Manuel de l'administrateur | Table des matières |
Les filtres d'événements sont utilisés pour déclencher des actions lors de la réception d'un événement par le gestionnaire d'événements.
Pour chaque événement enregistré un jeu de filtres/actions peut être défini. Les actions possibles sont l'envoi d'e-mail, la génération d'alarme sonore, la lecture du message (Text To Speech), le lancement d'un progamme windows, ou d'un script, l'envoi vers le correlateur d'événement, l'envoi vers des fenêtres d'affichage personnalisés, etc.
Pour créer un filtre il existe trois methodes:
Les filtres d’événement et de trap snmp sont enregistrés dans un fichier texte /bin/config/trapfilter.txt. La syntaxe de ce fichier doit être respectée en cas de modification manuel par un éditeur.
Invoquer l'assistant (Wizard) à partir d'un événement reçus
La fenêtre de visualisation des événements reçus dipose d'un menu contextuel permettant d'appeler le Wizard
Sélectionner un événement reçus dans la liste puis cliquer droit pour avoir le menu contextuel, sélectionner :
>Event Filter Wizard…
La création d'un nouvel événement est proposée. L'événement séléctionné dans la liste sera utilisé pour la création du filtre.
Choisir Yes pour valider
La fenêtre de création du filtre est alors affichée.
Event filter window(Wizard)
Le champ Event Number affiche le numéro de l'événement pour lequel vous créez un filtre
Le champ IP address permet de filter l'événement en fonction de l'adresse IP source à l'origine de cet événement
Le champ Mask permet d'appliquer un filtre sur l'adresse IP.
Remarque : un masque 255.255.255.255 filtrera précisément l'adresse affichée tandis qu'un masque à 255.255.255.0 prendra toutes les adresses IP dont les trois premiers octets seront conformes.
Les champs Strings permettent de filtrer en fonction du contenu de deux chaînes de caractères situées dans le message lui-même.
La liste déroulant Action List permet de sélectionner un action parmi les actions possibles.
Le champ Action Parameters permet de passer à l'action sélectionnée des paramètres additionnels pour son exécution.
L'action Play Sound emet un son. Cette action nécessite unn carte son et un haut parleur.
Si vous sélectionnez l'action Play sound, une liste des fichiers de son (wav) disponible s'affiche.
Cette action lance l'exécution d'un programme Windows.
Si vous sélectionnez l'actionStart Windows Program, une liste des fichiers exécutables (exe) disponible s'affiche.
Cette action envoi un message au format Syslog vers un serveur Syslog.
Entrer l'adresse IP du serveur Syslog destinataire.
Cette action envoi l'événement vers les fenêtres d'affichage filtrés Custom.
Choisir la fenêtre de destination de l'événement.
Event Custom Selection (Wizard)
Les fenêtres Custom sont accessible par les onglets suivants:
Custom 1 Custom 2 Custom 3
Cette action ne fait rien mais permet de comptabiliser la réception d'un événement par les compteurs de filtre d'événements.
Cette action envoi l'événement vers un autre manager LoriotPro.
Entrer l'adresse IP du LoriotPro destinataire.
Cette action envoi un message vers un adresse E-Mail.
Entrer l'adresse E-mail du destinataire.
Warning: Pour que l'E-Mail soit envoyé, il est nécessaire que le module de service SMTP Scheduler soit configuré et lancé.
L'action Run Script donne au manager de la file de traitement des scripts un fichier de script. Cette option nécessite que le gestionnaire de la file d'attente des script (plugin de service) soit installé et lancé.
Sélectionner un script LUA dans la liste présenté.
L'action Text To Speech dépose dans le répertoire /bin/playlist un fichier text qui sera lu par le module de service (plugin) Text to Speech
Une fois l'action définie, vous pouvez définir les paramètres passés à cette action.
Par exemple, si l'action d'envoi d'e-mail est choisi, le texte du message de l'événement peut y être ajouté par le paramètre %m.
Le signe % esy utilisé pour les variable et ne peut être utilisé comme texte.
