SNMP en Cisco 897- snmpwalk ok, check_snmp timeout - Serversoftware en clouddiensten

maandag 19 januari 2015 19:29

Acties:

Vanuit het zonnige zuiden![PT]

Topicstarter

Ik loop er al een tijdje mee te vogelen maar ik kom er niet uit.

situatie: Router in Datacenter (Cisco 897) en daarvan wil ik een aantal interfaces monitoren in Nagios. Op het moment dat ik er een snmpwalk tegen aan gooi krijg ik netjes antwoord terug.

code:

snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
IF-MIB::ifOperStatus.1 = INTEGER: down(2)
IF-MIB::ifOperStatus.2 = INTEGER: down(2)
IF-MIB::ifOperStatus.3 = INTEGER: up(1)
IF-MIB::ifOperStatus.4 = INTEGER: up(1)
IF-MIB::ifOperStatus.5 = INTEGER: up(1)
IF-MIB::ifOperStatus.6 = INTEGER: up(1)
IF-MIB::ifOperStatus.7 = INTEGER: down(2)
IF-MIB::ifOperStatus.8 = INTEGER: down(2)
IF-MIB::ifOperStatus.9 = INTEGER: down(2)
IF-MIB::ifOperStatus.10 = INTEGER: down(2)
IF-MIB::ifOperStatus.11 = INTEGER: down(2)
IF-MIB::ifOperStatus.12 = INTEGER: up(1)
IF-MIB::ifOperStatus.13 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.14 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.15 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.16 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.17 = INTEGER: down(2)
IF-MIB::ifOperStatus.18 = INTEGER: down(2)
IF-MIB::ifOperStatus.19 = INTEGER: up(1)
IF-MIB::ifOperStatus.20 = INTEGER: up(1)
IF-MIB::ifOperStatus.21 = INTEGER: up(1)
IF-MIB::ifOperStatus.22 = INTEGER: up(1)
IF-MIB::ifOperStatus.23 = INTEGER: up(1)

Hetzelfde als ik vervolgens op de interface zelf query

code:

1 2	[root@gladmin ~]# snmpwalk -v2c -c comname ip ifOperStatus.20 IF-MIB::ifOperStatus.20 = INTEGER: up(1)

Als ik vervolgens een check_snmp of check_ifoperstatus doe tegen dezelfde router, dan krijg ik een timeout terug. Het vreemde is dat deze commando´s wel netjes werken op de andere cisco apparatuur.

code:

1 2	# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8 External command error: Timeout: No Response from IP

ook als ik via versie 2 query krijg ik dezelfde errormessage terug. Is er een instelling op de router die bepaalde query´s blocked? De router is in extern beheer, maar wil er zeker van zijn dat dit probleem daar ligt. Ik heb toegang tot de router dus als jullie wat meer info van de Cisco Willen hebben kan ik deze geven.

maandag 19 januari 2015 23:08

Acties:

Spro

Ik gebruik zelf geen nagios, maar als ik google;
check_snmp --hostname=X.X.X.X --community=X --protocol=X --oid:xxxxxxx -c1

Die syntax al geprobeerd?

dinsdag 20 januari 2015 08:44

Acties:

SpamLame

niks

check_snmp + je parameters + -t {timeoutvalue in sec} al geprobeerd?

Als je op een gegeven moment de juiste -t gevonden hebt, pas je het command van je check aan in command.cfg (of je maakt een apart command aan voor de aangepaste -t

Usage:
check_snmp -H <ip_address> -o <OID> [-w warn_range] [-c crit_range]
[-C community] [-s string] [-r regex] [-R regexi] [-t timeout] [-e retries]
[-l label] [-u units] [-p port-number] [-d delimiter] [-D output-delimiter]
[-m miblist] [-P snmp version] [-L seclevel] [-U secname] [-a authproto]
[-A authpasswd] [-x privproto] [-X privpasswd]

dinsdag 20 januari 2015 10:57

Acties:

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter

SpamLame schreef op dinsdag 20 januari 2015 @ 08:44:
check_snmp + je parameters + -t {timeoutvalue in sec} al geprobeerd?

Als je op een gegeven moment de juiste -t gevonden hebt, pas je het command van je check aan in command.cfg (of je maakt een apart command aan voor de aangepaste -t

Usage:
check_snmp -H <ip_address> -o <OID> [-w warn_range] [-c crit_range]
[-C community] [-s string] [-r regex] [-R regexi] [-t timeout] [-e retries]
[-l label] [-u units] [-p port-number] [-d delimiter] [-D output-delimiter]
[-m miblist] [-P snmp version] [-L seclevel] [-U secname] [-a authproto]
[-A authpasswd] [-x privproto] [-X privpasswd]

max -t wat ik geprobeerd heb is 90 en ook daarmee krijg ik een timout. ook de -m IF-MIB maakt geen verschil

dinsdag 20 januari 2015 13:04

Acties:

jvanhambelgium

Uiteraard kan je de Cisco verschillende views configgen waardoor je bepaalde stukken van de OID-tree niet eens kan checken oid.
Vraag toch maar even aan de leverancier hoe-of-wat..

Ha ik lees dat je toegang hebt tot de router config .. staat daar dan niets in zoals hieronder beschreven ?

