문서

원본 보기

4 SNMP 트랩

개요

SNMP 트랩 수신은 SNMP 지원 장치를 쿼리하는 것과 반대입니다.

이 경우, 정보는 SNMP 지원 장치에서 snmptrapd로 전송되고 파일에서 Zabbix 서버 또는 Zabbix 프록시에 의해 수집되거나 "트랩"됩니다.

일반적으로 트랩은 특정 조건 변경 시 전송되며 에이전트는 포트 162로 서버에 연결합니다 (쿼리에 사용되는 에이전트 측의 포트 161과 반대). 트랩을 사용하면 쿼리 간격 중에 발생하여 쿼리 데이터에서 누락될 수 있는 일부 짧은 문제를 감지할 수 있습니다.

Zabbix에서 SNMP 트랩 수신은 snmptrapd와 트랩을 Zabbix에 전달하는 메커니즘 중 하나인 Bash 또는 Perl 스크립트나 SNMPTT와 함께 작동하도록 설계되었습니다.

Zabbix 구성 후 트랩 모니터링을 설정하는 가장 간단한 방법은 Bash 스크립트 솔루션을 사용하는 것입니다. Perl과 SNMPTT는 최신 배포판에서 종종 누락되어 있고 더 복잡한 구성이 필요하기 때문입니다. 그러나 이 솔루션은 traphandle로 구성된 스크립트를 사용합니다. 프로덕션 시스템에서 더 나은 성능을 위해서는 임베디드 Perl 솔루션(do perl 옵션이 있는 스크립트 또는 SNMPTT)을 사용하십시오.

트랩 수신 워크플로:

  1. snmptrapd가 트랩을 수신합니다.
  2. snmptrapd가 트랩을 수신자 스크립트(Bash, Perl) 또는 SNMPTT에 전달합니다.
  3. 수신자가 트랩을 구문 분석하고 형식을 지정하여 파일에 씁니다.
  4. Zabbix SNMP 트래퍼가 트랩 파일을 읽고 구문 분석합니다.
  5. 각 트랩에 대해 Zabbix는 수신된 트랩 주소와 일치하는 호스트 인터페이스를 가진 모든 SNMP 트래퍼 항목을 찾습니다. 호스트 인터페이스에서 선택된 IP 또는 DNS만 일치 중에 사용됩니다.
  6. 찾은 각 항목에 대해 트랩을 snmptrap[regexp]의 정규 표현식과 비교합니다. 트랩은 일치하는 모든 항목의 값으로 설정됩니다. 일치하는 항목을 찾지 못하고 snmptrap.fallback 항목이 있는 경우, 트랩은 해당 항목의 값으로 설정됩니다.
  7. 트랩이 어떤 항목의 값으로도 설정되지 않은 경우, Zabbix는 기본적으로 일치하지 않는 트랩을 로그에 기록합니다. (이는 관리 > 일반 > 기타일치하지 않는 SNMP 트랩 로그에서 구성됩니다.)
HA 장애 조치에 대한 참고사항

고가용성(HA) 노드 전환 중에 Zabbix는 마지막 ISO 8601 타임스탬프 내의 마지막 레코드 이후부터 처리를 계속합니다. 동일한 레코드를 찾을 수 없는 경우 타임스탬프만 사용하여 마지막 위치를 식별합니다.

SNMP 트랩 구성

이 아이템 유형은 다음과 같은 프론트엔드 구성이 필요합니다:

1단계: 호스트에 대한 SNMP 인터페이스 생성
  1. 데이터 수집 > 호스트에서 호스트를 생성하거나 기존 호스트를 편집합니다.
  2. 인터페이스 필드에서 SNMP 인터페이스 유형을 선택합니다.
  3. IP 주소/DNS 이름과 포트 번호를 입력합니다.
  4. 드롭다운에서 SNMP 버전을 선택하고(SNMPv1, SNMPv2 또는 SNMPv3), 선택한 SNMP 버전에 따라 인터페이스 자격 증명을 추가합니다.

수신된 각 트랩의 주소는 모든 SNMP 인터페이스의 IP 및 DNS 주소와 비교되어 해당하는 호스트를 찾습니다.

2단계: 아이템 구성
  1. 호스트에 대해 아이템을 생성하거나 기존 아이템을 편집합니다.

