View Source

Contexte

Simple Network Management Protocol (abrégé SNMP ), est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance.

Une requête SNMP est un datagramme UDP envoyée par le manager à destination du port 161 de l'agent. L'agent répond alors au manager avec la valeur demandée.

Les traps SNMP, elles, sont émises depuis les agents SNMP vers une destination (un serveur de supervision par exemple), qui entendra ces requêtes. Pour les comprendre, ce serveur devra disposer de bases de données avec l'ensemble des informations (OID et Descripteurs) des constructeurs, ces bases sont appelées MIB. Les valeurs pourront alors être interprétées par le serveur de supervision. Ce procédé est souvent utilisé dans les routeurs pour par exemple, avertir qu’un lien vient de tomber sur l’une de ses interfaces. L’intérêt des traps SNMP est donc d'envoyer des « alertes » dès qu’une panne apparaît sans attendre que le serveur de supervision le détecte de lui même pendant une vérification dans le cadre d’un monitoring actif.

Il se peut donc que vous souhaitiez paramétrer Shinken pour récupérer et interpréter ces traps, nous vous proposons deux moyens, via le module WS Arbiter de Shinken, ou via le module Named Pipe (aussi utilisé de manière historique dans Nagios avec le fichier nagios.cmd, que nous allons utiliser via un fichier shinken.cmd).

Attention : les traps SNMP doivent être utilisées dans un réseau sécurisé, car comme nous l'avons dit, la communication s'effectue en UDP, ce qui peut être utilisé par des personnes malintentionnées pour faire du DDOS ou encore propager des fausses traps.

Recevoir des Status au Format Shinken de l'extérieur

Recevoir des Status de l’extérieur se fait par l'intermédiaire du Receiver. Il faut accrocher un des 2 modules suivants sur le Receiver:

WSArbiter ( réception des statuts via API REST )
- Permets de recevoir les status de n'importe quel outil de transformation de trap SNMP situé n'importe ou.
- Mise en place du module, cf Module ws-arbiter ( mise en place )
NamedPipe ( réception via un fichier "passe plat" FIFO )
- Son mode de fonctionnement impose que les outils de réception des traps soit sur l'ordinateur hébergeant le Receiver.
- Mise en place du module, cf Module named-pipe ( mise en place )

Nous vous recommandons l'utilisation du WSArbiter qui est le module que nous ferons évoluer dans le temps car il est beaucoup moins limitatif dans son fonctionnement.

Réception des TRAPS SNMP

Installation des paquets SNMPD, SNMPTRAPD et SNMPTT

Bien entendu, il faut un serveur SNMP capable de capturer les traps, ainsi que le paquet qui va les translater vers Shinken. Voici les étapes à suivre:

Installation des paquets et dépendances :

yum install net-snmp net-snmp-utils net-snmp-perl snmptt perl-Sys-Syslog

Note : le paquet net-snmp est pour la partie serveur, et net-snmpd-utils est pour la partie cliente afin de diagnostiquer plus rapidement des problèmes SNMP sur vos serveurs. Mais ce n'est pas obligatoire. Les paquets net-snmp-perl et snmptt permettront de translater les traps.
Pour activer le démarrage des services SNMP au démarrage du serveur avec la commande suivante :

chkconfig --level 3 snmpd on;chkconfig --level 3 snmptrapd on

Démarrer les services snmpd et snmptrapd :

service snmpd start;service snmptrapd start;service snmptt start

Vous pouvez alors tester de passer une requête via les outils clients SNMP, sur son propre serveur pour vérifier la bonne communication :

snmpwalk -v 1 -c public -O e 127.0.0.1

La commande doit retourner une réponse comme par exemple :

SNMPv2-MIB::sysDescr.0 = STRING: Linux Shinken 2.6.32-504.16.2.el6.x86_64 #1 SMP Wed Apr 22 06:48:29 UTC 2015 x86_64
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (31359) 0:05:13.59
SNMPv2-MIB::sysContact.0 = STRING: Root <root@localhost> (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysName.0 = STRING: shinken
SNMPv2-MIB::sysLocation.0 = STRING: Unknown (edit /etc/snmp/snmpd.conf)
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (64) 0:00:00.64
SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD-MIB::snmpMPDMIBObjects.3.1.1
SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip
SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
(...)

Interpréteur de trap SNMP

Maintenant que l’on est capable de recevoir des trap, il faut les interpréter pour dialoguer ensuite avec Shinken. Ceci s’effectue avec le paquet snmptt :

On active le debug dans le fichier /etc/snmp/snmptt.ini, histoire de voir les traps que l’on a reçues mais pas interprétées. Si vous avez mal configuré quelque chose elle arriveront dans le fichier /var/log/snmptt/snmpttunknown.log.

unknown_trap_log_enable = 1

On ajoute ensuite les ligne suivantes dans la configuration sous /etc/snmp/snmptrapd.conf:

disableAuthorization yes
donotlogtraps  no
traphandle default /usr/sbin/snmptt

Ce qui veut dire :

on accepte toutes les interruptions
on ne journalise pas les interruptions reçues (c’est SNMPTT qui s’en chargera)
on traite de la même façon toutes les interruptions : avec SNMPTT

