde la configuración del patrón

    • Path FPC: hace referencia al valor del filtro utilizado en la configuración de patrón no estructurado

    • path if-name : hace referencia al campo desde la configuración del patrón

      • Datos si faltan todas las interfaces : si el valor if-name no está incluido en el mensaje syslog, utilice el valor de cadena "all interfaces"

    • path snmp-index: hace referencia al campo desde la configuración del patrón

  • Pestaña Disparadores

    • El vínculo hacia abajo del nombre del desencadenador está definido por el usuario

    • frecuencia 2s : Paragon Insights comprueba si hay mensajes syslog con vínculos caídos cada 2 segundos

    • El término es-link-down - cuando $event-id es como SNMP_TRAP_LINK_DOWN, en cualquier mensaje syslog en los últimos 300 segundos, haga rojo y muestre el mensaje Enlace hacia abajo para $if-name(snmp-id: $snmp-index)

      • $event-id: $ indica que se debe hacer referencia al campo de regla event-id

      • Enlace hacia abajo para $if-name (snmp-id: $snmp-index), por ejemplo, "Enlace hacia abajo para ge-2/0/0 de FPC 2"

      • $if-name : hace referencia al valor del campo, es decir, al nombre de la interfaz en el mensaje syslog.

    • term is-fpc-down - cuando $event-id es como PSEUDO_FPC_DOWN, en cualquier mensaje syslog en los últimos 300 segundos, haga rojo y muestre el mensaje Enlace hacia abajo para $if-name de FPC$fpc-slot

      • $event-id: $ indica que se debe hacer referencia al campo de regla event-id

      • $if-name - "todas las interfaces"

      • Enlace hacia abajo para $if nombre de la ranura FPC$fpc, por ejemplo, "Vínculo hacia abajo para todas las interfaces de FPC 2"

Agregar la regla a un manual

Con la regla creada, ahora puede agregarla a un libro de estrategias. En este ejemplo, cree un nuevo manual para contener la nueva regla.

  1. Haga clic en Configuración > Playbooks en la barra de navegación izquierda.

  2. En la página Playbooks, haga clic en el botón + Crear playbook .

  3. En la página que aparece, introduzca los siguientes parámetros:

  4. Haga clic en Guardar e implementar.

Aplicar el Manual de estrategias a un grupo de dispositivos

Para utilizar el manual, aplíquelo a un grupo de dispositivos.

  1. En la página Playbooks, haga clic en el icono Apply (Airplane) (Avión) para el playbook check-interface-status .

  2. En la página que aparece:

    • Escriba un nombre

    • Seleccione el grupo de dispositivos deseado

    • Haga clic en Ejecutar instancia

  3. En la página Playbooks, confirme que la instancia de Playbook se está ejecutando. Tenga en cuenta que el libro de estrategias puede tardar algún tiempo en activarse.

Monitorear los dispositivos

Con el libro de estrategias aplicado, puede comenzar a monitorear los dispositivos.

  1. Haga clic en Supervisar > estado del grupo de dispositivos en la barra de navegación izquierda y seleccione el grupo de dispositivos al que aplicó el manual en el menú desplegable Grupo de dispositivos .

  2. Seleccione uno o más de los dispositivos que desea supervisar.

  3. En la vista de mosaico, el mosaico etiquetado como externo contiene los parámetros de la regla que configuró anteriormente.

Nota:

Para este ejemplo, dado que el desencadenador de regla no incluye un término "verde", el estado se mostrará en rojo cuando haya un problema y, de lo contrario, se mostrará gris (sin datos).

Captura SNMP y notificaciones de información

Paragon Insights versión 4.0.0 admite notificaciones de información y captura enviadas por dispositivos en la red para la administración de fallos. Las capturas e informes son notificaciones sobre cambios de estado en la red que se envían entre el administrador SNMP (Paragon Insights) y los agentes SNMP (dispositivos), en los que Paragon Insights realiza evaluaciones de desencadenadores. Paragon Insights procesa las capturas e informa desde el dispositivo configurado solo si se está ejecutando un libro de estrategias que contenga una regla de notificación SNMP para el dispositivo especificado. En todos los demás casos, el Administrador SNMP elimina el mensaje de captura o informe.

