Ad Widget

Collapse

Как правильно настроить сбор Windows EventLog через SNMP?

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • dinizzzo
    Junior Member
    • Jul 2014
    • 4
    #1

    Как правильно настроить сбор Windows EventLog через SNMP?

    Настраиваю сбор логов Windows на Zabbix сервер через ловушки SNMP.
    Настройки /etc/snmp/snmptrapd.conf
    Code:
    disableAuthorization yes
perl do "/usr/local/bin/zabbix_trap_receiver.pl"
    Настройки /usr/local/etc/zabbix_server.conf
    Code:
    SNMPTrapperFile=/tmp/zabbix_traps.tmp
 StartSNMPTrapper=1
    Соответственно, используется стандартный скрипт на Perl.

    Рассылка журнала на Windows сделана через evntwin.

    Все вроде работает, но сообщения приходят в таком формате:
    Code:
    16:16:35 2014/07/03 PDU INFO:
  notificationtype               TRAP
  version                        0
  receivedfrom                   UDP: [10.0.XXX.XXX]:61082->[10.0.XXX.YYY]
  errorstatus                    0
  messageid                      0
  community                      zabbix
  transactionid                  61
  errorindex                     0
  requestid                      0
VARBINDS:
  iso.3.6.1.2.1.1.3.0            type=67 value=Timeticks: (2976282) 8:16:02.82
  iso.3.6.1.6.3.1.1.4.1.0        type=6  value=OID: iso.3.6.1.4.1.311.1.13.1.23.83.101.114.118.105.99.101.32.67.111.110.116.114.111.108.32.77.97.110.97.103.101.114.0.1073748860
  iso.3.6.1.4.1.311.1.13.1.9999.1.0 type=4  value=Hex-STRING: D1 EB F3 E6 E1 E0 20 22 CF EB E0 ED E8 F0 EE E2 
F9 E8 EA 20 EA EB E0 F1 F1 EE E2 20 EC F3 EB FC 
F2 E8 EC E5 E4 E8 E0 22 20 EF E5 F0 E5 F8 EB E0 
20 E2 20 F1 EE F1 F2 EE FF ED E8 E5 20 CE F1 F2 
E0 ED EE E2 EB E5 ED E0 2E 0D 0A 
  iso.3.6.1.4.1.311.1.13.1.9999.2.0 type=4  value=STRING: "Unknown"
  iso.3.6.1.4.1.311.1.13.1.9999.3.0 type=4  value=STRING: "computer.domain.com"
  iso.3.6.1.4.1.311.1.13.1.9999.4.0 type=4  value=STRING: "4"
  iso.3.6.1.4.1.311.1.13.1.9999.5.0 type=4  value=STRING: "0"
  iso.3.6.1.4.1.311.1.13.1.9999.6.0 type=4  value=Hex-STRING: CF EB E0 ED E8 F0 EE E2 F9 E8 EA 20 EA EB E0 F1 
F1 EE E2 20 EC F3 EB FC F2 E8 EC E5 E4 E8 E0 
  iso.3.6.1.4.1.311.1.13.1.9999.7.0 type=4  value=Hex-STRING: CE F1 F2 E0 ED EE E2 EB E5 ED E0 
  iso.3.6.1.6.3.18.1.3.0         type=64 value=IpAddress: 10.0.XXX.XXX
  iso.3.6.1.6.3.18.1.4.0         type=4  value=STRING: "zabbix"
  iso.3.6.1.6.3.1.1.4.3.0        type=6  value=OID: iso.3.6.1.4.1.311.1.13.1.23.83.101.114.118.105.99.101.32.67.111.110.116.114.111.108.32.77.97.110.97.103.101.114
    Можно ли это привести в нормальный вид? Или хотя бы отправлять сообщение в нормальной кодировке, а не HEX числами?
    Пробовал Windows 7 и Windows 2003 Server. Версия Zabbix 2.0.8 на Ubuntu 12.04 Server.
    Tags: None
    • Zentarim
      Senior Member
      • Mar 2012
      • 526
      #2
      А что вы подразумеваете под "нормальным видом"?

        Comment

        • dinizzzo
          Junior Member
          • Jul 2014
          • 4
          #3
          Code:
          iso.3.6.1.4.1.311.1.13.1.9999.1.0 type=4  value=Hex-STRING: D1 EB F3 E6 E1 E0 20 22 CF EB E0 ED E8 F0 EE E2 
F9 E8 EA 20 EA EB E0 F1 F1 EE E2 20 EC F3 EB FC 
F2 E8 EC E5 E4 E8 E0 22 20 EF E5 F0 E5 F8 EB E0 
20 E2 20 F1 EE F1 F2 EE FF ED E8 E5 20 CE F1 F2 
E0 ED EE E2 EB E5 ED E0 2E 0D 0A
          при декодировании это значит:
          "Служба "Планировщик классов мультимедиа" перешла в состояние Остановлена."
          В идеале, конечно, только подобный текст и получать.

            Comment

            • Zentarim
              Senior Member
              • Mar 2012
              • 526
              #4
              RFC 1157: Simple Network Management Protocol (SNMP)
              http://tools.ietf.org/html/rfc1157#section-4.1.6
              This RFC is a re-release of RFC 1098, with a changed "Status of this Memo" section plus a few minor typographical corrections. This memo defines a simple protocol by which management information for a network element may be inspected or altered by logically remote users. [STANDARDS-TRACK]


              Это нормативный документ, описывающий формат trap-пакета. Так что получать произвольный текст, я думаю, вряд ли получится.

                Comment

                • dinizzzo
                  Junior Member
                  • Jul 2014
                  • 4
                  #5
                  А с текстом сообщения не подскажите как поступить? Методом проб и ошибок понял, что так отправляется текст русской версии Windows, в английской все отлично. Отсюда вопрос: SNMP позволяет использовать кириллицу в теле сообщения?

                  Например, если изменить в панели управления параметр "Язык программ, не поддерживающих юникод" с Русского на Английский, то все кириллические символы заменяются вопросами.

                    Comment

                    • Zentarim
                      Senior Member
                      • Mar 2012
                      • 526
                      #6
                      Надо смотреть - в какой кодировке написан текст в трапе. Поскольку отправляете вы трап с windows - скорее всего там текст в CP1251 или CP866. Я так понимаю, что на вход zabbix вам надо послать текст в UTF8. Возможно вам надо править скрипты, чтобы они конвертировали кодировку. Но как это сделать я не представляю

                        Comment

                        • yukra
                          Senior Member
                          • Apr 2013
                          • 1359
                          #7
                          Как то так наверное
                          Code:
                           $ echo -e `echo ' D1 EB F3 E6 E1 E0 20 22 CF EB E0 ED E8 F0 EE E2 F9 E8 EA 20 EA EB E0 F1 F1 EE E2 20 EC F3 EB FC F2 E8 EC E5 E4 E8 E0 22 20 EF E5 F0 E5 F8 EB E0 20 E2 20 F1 EE F1 F2 EE FF ED E8 E5 20 CE F1 F2 E0 ED EE E2 EB E5 ED E0 2E 0D 0A' | sed 's# #\\\\x#g'` | iconv -f cp1251 -t utf8 
Служба "Планировщик классов мультимедиа" перешла в состояние Остановлена.

                            Comment

                            Previous template Next
                            Working...