  2. 필드에서 다음 SNMP 트랩 키 중 하나를 사용합니다:

    • snmptrap[regexp] - regexp 매개변수에 지정된 정규 표현식과 일치하는 모든 SNMP 트랩을 포착합니다. regexp가 지정되지 않으면 모든 트랩을 포착합니다.
      매개변수에서 사용자 매크로와 전역 정규 표현식이 지원됩니다.
      반환 값: SNMP 트랩.
      이 아이템은 SNMP 인터페이스에서만 설정할 수 있습니다.
    • snmptrap.fallback - 해당 인터페이스의 snmptrap[] 아이템에서 포착되지 않은 모든 SNMP 트랩을 포착합니다.
      반환 값: SNMP 트랩.
      이 아이템은 SNMP 인터페이스에서만 설정할 수 있습니다.

현재 다중 라인 정규 표현식 매칭은 지원되지 않습니다.

  1. 타임스탬프를 파싱하려면 정보 유형로그로 설정합니다. 숫자와 같은 다른 형식도 사용할 수 있지만 사용자 정의 트랩 핸들러가 필요할 수 있습니다.

SNMP 트랩 모니터링 설정

Zabbix 서버/프록시 구성

트랩을 읽기 위해서는 Zabbix 서버 또는 프록시가 SNMP 트래퍼 프로세스를 시작하고 SNMPTT 또는 Bash/Perl 트랩 수신기가 작성하는 트랩 파일을 가리키도록 구성되어야 합니다. 이를 위해 구성 파일(zabbix\_server.conf 또는 zabbix\_proxy.conf)을 편집하세요:

StartSNMPTrapper=1
SNMPTrapperFile=[TRAP FILE]

systemd 매개변수 PrivateTmp가 사용되는 경우, 이 파일은 /tmp에서 작동하지 않을 가능성이 높습니다.

Bash trap receiver 구성하기

요구사항: snmptrapd만 필요합니다.

Bash trap receiver 스크립트를 사용하여 trapper 파일을 통해 snmptrapd에서 Zabbix 서버로 트랩을 전달할 수 있습니다. 이를 구성하려면 snmptrapd 구성 파일(snmptrapd.conf)에 traphandle 옵션을 추가하세요. 예제를 참조하십시오.

snmptrapd가 구성 변경 사항을 적용하려면 재시작이 필요할 수 있습니다.

Perl trap receiver 설정

요구사항: Perl, --enable-embedded-perl로 컴파일된 Net-SNMP (Net-SNMP 5.4부터 기본으로 수행됨)

Perl trap receiver(misc/snmptrap/zabbix\_trap\_receiver.pl 참조)를 사용하여 snmptrapd에서 Zabbix 서버로 직접 trap을 전달할 수 있습니다. 설정하려면:

  • snmptrapd 설정 파일(snmptrapd.conf)에 Perl 스크립트를 추가하세요. 예:
perl do "[FULL PATH TO PERL RECEIVER SCRIPT]";
  • receiver를 설정하세요. 예:
$SNMPTrapperFile = '[TRAP FILE]';
$DateTimeFormat = '[DATE TIME FORMAT]';

설정 변경 사항을 적용하려면 snmptrapd를 재시작해야 할 수 있습니다.

스크립트 이름을 따옴표로 묶지 않으면, snmptrapd가 다음과 유사한 메시지와 함께 시작을 거부합니다:

Regexp modifiers "/l" and "/a" are mutually exclusive at (eval 2) line 1, at end of line
Regexp modifier "/l" may not appear twice at (eval 2) line 1, at end of line
SNMPTT 구성하기

먼저 snmptrapd가 SNMPTT를 사용하도록 구성되어야 합니다.

최고의 성능을 위해서는 SNMPTT를 snmptthandler-embedded를 사용하여 데몬으로 구성하여 트랩을 전달하도록 해야 합니다. SNMPTT 구성하기 지침을 참조하세요.

SNMPTT가 트랩을 받도록 구성되었다면, snmptt.ini를 구성하세요:

  1. NET-SNMP 패키지의 Perl 모듈 사용을 활성화합니다:
net_snmp_perl_enable = 1
  1. Zabbix가 읽을 트랩 파일에 트랩을 로그로 남깁니다:
log_enable = 1
log_file = [TRAP FILE]
  1. 날짜-시간 형식을 설정합니다:
date_time_format = %Y-%m-%dT%H:%M:%S%z

net-snmp-perl 패키지는 RHEL 8.0-8.2에서 제거되었으나 RHEL 8.3에서 다시 추가되었습니다. 자세한 정보는 알려진 문제를 참조하세요.