Le service snmptrapd doit être modifié pour ne pas traduire les OID, mais les laisser sous forme numérique. C’est SNMPTT qui se chargera de cette traduction. Sous CentOS, il faut éditer le fichier /etc/sysconfig/snmptrapd et ajouter l’option comme ceci:

OPTIONS="-Lsd -p /var/run/snmptrapd.pid"

Il faut activer également le processus de capture de trap nommé snmptrapd. Ceci se fait dans le meme fichier :

export MIBS=/usr/share/mibs
TRAPDRUN=yes

On relance les deux services pour prendre en compte les modifications :

service snmpd restart
service snmptt restart

Compilation de MIB

SNMPTT a besoin de compiler les MIBs du format TXT vers un fichier de configuration. Les MIBs de CentOS se trouvent dans le dossier /usr/share/snmp/mibs/. Si vous voulez travailler avec une MIB particulière (routeur CISCO ou autre équipement) il vous faudra l’importer sur le système afin de la compiler. Cette compilation effectue l’association OID/ action à effectuer.

Pour chaque MIB, il faut compiler à l’aide de la syntaxe suivante :

snmpttconvertmib --in=<fichier MIB> \
--out=/etc/snmp/snmptt.conf.<equipement> \
--exec='/var/lib/shinken-user/libexec/submit_check_result $r TRAP 2'

Cette syntaxe permet de compiler toutes les MIBs d'un répertoire :

for i in *; do snmpttconvertmib --in=$i --out=snmptt.conf.test --exec='/var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2'; done

Il est aussi possible de reprendre cette syntaxe, et mettre par exemple CISCO juste devant l'étoile, comme ceci :

for i in CISCO*; do snmpttconvertmib --in=$i --out=snmptt.conf.test --exec='/var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2'; done

Ici, sera converti toutes les MIBs du répertoire courant commençant par CISCO.

Problème récurrent

Attention, lors de la compilation de la MIB, il est possible que vous rencontriez un problème similaire a celui-ci :

$ snmpttconvertmib --in=/usr/share/snmp/mibs/CISCO-OSCP-MIB.mib --out=/etc/snmp/test.txt --exec='/var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2'
exec: /var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2


*****  Processing MIB file *****

snmptranslate version: NET-SNMP version: 5.7.2
severity: Normal

File to load is:        /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
File to APPEND TO:      /etc/snmp/test.txt

MIBS environment var:   /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
mib name: CISCO-OSCP-MIB


Processing MIB:         CISCO-OSCP-MIB
#
skipping a TRAP-TYPE / NOTIFICATION-TYPE line - probably an import line.
#
Line: 677
NOTIFICATION-TYPE: coscpNotifyTransDown
Variables: coscpLinkTransDown
Enterprise: ciscoOscpNotificationsPrefix
Looking up via snmptranslate: CISCO-OSCP-MIB::coscpNotifyTransDown
MIB search path: /root/.snmp/mibs:/usr/share/snmp/mibs
Cannot find module (CISCO-SMI): At line 31 in /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
Did not find 'ciscoMgmt' in module #-1 (/usr/share/snmp/mibs/CISCO-OSCP-MIB.mib)
Unlinked OID in CISCO-OSCP-MIB: ciscoOscpMIB ::= { ciscoMgmt 202 }
Undefined identifier: ciscoMgmt near line 34 of /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
Cannot adopt OID in CISCO-OSCP-MIB: ciscoOscpMIBGroups ::= { ciscoOscpMIBConformance 2 }

Pour résoudre le problème, il faut regarder la ligne suivante :

Cannot find module (CISCO-SMI): At line 31 in /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib

On comprend donc que snmpttconvertmib n'a pas accès au module CISCO-SMI. Et la raison de ce problème est que la MIB que vous essayez de compiler a des dépendances que l'on peux retrouver dans le fichier même de la MIB que vous voulez compiler. Si vous regarder votre fichier, vers le début de celui-ci vous pourrez retrouver un bloc comme celui-ci :

IMPORTS
        MODULE-IDENTITY,
        OBJECT-TYPE,
        NOTIFICATION-TYPE,
        Counter32,
        Gauge32,
        Unsigned32
                                                    FROM SNMPv2-SMI
        TEXTUAL-CONVENTION,
        TruthValue,
        RowStatus
                                                    FROM SNMPv2-TC
        InterfaceIndex
                                                    FROM IF-MIB
        MODULE-COMPLIANCE,
        OBJECT-GROUP,
        NOTIFICATION-GROUP
                                                    FROM SNMPv2-CONF
        ciscoMgmt
                                                    FROM CISCO-SMI
        ;

Il indique toute les dépendances nécessaires pour compilé votre MIB.

On remarque donc que les MIBs nécessaires pour compiler la MIB de l'exemple sont :

SNMPv2-SMI
SNMPv2-TC
IF-MIB, SNMPv2-CONF
CISCO-SMI.

