Trap协议Word下载.docx
《Trap协议Word下载.docx》由会员分享,可在线阅读,更多相关《Trap协议Word下载.docx(8页珍藏版)》请在冰豆网上搜索。
snmp依赖的模式是管理站与代理(即是managementandagentmodel)。
snmptrap是snmp的一部分,当被监控段出现特定事件,可能是性能问题,甚至是网络设备接口宕掉等,代理端会给管理站发告警事件。
通过告警事件,管理站可以通过定义好的方法来处理告警。
管理信息数据库(mib)是一个信息存储库,它包含管理代理中的有关配置和性能的数据,有组织体系和公共结构,其中包含分属不同组的多个数据对象。
mochabsm如何实现snmptrap
当用户在被监控端所设置的情况符合了,被监控段将会给mochabsm发送特定事件。
以下是mochabsm处理的几个步骤:
◆snmptrap接收服务一直在端口162等待着请求,一旦接受任何请求,将发给snmptrap翻译。
◆通过mib库的已知设备信息,snmptrap将会尽可能翻译Varbind的信息。
◆通过可配置的业务规则,可决定如何处理或者丢弃告警。
◆把产生的告警展现在事件管理,并且能产生相关的报警,提醒相关it管理员。
◆如果事件与工单有绑定,可以触发相关工单。
◆系统管理员也可以通过不同格式的文件,导入新的设备信息进入mochabsm的mib库。
关键功能与亮点
事件驱动,第一时间收到设备故障告警
以事件为驱动,由被监控的主机、网络设备、应用在发生故障时向mochabsm发送snmptrap,通过对接收到的snmptrap进行翻译和展现,以最快速度向管理人员发送告警。
snmptrap不同于snmp的主动采集,snmp采集服务器按照固定的时间间隔,
由网管系统以询问的方式,采集被监控端性能指标,因此发现被监控端性能问题的快慢取决于采集的频率间隔。
而snmptrap是以事件为驱动,在被监控端设置陷阱,一旦被监控
端设备出现相关问题,立刻发送snmptrap,因此能够在最短的时间内发现故障,避免因为设备故障带来的经济损失。
提供snmptrap的接收,并通过对trap信息翻译,展现事件
支持设备,主机和应用的snmptrap信息,从被动变为主动,全面监控it系统。
通过对snmptrap的翻译和展现,一旦某个it组件出现问题,可以在短时间之内,即可收到故障信息,满足企业的快速发现问题的需要。
通过snmptrap的接收规则定义,管理员可以过滤非重要设备的trap信息,也可以过滤被监控设备的非重要故障信息。
帮助管理员在第一时间收到真正需要的管理信息。
接收来自第三方管理软件snmptrap信息,或向第三方管理软件发送trap信息,达到整合效果
第三方系统可接收本系统的snmptrap,本系统也可接收第三方的snmptrap,支持的第三方产品有hpopenView、ibmtiVoli、ciscowoRks等。
定制snmptrap告警规则触发告警,提供多种方式发送告警信息
用户通过mochaportal定制需要告警的snmptrap信息,针对特定snmptrap事件通过邮件、短信、语言、mochaalert等方式向相关人员发送报警。
帮助管理人员快速收到it系统故障信息。
支持事件导出
汇总特定时间内特定snmptrap事件,同时可以以excel格式导出事件数据,便于管理人员对故障信息进行统计和分析。
支持各类设备厂家mib库的导入
虽然国内各种网络设备都支持snmptrap,但是各个厂家的mib库并不能很好的支持公共标准,因此,我们支持厂家私有mib库的导入,确保能够全面兼容各个厂家设备的snmptrap信息。
篇二:
日志采集方式snmptRap和syslog的区别
日志采集方式snmptRap和syslog的区别日志文件能够详细记录系统每天发生的各种各样的事件,对网络安全起着非常的重要作用。
网络中心有大量安全设备,将所有的安全设备逐个查看是非常费时费力的。
另外,由于安全设备的缓存器以先进先出的队列模式处理日志记录,保存时间不长的记录将被刷新,一些重要的日志记录有可能被覆盖。
因此在日常网络安全管理中应该建立起一套有效的日志数据采集方法,将所有安全设备的日志记录汇总,便于管理和查询,从中提取出有用的日志信息供网络安全管理方面使用,及时发现有关安全设备在运行过程中出现的安全问题,以便更好地保证网络正常运行。
采集技术比较
网络管理中常用来采集日志数据的方式包括文本方式采集、snmptrap方式采集和syslog方式采集,另外,其他采集方式,如telnet采集(远程控制命令采集)、串口采集等。
我们如何选用比较合适的技术方式进行日志数据采集是必须首先考虑的,下面对当前主要的日志数据采集技术进行简单分析。
文本方式
在统一安全管理系统中以文本方式采集日志数据主要是指邮件或Ftp方式。
邮件方式是指在安全设备内设定报警或通知条件,当符合条件的事件发生时,相关情况被一一记录下来,然后在某一时间由安全设备或系统主动地将这些日志信息以邮件形式发给邮件接受者,属于被动采集日志数据方式。
其中的日志信息通常是以文本方式传送,传送的信息量相对少且需专业人员才能看懂。
而Ftp方式必须事先开发特定的采集程序进行日志数据采集,每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大,属于主动采集日志数据方式。
随着网络高速的发展,网络内部以百兆、千兆甚至万兆互联,即使采取功能强大的计算机来处理日志数据包的采集工作,相对来说以上两种方式速度和效率也是不尽人意。
因此,文本方式只能在采集日志数据范围小、速度比较慢的网络中使用,一般在网络安全管理中不被主要采用。