Les options avancées permettent de prendre en compte les événements en fonction de compteurs de réception et de leur statut d'acquittement.
Le fenêtre Advanced Event Filter:
L'Event Filter UID est un champ non modifiable qui contient l'UID, un numéro unique dédié à ce filtre et qui permet de l'identifier. Il peut être utilisé dans les Active View et les scripts LUA pour y faire référence.
Le champ Set Exception Display Limit permet de controler le nombre d'événements affiché dans la fenêtre de réception des événements. Cette option permet de supprimer les événements redondants. Un fois la limite atteinte, l'événement n'est plus affiché tant que le compteur associé à ce champ n'est pas remis à zéro. Pour remettre à zéro ce compteur ouvrir la fenêtre Event Counter et double cliquer sur le champ Display/limit pour cet événement.
Le champ action Threshold Type permet de définir les conditions du compteur de réception d'événement pour que l'action de ce filtre soit réalisée.
Match All |
A chaque fois que les conditions du filtre sont satisfaites |
Match only First |
seulement la première fois que les conditions du filtre sont satisfaites |
Match only X |
la n fois que les conditions du filtre sont satisfaites |
Match after X |
après n fois que les conditions du filtre sont satisfaites |
Match if supposed burst for time interval <= |
si les conditions du filtre sont satisfaites plus de n fois sur une période |
Match Every X |
toutes les n fois que les conditions du filtre sont satisfaites |
Invoquer l'assistant Wizard à partir de l'arbre des filtres
Les filtres d'événement peuvent être créés directement à partir de l'arbre des événements.
Il faut sélectionner un événement de l'arbre des filtre (onglet filter ) sur lequel on souhaite ajouter un filtre puis appeler l'assistant
>New Event Filter…
Un fenêtre vide de création de filtre d'événement est affichée. L'événement est pré sélectionné dans le champ Event Number.
A partir de cette fenêtre utiliser l'assistant pour sélectionner un autre numéro d'événement si nécessaire
Vous pouvez ensuite compléter les champs pour restant pour restreindre votre filtrage.
Le champ Event Number affiche le numéro de l'événement pour lequel vous créez un filtre
Le champ IP address permet de filter l'événement en fonction de l'adresse IP source à l'origine de cet événement
Le champ Mask permet d'appliquer un filtre sur l'adresse IP.
Remarque : un masque 255.255.255.255 filtrera précisément l'adresse affichée tandis qu'un masque à 255.255.255.0 prendra toutes les adresses IP dont les trois premiers octets seront conformes.
Les champs Strings permettent de filtrer en fonction du contenu de deux chaînes de caractères situées dans le message lui-même.
La liste déroulant Action List permet de sélectionner un action parmi les actions possibles.
Le champ Action Parameters permet de passer à l'action sélectionnée des paramètres additionnels pour son exécution.
Choisissez une action dans le menu déroulant Action Type
Entrez ensuite les paramètres (variables) à passer à cette action lors de son lançement.
Warning: The creation window adds the new created filter at the end of the bottom of the tree and the trapfilter.txt is automatically saved when you leave it. If you want to re-order the filter you should manually edit the trapfilter.txt file, save it after modification and do a refresh of the window from the menu « Configure>Traps/Events Filter ».
Syntaxe des filtres d’événements
Les tableaux suivants résument les différentes syntaxes associées au filtre d’événements.
