Wie man Syslog- und SNMP-Trap-Meldungen in 6 Schritten monitort
Syslog ist ein Standard für die Protokollierung von Systemmeldungen. Viele Netzwerkgeräte unterstützen den Syslog-Standard für die Verwendung bei der Netzwerkverwaltung und bei Sicherheitsaudits oder um z. B. Meldungen für Analyse- oder Debugging-Zwecke zu senden.
SNMP-Traps sind asynchrone Benachrichtigungen von Netzwerkgeräten, die SNMP unterstützen. Diese Benachrichtigungen werden ausgelöst, um wichtige Vorfälle wie Systemereignisse, Ausfälle oder andere kritische Probleme zu melden.
Sie können PRTG Network Monitor als vollwertigen Syslog-Server und SNMP-Trap-Empfänger einsetzen, indem Sie die entsprechenden nativen Sensoren verwenden: den Syslog-Empfänger Sensor und den SNMP-Trap-Empfänger Sensor. In diesem How-to zeigen wir Ihnen anhand eines Beispiels, wie Sie das Monitoring von Syslog- und SNMP-Trap-Meldungen einrichten.
Überlegungen zur Leistung
Bevor Sie mit der Einrichtung von Syslog-Empfänger und SNMP-Trap-Empfänger Sensoren beginnen, sollten Sie Folgendes beachten:
- Die Anzahl der Syslog- und SNMP-Trap-Meldungen, die PRTG verarbeiten kann, hängt stark von Ihrer Konfiguration und Systemeinrichtung ab.
- Um die Leistung zu verbessern, haben Sie die Möglichkeit, eingehende Syslog- oder SNMP-Trap-Meldungen anhand verschiedener Parameter in den Sensoreinstellungen zu filtern. Auf diese Weise verarbeitet PRTG nur bestimmte Meldungen und löscht andere Daten.
- Wenn Sie die Syslog-Empfänger oder SNMP-Trap-Empfänger Sensoren direkt zu einem Netzwerkgerät hinzufügen, anstatt z. B. zum Gerät der Probe, erhöht sich ihre Geschwindigkeit im Vergleich zu spezifischen Filterregeln noch mehr.
- PRTG speichert verarbeitete Syslog- und SNMP-Trap-Meldungen in einer internen, hochleistungsfähigen Datenbank auf dem Probe-System. Der wichtigste limitierende Faktor für die Speicherung von Meldungen ist der Festplattenspeicher auf dem Probe-System.
- Wenn Sie die Syslog-Empfänger oder SNMP-Trap-Empfänger Sensoren auf verschiedene Probes verteilen, wird die Gesamtleistung noch besser skalierbar. Sie haben auch mehr Flexibilität in Bezug auf den Speicherort der Daten.
So richten Sie das Monitoring von Syslog- oder SNMP-Trap-Meldungen ein
- Um alle Syslog- oder SNMP-Trap-Meldungen vom Probe-System zu empfangen, fügen Sie die entsprechenden Sensoren zum Gerät der Probe hinzu. Sie können die Sensoren auch direkt zu einem Gerät in PRTG hinzufügen, wenn Sie nur Meldungen von diesem Gerät verarbeiten wollen.
Klicken Sie dazu mit der rechten Maustaste auf das entsprechende Gerät und wählen Sie im Kontextmenü Sensor hinzufügen. Geben Sie dann empfänger in das Suchfeld ein.
Wenn Sie die Sensoren zu einem anderen Gerät als dem Gerät der Probe hinzufügen, stellen Sie sicher, dass die IP-Adresse oder der DNS-Name, den Sie in PRTG angeben, direkt auf den Absender der Syslog- oder SNMP-Trap-Meldungen zeigt. Wenn Sie zum Beispiel Syslog- oder SNMP-Trap-Meldungen von einem Storage Area Network (SAN) empfangen wollen, müssen Sie ein Gerät in PRTG hinzufügen, das die IP-Adresse des spezifischen Array-Mitglieds verwendet, das die Meldungen sendet. Die Angabe einer IP-Adresse oder eines DNS-Namens, der auf das gesamte SAN verweist, funktioniert möglicherweise nicht. - Klicken Sie auf den Sensor, den Sie hinzufügen möchten. Wählen Sie zwischen SNMP-Trap-Empfänger und Syslog-Empfänger. In diesem Beispiel verwenden wir den Syslog-Empfänger Sensor, aber die Schritte sind die gleichen für den SNMP-Trap-Empfänger Sensor.