이제 Zabbix가 인식할 수 있도록 트랩 형식을 지정하세요(snmptt.conf 편집):

  1. FORMAT 문은 ZBXTRAP [address]로 시작해야 하며, 여기서 [address]는 Zabbix의 SNMP 인터페이스의 IP 및 DNS 주소와 비교됩니다. 예:
EVENT coldStart .1.3.6.1.6.3.1.1.5.1 "Status Events" Normal
FORMAT ZBXTRAP $aA Device reinitialized (coldStart)
  1. SNMP 트랩 형식에 대한 자세한 내용은 아래를 참조하세요.

알 수 없는 트랩은 사용하지 마세요 - Zabbix가 인식할 수 없습니다. 알 수 없는 트랩은 snmptt.conf에서 일반 이벤트를 정의하여 처리할 수 있습니다:

EVENT general .* "General event" Normal
SNMP 트랩 형식

모든 사용자 정의 Perl 트랩 수신기와 SNMPTT 트랩 구성은 다음과 같은 방식으로 트랩을 포맷해야 합니다: 

[timestamp] [the trap, part 1] ZBXTRAP [address] [the trap, part 2]

여기서

  • [timestamp] - %Y-%m-%dT%H:%M:%S%z 형식의 타임스탬프입니다.
  • ZBXTRAP - 이 줄에서 새로운 트랩이 시작됨을 나타내는 헤더입니다.
  • [address] - 이 트랩에 대한 호스트를 찾는 데 사용되는 IP 주소입니다.

ZBXTRAP[address]는 처리 중에 메시지에서 제거됩니다. 트랩이 다르게 포맷된 경우, Zabbix가 트랩을 예상과 다르게 파싱할 수 있습니다.

트랩 예제:

2024-01-11T15:28:47+0200 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events" localhost - ZBXTRAP 192.168.1.1 Link down on interface 2. Admin state: 1. Operational state: 2

이는 IP=192.168.1.1인 SNMP 인터페이스에 대해 다음과 같은 트랩을 생성합니다:

2024-01-11T15:28:47+0200 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events"
localhost - Link down on interface 2. Admin state: 1. Operational state: 2

시스템 요구사항

아이템 값이 올바른 형식으로 표시되도록 하려면 MIB 파일을 설치하는 것을 권장합니다. MIB 파일이 없으면 값이 UTF-8 대신 HEX로 표시되거나 그 반대와 같은 형식 문제가 발생할 수 있습니다.

대용량 파일 지원

Zabbix는 SNMP trapper 파일에 대한 대용량 파일 지원을 제공합니다. Zabbix가 읽을 수 있는 최대 파일 크기는 2\^63 (8 EiB)입니다. 파일 시스템이 파일 크기에 대해 더 낮은 제한을 가할 수 있음을 참고하세요.

로그 로테이션

Zabbix는 로그 로테이션 시스템을 제공하지 않으므로 사용자가 처리해야 합니다. 트랩 손실을 방지하려면 로그 로테이션 시 먼저 기존 파일의 이름을 변경하고 나중에 삭제해야 합니다:

  1. Zabbix는 마지막으로 알려진 위치에서 트랩 파일을 열고 3단계로 이동합니다.
  2. Zabbix는 inode 번호를 정의된 트랩 파일의 inode 번호와 비교하여 현재 열린 파일이 로테이션되었는지 확인합니다. 열린 파일이 없으면 Zabbix는 마지막 위치를 재설정하고 1단계로 이동합니다.
  3. Zabbix는 현재 열린 파일에서 데이터를 읽고 새로운 위치를 설정합니다.
  4. 새로운 데이터가 파싱됩니다. 로테이션된 파일이었다면 파일을 닫고 2단계로 돌아갑니다.
  5. 새로운 데이터가 없었다면 Zabbix는 1초간 대기하고 2단계로 돌아갑니다.
파일 시스템

트랩 파일 구현으로 인해, Zabbix는 파일을 구별하기 위해 inode를 지원하는 파일 시스템이 필요합니다 (정보는 stat() 호출을 통해 획득됩니다).

