Ad Widget

Collapse

Шторм-контроль триггер

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • DeeZ
    Member
    • Aug 2015
    • 82
    #1

    Шторм-контроль триггер

    Уважаемые, что я делаю не так?
    Пытаюсь сделать шторм-детект. В обнаружении прототип тригера выглядит так:
    Code:
    Название:
Storm on Interface {#SNMPINDEX} : {ITEM.VALUE1}

выражение:
{Template SNMP Interfaces:ifAlias[{#SNMPINDEX}].regexp(^N_)}=1 and 
(({Template SNMP Interfaces:ifInOctets[{#SNMPINDEX}].avg(300)}-{Template SNMP Interfaces:ifInOctets[{#SNMPINDEX}].avg(300,300)}>10000000) or 
({Template SNMP Interfaces:ifOutOctets[{#SNMPINDEX}].avg(300)}-{Template SNMP Interfaces:ifOutOctets[{#SNMPINDEX}].avg(300,300)}>10000000))
    Условие "fAlias[{#SNMPINDEX}].regexp" используется что бы вытащить дескриптор порта в {ITEM.VALUE1}
    Далее проверка: если текущий средний трафик за 300 секунд превышает на 10 МБ средний входящий трафик 300 секунд - заподозрить шторм.
    Но что то не срабатывает. Кто как делает штормдетект?

    PS: Используется "#SNMPINDEX" тк я исправил баг в шаблонах прототипов элементов:


    Подефолту там пользуется #SNMPVALUE что не правильно, имхо.
    Tags: None
    • zmdpc
      Senior Member
      • Oct 2014
      • 484
      #2
      Не то меряете
      Какой шторм ловим кст ? Если шировещательный то нужено проверять ifInNUcastPkts или же ifInBroadcast и зачем делать вычитание? Есть жеж в настройках разница между значениями. Смысла мерять обычный трафик не вижу - как будете отличать правильную нагрузку от неправильной?

        Comment

        • DeeZ
          Member
          • Aug 2015
          • 82
          #3
          Originally posted by zmdpc
          Не то меряете
          Какой шторм ловим кст ?
          Ловлю весь трафик. мне надо поймать повышение трафика на порту.

          Originally posted by zmdpc
          и зачем делать вычитание? Есть жеж в настройках разница между значениями.
          В настройках нашел только разницу между текущим и предыдущим. те нет усреднения. в результате обычное скчивание большого файла может приветси с рабатыванию тригера. Попытался сделать своего рода первую производную за период 5 минут

          Сделать хочу на том параметре которые уже и так собирается. В сети около 5тыс устройств, и уже сейчас на каждое по 100 запросов шлется (входящий исходящий ошибки дескрипторы и тд). добавлять еще ~100 (28 портов *(2 бродкас пакеты + 2 юникаст пакеты) не хочется.


          Originally posted by zmdpc
          Смысла мерять обычный трафик не вижу - как будете отличать правильную нагрузку от неправильной?
          Пока тестирую. но в будущем будет срабатывание на скачек в 100Мб-1Гб (клиенты таких скачков не смогут организовать).

            Comment

            Previous template Next
            Working...