Ep. 23: Lavorare con la console eventi in Checkmk
| [0:00:00] | Bentornati al canale Checkmk. Oggi parleremo della console eventi. |
| [0:00:16] | La console eventi viene utilizzata per tutti i tipi di monitoraggio basati sugli eventi. Come sapete, tutto ciò che abbiamo fatto è stato il monitoraggio attivo. Quindi, interroghiamo i sistemi e otteniamo un risultato. |
| [0:00:28] | Per quanto riguarda il monitoraggio basato sugli eventi, si tratta dell'invio di un evento da parte di un altro sistema, che può essere un server syslog, un trap SNMP o qualsiasi altro protocollo che può essere utilizzato per convertirlo in un vero evento della console. |
| [0:00:46] | Come potete vedere qui, la console eventi è affiancata da Checkmk ma utilizza la stessa configurazione. |
| [0:00:54] | Ciò significa che si tratta di un sistema completamente diverso, ma completamente integrato all'interno di Checkmk non solo per la parte di configurazione, ma anche per la notifica. |
| [0:01:05] | Ciò significa che dalla console eventi è possibile attivare una normale notifica via e-mail. La console eventi dispone di un numero ancora maggiore di funzioni, per cui è possibile definire le proprie azioni all'interno della console eventi. |
| [0:01:23] | Quello che vi mostrerò più avanti è che potete anche definire diversi risultati con questa azione. In pratica, non solo potete aprire gli eventi, ma potete anche chiuderli automaticamente con un evento di chiusura a tempo. |
| [0:01:36] | È anche possibile utilizzare gli eventi solo per attivare un'azione e chiuderli immediatamente. Inoltre, è possibile anche chiudere automaticamente gli eventi in base al tempo. Come si può vedere nel diagramma 2, la console eventi ha diverse interfacce per ricevere gli eventi. |
| [0:01:55] | Ad esempio, è possibile abilitare i ricevitori per syslog UDP e TCP e per le trap SNMP. Inoltre, c'è un'interfaccia locale che si può usare per creare i propri plugin, che consente di ricevere qualsiasi tipo di evento da ogni sistema desiderato. Allora, diamo un'occhiata. |
| [0:02:18] | Iniziamo dalla parte di configurazione. La prima cosa da fare è attivare la visualizzazione completa di tutte le opzioni. Poi troverete nella parte 'Eventi' la sottoparte: Console eventi. |
| [0:02:40] | Nella pagina successiva si trova il Simulatore di eventi. Potete usarlo per testare le vostre regole. Nella seconda parte si trovano i pacchetti di regole. I pacchetti di regole sono fondamentalmente una raccolta di regole. |
| [0:02:58] | Potete scegliere un solo pacchetto e usarlo per raccogliere tutte le regole. Se volete, potete anche esportare questi pacchetti. |
| [0:03:08] | Consiglio di creare un pacchetto per ogni tipo di regola che si desidera avere. Ad esempio, se volete monitorare gli eventi di uno switch Cisco, creerei un pacchetto per lo switch Cisco. |
| [0:03:22] | Se avete un sistema diverso, create un pacchetto per questo sistema diverso. La prossima cosa da fare è inserire il pacchetto di regole. Funziona con questa icona. |
| [0:03:37] | Nella seconda pagina abbiamo ancora il simulatore di eventi. Posso nasconderlo, dato che ora non ci serve più, e comunque non ci sono regole. Con il pulsante Aggiungi regola, possiamo aggiungere la nostra prima regola. |
| [0:03:54] | La prima opzione che dobbiamo sempre impostare è l'ID della regola. È importante perché ogni evento creato farà riferimento in seguito a questo ID completo, in modo da sapere sempre quale regola ha creato un evento. |
| [0:04:12] | Io sono molto creativo e quindi uso test come ID dell'evento. Passiamo ai criteri di corrispondenza. Utilizzerò solo quelli importanti. |
| [0:04:23] | La maggior parte di essi è legata agli eventi syslog, ma possiamo anche fare una piccola corrispondenza testuale. Un evento ha sempre bisogno di un modello. |
| [0:04:37] | E non importa se si tratta di eventi syslog o di trap SNMP. |
| [0:04:42] | Lo schema può essere quello di avere un errore molto semplificato all'inizio, e poi un testo di errore come Errore: Qualcosa non va. |
| [0:05:01] | Naturalmente, non si vuole creare una regola per ogni possibile errore. Quindi, avremo bisogno di un'espressione regolare che corrisponda a tutto ciò che c'è dietro l'errore. È come (.*). |
| [0:05:22] | Sì, ma questo è un esempio molto semplice. In pratica la regex sarebbe un po' più complicata. |
| [0:05:34] | Il problema successivo con questo evento è che quando lo riceviamo, viene creato, ma quando dovrebbe essere chiuso di nuovo? Può essere automaticamente dopo un certo tempo. |