En las siguientes secciones se describen los términos relevantes, la configuración de las capturas e información a través de la CLI, la configuración de puertos y el estado de acceso de las capturas SNMP mediante la CLI.

Nota:

Las notificaciones de captura SNMP son compatibles con SNMPv2c y SNMPv3. Los mensajes de información SNMP solo se admiten cuando se utiliza el protocolo SNMPv3.

Glosario

Los siguientes términos se utilizan al describir procesos o conceptos relacionados con las capturas e informes SNMP.

  • Agente autoritativo : en las transacciones SNMPv3 entre dos entidades (agente y administrador), el flujo de envío de notificaciones se controla mediante autenticación y privacidad, que son características únicas de SNMPv3. La autenticación identifica y verifica el origen de un mensaje SNMPv3. La función de privacidad evita que los analizadores de paquetes husmeen el contenido de los mensajes cifrándolos.

    La entidad que controla el flujo de notificaciones se conoce como agente autoritativo. En SNMPv3, la entidad no autoritativa debe conocer al <Engine ID> agente autorizado para que la comunicación sea correcta.

  • Capturas o mensajes de captura : una captura es una notificación no confirmada enviada desde un agente SNMP al administrador SNMP. En los mensajes de captura, el agente SNMP es el agente autoritativo. El administrador debe configurar SNMP v3 <user> (distinto de los usuarios locales de IAM) y <Context Engine ID> en el dispositivo que envía los mensajes de captura. Para las capturas, el <Context Engine ID> se establece en el Engine ID que identifica de forma exclusiva el agente SNMP.

  • Informa o informa mensajes : un informe es también una notificación enviada desde un agente SNMP al gestor SNMP. En los mensajes de información, el administrador SNMP es el agente autorizado. La configuración se realiza en el dispositivo que necesita enviar mensajes informados, con los detalles del agente autoritativo remoto, administrador SNMP. El administrador debe configurar el <user> que se encuentra en el administrador SNMP remoto.

  • ID de motor : <Engine ID> es un hexadecimal generado para un agente determinado que identifica de forma exclusiva al agente SNMP y debe ser único en un dominio administrativo determinado. También debe ser persistente en los reinicios o actualizaciones.

  • ID del motor de seguridad : es un parámetro de seguridad en la comunicación SNMP entre el agente y el administrador. Por lo general, se establece en el <Engine ID> del agente autorizado involucrado. Un mensaje de captura tiene dos partes: un encabezado y una unidad de datos de protocolo (PDU) de captura. El encabezado contiene el <Security Engine ID> y un <username> conjunto en la configuración de interrupción. Cuando un agente envía una interrupción, estos parámetros en el encabezado de la captura se comprueban con los detalles almacenados en la tabla USM. La trampa se procesa aún más solo cuando hay una coincidencia.

  • ID del motor de contexto : <Context Engine ID> forma parte de una PDU de captura. Identifica de forma exclusiva un dispositivo que ha enviado el mensaje de captura original. <Context Engine ID> y <Security Engine ID> son idénticos en la mayoría de los casos.

  • Tabla USM — Los administradores SNMP que reciben las capturas deben mantener la tabla USM (User-based Security Model) que tiene <Security Engine ID> y <username> como clave para verificar el origen de los mensajes de captura.

  • Dirección IP virtual para proxy SNMP : Paragon Insights se implementa como una aplicación de Kubernetes y utiliza equilibradores de carga que exponen direcciones IP virtuales a entidades externas. Cuando los mensajes se enrutan a través del equilibrador de carga, la dirección IP de origen del mensaje de captura se establecerá en la dirección IP del equilibrador de carga.

    El equilibrador de carga tiene la opción de conservar la dirección IP de origen si asigna una dirección IP virtual exclusiva para servicios que requieren que se conserve la dirección IP de origen de los agentes SNMP. Dado que en las notificaciones SNMP, la dirección IP de origen es necesaria para analizar el mensaje, se debe asignar una IP virtual exclusiva para el proxy SNMP. Es necesario configurar la misma IP virtual en el dispositivo o grupos de dispositivos que la dirección de destino.

