LogStare Collector リファレンス

SNMPトラップ監視設定と具体的な設定方法/SNMPトラップ監視ステータスクリア機能

この記事は投稿日から5年以上経過しています。

当記事では、LogStare Collector(LSC)における監視項目の一つであるSNMP-Trap監視設定と具体的な設定方法と、LSC v2.1.2 build210715にて追加されたSNMP-Trap監視ステータスクリア機能についても説明しています。

※ SNMP-Trap監視を設定すると、取得したSNMP-Trapログを保存することができます。

更新履歴

2022/09/12 SNMP-Trap設定の具体例を記載しました。
2022/10/04 正規表現を使用した SNMP-Trap設定の具体例を記載しました。
2022/11/24 SNMP-TRAPを設定する手順とSNMP-Trap監視ステータスクリア機能について記載しました。
2022/12/21 SNMPトラップ自体が届いているかどうかを確認する方法について記載しました。

 

SNMP-Trap監視とは...

監視対象デバイスからLSCSNMPという仕組みを使って状態を送信(トラップ)する仕組みです。
SNMP監視については、こちらをご参照ください。

SNMP-Trapデータについて

LSCで受信するSNMP-TrapデータのフォーマットはSNMP「v1」と「v2」「v3」でそれぞれ異なっております。それぞれ下記例のようなフォーマットです。

SNMP「v1」TRAP PDU(フォーマット)例:

V1TRAP[reqestID=0,timestamp=10 days, 15:14:21.22,enterprise=1.3.6.1.4.1.111,genericTrap=6,specificTrap=9001, VBS[1.3.6.1.2.1.1.99.0=ABC123; 1.3.6.1.4.1.111.11.2.11.1.0=12; ]]"

SNMP「v2」「v3」TRAP PDU(フォーマット)例:

V3TRAP[{EngineID=80:11:22:e5:11:00:00:11:44:32:30:55:51:54:37}, requestID=3454252, errorStatus=0, errorIndex=0, VBS[1.3.6.1.2.1.1.3.0=999 days, 21:59:35.52; 1.3.6.1.6.3.1.1.4.1.0=1.3.6.1.4.1.111.0.1111; 1.3.6.1.2.1.1.5.0=ABC123; 1.3.6.1.6.3.1.1.4.3.0=1.3.6.1.4.1.232;]]

基本的に例に示す通り「=」イコールを使ったキーバリュー形式で値が入ります。また基本的には制御文字やバイナリデータ・日本語などは入らないことを想定しています。仮にそれらの文字が入る場合は文字化けする可能性がありますので、送信側の文字コードをLSC側と文字コードを合わせたりフォーマットの設定を変更するなどで対応をご検討ください。また、このSNMP Trapに記載のOID等の詳細については送信側の各マニュアル及びMIB情報をご覧ください。

SNMP Trap設定で指定できるOIDの対象は各フォーマット内の VBS [ ] で囲まれた位置になります。それ以外のキーバリュー形式の箇所は設定の対象にすることができません。設定例等は以降の説明をご覧ください。

SNMP-Trapを設定する手順

SNMP-Trapを設定する手順は下記の通りです。
    1.  LSCにブラウザでログインします。※推奨ブラウザをお使いください。
    2. 「監視・ログ収集設定」 > 「監視・収集」へ移動します。
    3. 収集項目を設定したいデバイスを選択し、「+」ボタンを押します。
    4. 「監視・収集項目の「監視」ボタンを選択し、プルダウンメニューから「SNMP-Trap監視」」を選択します。
    5. SNMPバージョン、SNMPコミュニティ、SNMP-TRAP設定をそれぞれ設定します。
    6. 「追加」ボタンを押して完了です。

設定内容

監視設定

  • SNMPバージョン : 任意のバージョンを指定します。
    バージョンは「v1」「v2」「v3」より選択することができます。

    • SNMPコミュニティ : 任意のコミュニティ名を記載します。
      「v3」を指定した場合、デバイス設定として認証情報を入力する必要があります。
      認証情報については下記の通りです。
      ユーザ名     : トラップを送信する監視対象デバイス側に設定されたユーザー名(例:User)
      認証プロトコル  : トラップを送信する監視対象デバイス側に設定された認証プロトコル(例:MD5)
      認証パスフレーズ : トラップを送信する監視対象デバイス側に設定された認証パスフレーズ
      コンテキスト名  : トラップを送信する監視対象デバイス側に設定されたコンテキスト名(設定値が無ければ空白のまま)
      エンジンID     : トラップを送信する監視対象デバイス側に設定されたエンジンID(例:800000E80453474876323 ※16新数を表す0xの先頭文字は不要です)
      SNMPコミュニティ: トラップを送信する監視対象デバイス側に設定されたコミュニティ名(例:public)

