Настройка SnmpTrapper и Zabbix на astra se 1.6

witty

New member
Сообщения
8
#1
Здравствуйте! При установки zabbix’a возникла проблема именно на версии astra se 1.6, пользователь zabbix (который создается при инсталляции) не может создавать log файл для snmptt, из-за этого трапы не приходят на сервер zabbix (в логах zabbix'a пишет нет такого файла, а если его создать туда ничего не пишется). Может кто настраивал SnmpTrapper, как правильно сделать?
 

AFilippov

New member
Сообщения
171
#2
Здравствуйте! При установки zabbix’a возникла проблема именно на версии astra se 1.6, пользователь zabbix (который создается при инсталляции) не может создавать log файл для snmptt, из-за этого трапы не приходят на сервер zabbix (в логах zabbix'a пишет нет такого файла, а если его создать туда ничего не пишется). Может кто настраивал SnmpTrapper, как правильно сделать?
Не оно - Установка системы мониторинга Zabbix на Смоленск 1.6?
 

witty

New member
Сообщения
8
#3
Тут просто настройка zabbix'a, он настроен и работает, проблема с настройкой SNMPTrapper'a, такого раздела нет. Есть настройка SNMP, но это немного не то
 

AFilippov

New member
Сообщения
171
#4
Тут просто настройка zabbix'a, он настроен и работает, проблема с настройкой SNMPTrapper'a, такого раздела нет. Есть настройка SNMP, но это немного не то
Так покажите права на лог-файл, какой пользователь должен в него писать? Можете сразу временно сделать 777 на директории с файлом и посмотреть, пойдут траппы или нет. Отсюда дальше и плясать.
 

witty

New member
Сообщения
8
#5
log файл должен создать пользователь zabbix в /var/log/snmptt/, когда получит трапы с хоста, но этого не происходит т.к. ему отказано в доступе на выполнение команд mkdir и touch, даже если я создам этот log файл с правами 777, ему все равно нельзя записывать туда, возможно что-то с мандатными правами, но я не знаю как их установить правильно, pdp-ls показывает одинаковые уровни и для пользователя и для файла(значит по идеи должен писать) но не пишет
 

AFilippov

New member
Сообщения
171
#6
log файл должен создать пользователь zabbix в /var/log/snmptt/, когда получит трапы с хоста, но этого не происходит т.к. ему отказано в доступе на выполнение команд mkdir и touch, даже если я создам этот log файл с правами 777, ему все равно нельзя записывать туда, возможно что-то с мандатными правами, но я не знаю как их установить правильно, pdp-ls показывает одинаковые уровни и для пользователя и для файла(значит по идеи должен писать) но не пишет
Не проверял, а уже утверждаешь... :( Вот 99 и 9, что мандатный доступ здесь ни при чем.
Давай обратимся, так скажем, к первоисточникам: SNMP трапы, Start with SNMP traps in Zabbix - и пойдем по порядку.
"...Последовательность действий при получении трапа:
  1. snmptrapd получает трап
  2. snmptrapd передает трап в SNMPTT или вызывает получателя трапов Perl
  3. SNMPTT или получатель трапов Perl, форматируют и записывают трап в файл
  4. Zabbix SNMP траппер читает и анализирует файл с трапами
  5. Zabbix ищет все соответствующие элементы данных с типом “SNMP трап” на интерфейсах узлов сети по каждому трапу, которые совпадают с полученным адресом из трапа. Возьмите на заметку, только выбранный “IP” или “DNS” у интерфейса узла сети используется в процессе поиска совпадения..."
Считаем, что файервол у тебя настроен и пропускает входящие пакеты на 162 порт. Если не так, то настраивай. Проверяем статус snmptrapd - должен быть активным зеленым: sudo systemctl status snmptrapd. Проверяем, на каком порту слушает netstat -an | grep snmptrapd.
Далее, демон snmptrapd дергает SNMPTT или Perl-скрипт, которые в свою очередь и пишут твой лог-файл. Ты видишь пользователя zabbix? Я тоже пока нет.
Пользователь "zabbix" всего лишь читает лог-файл, и 644 ему за глаза. На всякий случай проверь, от какого пользователя запускается snmptrapd:
ps aux | grep snmp. Снова сверяй конфиги snmptrapd, snmptt (perl), zabbix с инструкцией, по которой делал. Вполне вероятно, пишешь в одно место, читаешь в другом. Астра, пока сам не начнешь устанавливать уровни доступа и блокировки, - самый обычный deb-линукс.
Если сомневаешься, настрой сначала в Debian-9, потом конфиги перенесешь в Астру.
 
