а можно оставить на будущее

они мешать не будут

после правки, всегда перезапускай нок

или хотя бы класификатор

перезапускаю всегда!

в эвентклассе только переменная interface

кинь текстом сюда строку и регексп

а то на скринах ни хера не видно

строка

Looping packet detected and dropped - src=10.0.3.202, dst=10.0.3.1, hl=20, tl=229, prot=17, sport=138, dport=138 in=Vlan3, nexthop=10.0.3.1, out=Vlan3 options=none

regexp

^Looping packet detected and dropped\s\S\ssrc=(?P<interface>\S+),\sdst=(?P<dst>\S+),\shl=(?P<hl>\S+),\stl=(?P<tl>\S+),\sprot=(?P<prot>\S+),\ssport=(?P<sport>\S+),\sdport=(?P<dport>\S+)\sin=(?P<vlan>\S+),\snexthop=(?P<nexthop>\S+),\sout=(?P<out>\S+)\soptions=(?P<options>\S+)$

почему ты ip матчишь как интерфейс?

В этой строке и событии интерфейса как такового нет, я заматчил первойе что попалось и что будет полезно видеть в нотификации.

а in=Vlan3 не инетрфейс?

или это номер влана?

а 1522355 это не ifindex порта?

ок - ща сменяю вилан и интерфейс - попробую

Не забывайте потом рабочие правила выкладывать на bt или сразу пушить

а 1522355 это не ifindex порта?

неа

сменил местами - не матчится

в классе только одна перемееная интерфейс

учтите, что название интерфейса прогоняется через функцию профиля convert_interface_name

лажу туда пихать нельзя

Создать новый класс без переменной interface?

sport=138, dport=138

djn 'nj yfdthyjt babyltrc

вот это наверное ифиндех

ну это номера портов как бэ, НЕ интерфейсов

а в чем разница

а влан 3 это просто номер влана

где возникла петля

ну TCP или UDP порты это не физические интерфейсы

ты уверен что это tcp порт, а не индекс порта на железке

уверен

на 100%

я тогда не понимаю что это за сообщение

и почему ты решил классифицировать его как loop detect

луп детект он про л2 петли

ну это ip Cisco которые сами с маленьким свичем да ещё и с виланами

детектирует voice вилан и рабочий. Через телефон подключаются рабстанции

@ivzakharov у меня кстати тоже есть одно правило, которое не подпадает под ev class, может подскажешь где подправить?

в нем есть два разьема - для свича и для компа

@ivzakharov у меня кстати тоже есть одно правило, которое не подпадает под ev class, может подскажешь где подправить?

%(?:ASA|PIX)-2-106001: Inbound (?P<proto>\S+) connection denied from (?P<src_ip>\S+)/(?P<src_port>\d+) to (?P<dst_ip>\S+)/(?P<dst_port>\d+) flags (?P<flags>\D+) on interface (?P<interface>\S+)

ты вроде с ним уже приходил

ага

%(?:ASA|PIX)-2-106001: Inbound (?P<proto>\S+) connection denied from (?P<src_ip>\S+)/(?P<src_port>\d+) to (?P<dst_ip>\S+)/(?P<dst_port>\d+) flags (?P<flags>\D+) on interface (?P<interface>\S+)

ACL Deny {{name}}: {{proto}} {{src_ip}}:{{src_port}} {{src_interface}} {{src_mac}} -> {{dst_ip}}:{{dst_port}} {% if flags %} flags {{flags}}{% endif %}{% if Count %} Count {{count}}{% endif %}

в нем есть два разьема - для свича и для компа

ты лучше поясни что значит трап который прилетел, а не какие железки

ACL Deny {{name}}: {{proto}} {{src_ip}}:{{src_port}} {{src_interface}} {{src_mac}} -> {{dst_ip}}:{{dst_port}} {% if flags %} flags {{flags}}{% endif %}{% if Count %} Count {{count}}{% endif %}

и что, регексп не матчится или что?

regexp проходит, ошибку выдаёт, в ev class поправить надо что-то

хм

покажи что-нибудь

ищу

ты лучше поясни что значит трап который прилетел, а не какие железки

как я понимаю это пакет направленный на роут интерфейс но предназначенный для хоста в этом же вилане\широковещательном домене

эээ

по-моему это точно не луп

ну ты это поосторожнее - в таких вопросах заворот мозгов получить можно :)))

меня не удивить

типа http://www.networking-forum.com/viewtopic.php?t=23962

просто прежде чем классифицировать надо понять что это

мнда. И правда, может это больше к действиям ACL подходит чем к интерфейсам.