Vb.
snmp-server view agon system included
snmp-server view agon system.7 excluded
snmp-server view agon ifEntry.*.1 included

[ Voor 16% gewijzigd door jvanhambelgium op 20-01-2015 14:33 ]

dinsdag 20 januari 2015 14:13

Acties:

SpamLame

niks

Meulugar schreef op dinsdag 20 januari 2015 @ 10:57:
[...]

max -t wat ik geprobeerd heb is 90 en ook daarmee krijg ik een timout. ook de -m IF-MIB maakt geen verschil

even iets geks, als je -t op 9999 zet werkt de check dan wel?

dinsdag 20 januari 2015 14:49

Acties:

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter

SpamLame schreef op dinsdag 20 januari 2015 @ 14:13:
[...]

even iets geks, als je -t op 9999 zet werkt de check dan wel?

draait as we speak

nu even afwachten. ik ga mij ook even verdiepen over snmp security binnen cisco. zoals hierboven aangegeven.

jvanhambelgium schreef op dinsdag 20 januari 2015 @ 13:04:
Uiteraard kan je de Cisco verschillende views configgen waardoor je bepaalde stukken van de OID-tree niet eens kan checken oid.
Vraag toch maar even aan de leverancier hoe-of-wat..

Ha ik lees dat je toegang hebt tot de router config .. staat daar dan niets in zoals hieronder beschreven ?

Vb.
snmp-server view agon system included
snmp-server view agon system.7 excluded
snmp-server view agon ifEntry.*.1 included

uit de sh run:

snmp-server view client-view interfaces included
snmp-server view client-view system.9 included
snmp-server view client-view system.2.0 included
snmp-server view client-view lsystem included
snmp-server view client-view linterfaces included
snmp-server view client-view lsystem.73.0 excluded

[ Voor 57% gewijzigd door Meulugar op 20-01-2015 15:04 ]

dinsdag 20 januari 2015 15:44

Acties:

jvanhambelgium

Kan je dan "op de andere Cisco" apparatuur ook effe vergelijken of daar soortgelijke "view" beperking op zit ? (daar waar het wel werkt dus)

Nu, het lijkt wel correct te zijn, in de zin dat je met de "snmp-server view client-view interfaces included" toch alles onder de MIB-2 Interfaces 1.3.6.1.2.1.2.x.x.x mag doen etc.
(in dit geval wil je de ifOperStatus bekomen)

dinsdag 20 januari 2015 16:08

Acties:

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter

jvanhambelgium schreef op dinsdag 20 januari 2015 @ 15:44:
Kan je dan "op de andere Cisco" apparatuur ook effe vergelijken of daar soortgelijke "view" beperking op zit ? (daar waar het wel werkt dus)

Nu, het lijkt wel correct te zijn, in de zin dat je met de "snmp-server view client-view interfaces included" toch alles onder de MIB-2 Interfaces 1.3.6.1.2.1.2.x.x.x mag doen etc.
(in dit geval wil je de ifOperStatus bekomen)

Ga ik even navragen. (heb daar de login niet van) Maar ik meen mij daar te herinneren dat we alleen een community hebben opgegeven. Deze router is van de ISP vandaar dat die wat strikter zijn met acl´s

Alvast bedankt voor jullie hulp tot zover!

dinsdag 20 januari 2015 19:48

Acties:

Kabouterplop01

chown -R me base:all

Ik zie in je request een typo kan die ermee te maken hebben?
snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
vs
# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8

(Ik ga er vanuit dat dat je echte communitystring is

)

woensdag 21 januari 2015 07:53

Acties:

jvanhambelgium

Tja, aangezien hij precies gewoon een "paste" uit z'n terminal erop gezet hebt kan dit ook wel het geval zijn.
Zag het gisteren in z'n post ook al maar het leek met TE voor de hand liggend

Voor de rest lijkt de Cisco config OK, de view/ACL moet toelaten om de MIB-2 interface tree.* op te halen etc.

woensdag 21 januari 2015 10:33

Acties:

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter

Kabouterplop01 schreef op dinsdag 20 januari 2015 @ 19:48:
Ik zie in je request een typo kan die ermee te maken hebben?
snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
vs
# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8

(Ik ga er vanuit dat dat je echte communitystring is )

lol Communityname en ip heb ik weggehaald ivm privacy

maar die zijn identiek als de snmpwalk

jvanhambelgium schreef op woensdag 21 januari 2015 @ 07:53:
Tja, aangezien hij precies gewoon een "paste" uit z'n terminal erop gezet hebt kan dit ook wel het geval zijn.
Zag het gisteren in z'n post ook al maar het leek met TE voor de hand liggend

Voor de rest lijkt de Cisco config OK, de view/ACL moet toelaten om de MIB-2 interface tree.* op te halen etc.

er is een RO access toegekent aan ACL 30, waar het ip van de nagiosbak instaat. Dat staat verder goed, anders zou ook de snmpwalk niet aankomen.

edit: onze andere router heeft geen specifieke SNMP server regels erin. Alleen een acl en com name. Deze router is intern en de ander vanaf het internet benaderbaar. Ga nu in de cisco KB duiken of ik ergens een omschrijving kan vinden van de verschillende snmp server view policies.

[ Voor 49% gewijzigd door Meulugar op 21-01-2015 11:56 ]

dinsdag 27 januari 2015 12:29

Acties:

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter

Topic mag dicht. Is uiteindelijk opgelost door de isp .