Последнее редактирование:

witty

New member
Сообщения
8
#7
Не проверял, а уже утверждаешь... :( Вот 99 и 9, что мандатный доступ здесь ни при чем.
Давай обратимся, так скажем, к первоисточникам: SNMP трапы, Start with SNMP traps in Zabbix - и пойдем по порядку.
"...Последовательность действий при получении трапа:
  1. snmptrapd получает трап
  2. snmptrapd передает трап в SNMPTT или вызывает получателя трапов Perl
  3. SNMPTT или получатель трапов Perl, форматируют и записывают трап в файл
  4. Zabbix SNMP траппер читает и анализирует файл с трапами
  5. Zabbix ищет все соответствующие элементы данных с типом “SNMP трап” на интерфейсах узлов сети по каждому трапу, которые совпадают с полученным адресом из трапа. Возьмите на заметку, только выбранный “IP” или “DNS” у интерфейса узла сети используется в процессе поиска совпадения..."
Считаем, что файервол у тебя настроен и пропускает входящие пакеты на 162 порт. Если не так, то настраивай. Проверяем статус snmptrapd - должен быть активным зеленым: sudo systemctl status snmptrapd. Проверяем, на каком порту слушает netstat -an | grep snmptrapd.
Далее, демон snmptrapd дергает SNMPTT или Perl-скрипт, которые в свою очередь и пишут твой лог-файл. Ты видишь пользователя zabbix? Я тоже пока нет.
Пользователь "zabbix" всего лишь читает лог-файл, и 644 ему за глаза. На всякий случай проверь, от какого пользователя запускается snmptrapd:
ps aux | grep snmp. Снова сверяй конфиги snmptrapd, snmptt (perl), zabbix с инструкцией, по которой делал. Вполне вероятно, пишешь в одно место, читаешь в другом. Астра, пока сам не начнешь устанавливать уровни доступа и блокировки, - самый обычный deb-линукс.
Если сомневаешься, настрой сначала в Debian-9, потом конфиги перенесешь в Астру.

В Astra se 1.6 МКЦ включили уже при первом старте, так что мандатная политика работает без настройки, но дело не в этом, оказалось что установленный пакет snmpd не содержит сам snmptrapd от этого 162 порт слушать некому, трапы и не приходят, где его брать я не знаю, в описании версии snmpd он должен быть, но почему то на 1.6 его нет((
 

Olej

New member
Сообщения
1 010
#8
Последовательность действий при получении трапа:
Это уже всё избыточно, от лукавого...
В базовом виде snmpd, snmptrapd, snmpwalk, snmpget и пр. - это всё древний (но развивающийся) проект net-snmp ... которому не нужны ни Perl, ни Zabbix ... никто - то всё надстройки.
В Орёл (Astra CE) всё есть:
Код:
olej@astra:/etc/apt$ aptitude search snmp | grep ' snmp'
i  snmp - SNMP (Simple Network Management Protocol) applications
p  snmp:i386 - SNMP (Simple Network Management Protocol) applications
p  snmp-mibs-downloader - Install and manage Management Information Base (MIB) files
p  snmpd - SNMP (Simple Network Management Protocol) agents
p  snmpd:i386 - SNMP (Simple Network Management Protocol) agents
p  snmpsim - SNMP agent simulator
p  snmptrapd - Net-SNMP notification receiver
p  snmptrapd:i386 - Net-SNMP notification receiver
p  snmptrapfmt - A configurable snmp trap handler daemon for snmpd
p  snmptrapfmt:i386 - A configurable snmp trap handler daemon for snmpd
p  snmptt - SNMP trap handler for use with snmptrapd
 

witty

New member
Сообщения
8
#9
Это уже всё избыточно, от лукавого...
В базовом виде snmpd, snmptrapd, snmpwalk, snmpget и пр. - это всё древний (но развивающийся) проект net-snmp ... которому не нужны ни Perl, ни Zabbix ... никто - то всё надстройки.
В Орёл (Astra CE) всё есть:
Код:
olej@astra:/etc/apt$ aptitude search snmp | grep ' snmp'
i  snmp - SNMP (Simple Network Management Protocol) applications
p  snmp:i386 - SNMP (Simple Network Management Protocol) applications
p  snmp-mibs-downloader - Install and manage Management Information Base (MIB) files
p  snmpd - SNMP (Simple Network Management Protocol) agents
p  snmpd:i386 - SNMP (Simple Network Management Protocol) agents
p  snmpsim - SNMP agent simulator
p  snmptrapd - Net-SNMP notification receiver
p  snmptrapd:i386 - Net-SNMP notification receiver
p  snmptrapfmt - A configurable snmp trap handler daemon for snmpd
p  snmptrapfmt:i386 - A configurable snmp trap handler daemon for snmpd
p  snmptt - SNMP trap handler for use with snmptrapd

У меня Astra Linux SE Смоленск 1.6 , там как оказалось нету
 

Olej

New member
Сообщения
1 010
#10
В базовом виде snmpd, snmptrapd, snmpwalk, snmpget и пр. - это всё древний (но развивающийся) проект net-snmp ...
Посмотрите здесь:
SNMP - Простой Протокол Управления Сетью.
SNMP
Протокол SNMP в POSIX-операционных системах.
Расширения SNMP на собственные цели
SNMP - Простой Протокол Управления Сетью
Может что подскажет.
По 3-й ссылке - там куча примеров команд для тестирования и диагностики происходящего с SNMP на базовом уровне.
 

