Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

SNMP en Cisco 897- snmpwalk ok, check_snmp timeout

Pagina: 1
Acties:

  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
Ik loop er al een tijdje mee te vogelen maar ik kom er niet uit.

situatie: Router in Datacenter (Cisco 897) en daarvan wil ik een aantal interfaces monitoren in Nagios. Op het moment dat ik er een snmpwalk tegen aan gooi krijg ik netjes antwoord terug.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
IF-MIB::ifOperStatus.1 = INTEGER: down(2)
IF-MIB::ifOperStatus.2 = INTEGER: down(2)
IF-MIB::ifOperStatus.3 = INTEGER: up(1)
IF-MIB::ifOperStatus.4 = INTEGER: up(1)
IF-MIB::ifOperStatus.5 = INTEGER: up(1)
IF-MIB::ifOperStatus.6 = INTEGER: up(1)
IF-MIB::ifOperStatus.7 = INTEGER: down(2)
IF-MIB::ifOperStatus.8 = INTEGER: down(2)
IF-MIB::ifOperStatus.9 = INTEGER: down(2)
IF-MIB::ifOperStatus.10 = INTEGER: down(2)
IF-MIB::ifOperStatus.11 = INTEGER: down(2)
IF-MIB::ifOperStatus.12 = INTEGER: up(1)
IF-MIB::ifOperStatus.13 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.14 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.15 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.16 = INTEGER: lowerLayerDown(7)
IF-MIB::ifOperStatus.17 = INTEGER: down(2)
IF-MIB::ifOperStatus.18 = INTEGER: down(2)
IF-MIB::ifOperStatus.19 = INTEGER: up(1)
IF-MIB::ifOperStatus.20 = INTEGER: up(1)
IF-MIB::ifOperStatus.21 = INTEGER: up(1)
IF-MIB::ifOperStatus.22 = INTEGER: up(1)
IF-MIB::ifOperStatus.23 = INTEGER: up(1)

Hetzelfde als ik vervolgens op de interface zelf query
code:
1
2
[root@gladmin ~]# snmpwalk -v2c -c comname ip ifOperStatus.20
IF-MIB::ifOperStatus.20 = INTEGER: up(1)


Als ik vervolgens een check_snmp of check_ifoperstatus doe tegen dezelfde router, dan krijg ik een timeout terug. Het vreemde is dat deze commando´s wel netjes werken op de andere cisco apparatuur.

code:
1
2
# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8
External command error: Timeout: No Response from IP


ook als ik via versie 2 query krijg ik dezelfde errormessage terug. Is er een instelling op de router die bepaalde query´s blocked? De router is in extern beheer, maar wil er zeker van zijn dat dit probleem daar ligt. Ik heb toegang tot de router dus als jullie wat meer info van de Cisco Willen hebben kan ik deze geven.

  • Spro
  • Registratie: Juli 2014
  • Laatst online: 22-11 03:52
Ik gebruik zelf geen nagios, maar als ik google;
check_snmp --hostname=X.X.X.X --community=X --protocol=X --oid:xxxxxxx -c1

Die syntax al geprobeerd?

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 24-11 09:33

SpamLame

niks

check_snmp + je parameters + -t {timeoutvalue in sec} al geprobeerd?

Als je op een gegeven moment de juiste -t gevonden hebt, pas je het command van je check aan in command.cfg (of je maakt een apart command aan voor de aangepaste -t

Usage:
check_snmp -H <ip_address> -o <OID> [-w warn_range] [-c crit_range]
[-C community] [-s string] [-r regex] [-R regexi] [-t timeout] [-e retries]
[-l label] [-u units] [-p port-number] [-d delimiter] [-D output-delimiter]
[-m miblist] [-P snmp version] [-L seclevel] [-U secname] [-a authproto]
[-A authpasswd] [-x privproto] [-X privpasswd]

  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
SpamLame schreef op dinsdag 20 januari 2015 @ 08:44:
check_snmp + je parameters + -t {timeoutvalue in sec} al geprobeerd?

Als je op een gegeven moment de juiste -t gevonden hebt, pas je het command van je check aan in command.cfg (of je maakt een apart command aan voor de aangepaste -t

Usage:
check_snmp -H <ip_address> -o <OID> [-w warn_range] [-c crit_range]
[-C community] [-s string] [-r regex] [-R regexi] [-t timeout] [-e retries]
[-l label] [-u units] [-p port-number] [-d delimiter] [-D output-delimiter]
[-m miblist] [-P snmp version] [-L seclevel] [-U secname] [-a authproto]
[-A authpasswd] [-x privproto] [-X privpasswd]
max -t wat ik geprobeerd heb is 90 en ook daarmee krijg ik een timout. ook de -m IF-MIB maakt geen verschil

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 17:12
Uiteraard kan je de Cisco verschillende views configgen waardoor je bepaalde stukken van de OID-tree niet eens kan checken oid.
Vraag toch maar even aan de leverancier hoe-of-wat..

Ha ik lees dat je toegang hebt tot de router config .. staat daar dan niets in zoals hieronder beschreven ?