Et comme nous pouvons le remarquer, CISCO-SMI est le même module que le message d'erreur.

Pour réparer ceci, il faut télécharger la MIB manquante. On pourra par exemple se diriger sur ce site : http://www.circitor.fr/Mibs/Mibs.php qui répertorie pleins de MIBs différentes.

Une fois cette MIB télécharger, il vous suffit de la mettre dans le dossier /usr/share/snmp/mibs de votre serveur de supervision, avec la MIB a convertir.

Vous pouvez alors relancer votre commande de compilation de la MIB, et vous devriez obtenir un message de retour ressemblant à celui-ci :

$ snmpttconvertmib --in=/usr/share/snmp/mibs/CISCO-OSCP-MIB.mib --out=/etc/snmp/test.txt --exec='/var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2'
exec: /var/lib/shinken-user/libexec/submit_check_result_to_receiver $r TRAP 2


*****  Processing MIB file *****

snmptranslate version: NET-SNMP version: 5.7.2
severity: Normal

File to load is:        /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
File to APPEND TO:      /etc/snmp/test.txt

MIBS environment var:   /usr/share/snmp/mibs/CISCO-OSCP-MIB.mib
mib name: CISCO-OSCP-MIB


Processing MIB:         CISCO-OSCP-MIB
#
skipping a TRAP-TYPE / NOTIFICATION-TYPE line - probably an import line.
#
Line: 677
NOTIFICATION-TYPE: coscpNotifyTransDown
Variables: coscpLinkTransDown
Enterprise: ciscoOscpNotificationsPrefix
Looking up via snmptranslate: CISCO-OSCP-MIB::coscpNotifyTransDown
OID: .1.3.6.1.4.1.9.9.202.2.0.1

Test avec une MIB perso

On va créer une MIB de test pour pouvoir tester toute la chaîne depuis la capture de la trap jusqu’au traitement de celle ci par Shinken:

On créé notre mib dans un fichier sous /usr/share/snmp/mibs/TRAP-TEST-MIB avec le contenu suivant:

TRAP-TEST-MIB DEFINITIONS ::= BEGIN
IMPORTS ucdExperimental FROM UCD-SNMP-MIB;
demotraps OBJECT IDENTIFIER ::= { ucdExperimental 990 }
demo-trap TRAP-TYPE
STATUS current
ENTERPRISE demotraps
VARIABLES { sysLocation }
DESCRIPTION "Trap received !"
::= 17
END

On export cette MIB

export MIBS=+/usr/share/snmp/mibs/TRAP-TEST-MIB

On la compile en précisant notre plugin submit_check_result, c’est donc ici que ce fait la jonction avec Shinken:

snmpttconvertmib --in=/usr/share/snmp/mibs/TRAP-TEST-MIB \
--out=/etc/snmp/snmptt.conf.test \
--exec='/var/lib/shinken-user/libexec/submit_check_result $r TRAP 2'

Ce qui doit générer un fichier de cette forme :

EVENT demo-trap .1.3.6.1.4.1.2021.13.990.0.17 "Status Events" Normal
FORMAT Trap received ! $*
EXEC /var/lib/shinken-user/libexec/submit_check_result $r TRAP 2 "Trap received ! $*"
SDESC
Trap received !
Variables:
  1: sysLocation
EDESC

On fait prendre en compte ce fichier à la configuration globale de SNMPTT à la fin du fichier /etc/snmp/snmptt.ini en rajoutant notre fichier généré snmptt.conf.test :

snmptt_conf_files = <<END
/etc/snmp/snmptt.conf
/etc/snmp/snmptt.conf.test
END

On relance les services :

service snmptt restart
service snmpd restart
service snmptrapd restart

Et enfin, on lance une trap de test à la main :

snmptrap -v 1 -c public 127.0.0.1 TRAP-TEST-MIB::demotraps localhost 6 17 '' SNMPv2-MIB::sysLocation.0 s "It's a trap"

Les logs de snmptt doivent remonter la trap:

tail /var/log/snmptt/snmptt.log                                                                    
Sun Feb  1 16:02:13 2015 .1.3.6.1.4.1.2021.13.990.0.17 Normal "Status Events" localhost - Trap received It's a trap

Même chose pour les log messages du système:

tail /var/log/messages
Feb  1 16:02:13 shinken snmptt[0]: .1.3.6.1.4.1.2021.13.990.0.17 Normal "Status Events" localhost - Trap received It's a trap

Le service passe alors en critique sur Shinken et vous recevez une notification.

Au bout de une minute, comme défini dans le fichier de configuration sur Shinken, le service passe de nouveau au vert en statut OK.

Vous avez plus qu’à importer vos MIBs et faire la liaison avec Shinken de la même façon que dans cet exemple.

Pour résumer, nous avons bien la chaîne suivante:

SNMPD (pour l'écoute des Traps) –> SNMPTT (pour la translation des Traps) –> Script (pour le passage au format Shinken) –> FIFO shinken.cmd (pour l'envoi de l'état du check de l'hôte dans Shinken)