PRTG可以作为一个完整的syslog服务器和简单网络管理协议(SNMP)陷阱接收器,而不必安装额外的软件。本节介绍syslog和SNMP陷阱接收器的配置示例,并介绍如何使用这些功能。
Syslog是一个成熟的计算机消息日志记录标准。许多网络设备支持发送系统日志,以传递用于网络管理和安全审核的信息、分析和调试消息。SNMP陷阱是来自启用SNMP的设备的异步通知,可用于报告重要事件和数据,就像syslog消息一样。设备触发这些消息的原因多种多样,例如系统事件、停机、紧急情况等等。
PRTG提供两个专用传感器,用作全尺寸syslog和SNMP陷阱接收器:
SNMP陷阱接收器传感器
Syslog接收器传感器
因为Syslog接收器和SNMP陷阱接收器都是作为通用传感器实现的,所以不需要安装其他软件(例如,您不需要额外的Syslog服务器,而只需要PRTG web服务器)。您可以通过Add Sensor对话框以常规方式创建Syslog接收器传感器和SNMP陷阱接收器传感器。然后配置您的syslog或SNMP陷阱启用的设备来向PRTG发送消息。
在实验室条件下,当使用一个没有过滤器的传感器时,PRTG可以在四核台式机上每秒处理大约10000条syslog和trap消息。
PRTG可以处理的消息数量实际上取决于您的配置和系统设置。这可能会大大减少消息。
您可以通过各种参数过滤传入消息,以便PRTG只处理特定的消息并立即删除其他数据。处理后的信息存储在探针系统的内部高性能数据库中,可通过PRTG web界面进行审查和分析。存储syslog和trap消息的主要限制因素是探测系统上的硬盘空间。
样本配置
按照以下步骤获取Syslog Receiver和SNMP Trap Receiver传感器的配置示例。您可以将这些指令应用于SNMP陷阱接收器和Syslog接收器,因为两者的设置方式相似。
1.添加接收器
2.配置源设备
3.收集信息
4.回顾和分析信息
5.优化过滤器
6.创建通知触发器
步骤1:添加Syslog接收器或SNMP陷阱接收器传感器。
两个传感器都从父设备的IP地址继承一个隐式过滤器。因此,将这些传感器添加到探测器设备中是可能的。然后,您将接收来自探测系统的所有消息,并可以在以后选择筛选特定的源。也可以将这些传感器直接添加到源设备。然后只处理来自此设备的消息。
以通常的方式将接收器传感器添加到所需的设备中,例如,通过设备的上下文菜单。我们建议您在第一个配置(端口、包含和排除筛选器、警告和错误筛选器)中保留传感器的默认设置不变,以查看实际输入的数据。
与传感器设置中的过滤器定义相比,将传感器直接添加到网络设备可提高其速度。将Syslog Receiver和SNMP Trap Receiver传感器分布在不同的探测器上,使整体性能可伸缩,并为您提供数据存储位置的灵活性。
如果不将传感器添加到探测设备,而是添加到其他设备,请注意配置:确保父设备的IP地址或域名系统(DNS)名称与正确的发送方匹配。例如,如果要从存储区域网络(SAN)接收syslog或trap消息,则可能必须使用发送消息的特定阵列成员的IP地址添加设备。提供指向整个组的IP地址的DNS名称可能不适用于SAN。
步骤2:正确配置支持发送系统日志或SNMP陷阱的网络设备。
配置syslog或SNMP陷阱就绪设备以发送syslog或traps(请参阅各个设备供应商的文档)。它们必须对Syslog接收器或SNMP陷阱接收器传感器运行的探测系统进行寻址。所以指定探测系统的IP地址。如果保留syslog或trap receiver的默认设置,请使用端口514。
协议是用户数据报协议(UDP)。
SNMP陷阱接收器不支持SNMP v3陷阱。请改用SNMP v1或v2c。
步骤3:开始从设备收集syslog或SNMP陷阱消息。
