0x00 SNMP TRAP简介
SNMP(Simple Network Management Protocol) trap是一种很有用,但是也容易让人难以理解的协议。
虽然名字叫做简单网络管理协议,但实际上并不是字面上的意思,尤其是看到.1.3.6.1.2.1.1.1.0这样一串串诡异的数字时候,就会有点让人崩溃。
不管怎么说,现在所有的网络设备的都需要支持SNMP。而且现在还有很多的开源的网络管理系统,所以就有利于我们来学习和理解SNMP。
SNMP trap是由被管理的设备主动的向管理服务器发送设备的异常情况,可以看成是管理服务器被动的去接收的过程。
所以会有很多的工具会把snmptrap集成到自己的工具中,对网络设备进行监控。
把SNMP trap集成的到Nagios当中的,大体的工作流程是:
1. 由snmptrapd来接收网络设备发出的trap
2. snmptrapd调用snmptt(snmp trap translator 翻译器)
3. snmptt中定义了每一种trap的级别,以及什么样的trap才有必要写入到syslog中
4. SEC(simple event correlator是一个事件收集器)从syslog中读取每一个事件,并把调用用户的脚本snmptraphandling.py 来处理。
5. snmptraphandling.py 会调用根据主机名和trap的级别来调用相当的Nagios命令行。
这个过程包含了很多层,所以感觉很复杂,还是深入进去看看snmptrapd是怎么工作的。从而尽可能简化snmptrap的使用方法。
snmptrapd来自开源软件Net-SNMP. Net-SNMP会有很多的用途,当然使用trap也是一个很有用的用途。当snmptrapd接收到trap以后,可以调用用户自定义的脚本或者命令行来处理trap。如果想使用这个功能就需要在snmptrapd的配置文件中设置traphandle。 snmptrapd接收到的trap信息格式是:
1. 数据包来源的主机名字。
2. 数据包来源的ip地址。
3. 数据包中的内容。
traphandle的工作就是读取这些内容并进行处理就可以了。
Trap信息例子:
cisco2611.lon.altinity 192.168.10.20 RFC1213-MIB::sysUpTime.0 0:18:14:45.66 SNMPv2-MIB::snmpTrapOID.0 IF-MIB::linkDown RFC1213-MIB::ifIndex.2 2 RFC1213-MIB::ifDescr.2 "Serial0/0" RFC1213-MIB::ifType.2 ppp OLD-CISCO-INTERFACES-MIB::locIfReason.2 "administratively down" SNMP-COMMUNITY-MIB::snmpTrapAddress.0 192.168.10.20 SNMP-COMMUNITY-MIB::snmpTrapCommunity.0 "public" SNMPv2-MIB::snmpTrapEnterprise.0 CISCO-SMI::ciscoProducts.186