Tableau de la syntaxe des filtres d’événements
Parameters |
Examples |
Définitions |
|
event |
Event |
Ce mot clef prévient le compilateur que cette ligne correspond à un filtre d’événement. |
|
number |
210 |
Le numéro de référence de l’événement. |
|
IP |
0.0.0.0 |
Les deux paramètres suivants sont un filtre qui permet de tester si l’adresse IP contenue dans le paquet reçu est concernée par cette action. Exemple : |
|
The level of severity assign to this event |
4 |
Une valeur de 0 à 10 pour définir un niveau de gravité associé à cet événement. Le niveau de gravité permet un affichage du message dans une couleur différente dans la fenêtre Global Events. |
|
Action type |
Play sound |
Le type d’action à réaliser à la réception de l’événement si les paramètres de l’adresse IP fournit par l ‘événement reçu sont positifs. |
|
command |
"wave/linedown.wav" |
Une chaîne de caractères délimitée par des guillemets contenant des paramètres spécifiques à chaque type d’action. |
Variables disponibles
Variables |
Value assigned |
%r %R |
Event number |
%i %I |
IP address of the sending agent |
%T |
Local Time stamp |
%l |
Severity level |
%m |
The message generated by the Event |
Liste des acions et de leur icône associé
Icon |
Legend |
|
Branche des filtres d'événements propriétaire Loriotpro |
|
Branche des filtres de trap snmp |
|
Le Trap est connu de LoriotPro (il est présent dans la base de données des objets de MIB -voir compilation des mib) |
|
Le Trap n'est pas connu de LoriotPro (il n'est pas présent dans la base de données des objets de MIB -voir compilation des mib) |
|
Ce trap est de type 6 SNMP v1 Enterprise |
|
Numéro d'événement utilisé par ce trap en cas de reroutage |
|
Node in the tree of trap associated action type. |
|
Action : Jouer un son (format Wave) |
|
Action : Winrun (lancer un programme Windows) |
|
Action : smtp (envoyer un E-mail) |
Action : mapi (experimental) |
|
|
Action : dosrun (lancer un programme DOS) |
|
Action : syslog (envoyer un message Syslog) |
|
Action : trap (envoyer un trap snmp) |
|
Action : Custom (envoyer cet événement dans une des fenêtres d' onglet custom) |
Action : nul ( ne rien faire , utiliser pour comptabiliser des événements par les compteurs) |
|
Action : route (renvoyer cet événement vers un autre manager LoriotPro, cas des architectures distribuées de LoriotPro) | |
Action : Run Script (Extended Edition) Ajoute un script LUA dans une file de traitement. Les scripts sont éxécutés dans l'ordre de mise en file d'attente |
|
Action : Send the event to the event correlator list |
|
Action : Acknowledge an event of the event correlator list |
|
Action : Event text to speech . Le texte du message est lu par le module Text To Speech (plug-in de service) |
Remarque: Il est possible de définir plusieurs filtres pour un même type d’événements avec des actions et des filtres d’adresses différentes.
Exemple dans le fichier des filtres /bin/config/trapfilter.txt
event 101 0.0.0.0 0.0.0.0 1 wave "wave/%igodown.wav"
event 101 10.33.10.121 255.255.255.255 4 custom 1
event 101 0.0.0.0 0.0.0.0 2 custom 2
event 10002 0.0.0.0 0.0.0.0 4 custom 2
event 101 10.0.0.0 255.0.0.0 1 wave "wave/hostgodown.wav"
event 101 0.0.0.0 0.0.0.0 1 smtp "ludo4@test.com %i form %I host go down"
event 100 0.0.0.0 0.0.0.0 1 wave "wave/%igoup.wav"
event 100 0.0.0.0 0.0.0.0 1 winrun "telnet %i"
event 100 20.0.0.0 0.0.0.0 1 wave "wave/chord.wav"
event 100 30.0.0.0 0.0.0.0 1 wave "wave/chord.wav"
event 101 00.0.0.0 0.0.0.0 1 route "10.33.10.122 5001"
event 210 0.0.0.0 0.0.0.0 4 wave "wave/loriotgoup.wav"
event 211 0.0.0.0 0.0.0.0 4 wave "wave/loriotgodown.wav"
event 214 10.33.10.121 255.255.255.255 1 wave "ding.wav"
event 214 0.0.0.0 0.0.0.0 1 null "empty"
event 1 10.33.10.121 255.255.255.255 1 wave "wave/ding.wav"
event 100005 0.0.0.0 0.0.0.0 4 dosrun "toto.bat '%m'"
La modification directe par édition du fichier de filtre n'est pas reflétée dans la fenêtre des filtres tant que celle-ci n'a pas été rafraichie.