AFilippov

New member
Сообщения
171
#11
В Astra se 1.6 МКЦ включили уже при первом старте, так что мандатная политика работает без настройки, но дело не в этом, оказалось что установленный пакет snmpd не содержит сам snmptrapd от этого 162 порт слушать некому, трапы и не приходят, где его брать я не знаю, в описании версии snmpd он должен быть, но почему то на 1.6 его нет((
Ну вот, пошел процесс! :) Мандатный контроль целостности включен, но ничему не мешает. Если смущает, полностью отключи на время.
Snmpd при установке предлагает (рекомендует) установить snmptrapd, но сам его по зависимости не тянет:
Код:
auser@acomp:~$ apt-cache depends snmpd | grep snmptrapd
  Предлагает: snmptrapd
У тебя диск разработчика подключен в качестве репозитория? Если нет, смотри вики Подключение репозиториев на DVD дисках
Также snmptrapd есть в репозитории Орла, найти не проблема.
Сбрось ссылку на инструкцию, по которой настраиваешь траппы.
 

Olej

New member
Сообщения
1 010
#12
У меня Astra Linux SE Смоленск 1.6 , там как оказалось нету
Ну так а). установите пакет из Орёл или Debian, б). соберите из исходников net-snmp, в). если совсем уж собрались девственность блюсти - жалуйтесь (на ;)) разработчикам Astra SE.
 

AFilippov

New member
Сообщения
171
#13
Ну так а). установите пакет из Орёл или Debian, б). соберите из исходников net-snmp, в). если совсем уж собрались девственность блюсти - жалуйтесь (на ;)) разработчикам Astra SE.
Не по фэн-шую получится. :cool: На диске разработчика snmptrapd должен быть.
 

witty

New member
Сообщения
8
#14
Ну вот, пошел процесс! :) Мандатный контроль целостности включен, но ничему не мешает. Если смущает, полностью отключи на время.
Snmpd при установке предлагает (рекомендует) установить snmptrapd, но сам его по зависимости не тянет:
Код:
auser@acomp:~$ apt-cache depends snmpd | grep snmptrapd
  Предлагает: snmptrapd
У тебя диск разработчика подключен в качестве репозитория? Если нет, смотри вики Подключение репозиториев на DVD дисках
Также snmptrapd есть в репозитории Орла, найти не проблема.
Сбрось ссылку на инструкцию, по которой настраиваешь траппы.

Да инструкции разные читал, все что первые по ссылкам в яндексе. И правда «предлагает», а подскажите как установить это предложение? Он отдельно на диске разработчиков?
 

AFilippov

New member
Сообщения
171
#16
Да инструкции разные читал, все что первые по ссылкам в яндексе. И правда «предлагает», а подскажите как установить это предложение? Он отдельно на диске разработчиков?
Я же тебе давал ссылку Подключение репозиториев на DVD дисках.
У тебя должно быть 2 диска: первый - загрузочный, второй - со средствами разработки.
Вставляешь их по очереди в DVD-ROM. Первый копируешь в директорию /opt/repo/, второй в /opt/repodev/.
Делаешь бэкап sources.list: sudo cp /etc/apt/sources.list /etc/apt/sources.list_old
Правишь список командой sudo nano /etc/apt/sources.list. В итоге у тебя должно получиться:
Код:
deb file:///opt/repo smolensk contrib main non-free
deb file:///opt/repodev smolensk contrib main non-free
Все остальные строки удаляешь. Сохраняешь Ctrl+o, выходишь Ctrl+x.
Потом sudo apt-get update, и следом sudo apt-get upgrade
Ищешь пакет пакет: apt-cache search snmptrapd
В терминале вывод будет примерно такой:
Код:
auser@acomp:~$ apt-cache search snmptrapd
snmptrapd - Net-SNMP notification receiver
snmptrapfmt - A configurable snmp trap handler daemon for snmpd
snmptt - SNMP trap handler for use with snmptrapd
Дальше устанавливаешь, как обычно sudo apt-get install snmptrapd
Далее по твоим инструкциям правишь конфиги. Убедись, что snmptrapd запущен, ну т.д., как выше писали.
Обязательно почитай на вики Обновления безопасности и методические указания Astra Linux Special Edition 1.6.
У тебя 3-я версия zabbixa, не текущая 4.2?
 

AFilippov

New member
Сообщения
171
#17
Да инструкции разные читал, все что первые по ссылкам в яндексе. И правда «предлагает», а подскажите как установить это предложение? Он отдельно на диске разработчиков?
Скачал с сайта Астры диск для разработчиков https://dl.astralinux.ru/astra/stable/smolensk/devel/1.6/devel-smolensk-1.6-20.06.2018_15.56.iso
Подключил в качестве репозитория, как писал выше, посмотрел:
Код:
auser@acomp:~$ apt-cache show snmptrapd
Package: snmptrapd
Source: net-snmp
Version: 5.7.3+dfsg-1.7
Architecture: amd64
Вот он, искомый snmptrapd