- Belassen Sie für die erste Konfiguration die Standardeinstellungen und Filter, wie sie sind, um zu sehen, welche Daten PRTG tatsächlich empfängt.
Der Standard-Port, an dem PRTG auf Syslog-Meldungen wartet, ist 514. Der Standard-Port, an dem PRTG auf SNMP-Trap-Meldungen wartet, ist 162.
Gemäß den Standard-Filtereinstellungen des Syslog-Empfänger-Sensors zeigt der Sensor den Warnung-Zustand an, wenn es bei der letzten Sensorabfrage mindestens eine Syslog-Meldung mit Schweregrad 4 gab, und den Fehler-Zustand, wenn es mindestens eine Meldung mit Schweregrad 3 oder niedriger gab. - Klicken Sie auf Erstellen, um den Sensor hinzuzufügen. Da Sie Ihr Quellgerät noch nicht konfiguriert haben, empfängt PRTG keine Daten und zeigt den Unbekannt-Zustand an.
Bevor PRTG beginnen kann, Syslog- oder SNMP-Trap-Meldungen zu empfangen, müssen Sie das jeweilige Gerät, das die Meldungen sendet, so konfigurieren, dass es auf die entsprechenden Sensoren in PRTG weist. Für die Konfiguration lesen Sie bitte die Dokumentation des jeweiligen Herstellers.
- Geben Sie die IP-Adresse des Probe-Systems an, auf dem der Syslog-Empfänger- oder der SNMP-Trap-Empfänger-Sensor läuft.
- Wenn Sie die Standardeinstellungen des Sensors in PRTG verwenden, geben Sie Port 514 ein für ein Gerät, das Syslog-Meldungen sendet, und Port 162 für ein Gerät, das SNMP-Trap-Meldungen sendet.
- Wählen Sie UDP als Protokoll.
- Beachten Sie, dass der SNMP-Trap-Empfänger-Sensor kein SNMP v3 unterstützt. Verwenden Sie stattdessen SNMP v1 oder v2c.
Wenn das Quellgerät beginnt, Syslog- oder SNMP-Trap-Meldungen an das angegebene Probe-System zu senden, erscheinen gesendete Meldungen, die dem Einschließen-Filter entsprechen, automatisch im PRTG Web Interface. Sie finden die Meldungen auf dem Übersicht-Tab des jeweiligen Sensors im Abschnitt Syslog messages oder Trap messages sowie auf dem Nachrichten-Tab des Sensors.
Während jedes Abfrageintervalls zählt PRTG die empfangenen Syslog- oder SNMP-Trap-Meldungen und zeigt die Anzahl in den jeweiligen Kanälen an. Die Kanäle zeigen die Gesamtzahl der empfangenen Meldungen sowie die Gesamtzahl der verworfenen, Fehler- und Warnmeldungen an.
PRTG bestimmt Sensorzustände pro Sensorabfrage. Das bedeutet, wenn der Sensor eine Syslog- oder SNMP-Trap-Meldung erhält, die als Fehler zählt, zeigt der Sensor für ein Abfrageintervall den Fehler-Zustand an. Wenn während dieses Abfrageintervalls keine neue Fehlermeldung auftritt, zeigt der Sensor wieder den OK-Zustand an.
PRTG verarbeitet und speichert alle eingehenden Syslog- oder SNMP-Trap-Meldungen, die dem Einschließen-Filter entsprechen. In diesem Fall ist die Standardeinstellung severity[0-6] (dt.: Schweregrad[0-6]) für den Syslog-Empfänger Sensor und any für den SNMP-Trap-Empfänger Sensor.