      監視条件              : どちらかの条件を指定します。

    • どれかひとつでも一致する
      監視対象より受信したSNMP-Trapを設定1から順に確認し、いずれかと一致した場合、アラートメールを送信します。
    • すべて一致する
      監視対象より受信したSNMP-Trapを設定1から順に確認し、すべてと一致した場合、アラートメールを送信します。

SNMP-Trap設定

OID(インスタンス) : SNMP-Trapで取得したいOIDを記載します。

OIDを取得する位置はSNMP「v1」のフォーマットと「v2」「v3」のフォーマットそれぞれのVBS(Variable Bindings)の中にあるOID文字列が対象です。

SNMP「v1」TRAP PDU(フォーマット)例:

V1TRAP[reqestID=0,timestamp=10 days, 15:14:21.22,enterprise=1.3.6.1.4.1.111,genericTrap=6,specificTrap=9001, VBS[1.3.6.1.2.1.1.99.0=ABC123; 1.3.6.1.4.1.111.11.2.11.1.0=12; ]]"

上記の「1.3.6.1.2.1.1.99.0=ABC123」のABC123をトラップ監視に一致させたい場合は下記の設定を行います。

OID(インスタンス) : 1.3.6.1.2.1.1.99.0
インスタンス値: ABC123
※インスタンス値では正規表現が利用できるため、「ABC」「123」「ABC.*」 や「.*123」といった指定でも一致します。

SNMP「v2」「v3」TRAP PDU(フォーマット)例:

V3TRAP[{EngineID=80:11:22:e5:11:00:00:11:44:32:30:55:51:54:37}, requestID=3454252, errorStatus=0, errorIndex=0, VBS[1.3.6.1.2.1.1.3.0=999 days, 21:59:35.52; 1.3.6.1.6.3.1.1.4.1.0=1.3.6.1.4.1.111.0.1111; 1.3.6.1.2.1.1.5.0=ABC123; 1.3.6.1.6.3.1.1.4.3.0=1.3.6.1.4.1.232;]]

上記の「1.3.6.1.6.3.1.1.4.1.0=1.3.6.1.4.1.111.0.1111」の1.3.6.1.4.1.111.0.1111をトラップ監視に一致させたい場合は下記の設定を行います。

OID(インスタンス): 1.3.6.1.6.3.1.1.4.1.0 (このOIDはSNMP v3 PDU(フォーマット)で規定されたSNMP-TrapOIDを表しています)

インスタンス値: 1.3.6.1.4.1.111.0.1111
※インスタンス値では正規表現が利用できるため、「1111」「.*」といった指定でも一致します。
また、「1111」の箇所のみが「1234」や「4353」など値が変化し、それらをまとめて一致させたい場合は、「1111|1234|4353」といったようにパイプ文字列でつなげることができます。

インスタンス値 : OIDより取得できる値を記載します。
※インスタンス値では正規表現が利用できます。
なお、LSCv1.8.0build190610以降のバージョンである必要があります。

通知文言 : OIDより取得した値とインスタンス値が一致した場合、アラートメールにて通知する文言を記載します。
具体例:監視対象としたいデバイスのOIDが「.1.3.6.1.4.1.x.x.x.5.」で、配下に次を意味するOIDが定義されているとします。
・「.1.3.6.1.4.1.x.x.x.5.1」→電源異常なし
・「.1.3.6.1.4.1.x.x.x.5.2」→電源異常あり

この時、電源異常ありを監視したい場合、SNMPトラップ設定内のOID(インスタンス)では、「.1.3.6.1.4.1.x.x.x.5」までを設定して、インスタンス値に「2」を設定します。この設定によって、電源異常ありを示す「.1.3.6.1.4.1.x.x.x.5.2」をLogStare
Collectorが受信した時にアラートメールが発生します。

具体的な設定

取得したSNMP-TrapにおいてeventTypeが"Error"または"Warning"の場合に通知する設定

設定内容

  • 監視条件 : どれか一つでも一致する
  • 設定1
    • OID : 『1.3.6.1.4.1.311.1.13.1.9999.4.0』
    • インスタンス値 : 『1』
    • 通知文言 :『eventType"Error"を検出しました。』
  • 設定2
    • OID : 『1.3.6.1.4.1.311.1.13.1.9999.4.0』
    • インスタンス値 : 『2』
    • 通知文言 : 『eventType"Warning"を検出しました。』
  • 設定3
    • OID : 『1』
    • インスタンス値 : 『3』
    • 通知文言 : 『any』
      ※ 監視対象よりSNMP-Trapを受信した場合、アラートメールを送信する設定となります。

Windows端末にて設定したSNMP-Trapにおいて、異常を検出した際にアラートメールを送信する設定となります。
また、そのほかのSNMP-Trapにおいては、設定3の項目にてアラートメールを送信します。