Eventos como la solapa de la interfaz en la red pueden crear múltiples notificaciones de información o captura. Para determinar el orden de las notificaciones, Paragon Insights debe capturar la marca de tiempo de los dispositivos que envían notificaciones SNMP en nanosegundos. Sin embargo, el protocolo SNMP registra la marca de tiempo del dispositivo (en segundos) a medida que las notificaciones llegan a Paragon Insights. Como las notificaciones SNMP se envían a través de UDP, tampoco hay garantía del orden de las notificaciones SNMP.

Para que pueda capturar el orden de las notificaciones SNMP, se analizan los siguientes campos desde el encabezado SNMP de los paquetes de notificación.

  • ID del mensaje: Los dispositivos lo utilizan para identificar el mensaje SNMP y hacer coincidir las respuestas con el mensaje. El ID del mensaje se puede encontrar en el encabezado SNMP.

    Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __msg_id__ de acceso de un campo para recopilar el ID del mensaje.

  • ID de solicitud: se utiliza para identificar la unidad de datos del protocolo SNMP (PDU). El ID de solicitud se puede encontrar en la trampa o informar a PDU.

    Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __req_id__ de acceso de un campo para recopilar el ID de solicitud.

  • Versión SNMP: identifica el número de versión de la notificación SNMP (2 o 3).

    Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __version__ de acceso de un campo para recopilar el número de versión.

  • Tipo de PDU SNMP: identifica el tipo de notificación SNMP (captura v2c o solicitud de información).

    Cuando cree una regla para la captura SNMP o las notificaciones de informe, utilice la ruta __pdu_type__ de acceso de un campo para recopilar el tipo de PDU.

    Los datos de campo de tipo PDU SNMP capturados en la base de datos de series temporales muestran v2c para todas las notificaciones de captura SNMP. Puede comprobar el número de versión para determinar si la captura se genera mediante SNMP v2c o SNMP v3.

Configuraciones

En las secciones siguientes se detalla cómo:

Buscar el ID del motor

Dependiendo de si configura dispositivos para enviar notificaciones de captura o de informe, primero debe encontrar el <Engine ID> del agente SNMP. Puede consultar los siguientes comandos de ejemplo para encontrar el ID del motor en los dispositivos Junos.

Nota:

El comando de la CLI que se va a buscar <Engine ID> varía de un proveedor a otro.

Para buscar los <Engine ID> agentes SNMP (dispositivos) que son plataformas basadas en Junos, escriba el siguiente comando en la CLI.

Recibirá una salida HEX como dispositivo <Engine ID>.

Configuraciones de captura

Puede configurar un dispositivo para enviar notificaciones de captura mediante SNMPv2c y SNMPv3.

La dirección IP de origen debe ser única en todos los dispositivos, ya que identifica de forma única el dispositivo. La dirección IP de origen solo se puede configurar en dispositivo, mientras que el nombre de comunidad se puede configurar en dispositivo y grupo de dispositivos.

Nota:

En Paragon Insights, las configuraciones de ingesta y captura SNMPv2c y SNMPv3 comparten el mismo flujo de trabajo.

Para configurar las notificaciones de captura SNMP en el nivel de dispositivo:

  1. Haga clic en la opción Configuración > dispositivo en la barra de navegación izquierda.

  2. Haga clic en el botón Agregar dispositivo (+).

  3. Introduzca los valores necesarios en los cuadros de texto y seleccione las opciones adecuadas para el dispositivo.

    En la tabla siguiente se describen los atributos de la ventana Agregar un dispositivo :

    Tabla 5: Agregar detalles de página de dispositivo (s)

    Atributos

    Descripción

    Nombre

    Nombre del dispositivo. El valor predeterminado es el nombre de host. (Requerido)

    Nombre de host / Dirección IP / Rango

    Nombre de host o dirección IP de un solo dispositivo. Si proporciona un intervalo de direcciones IP, escriba la dirección IP del dispositivo que marca el inicio y el final del intervalo de direcciones. (Requerido)

    SNMP

    Número de puerto SNMP

    Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161.

    Versión SNMP

    Seleccione v2c o v3 en el menú desplegable.

    Comunidad SNMP

    Este campo aparece si seleccionó v2c en el campo Versión SNMP .

    Introduzca una cadena de comunidad SNMP si configura SNMPv2c para las notificaciones de captura.

    En SNMPv2c, la cadena Community se usa para comprobar la autenticidad del mensaje de captura emitido por el agente SNMP (dispositivos como enrutadores, conmutadores, servidores, etc.).