| [0:05:48] | Può essere automaticamente, può essere immediatamente, perché si possono anche assegnare delle azioni. Lo mostrerò più avanti. Oppure si può anche ricevere una trappola di cancellazione o un messaggio di cancellazione. Per questo, è possibile utilizzare il testo per annullare gli eventi. |
| [0:06:06] | Ora la cosa si complica un po', perché di solito si riceve la notifica OK. Dopo di che, di solito, si ha il messaggio di errore originale. Quindi, è necessario creare la stessa corrispondenza anche all'interno di questo campo. |
| [0:06:33] | Se si ottiene un errore uno e un errore due e poi si ottiene un OK, non si sa quale degli errori si vuole chiudere. Il primo o il secondo? |
| [0:06:46] | Ma se si ottiene l'errore uno, l'errore due e poi successivamente l'OK due, si saprebbe che è necessario chiudere il secondo, quello che aveva due come messaggio di errore. |
| [0:06:57] | Pertanto, queste parentesi devono corrispondere al messaggio di errore originale per chiudere l'evento corretto. E questo è già sufficiente per poterlo testare. |
| [0:07:12] | Ora salvo. Attivo le mie modifiche. E ora usiamo il Simulatore di eventi per fare una prova. Torniamo quindi a Impostazione, Console eventi. |
| [0:07:38] | Apro il simulatore di eventi e mi serve il testo del messaggio. Ho detto che c'è un errore. Ripetiamo l'errore. |
| [0:07:56] | Posso inserire altre informazioni sulla sorgente, ma non è importante per il nostro test. |
| [0:08:01] | All'inizio, posso scegliere di provare. In questo modo posso dimostrare che il mio pacchetto di regole corrisponde anche quando sono all'interno del pacchetto di regole. |
| [0:08:12] | Faccio clic qui e vado a provare. Posso vedere che la mia regola di prova corrisponde. |
| [0:08:22] | Ma quando vado su Genera evento, vedo che nella mia barra laterale l'evento è stato creato. Faccio clic al suo interno. |
| [0:08:33] | E vedo qui, per myhost089, Foobar-Daemon, Errore: Qualcosa non va. Quindi vogliamo chiuderlo automaticamente. In questo caso uso il browser back. |
| [0:08:51] | Passo a OK. Genero l'evento. Un secondo dopo, la barra laterale non è ancora stata aggiornata ma posso vederla qui nella panoramica, l'evento è sparito. |
| [0:09:10] | E poi un altro esempio sulle espressioni regolari. Creerò due eventi. Errore: Qualcosa non va 1. Errore: Qualcosa di sbagliato 2. |
| [0:09:28] | Ora ho questi due eventi qui e voglio solo chiuderne uno. Quindi, andiamo con il primo, con 1 qui. Generare. Ne rimane solo uno. |
| [0:09:49] | La prossima cosa che possiamo fare è dare un aspetto un po' più, diciamo, pulito. Quindi, possiamo riscrivere il campo del messaggio e alcuni degli altri campi. |
| [0:09:58] | Quindi torniamo alla configurazione, torniamo all'interno della regola. Sono qui nel pacchetto di regole e ho la mia regola di prova. Quindi, uso la matita. Scorro verso il basso. |
| [0:10:15] | E alla fine della pagina abbiamo la parte di riscrittura, dove possiamo riscrivere il testo del messaggio o informazioni come il nome dell'host e cose del genere. È molto semplice. |
| [0:10:28] | Si utilizzano gli schemi di corrispondenza di prima. Qui abbiamo uno schema. |
| [0:10:33] | Se avessi un testo un po' più complicato, come errore e qualcos'altro, e poi un secondo di questo, avrei due gruppi di corrispondenza. |
| [0:10:50] | Quindi potrei fare riferimento al primo e al secondo in un altro campo. |
| [0:11:00] | Nel nostro esempio, lo mantengo semplice. Quindi, solo uno. Non abbiamo un numero due e mettiamo qualcosa lì. È come, diciamo, Hello World. |
| [0:11:18] | Poi vogliamo avere l'errore. Lo salviamo di nuovo. Lo attivo. Creiamo il prossimo evento. Impostazione, Console eventi. |
| [0:11:34] | Invece di Errore: Something wrong 1, ora avremo, aspettate, Hello World: Qualcosa non va. Quindi, la parte di errore non c'è più, perché non faceva parte del modello di corrispondenza, e abbiamo il bel testo riscritto qui. |
| [0:11:55] | Infine, voglio mostrare altre opzioni per le nostre regole. Torniamo alla configurazione. Torniamo alla Console eventi. Entro nel mio pacchetto di regole e inserisco questa regola. |
| [0:12:12] | Oltre ai criteri di corrispondenza, è possibile definire il risultato. Ad esempio, una regola può prevedere che il pacchetto di regole venga saltato o che l'evento venga semplicemente abbandonato. |
| [0:12:29] | Questo ha senso se si hanno molti eventi in poco tempo e non si vogliono avere milioni di eventi posseduti da tutte le regole, in modo da poter selezionare gli eventi in qualsiasi momento. |