下記の画像はeventTypeが"Warning"のSNMP-Trapを受信した場合に取得できるアラートメールとなります。

Windows端末にてログオンが失敗した際に通知する設定


設定内容

  • 監視条件 : すべて一致する
  • 設定1
    • OID : 『1.3.6.1.4.1.311.1.13.1.9999.5.0』
    • インスタンス値 :『12544』
    • 通知文言 :『ログオンに関する項目』
  • 設定2
    • OID : 『1.3.6.1.4.1.311.1.13.1.9999.4.0』
    • インスタンス値 :『16』
    • 通知文言 :『ログオンに失敗しました。』

Windows端末にてログオンに失敗した場合、アラートメールを送信する設定となります。

上記の内容をアラートメールとして送信する場合に必要なSNMP-Trapのイベントは以下の通りです。
※ Windows端末におけるSNMP-Trapの設定方法につきましては、サポート対象外となります。

下記の画像はWindows端末にてログオンが失敗した場合に取得できるアラートメールとなります。

SNMPトラップ自体が届いているかどうかを確認する方法

OID(インスタンス)とインスタンス値が不明の中で、指定されたコミュニティでSNMPトラップ自体が届いているかどうかを確認する方法の1つとして下記のような設定をLSC側のSNMPTrap設定にしていただくといかがでしょうか。LSC側の設定(何らかのOID(インスタンス)が届いたら通知する設定)

OID(インスタンス) : 1
インスタンス値   : .*

こちらはOIDの特性として、必ず「1」からOID(インスタンス)が始まることを想定して、OID(インスタンス)を「1」、そのOID(インスタンス)に何らかの値が入っていることを措定してインスタンス値を「.*」(正規表現で何らかの文字が0文字以上)という指定にしています。

正規表現を使用した設定例

SNMP-Trap監視設定のインスタンス値に正規表現を使うことができます。

インスタンス値にはOIDより取得できる値を記載しますが、この値は固定値の他に正規表現が利用できます。
※LSC v1.8.0build190610以降のバージョンである必要があります。

OID(インスタンス)より取得した値とこのインスタンス値が一致した場合、アラートメールにて通知する
際に設定した通知文言が利用されます。

具体例:監視対象としたいデバイスのOIDが「.1.3.6.1.4.1.2.3.4.5.」で、配下に次を意味するOIDが定義されているとします。

・「.1.3.6.1.4.1.2.3.4.5.100」→ファンの異常
・「.1.3.6.1.4.1.2.3.4.5.200」→温度の異常

この時、OID(インスタンス)では「.1.3.6.1.4.1.2.3.4.5」までを設定して、インスタンス値に「100|200」を設定します。

この設定によって「.1.3.6.1.4.1.2.3.4.5.100」及び「.1.3.6.1.4.1.2.3.4.5.200」をLogStare Collectorが受信した時にアラートメールが発生します。ここで利用される通知文言は、同じ文言が使われるため工夫が必要になります。

以上がLSCにおける監視項目の一つであるSNMP-Trap監視設定と具体的な設定方法についての説明になります。

SNMP-Trap監視ステータスクリア機能

本機能はSNMP-Trap監視を利用している場合に活用するものです。

LSC v2.1.2 build210715以前のバージョンまで、SNMP-Trap監視にて設定したOIDのTRAPを受信した時、SNMP-Trap監視の仕様上恒久的に対象デバイスのステータスにおいて「警告」状態が維持されDSV上からアイコン「炎」が消失しない等の事象が発生しておりました。

LSC v2.1.2build210715より実装されたSNMP-Trap監視ステータスクリア機能によって手動でSNMP-Trap監視におけるステータス「警告」を解消することが出来るようになります。

事前準備

SNMP-Trap監視につきましては以下の記事をご参照ください。
SNMP-Trap監視設定と具体的な設定方法について

使用方法

予めSNMP-Trap監視を設定し対象の監視項目にてステータス「警告」状態であることを確認してください。

  1. 監視モニタリング>注意・警告を押下します。
  2. 「注意・警告」画面にてステータスをクリアしたいSNMP-Trap監視を確認します。
  3. ステータスをクリアしたいSNMP-Trap監視の「発生日時」を押下するとポップアップが表示されます。確認をして「はい」を押下します。
  4. 対象のSNMP-Trap監視のステータスが「警告」から「正常」に変化します。

以上がSNMP-Trap監視ステータスクリア機能の使用方法についての説明です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【仕様】LogStare CollectorとのFTP通信における注意点前のページ

取得エラー判定回数と閾値の監視設定について次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. LogStare Collector リファレンス

    Windowsにおける、CPU使用率監視の修正と追加について

    当記事では、 について記載します。修正事項監視項目 を削除しま…

  2. LogStare Collector リファレンス

    LogStare Collector における検索・ダウンロード画面について

    当記事では、LogStare Collectorにおける検索・ダウンロ…

  3. LogStare Collector リファレンス

    監視項目データベース更新状況一覧

    LogStare Collectorの監視項目データベース更新状況一覧…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP