@nocproject

Страница 380 из 2357
kk
08.10.2016
13:34:19
@freeseacher куда там после трап\сислог идёт. в nsq же ?

Ilya
08.10.2016
13:34:55
@freeseacher куда там после трап\сислог идёт. в nsq же ?
nsq мы вчера проверяли, тоже работает

kk
08.10.2016
13:35:12
всё работает, но проблема есть =)

Ilya
08.10.2016
13:35:23
причем специфическая

Google
Ilya
08.10.2016
13:36:02
У нас вообще бермудский треугольник

dst ip * tcp 5000 за другим контекстом не работает, даже сессии asa не создаёт, то же надо разбираться

кто знает, какие приколы 5000 tcp у асы есть?)

@buhaha во, а на почту событие пришло!

@freeseacher странно

Interface ge-4/2/0 (*-ar01) is down

/me негодует

kk
08.10.2016
13:40:08
железка в том же L2 что и нок ?

Ilya
08.10.2016
13:40:10
причем событие на почту пришло тоже с задержкой, минут 5-7

kk
08.10.2016
13:40:39
может фаерволы твои режут по ппс или как ещё

не всё приходит ноку

Google
Ilya
08.10.2016
13:40:54
vrf для мгмта

kk
08.10.2016
13:41:11
/me идеи кончаются =))

Алексей
08.10.2016
13:41:14
Илья, я же говорю, диагностируй

разбивай на кусочки и собирай мозайку

событие создано когда ?

положено в очередб когда ?

проверять очередь пришли когда ?

ну и так далее

Ilya
08.10.2016
13:44:57
так, с одним разобрался

на конкретно этой железке VIP RE для управления, а трапы и сислог с физического адреса отправляются MASTER RE, этого адреса нету в МО и события дропаются

Как быть в таком случае?

@dvolodin можно будет доабвить разные сурсы как несколько? Или плодить железки, типо cl-re1, cl-re0?

Но от другой сообщений в логе нету, но при этом список событий ростет, с неправильным временем, последнее событие в 14:36

может куда-то буферит данные нок?

Алексей
08.10.2016
13:56:38
только в очередь

Ilya
08.10.2016
13:58:19
Ivan
08.10.2016
13:58:37
Деревня под баку!

Ilya
08.10.2016
13:58:53
все ноды мск, время синк, на железке тоже ntp, msk

Google
Алексей
08.10.2016
13:59:36
что в логах то ?

Ilya
08.10.2016
14:00:18
что в логах то ?
в логе syslog, trap нету этой железки, вообще, хотя события в events пополняются

ar01>dis clock 2016-10-08 17:04:00 Saturday Time Zone(MSK) : UTC+03:00

вот даже я залогинился на железку, она трап скинула, он пришёл на интерфейс, а дальше в лог не попал

[root@wrk01 ~]# tcpdump -i eno16780032 | grep 10.100.138.12 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eno16780032, link-type EN10MB (Ethernet), capture size 65535 bytes 17:10:56.756516 IP 10.100.138.12.56678 > wrk01.syslog: SYSLOG local4.notice, length: 207

[root@wrk01 log]# tail -f trapcollector-default.log | grep 10.100.138.12

пусто

kk
08.10.2016
14:11:51
сислог грепай)

Ilya
08.10.2016
14:11:54
ой еп

всё равно

17:11:41.155567 IP 10.100.138.12.55259 > wrk01.snmptrap: C=* V2Trap(157) system.sysUpTime.0=328217905 S:1.1.4.1.0=E:2011.5.25.207.2.4 E:2011.5.25.207.1.2.1.1.2.130="*" E:2011.5.25.207.1.2.1.1.3.130="10.50.74.63" E:2011.5.25.207.1.2.1.1.4.130="VTY1"

в трапколлет логе нету этого Ip

kk
08.10.2016
14:13:24
проверяй сурс айпи у МО

Ilya
08.10.2016
14:14:21
проверяй сурс айпи у МО
так смотри: 1. событий нету дропнутых по Invalid src 2. events пополняется, но с кривым временем

вот я залогинился на железку, trap пришёл на интерфейс, в логе trap/syslog события нету

Однако событие появилось в classifier логе, на другой ноде

kk
08.10.2016
14:17:36
ага. нода не одна...

Ilya
08.10.2016
14:20:59
на интерфейс в общем snmp trap приходит на wrk node; в classifier во всех инстансах нету адреса данной железки; на wrk в syslog/trap collect логе нету события

о

2016-10-08 17:21:13,975 [classifier] [57f900d948473062f1c6f69d|*-ar01|10.100.138.12] Event class: Unknown | Syslog ({u'syslog_message': u'Aug 22 2016 22:02:19 *-ar01 %%01CM/5/USER_ACCESSRESULT(s)[113953]:[USER_INFO_AUTHENTICATION]DEVICEMAC:0c-45-ba-95-d3-0c;DEVICENAME:*-ar01;USER:*;MAC:ff-ff-ff-ff-ff-ff;TIME:1471903339;ZONE:UTC+0300;DAYLIGHT:false;ERRCODE:0;RESULT:success;'}) 2016-10-08 17:21:13,978 [classifier] [57f900d948473062f1c6f69d|*-ar01|10.100.138.12] Event processed successfully

Google
Ilya
08.10.2016
14:22:32
syslog_message': u'Aug 22 2016 22:02:19

kk
08.10.2016
14:22:43
ага

Ilya
08.10.2016
14:22:52
но на железке время ок

ar01>dis clock 2016-10-08 17:23:58 Saturday Time Zone(MSK) : UTC+03:00

kk
08.10.2016
14:23:08
очистить "всё" на железке ?

Ilya
08.10.2016
14:23:32
она не хранит логи локально

kk
08.10.2016
14:23:42
буферит? глюканула?

Admin
ERROR: S client not available

Ilya
08.10.2016
14:23:51
так такое не с одной железкой же

kk
08.10.2016
14:23:51
охуела? =))

Ilya
08.10.2016
14:23:56
и не только хуа

хуевей, да

kk
08.10.2016
14:24:11
хех.

может процес в ху генерит сообщения не учитывая норм время

я вижу, что в 17:21 пришло сообщение, где в теле 22:02

это сколько разнича и какой пояс ?

Ilya
08.10.2016
14:29:04
2:20

ой не

разница в сообщениях в ноке отображается в 2:20

но при этом событий, которые были отправлены нету!

Google
Ilya
08.10.2016
14:31:32
поеду мозг прочищу

то же самое и с cisco: сообщения на интерфейсе есть; 2016-10-08 17:35:16,180 [classifier] [57f9042448473062f02f2e4a|sdc-br01|10.100.3.41] Managed object found 2016-10-08 17:35:16,226 [classifier] [57f9042448473062f02f2e4a|sdc-br01|10.100.3.41] Dropped by action 2016-10-08 17:35:16,226 [classifier] [57f9042448473062f02f2e4a|sdc-br01|10.100.3.41] Event processed successfully непонятно что за сообщение; в snmp trap log пусто

kk
08.10.2016
14:37:39
хз почему пусто, но скорее всего или нет такого МО или опять же сурс-айпи не совпадает

в моём случае было так

Ilya
08.10.2016
14:41:14
На invalid src не ругается

МО есть конечно же

kk
08.10.2016
14:45:17
а. просмотрел я

да. мо есть

надо понять херли он потом "Dropped by action"

бля. что они курят в монге..

Ilya
08.10.2016
15:04:42
Все что-то курят

Алексей
08.10.2016
15:07:55
:(

E_zombie
08.10.2016
15:10:30
или пьют. или ширяют по вене.

Aleksandr
08.10.2016
15:18:33
а почему бы ноку не дать настройку использовать время приема сообщения, а не время инцедента в пакете?

E_zombie
08.10.2016
15:19:06
ээээээ ? у тебя почти реалтаййм.

Aleksandr
08.10.2016
15:20:32
у меня - да, поэтому сислогу-нг сказано писать свое время и класть в базу...

Ilya
08.10.2016
15:20:51
Поэтому у вас производство самолетов закрыли

Aleksandr
08.10.2016
15:20:53
бывает, что на свиче sntp не сработал и время не установилось

не понял шутки юмора

E_zombie
08.10.2016
15:21:30
пиздить по лицу такой свитч.

Страница 380 из 2357