    Nombre de usuario SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Introduzca un nombre de usuario para las notificaciones de capturas.

    Autenticación Ninguna

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Active esta opción si desea establecer la autenticación SNMPv3 en Ninguno.

    Protocolo Ninguno

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Active esta opción activada si desea establecer el protocolo SNMPv3 en Ninguno.

    Protocolo de autenticación SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Autenticación ninguna.

    Seleccione un protocolo de autenticación en el menú desplegable.

    El protocolo de autenticación SNMP aplica un algoritmo hash al SNMP username con la frase de contraseña que ingresa. La salida con hash se envía junto con el mensaje de notificación de captura. Paragon Insights vuelve a aplicar un hash con username la frase de contraseña que ingresó para la autenticación. Si el resultado coincide, la notificación de captura se procesa aún más.

    Frase de contraseña de autenticación SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.

    Introduzca una frase de contraseña para la autenticación SNMPv3.

    Protocolo de privacidad SNMPv3

    Seleccione un protocolo de privacidad en el menú desplegable.

    El algoritmo de privacidad cifra el mensaje de notificación de captura con la frase de contraseña de protocolo para que una aplicación no autorizada en la red no pueda leer el mensaje.

    Contraseña de privacidad SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.

    Introduzca una frase de contraseña para cifrar la notificación de captura.

    ID del motor de contexto

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    El Engine ID debe establecerse en engine-id del agente SNMP.

    Dirección IP de origen

    Introduzca el source IP address del dispositivo.

    Este campo es obligatorio para las capturas SNMPv2c y opcional para las capturas e informes SNMPv3.

    Si utiliza NAT o un proxy SNMP, la dirección IP virtual que configure para el proxy SNMP debe establecerse como dirección IP de origen.

    Para establecer la dirección IP virtual para el proxy SNMP, vaya a Configuración > implementación en la barra de navegación izquierda. En la página Loadbalancer, ingrese la dirección IP virtual y haga clic en el botón Guardar e implementar .

  4. Haga clic en Guardar para confirmar la configuración o haga clic en Guardar e implementar para implementar la configuración en Paragon Insights.

Para configurar las notificaciones de captura SNMP en el nivel de grupo de dispositivos:

  1. Haga clic en la opción Configuración > grupo de dispositivos en la barra de navegación izquierda.

  2. Haga clic en el botón Agregar grupo (+).

  3. Introduzca los valores necesarios en los cuadros de texto y seleccione las opciones adecuadas para el grupo de dispositivos.

    En la tabla siguiente se describen los atributos de la ventana Agregar un grupo de dispositivos :

    Tabla 6: Agregar detalles de página de grupo de dispositivos

    Atributos

    Descripción

    Nombre

    Nombre del grupo de dispositivos. (Requerido)

    Descripción

    Descripción del grupo de dispositivos.

    Dispositivos

    Agregue dispositivos al grupo de dispositivos desde la lista desplegable. (Requerido)

    A partir de Paragon Insights versión 4.0.0, puede agregar más de 50 dispositivos por grupo de dispositivos. Sin embargo, la escala real del número de dispositivos que puede agregar depende de los recursos del sistema disponibles.

    Por ejemplo, considere que desea crear un grupo de dispositivos de 120 dispositivos. En versiones anteriores a la versión 4.0.0, se recomienda crear tres grupos de dispositivos de 50, 50 y 20 dispositivos respectivamente. Con Paragon Insights versión 4.0.0, solo puede crear un grupo de dispositivos.

    SNMP

    Número de puerto SNMP

    Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161.

    Versión SNMP

    Seleccione v2c o v3 en el menú desplegable.

    • Si selecciona v2c, aparecerá el campo Nombre de comunidad SNMP . La cadena utilizada en la autenticación v2c se establece en public de forma predeterminada. Se recomienda que los usuarios cambien la cadena de comunidad.

    • Si selecciona v3, se le da la opción de establecer el nombre de usuario, los métodos de autenticación y privacidad, y los secretos de autenticación y privacidad.

    Puertos de notificación

    Introduzca los puertos de notificación separados por comas.

    Paragon Insights escucha estas capturas en estos puertos de notificación e informa los mensajes de notificación de los grupos de dispositivos.

    Comunidad SNMP

    Este campo aparece si seleccionó v2c en el campo Versión SNMP .