snmptrap方式
建立在简单网络管理协议snmp上的网络管理,snmptRap是基于snmpmib的,因为snmpmib是定义了这个设备都有哪些信息可以被收集,哪些trap的触发条件可以被定义,只有符合tRap触发条件的事件才被发送出去。
人们通常使用snmptrap机制进行日志数据采集。
生成trap消息的事件(如系统重启)由trap代理内部定义,而不是通用格式定义。
由于trap机制是基于事件驱动的,代理只有在监听到故障时才通知管理系统,非故障信息不会通知给管理系统。
对于该方式的日志数据采集只能在snmp下进行,生成的消息格式单独定义,对于不支持snmp设备通用性不是很强。
网络设备的部分故障日志信息,如环境、snmp访问失效等信息由snmptrap进行报告,通过对snmp数据报文中trap字段值的解释就可以获得一条网络设备的重要信息,由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的trap数据,这样才能完成对网络设备的信息监控和数据采集。
但是由于网络结构和网络技术的多样性,以及不同厂商管理其网络设备的手段不同,要求网络管理系统不但对公有trap能够正确解释,更要对不同厂商网络设备的私有部分非常了解,这样才能正确解析不同厂商网络设备所发送的私有trap,这也需要跟厂商紧密合作,进行联合技术开发,从而保证对私有trap完整正确的解析和应用。
此原因导致该种方式面对不同厂商的产品采集日志数据方式需单独进行编程处理,且要全面解释所有日志信息才能有效地采集到日志数据。
由此可见,该采集在日常日志数据采集中通用性不强。
syslog方式
已成为工业标准协议的系统日志(syslog)协议是在加里佛尼亚大学伯克立软件分布研究中心(bsd)的tcp/ip系统实施中开发的,目前,可用它记录设备的日志。
在路由器、交换机、服务器等网络设备中,syslog记录着系统中的任何事件,管理者可以通过查看系统记录,随时掌握系统状况。
它能够接收远程系统的日志记录,在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。
同时不需要连接多个系统,就可以在一个位置查看所有的记录。
syslog使用udp作为传输协议,通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送到安装了syslog软件系统的日志服务器,syslog日志服务器自动接收日志数据并写到日志文件中。
另外,选用以syslog方式采集日志数据非常方便,且具有下述原因:
第一,syslog协议广泛应用在编程上,许多日志函数都已采纳syslog协议,syslog用于许多保护措施中。
可以通过它记录任何事件。
通过系统调用记录用户自行开发的应用程序的运行状况。
研究和开发一些系统程序是日志系统的重点之一,例如网络设备日志功能将网络应用程序的重要行为向syslog接口呼叫并记录为日志,大部分内部系统工具(如邮件和打印系统)都是如此生成信息的,许多新增的程序(如tcpwrappers和ssh)也是如此工作的。
通过syslogd(负责大部分系统事件的守护进程),将系统事件可以写到一个文件或设备中,或给用户发送一个信息。
它能记录本地事件或通过网络记录到远端设备上的事件。
第二,当今网络设备普遍支持syslog协议。
几乎所有的网络设备都可以通过syslog协议,将日志信息以用户数据报协议(udp)方式传送到远端服务器,远端接收日志服务器必须通过syslogd监听udp端口514,并根据syslog.conf配置文件中的配置处理本机,接收访问系统的日志信息,把指定的事件写入特定文件中,供后台数据库管理和响应之用。
意味着可以让任何事件都登录到一台或多台服务器上,以备后台数据库用off-line(离线)方法分析远端设备的事件。
第三,syslog协议和进程的最基本原则就是简单,在协议的发送者和接收者之间不要求严格的相互协调。
事实上,syslog信息的传递可以在接收器没有被配置甚至没有接收器的情况下开始。
反之,在没有清晰配置或定义的情况下,接收器也可以接收到信息。
篇三:
网络协议
osi模型
osi将计算机网络体系结构(architecture)划分为以下七层:
7应用层──applicationlayer
6表示层──presentationlayer
5会话层──sessionlayer4传输层──transportlayer3网络层──networklayer2数据链路层──datalinklayer1物理层──physicallayer
icmp
ip协议并不是一个可靠的协议,它不保证数据被送达,那么,自然的,保证数据送达的工作应该由其他的模块来完成。
其中一个重要的模块就是icmp(网络控制报文)协议。
当传送ip数据包发生错误--比如主机不可达,路由不可达等等,icmp协议将会把错误信息封包,然后传送回给主机。
给主机一个处理错误的机会,这也就是为什么说建立在ip层以上的协议是可能做到安全的原因。
icmp数据包由8bit的错误类型和8bit的代码和16bit的校验和组成。
而前16bit就组成了icmp所要传递的信息。
书上的图6-3清楚的给出了错误类型和代码的组合代表的意思。
尽管在大多数情况下,错误的包传送应该给出icmp报文,但是在特殊情况下,是不产生icmp错误报文的。
如下
1.icmp差错报文不会产生icmp差错报文(出imcp查询报文)(防止imcp的无限产生和传送)
2.目的地址是广播地址或多播地址的ip数据报。
3.作为链路层广播的数据报。
4.不是ip分片的第一片。
5.源地址不是单个主机的数据报。
升级会员 