@ivzakharov не про то событие вроде написал тебе..

Apr 20 2016 09:06:30: %ASA-4-113019: Group = dpmo, Username = TarychevaLA, IP = 217.197.199.226, Session disconnected. Session Type: SSL, Duration: 1d 0h:04m:52s, Bytes xmt: 100706760, Bytes rcv: 60981834, Reason: User Requested %(?:ASA|PIX)-4-113019: Group = (?P<group>\S+), Username = (?P<user>\S+), IP = (?P<src_ip>\S+), Session disconnected. Session Type: (?P<type>\S+), Duration: (?P<duration>\S+), Bytes xmt: (?P<bytes_xmt>\S+), Bytes rcv: (?P<bytes_rcv>\S+), Reason: (?P<reason>\D+)

мнда. И правда, может это больше к действиям ACL подходит чем к интерфейсам.

ну это не АЦЛ, судя по форуму и выдержки с циско-доки это прсто баг который надо игнорить

Apr 20 2016 09:06:30: %ASA-4-113019: Group = dpmo, Username = TarychevaLA, IP = 217.197.199.226, Session disconnected. Session Type: SSL, Duration: 1d 0h:04m:52s, Bytes xmt: 100706760, Bytes rcv: 60981834, Reason: User Requested %(?:ASA|PIX)-4-113019: Group = (?P<group>\S+), Username = (?P<user>\S+), IP = (?P<src_ip>\S+), Session disconnected. Session Type: (?P<type>\S+), Duration: (?P<duration>\S+), Bytes xmt: (?P<bytes_xmt>\S+), Bytes rcv: (?P<bytes_rcv>\S+), Reason: (?P<reason>\D+)

{{group}} {{user}} {{ip}} {{type}} {{duration}} {{bytes_xmt}} {{bytes_rcv}} {{reason}}

ну это не АЦЛ, судя по форуму и выдержки с циско-доки это прсто баг который надо игнорить

СУПЕР! Перейдём к игнор правилам! Они то же не алё :(

не, ну ты не торопись

я только предложил

ивент же случился

вполне конкретный

Это писать в Ignor Event Rules или в Ignore Pattern ?

надо понять что это

про игнор правила я ничего не скажу

я фильтрую мусор на уровне syslog-ng

но он для сислога, а не для трапов

ты знаешь, может и не стоит понимать - у меня ОЧЕНЬ большие подозрения что в этом виноват наш продукт который запускается на рабочих станциях подключенных через эти телефоны.

продукт лезет в стэк аж до второго уровня так что...

если только он не внедряется в сетевую подсистему, то маловероятно

эммм внедряется

тогда да

сходи, по ушам им надавай :)

я не разраб, а админ этого зоопарка который пытаюсь причесать

я регулярно это делаю, но их много и рука устает

контора не маленькая, за 5 лет работы тут она распухла с 150чел до 750

там есть класс Unknown | Ignore, можешь в него засунуть. но я бы так делать не стал, это вполне конкретное событие, похоже ваш продукт ведет себя неадекватно, я бы предпочел чтобы такие сообщения классифицировались правильно

это не баг и не глюк

это сетевое событие

{{group}} {{user}} {{ip}} {{type}} {{duration}} {{bytes_xmt}} {{bytes_rcv}} {{reason}}

Таки я все равно не понял, что не работает

так получается что в переменную interface нельзя писать ip? Где эти требования прописаны? Может склонировать класс и изменить требования к переменной на формат ip адреса?

@ivzakharov в Ev class можно несколько переменных добавить, но не всех их перечислять в class rule?

я нашел косяк

так получается что в переменную interface нельзя писать ip? Где эти требования прописаны? Может склонировать класс и изменить требования к переменной на формат ip адреса?

тебе вообще новый класс наверное надо делать, я не помню ничего похожего в базе, хотя можешь сам пошариться

ip писать нельзя

@ivzakharov в Ev class можно несколько переменных добавить, но не всех их перечислять в class rule?

да, там есть возможность указать опциональные переменные

ок. Попробую создать новый класс и поискать

ip писать нельзя

?

это он про переменную

ага - я нашел

все правильно