    Escriba una cadena de comunidad SNMP si configura SNMPv2c para capturas e ingesta.

    En SNMPv2c, la cadena Community se utiliza para comprobar la autenticidad de los mensajes de notificación de captura emitidos por el agente SNMP.

    Nombre de usuario SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Introduzca un nombre de usuario para las notificaciones de capturas.

    La configuración de USM configurada en grupos de dispositivos se comparte entre dispositivos configurados en el mismo grupo de dispositivos.

    Autenticación Ninguna

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Active esta opción si desea establecer la autenticación SNMPv3 en Ninguno.

    Privacidad Ninguna

    Este campo aparece si seleccionó v3 en el campo Versión SNMP .

    Active esta opción en si desea establecer el protocolo de privacidad SNMPv3 en Ninguno.

    Protocolo de autenticación SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Autenticación ninguna.

    Seleccione un protocolo de autenticación en el menú desplegable.

    El protocolo de autenticación SNMP aplica un algoritmo hash al SNMP username con la frase de contraseña que ingresa. La salida con hash se envía junto con el mensaje de notificación de captura. Paragon Insights vuelve a aplicar un hash con username la frase de contraseña que ingresó para la autenticación. Si el resultado coincide, la notificación de captura se procesa aún más.

    Frase de contraseña de autenticación SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.

    Introduzca una frase de contraseña para la autenticación SNMPv3.

    Protocolo de privacidad SNMPv3

    Seleccione un protocolo de privacidad en el menú desplegable.

    El algoritmo de privacidad cifra el mensaje de notificación de captura con la frase de contraseña de protocolo para que una aplicación no autorizada en la red no pueda leer el mensaje.

    Contraseña de privacidad SNMPv3

    Este campo aparece si seleccionó v3 en el campo Versión SNMP y deshabilitó Privacidad ninguna.

    Introduzca una frase de contraseña para cifrar la notificación de captura.

    Configuración de registro

    Notificación SNMP

    Paragon Insights versión 4.0.0 admite la recopilación de datos de registro para la notificación SNMP. Puede recopilar diferentes niveles de gravedad de los registros para el servicio de notificación snmp en un grupo de dispositivos.

    Use estos campos para configurar qué niveles de registro recopilar:

    Global Log Level

    En la lista desplegable, seleccione el nivel de los mensajes de registro que desea recopilar para cada servicio de Paragon Insights en ejecución para el grupo de dispositivos. El nivel se establece en error de forma predeterminada.

    Log Level for specific services

    Seleccione el nivel de registro en la lista desplegable para cualquier servicio específico que desee configurar de forma diferente a la opción Nivel de registro global . El nivel de registro que seleccione para un servicio específico tiene prioridad sobre la configuración de Nivel de registro global .

  4. Haga clic en Guardar para confirmar la configuración o haga clic en Guardar e implementar para implementar la configuración en Paragon Insights. Para obtener información sobre cómo usar las tarjetas de grupo de dispositivos, consulte Supervisar el estado de los dispositivos y de la red.

SNMPv3 Informar configuraciones

Para permitir que los dispositivos envíen notificaciones informadas, debe configurar los usuarios de SNMPv3 USM.

Para crear usuarios de USM en Paragon Insights:

  1. Vaya a Configuración > Ingerir.

  2. Seleccione la ficha Notificación SNMP en la página Configuración de ingesta.

  3. Haga clic en la sección Usuarios de USM .

  4. Haga clic en el icono más (+) para agregar un usuario de USM.

  5. En la página Agregar usuario de USM, escriba el nombre de usuario, seleccione los protocolos de autenticación y privacidad, e introduzca frases de contraseña.

    Si habilitó Autenticación ninguna y Privacidad ninguna, el menú protocolo ni los campos de frase de contraseña no aparecerán.

  6. Haga clic en Guardar para guardar solo la configuración y en Guardar e implementar para implementar la configuración en Insights.

Después de agregar usuarios de USM, puede configurar los siguientes detalles en la página Agregar dispositivos en Configuración de dispositivos o en la página Agregar grupo de dispositivos en Configuración de grupo de dispositivos.

Tabla 7: Configuración SNMP para Informs

Atributos

Descripción

SNMP

Número de puerto SNMP

Número de puerto requerido para SNMP. El número de puerto se establece en el valor estándar de 161.