Vb.
snmp-server view agon system included
snmp-server view agon system.7 excluded
snmp-server view agon ifEntry.*.1 included

[ Voor 16% gewijzigd door jvanhambelgium op 20-01-2015 14:33 ]


  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 24-11 09:33

SpamLame

niks

Meulugar schreef op dinsdag 20 januari 2015 @ 10:57:
[...]


max -t wat ik geprobeerd heb is 90 en ook daarmee krijg ik een timout. ook de -m IF-MIB maakt geen verschil
even iets geks, als je -t op 9999 zet werkt de check dan wel?

  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
SpamLame schreef op dinsdag 20 januari 2015 @ 14:13:
[...]


even iets geks, als je -t op 9999 zet werkt de check dan wel?
draait as we speak :9 nu even afwachten. ik ga mij ook even verdiepen over snmp security binnen cisco. zoals hierboven aangegeven.
jvanhambelgium schreef op dinsdag 20 januari 2015 @ 13:04:
Uiteraard kan je de Cisco verschillende views configgen waardoor je bepaalde stukken van de OID-tree niet eens kan checken oid.
Vraag toch maar even aan de leverancier hoe-of-wat..

Ha ik lees dat je toegang hebt tot de router config .. staat daar dan niets in zoals hieronder beschreven ?


Vb.
snmp-server view agon system included
snmp-server view agon system.7 excluded
snmp-server view agon ifEntry.*.1 included
uit de sh run:

snmp-server view client-view interfaces included
snmp-server view client-view system.9 included
snmp-server view client-view system.2.0 included
snmp-server view client-view lsystem included
snmp-server view client-view linterfaces included
snmp-server view client-view lsystem.73.0 excluded

[ Voor 57% gewijzigd door Meulugar op 20-01-2015 15:04 ]


  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 17:12
Kan je dan "op de andere Cisco" apparatuur ook effe vergelijken of daar soortgelijke "view" beperking op zit ? (daar waar het wel werkt dus)

Nu, het lijkt wel correct te zijn, in de zin dat je met de "snmp-server view client-view interfaces included" toch alles onder de MIB-2 Interfaces 1.3.6.1.2.1.2.x.x.x mag doen etc.
(in dit geval wil je de ifOperStatus bekomen)

  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
jvanhambelgium schreef op dinsdag 20 januari 2015 @ 15:44:
Kan je dan "op de andere Cisco" apparatuur ook effe vergelijken of daar soortgelijke "view" beperking op zit ? (daar waar het wel werkt dus)

Nu, het lijkt wel correct te zijn, in de zin dat je met de "snmp-server view client-view interfaces included" toch alles onder de MIB-2 Interfaces 1.3.6.1.2.1.2.x.x.x mag doen etc.
(in dit geval wil je de ifOperStatus bekomen)
Ga ik even navragen. (heb daar de login niet van) Maar ik meen mij daar te herinneren dat we alleen een community hebben opgegeven. Deze router is van de ISP vandaar dat die wat strikter zijn met acl´s

Alvast bedankt voor jullie hulp tot zover!

  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-11 11:14

Kabouterplop01

chown -R me base:all

Ik zie in je request een typo kan die ermee te maken hebben?
snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
vs
# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8

(Ik ga er vanuit dat dat je echte communitystring is :P )

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 17:12
Tja, aangezien hij precies gewoon een "paste" uit z'n terminal erop gezet hebt kan dit ook wel het geval zijn.
Zag het gisteren in z'n post ook al maar het leek met TE voor de hand liggend O-)

Voor de rest lijkt de Cisco config OK, de view/ACL moet toelaten om de MIB-2 interface tree.* op te halen etc.

  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
Kabouterplop01 schreef op dinsdag 20 januari 2015 @ 19:48:
Ik zie in je request een typo kan die ermee te maken hebben?
snmpwalk -v2c -c comname IP 1.3.6.1.2.1.2.2.1.8
vs
# /usr/local/nagios/libexec/check_snmp -H IP -C Comname -o 1.3.6.1.2.1.2.2.1.8

(Ik ga er vanuit dat dat je echte communitystring is :P )
lol Communityname en ip heb ik weggehaald ivm privacy :9 maar die zijn identiek als de snmpwalk
jvanhambelgium schreef op woensdag 21 januari 2015 @ 07:53:
Tja, aangezien hij precies gewoon een "paste" uit z'n terminal erop gezet hebt kan dit ook wel het geval zijn.
Zag het gisteren in z'n post ook al maar het leek met TE voor de hand liggend O-)

Voor de rest lijkt de Cisco config OK, de view/ACL moet toelaten om de MIB-2 interface tree.* op te halen etc.
er is een RO access toegekent aan ACL 30, waar het ip van de nagiosbak instaat. Dat staat verder goed, anders zou ook de snmpwalk niet aankomen.

edit: onze andere router heeft geen specifieke SNMP server regels erin. Alleen een acl en com name. Deze router is intern en de ander vanaf het internet benaderbaar. Ga nu in de cisco KB duiken of ik ergens een omschrijving kan vinden van de verschillende snmp server view policies.

[ Voor 49% gewijzigd door Meulugar op 21-01-2015 11:56 ]


  • Meulugar
  • Registratie: Juli 2002
  • Laatst online: 22:09

Meulugar

Vanuit het zonnige zuiden![PT]

Topicstarter
Topic mag dicht. Is uiteindelijk opgelost door de isp .
Pagina: 1