Utiliser le menu principal ou contextuel et l'option Refresh Trap Filters
Refresh Traps Filters Menu
Fichier des filtres d'événement
Les filtres sont enregistrés dans un fichier au format texte trapfilter.txt situé dans le répertoire /bin/config.
Trapfilter.txt file
# trapfilter.txt file used by LoriotPro (c) 1999-2002, all rights
Reserved Ludovic Lecointe
#
# This file was loaded at the start of LoriotPro
# It is possible to refresh the trap filter in the event docking window
with the context menu
# or when you go to the mib compiler module
#
# For the smtp action install and configure the SmtpEventScheduler.sp service
plugin
#####################################################################################
#
# Available parameters and syntax for trap string
#------------------------------------------------
#
# %r reference
# %i agent ip address
# %p proxy ip address
# %t timestamp gived by agent in trap packet
# %T timestamp local
# %0 to %9 buffer parameters of the trap if exist
# $0 to $9 name parameters of the trap if exist
# %n ObjId of the trap
# %N name of the trap if exist
# %l level of the trap
#
# 7 colonnes define the trap
#
# 1 trap
# 2 ObjID for trap generic 6
# 3 trap generic number 1 a 6 (1-5) reserved 6 interprise: put 6 for notification
V2c or V3
# 4 trap specific number x for interprise trap: put 0 for notification V2c
or V3
# 5 trap level for syslog or action in event manager
# 6 "string with variables"
# 7 event level (300 by default or sup to 10000 for custom.
#
if 0 the event was not generated but the only the actions
#
# Available parameters and syntax for action string (a same then for trap)
#------------------------------------------------
#
# 6 colonnes define trap action
#
# 1 action
keyword
# 2 ip add
# 3 ip mask
# 4 community (* = any)
# 5 action (wave winrun dosrun syslog)
#
wave "wave/linedown.wav"
#
winrun "telnet %i"
#
dosrun "dir *.*"
#
syslog "10.33.10.126 string with variable"
#
trap "10.33.10.129" (reroute the trap to 10.33.10.129)
#
smtp "name@domain.com string with variable"
# 6 "string with variable running"
#
#
#
# Available parameters and syntax for event string
#------------------------------------------------
#
# %i %I agent ip address
# %m message of the event (the '<x>' information at the start of the
message is replaced
#
by ' x ' if you use the dosrun or winrun action.
# %r %R ref of the event (number)
# %T timestamp local
# %l level for this action
#
# 7 colonnes define event action
#
# 1 event
keyword
# 2 number (reference of the event see events.txt
file)
# 3 ip add
# 4 ip mask
# 5 level (number) assign one level for
this event and this ip/mask selection
# 6 action (wave winrun dosrun syslog custom null)
#
wave "soubd/ding.wav"
#
winrun "telnet %i"
#
dosrun "dir *.*"
#
syslog "10.33.10.126 string with variable"
# smtp
"name@domain.com string with variable)
#
custom 1 (1 2 or 3 to display the alert in custom alert list box)
#
null null
# 7 "string with variable running"
################################################################################
#########################################################################
#trap /action configuration
#########################################################################
#V2c or V3 notification sample
trap enterprises.9.9.43.2.0.1 6 0 1 "%n for Agent %i proxy [%p]