Versión SNMP

Seleccione v3 en el menú desplegable.

Puertos de notificación (solo grupos de dispositivos)

Introduzca los puertos de notificación separados por comas.

Paragon Insights escucha estas capturas en estos puertos de notificación e informa los mensajes de notificación de los grupos de dispositivos.

ID del motor de contexto (solo dispositivos)

Este campo aparece si seleccionó v3 en el campo Versión SNMP .

El Engine ID debe establecerse en engine-id del agente SNMP.

Dirección IP de origen (solo dispositivos)

Este campo aparece si seleccionó v3 en el campo Versión SNMP .

Introduzca el source-IP-address del dispositivo.

Si utiliza NAT o un proxy SNMP, la dirección IP virtual que configure para el proxy SNMP debe establecerse como dirección IP de origen.

Para establecer la dirección IP virtual para el proxy SNMP, vaya a Configuración > implementación en la barra de navegación izquierda. En la página Equilibrador de carga, escriba la dirección IP virtual y haga clic en Guardar e implementar.

A partir de Paragon Insights 4.2.0, puede recopilar _device_timestamp_ como una métrica de datos sin procesar. La marca de tiempo del dispositivo (en segundos) indica el momento en que se envía la notificación de información desde un dispositivo.

Nota:

El sensor SNMP captura la marca de tiempo del dispositivo para una notificación de información solo si configuró la autenticación para un mensaje de información.

Los datos de marca de tiempo del dispositivo para las notificaciones de captura SNMP son los mismos que la métrica de tiempo recibida en Paragon Insights. La marca de tiempo del dispositivo para las capturas y la métrica de tiempo para las notificaciones de captura indican la hora en que Paragon Insights recibe la notificación SNMP.

Configuración de puertos

De forma predeterminada, Paragon Insights escucha las capturas e informa en el puerto de captura SNMP estándar 162. Esto se puede cambiar si es necesario, ya sea en el nivel global, que es aplicable a todos los grupos de dispositivos, o en el nivel de grupo de dispositivos aplicable a un grupo de dispositivos específico.

El puerto configurado en la ingesta se aplicará a todos los grupos de dispositivos. Los mensajes de captura e información recibidos a través de cualquier otro puerto se descartan.

Para configurar el número de puerto en el nivel de ingesta:

  1. Vaya a Configuración > Ingesta en la barra de navegación izquierda.

  2. Seleccione la ficha Notificación SNMP en la página Configuración de ingesta.

  3. En la sección Puerto , introduzca el número de puerto.

  4. Haga clic en Guardar para guardar solo la configuración y en Guardar e implementar para implementar la configuración en Insights.

El puerto configurado en grupo de dispositivos se aplicará solo a un grupo de dispositivos específico. Las capturas e informes recibidos a través de cualquier otro puerto se descartan. Para configurar los números de puerto a nivel de grupo de dispositivos, consulte la Tabla 6.

Configuración de reglas

Una vez configurado el dispositivo para enviar capturas o notificar informaciones, debe configurar una regla en el dispositivo con captura SNMP para que Paragon Insights pueda procesar capturas desde el dispositivo. En los grupos de dispositivos, puede aplicar una instancia de playbook que tenga la regla snmp-notification. Cuando configure la notificación SNMP en cualquier regla, debe seleccionar el nombre MIB que desea supervisar. Vaya a Juniper MIBS Explorer para buscar archivos MIB para dispositivos Junos y Cisco MIBS Locator para buscar archivos MIB para dispositivos Cisco.

En el siguiente ejemplo se muestra cómo configurar una regla con notificación SNMP para enviar alertas si aparece una interfaz para el tema chassis.interfaces/ .

Nota:

Se supone que ha configurado el dispositivo o grupo de dispositivos para la notificación de captura SNMP. Consulte Métodos de ingesta de modelos de extracción de Paragon Insights para configurar las notificaciones de captura SNMP en dispositivos o grupos de dispositivos.

Para configurar una regla en el tema system.trap/:

  1. Vaya a Configuración > Reglas.

  2. Haga clic en el botón Agregar reglas de la página Reglas.

    Introduzca el nombre de la regla en el formato de tema/nombre de regla en el campo Regla y la descripción en el campo Descripción. Por ejemplo, chassis.interfaces/linkup.