Sie können die empfangenen Daten in den Unterordnern \Syslog Database und \Trap Database des PRTG Datenverzeichnisses finden. PRTG erstellt eine Datendatei pro Stunde.
Um die empfangenen Syslog- oder SNMP-Trap-Meldungen zu überprüfen, navigieren Sie im PRTG Web Interface zum Nachrichten-Tab des jeweiligen Sensors. Dort können Sie die Meldungen nach Datum und verschiedenen anderen Parametern filtern.
Achtung: Bei den Parametern, die Sie in die Filterfelder eingeben, wird zwischen Groß- und Kleinschreibung unterschieden. Zudem müssen sie genau mit den Parametern in der Syslog- oder SNMP-Trap-Meldung übereinstimmen.
Um SNMP-Trap-Meldungen verständlicher zu machen, kopieren Sie die MIB-Dateien Ihrer Geräte in den Unterordner \MIB des PRTG Programmverzeichnisses. Auf diese Weise kann PRTG die Objekt-Identifikatoren (OID) in verständlicheren Text umwandeln. Zum Beispiel wird die OID 1.3.6.1.4.1.32446.1.1.2 als SNMPv2-SMI-v1::enterprises.32446.1.1.2 = 0 angezeigt.
Um die Leistung Ihrer Syslog-Empfänger und SNMP-Trap-Empfänger Sensoren zu verbessern und nur die Daten zu erfassen, die Sie wirklich benötigen, können Sie die Filter für Meldungen in den Sensoreinstellungen anpassen.
Navigieren Sie zum Einstellungen-Tab des jeweiligen Sensors und verwenden Sie die angegebenen Filterregeln im Abschnitt Filter, um die folgenden Filter zu definieren:
- Einschließen-Filter: PRTG verarbeitet und speichert nur die spezifischen Meldungstypen, die Sie hier eingeben.
- Ausschließen-Filter: PRTG verarbeitet und speichert die hier eingegebenen Meldungstypen nicht.
- Warnungsfilter: Die Regeln, die Sie hier eingeben, kategorisieren die empfangenen Meldungen als Warnungen und der Sensor zeigt den Warnung-Zustand an.
- Fehlerfilter: Die Regeln, die Sie hier eingeben, kategorisieren die empfangenen Meldungen als Fehler und der Sensor zeigt den Fehler-Zustand an.
Die Filterregeln müssen die richtige Syntax haben, um zu funktionieren. Weitere Informationen finden Sie in den Filterregeln für den Syslog-Empfänger-Sensor (engl.) und in den Filterregeln für den SNMP-Trap-Empfänger-Sensor (engl.).
Standardmäßig haben die Kanäle Warnings und Errors des Syslog-Empfänger und des SNMP-Trap-Empfänger Sensors einen sehr niedrigen oberen Grenzwert für Warnungen und Fehler von 0,00000001. Auf diese Weise reicht bereits eine Syslog- oder SNMP-Trap-Meldung, die als Warnung oder Fehler kategorisiert wird, aus, damit PRTG den Warnung- oder Fehler-Zustand anzeigt.
Wenn Sie eine Benachrichtigung erhalten möchten, wenn PRTG eine Warn- oder Fehlermeldung erhält, ist es am besten, dem jeweiligen Sensor jeweils einen Zustands-Trigger für den Fehler-Zustand und für den Warnung-Zustand hinzuzufügen:
- Navigieren Sie zum Trigger für Benachrichtigungen-Tab des Sensors.
- Bewegen Sie den Mauszeiger über das blaue Plus-Symbol und klicken Sie auf Zustands-Trigger hinzufügen.
- Geben Sie in der ersten Zeile 0 Sekunden für die Zeitbedingung ein.
- Wählen Sie die Benachrichtigungsmethode Ihrer Wahl.
- Passen Sie alle anderen Einstellungen nach Ihren Bedürfnissen an.
- Klicken Sie auf das blaue Häkchensymbol, um den Trigger für Benachrichtigungen zu speichern.