$0->%0 $1->%1 $2->%2 $3->%3"
action 10.33.10.121 255.255.255.255 * wave "wave/chord.wav"
trap ciscoMgmt.41.2 6 1 1 "%n for Agent %i proxy [%p] $0->%0
$1->%1 $2->%2 $3->%3"
trap ciscoMgmt.43.2 6 1 1 "%n for Agent %i proxy [%p] $0->%0
$1->%1 $2->%2 $3->%3"
trap cisco 6 1 3 "%n (%N) for agent %i from proxy [%p] :
%0 %1 $2/%2 ByteIn/%3 ByteOut/%4 $5/%5"
trap loriotidsprobe 6 1 3 "%n (%N) for agent %i from proxy [%p]
: %0 %1 $2/%2 ByteIn/%3 ByteOut/%4 $5/%5"
trap ciscoSyslogMIBNotificationPrefix 6 1 3 "%n (%N) for agent
%i from proxy [%p] %0 %1 %2 %3 %4 %5"
trap ciscoConfigManMIBNotificationPrefix 6 1 3 "%n (%N) for agent
%i from proxy [%p] %0 %1 %2 %3 %4 %5"
trap LinkDown 2 0 6 "%r for %n from %i Interface %1 at %t
Description %1 Type %2 Status %3" 10002
#action 10.33.10.121 255.255.255.255 public wave "wave/ding.wav"
#action 10.33.10.121 255.255.255.255 * winrun "telnet %i"
action 0.0.0.0 0.0.0.0 * wave "wave/linedown.wav"
trap LinkUp 3 0 4 "%r for %n from %i Interface %1 at %t Description
%1 Type %2 Status %3" 10001
action 0.0.0.0 0.0.0.0 * wave "wave/lineup.wav"
trap Authentication 4 0 3 "%r for %n from %i from proxy [%p] Request
from station [%0]" 10005
#action 10.33.10.121 255.255.255.255 public trap "10.33.10.129"
#action 10.33.10.121 255.255.255.255 public wave "wave/ding.wav"
#action 0.0.0.0 0.0.0.0 * syslog "10.33.10.126 %r for %n from %i
from proxy [%p] Request from station [%0]"
#########################################################################
#event configuration see events.h and events.txt file
#########################################################################
#define EVENT_NEWHOST
1
#define EVENT_NEWNETWORK 2
#define EVENT_HOSTGOUP
100
#define EVENT_HOSTGODOWN 101
#define EVENT_HOSTGOPOLLED 102
#define EVENT_HOSTGONOPOLLED 103
#define EVENT_HTTPDGOUP
200
#define EVENT_HTTPDGODOWN 201
#define EVENT_POLLINGGOUP 202
#define EVENT_POLLINGGODOWN
203
#define EVENT_POLLINGPINGGOUP
204
#define EVENT_POLLINGPINGGODOWN 205
#define EVENT_POLLINGSNMPGOUP
206
#define EVENT_POLLINGSNMPGODOWN 207
#define EVENT_PLUGINLOADERROR 208
#define EVENT_LORIOTGOUP 210
#define EVENT_LORIOTGODOWN 211
#define EVENT_V3AUTHERROR 212
#define EVENT_V3REPLAY
213
#define EVENT_V3ERROR
214
#define EVENT_TRAP
300
#########################################################################
event 200 0.0.0.0 0.0.0.0 2 wave "wave/warninghttpdgoup.wav"
event 201 0.0.0.0 0.0.0.0 2 wave "wave/warninghttpdgodown.wav"
#event 101 0.0.0.0 0.0.0.0 1 wave "wave/hostgodown.wav"
#event 101 10.0.0.0 255.0.0.0 1 wave "wave/hostgodown.wav"
#event 101 10.33.10.121 255.255.255.255 4 custom 1
#event 100 0.0.0.0 0.0.0.0 1 wave "wave/%igoup.wav"
#event 100 20.0.0.0 255.0.0.0 1 wave "wave/ding.wav"
#event 100 30.0.0.0 255.0.0.0 1 wave "wave/ding.wav"
event 210 0.0.0.0 0.0.0.0 4 wave "wave/loriotgoup.wav"
event 211 0.0.0.0 0.0.0.0 4 wave "wave/loriotgodown.wav"
#event 2 0.0.0.0 0.0.0.0 2 wave "wave/newnetwork.wav"
#event 1 10.33.10.121 255.255.255.255 1 wave "wave/ding.wav"
#event 214 10.33.10.121 255.255.255.255 1 wave "ding.wav"
#event 214 0.0.0.0 0.0.0.0 1 null "empty"
#event 300 0.0.0.0 0.0.0.0 1 syslog "10.33.10.129 %m"
#event 300 0.0.0.0 0.0.0.0 1 smtp "unknow@domain.com %m"
#event 10005 0.0.0.0 0.0.0.0 1 smtp "unknow@domain.com Authentication
fail %i %r %R %m"
www.loriotpro.com |
|