  3. Haga clic en el botón Agregar sensor en la pestaña Sensores.

  4. Introduzca un nombre en el campo Nombre del sensor y selecciónelo SNMP Notification en el menú desplegable de Tipo de sensor.

  5. Introduzca el nombre de la notificación en MIB-Name::Notification Name el formato.

    Por ejemplo, IFMIB::linkDown.

  6. Haga clic en el botón Agregar campo en la pestaña Campos.

    Los campos de la regla de notificación SNMP se pueden derivar como se describe:

    • Variables (varbinds) para la captura dada.

      Las variables de la captura se pueden definir como campos. En los pasos siguientes se usa el ejemplo IfAdminStatus como varbind y IF-MIB:linkDown como snmp-notification.

      1. Introduzca IfAdminStatus el nombre del campo.

      2. Seleccione Integer como tipo de campo.

        El tipo de campo que introduzca en la GUI debe ser el mismo que el tipo definido en el archivo MIB.

      3. Seleccione Sensor como Tipo de ingesta (campo soruce).

        El Tipo de ingesta (origen de campo) debe establecerse en sensor.

      4. Seleccione el nombre del sensor en el menú desplegable en Sensor.

        El nombre del sensor es el nombre que ha introducido para el sensor de notificación SNMP.

      5. Introduzca IfAdminStatus como ruta del sensor.

        La ruta de acceso debe establecerse en el nombre de variable (varbind) definido en el archivo MIB.

      Para agregar un segundo campo para IfOperStatus como variable (varbind) para una notificación snmp determinada, siga los pasos descritos aquí, pero cambie el nombre del campo y la ruta del sensor a IfOperStatus.

  7. Haga clic en Guardar para confirmar la regla o en Guardar e implementar para implementar la regla en Paragon Insights.

    Puede ver el nuevo nombre de tema y la regla en la lista de reglas existentes.

    También puede configurar desencadenadores o funciones en función de los campos que agregue. Vea cómo crear una nueva regla en la interfaz gráfica de usuario como se explica en Reglas y manuales de Paragon Insights.

Debe incluir esta regla en un cuaderno de estrategias y aplicar la instancia de playbook en un dispositivo o grupo de dispositivos.

Para comprobar las nuevas notificaciones SNMP enviadas por grupos de dispositivos, inicie sesión en el servidor de Paragon Insights como usuario raíz y escriba el siguiente comando.

Puede realizar un seguimiento de las nuevas entradas enviadas por notificaciones de captura SNMP al servidor de Paragon Insights para los campos (por ejemplo, IfAdminStatus) que configuró.

Tabla de historial de versiones
Lanzamiento
Descripción
4.0.0
A partir de Paragon Insights versión 4.0.0, puede clonar una plantilla de NetFlow existente.
4.0.0
A partir de Paragon Insights versión 4.0.0, puede clonar un patrón Syslog existente.
4.0.0
A partir de Paragon Insights versión 4.0.0, puede clonar un conjunto de patrones de Syslog existente.
4.0.0
A partir de Paragon Insights versión 4.0.0, puede configurar el patrón para analizar la parte del encabezado de un mensaje syslog.
4.0.0
Paragon Insights versión 4.0.0 admite notificaciones de información y captura enviadas por dispositivos en la red para la administración de fallos.
4.0.0
A partir de Paragon Insights versión 4.0.0, puede agregar más de 50 dispositivos por grupo de dispositivos.
4.0.0
Paragon Insights versión 4.0.0 admite la recopilación de datos de registro para la notificación SNMP.
3.1.0
A partir de la versión 3.2.0 de Paragon Insights, Paragon Insights admite sFlow (v5)
3.1.0
A partir de la versión 3.1.0, Paragon Insights admite la interfaz de administración de red gRPC (gNMI) para la comunicación OpenConfig.
3.0.0
A partir de la versión 3.0.0, Paragon Insights (anteriormente HealthBot) admite NetFlow de forma nativa como otro método de ingesta
2.1.0
a partir de la versión 2.1.0, Paragon Insights también admite syslog de forma nativa como otro método de recopilación de datos
2.0.0
En las versiones de Paragon Insights anteriores a la 3.1.0, OpenConfig solo se podía utilizar en Junos OS y determinados dispositivos de Cisco.