| [0:12:47] | Il punto successivo è la possibilità di cambiare lo Stato. Normalmente viene impostato da syslog, ma soprattutto se lavorate con le trap SNMP, dovete decidere se è critico, se è ok, se è sconosciuto, se è in esecuzione. |
| [0:13:03] | Inoltre, è possibile assegnare gruppi di contatto se si desidera utilizzare la gestione corretta in Checkmk. Infine, è possibile assegnare alcune azioni. |
| [0:13:14] | L'azione più semplice è l'invio della notifica di monitoraggio, che può essere utilizzata con il sistema di notifica basato su regole di Checkmk. |
| [0:13:22] | Altrimenti, è possibile definire azioni personalizzate all'interno della Console eventi. Ma non è la parte che mostrerò oggi. |
| [0:13:35] | Anche in questo caso ci sono due parti di azioni. Si può avere un'azione nel momento in cui l'evento appare, ma si può anche avere un'azione nel momento in cui l'evento viene cancellato. |
| [0:13:50] | Se non si dispone di un evento cancellato, è anche possibile eliminare automaticamente l'evento dopo che l'azione è stata eseguita. Ad esempio, si invia la notifica di monitoraggio e poi si elimina l'evento. |
| [0:14:07] | Ma a volte si ricevono molti messaggi. In questo caso, è possibile utilizzare il conteggio e la temporizzazione. |
| [0:14:13] | Quindi, si può anche decidere di contare i messaggi in un intervallo e dire che si vuole aspettare, diciamo, 5 eventi prima di creare qualcosa. |
| [0:14:26] | Quindi, ad esempio, occorrono 5 trap SNMP dello stesso tipo prima di creare un avviso nella Console eventi. E poi si può anche verificare la presenza di un battito cardiaco. |
| [0:14:42] | In questo modo è possibile, ad esempio, creare un evento se non si riceve nulla. Quindi, se non si riceve un errore ogni, qual è l'impostazione predefinita, ogni ora, si riceve il messaggio di errore. Oppure si può ritardare la creazione dell'evento. |
| [0:15:05] | Quindi, si può, ad esempio, ritardare di 15 minuti. Se l'evento viene annullato prima di questi 15 minuti, non ci sarà alcun evento nella Console eventi. |
| [0:15:16] | Un'opzione molto importante è la limitazione della durata dell'evento, da usare ogni volta che si testa qualcosa in modo che gli eventi vengano cancellati automaticamente. Perché la Console eventi non è un archivio di qualche tipo. |
| [0:15:40] | È semplicemente lì per darvi notifiche se ci sono errori. Quindi, se riempite la Console eventi a un certo punto, si romperà. |
| [0:15:45] | Un'ultima cosa: la Console eventi di Checkmk può anche aiutarvi a ricevere gli eventi, perché è dotata di ricevitori integrati per syslog e trap SNMP. |
| [0:16:03] | Per configurarli, è necessario andare nelle impostazioni del sito. Quindi, andiamo in Configurazione, Impostazioni globali. Poi cerchiamo Gestione sito, Console eventi. Oppure preferisco inserire Event Console nel filtro e ottenere direttamente il risultato. |
| [0:16:38] | Per impostazione predefinita, l'elaborazione è solo locale, ma è possibile abilitare, per il mio esempio, le trappole SNMP, salvarle e attivarle. Dopodiché, Checkmk si metterà automaticamente in ascolto su questa porta. |
| [0:17:00] | L'unica cosa di cui bisogna preoccuparsi è che solo un lato può ascoltare una delle porte, quindi non è possibile che più siti ricevano questo tipo di trappole. |
| [0:17:10] | Spesso mi viene chiesto se possiamo gestire i file MIB SNMP per le trappole. Sì, è possibile. |
| [0:17:21] | Vi mostro come si fa. Qui in Configurazione, poi Console eventi. In Console eventi c'è una parte dedicata alle MIB SNMP. Qui è possibile caricare nuove MIB. |
| [0:17:43] | In secondo luogo, è necessario abilitare la gestione. Pertanto, nelle impostazioni è disponibile l'opzione per abilitare la traduzione di drop. |
| [0:18:04] | Ma vi sconsiglio di farlo, perché non ne trae un reale beneficio. |
| [0:18:11] | Dovete ancora fare tutto a mano, quindi dovete definire i vostri pattern, ed è più facile definire un pattern con OID numerici e messaggi di errore reali piuttosto che con del semplice testo. |
| [0:18:30] | Quindi, è più facile individuare il proprio schema da una combinazione di OID e testo. |
| [0:18:36] | Inoltre, naturalmente, se si utilizzano i file MIB, sarà più lento che senza di essi, perché Checkmk dovrà confrontare ogni trappola SNMP in arrivo con tutti i file MIB caricati. |
| [0:18:36] | Spero che questo piccolo approfondimento su questo potente sistema sia stato utile. Grazie per aver guardato e abbonatevi. |
Vuoi saperne di più su Checkmk? Partecipa al nostro webinar "Introduzione a Checkmk".