您无需完成任何进一步的配置步骤即可将PRTG用作syslog服务器或SNMP陷阱接收器。当您的设备将syslog或SNMP陷阱发送到指定的探测系统时,这些消息将自动出现在PRTG web界面中。在每次传感器扫描之后(默认情况下,扫描间隔从父设备继承),PRTG统计相应通道中接收到的系统日志或陷阱(上一间隔期间的消息总数、错误和警告消息或丢弃的数据包)。
让syslog接收器或SNMP陷阱接收器收集一段时间的数据,看看会有什么结果。默认情况下,如果在上一次传感器扫描过程中至少有一条严重级别为4的消息,则相应的传感器将显示警告状态;如果在上一次传感器扫描期间至少有一条严重级别为3或更低的消息,则相应的传感器将显示错误状态。
每个扫描间隔对传入消息进行计数,因此可能需要几分钟才能看到收到的系统日志和陷阱,具体取决于下一次传感器扫描之前的剩余时间。当然,您可以通过传感器的上下文按钮立即使用Scan Now执行扫描并查看相应的数据。传感器状态也定义为每次扫描。
因此,例如,被分类为错误的消息仅在一个扫描间隔内对错误通道计数。如果在以下扫描间隔内没有新的错误信息,则错误通道中不显示任何信息,并且在下一次传感器扫描后,关闭状态消失。系统日志或陷阱本身仍在“消息”选项卡上可用。
第四步:回顾和分析收集的数据。
所有符合include过滤器的传入消息都被处理并存储在PRTG的内部高性能数据库中。通过PRTG web界面查看和分析接收到的系统日志和陷阱。有关详细信息,请参阅SNMP Trap Receiver sensor和Syslog Receiver sensor部分。然后,您可以决定进一步过滤传入的消息。
接收到的数据也可以作为公共文件在PRTG data目录中找到。每小时创建一个数据文件。
在PRTG内部部署中,您可以将设备的管理信息库(MIB)文件添加到partg程序目录的\MIB子文件夹中,以便与SNMP陷阱接收器传感器一起使用。这将导致对象标识符(OID)解析,并使陷阱消息更易于理解。例如,您将看到SNMPv2-SMI-v1::enterprises.32446.1.1.2,而不是OID 1.3.6.1.4.1.2.2(PRTG MIB文件中的示例)。
步骤5:(可选)优化过滤器。
要提高PRTG syslog服务器和陷阱接收器的工作效率,可以调整默认筛选器设置。PRTG提供了一个可理解的公式系统,您可以使用它来描述您想要处理的消息类型,以及其中哪些消息可以算作错误消息或警告消息。您可以在相应接收器的设置中为接收到的消息配置以下过滤器:
包括过滤器:仅处理和存储特定类型的消息。
排除过滤器:不要处理特定类型的消息并丢弃它们。
警告过滤器:定义将接收到的消息分类为警告的规则。
错误过滤器:定义将接收到的消息分类为错误的规则。
使用相应部分中提供的语法来定义您的单个过滤器规则:SNMP陷阱接收器传感器和syslog接收器传感器。
您可以在特定传感器的“消息”选项卡上的“高级过滤器”中单击几下鼠标来创建筛选规则,然后将这些规则复制到传感器设置中以应用它们。
步骤6:(可选)创建通知触发器。
默认情况下,Syslog接收器和SNMP陷阱接收器传感器的警告和错误通道具有非常低的警告或错误上限(0.00000001)。其原因是,即使在扫描间隔期间,在相应的信道中只统计了一个syslog或trap,传感器的整体状态也会显示出相应的状态。这样,您就可以识别被监视系统是否有问题。
由于此传感器行为,如果您希望在出现警告或错误消息类型时收到通知,则最佳做法是在传感器的“通知触发器”选项卡上添加状态触发器。定义0秒关闭或警告时间条件,以避免错过任何警告、错误或任何其他消息。或者,您可以使用一个速度触发器来发送有关每秒消息的通知。
有关更多信息,请参阅知识库:如何使用速度限制配置传感器以保持多个时间间隔的状态?
您可以在通知模板中使用syslog和trap特定的占位符,以便在收到通知时查看消息。有关更多信息,请参阅更多部分。