다양한 SNMP 프로토콜 버전을 사용한 설정 예시

이 예시는 snmptrapd와 Bash 수신 스크립트를 사용하여 트랩을 Zabbix 서버로 전달합니다.

설정:

  1. Zabbix가 SNMP 트래퍼를 시작하도록 구성하고 트랩 파일을 설정합니다. zabbix_server.conf에 추가하세요:
StartSNMPTrapper=1
SNMPTrapperFile=/var/lib/zabbix/snmptraps/snmptraps.log
  1. Bash 스크립트를 /usr/sbin/zabbix_trap_handler.sh로 다운로드하세요:
curl -o /usr/sbin/zabbix_trap_handler.sh https://raw.githubusercontent.com/zabbix/zabbix-docker/7.0/templates/scripts/snmptraps/zabbix_trap_handler.sh

필요한 경우 스크립트의 ZABBIX_TRAPS_FILE 변수를 조정하세요. 기본값을 사용하려면 먼저 상위 디렉터리를 생성하세요:

mkdir -p /var/lib/zabbix/snmptraps
  1. snmtrapd.conf에 다음을 추가하세요 (작동하는 예시 참조)
traphandle default /bin/bash /usr/sbin/zabbix_trap_handler.sh

snmptrapd는 구성 변경사항을 반영하기 위해 재시작이 필요할 수 있습니다.

  1. SNMP 아이템 TEST를 생성하세요 (초기 구성 요구사항을 염두에 두세요):

    유형: SNMP trap
    정보 유형: Log
    호스트 인터페이스: SNMP 127.0.0.1
    키: snmptrap["linkUp"]
    로그 시간 형식: yyyyMMdd.hhmmss

ISO 8601 날짜 및 시간 형식이 사용됨에 주의하세요.

  1. 다음으로 선택한 SNMP 프로토콜 버전에 대해 snmptrapd를 구성하고 snmptrap 유틸리티를 사용하여 테스트 트랩을 전송하겠습니다.
SNMPv1, SNMPv2

SNMPv1과 SNMPv2 프로토콜은 "커뮤니티 문자열" 인증에 의존합니다. 아래 예제에서는 커뮤니티 문자열로 "secret"을 사용하겠습니다. 이는 SNMP 트랩 발신자에서도 동일한 값으로 설정되어야 합니다.

프로덕션 환경에서 여전히 널리 사용되고 있지만, SNMPv2는 어떠한 암호화나 실제 발신자 인증도 제공하지 않는다는 점에 유의하시기 바랍니다. 데이터는 평문으로 전송되므로 이러한 프로토콜 버전은 사설 네트워크와 같은 보안 환경에서만 사용해야 하며 공용 또는 제3자 네트워크에서는 절대 사용하지 않아야 합니다.

SNMP 버전 1은 64비트 카운터를 지원하지 않고 레거시 프로토콜로 간주되기 때문에 요즘에는 실제로 사용되지 않습니다.

SNMPv1 또는 SNMPv2 트랩 수신을 활성화하려면 snmptrapd.conf에 다음 라인을 추가해야 합니다. secret을 SNMP 트랩 발신자에 구성된 SNMP 커뮤니티 문자열로 교체하십시오:

authCommunity log,execute,net secret

다음으로 snmptrap을 사용하여 테스트 트랩을 보낼 수 있습니다. 이 예제에서는 일반적인 "link up" OID를 사용하겠습니다:

snmptrap -v 2c -c secret localhost '' linkUp.0
SNMPv3

SNMPv3은 SNMPv1/v2 보안 문제를 해결하고 인증과 암호화를 제공합니다. MD5 또는 여러 SHA 인증 방법과 DES/여러 AES를 암호화로 사용할 수 있습니다.

SNMPv3 수락을 활성화하려면 snmptrapd.conf에 다음 줄을 추가하세요:

createUser -e 0x8000000001020304 traptest SHA mypassword AES
authuser log,execute traptest

이 사용자 보안 모델에 대해 스크립트 실행을 허용하는 "execute" 키워드에 주의하세요.

snmptrap -v 3 -n "" -a SHA -A mypassword -x AES -X mypassword -l authPriv -u traptest -e 0x8000000001020304 localhost 0 linkUp.0

AES192 또는 AES256과 같은 강력한 암호화 방법을 사용하려면 버전 5.8부터 시작하는 net-snmp를 사용하세요. configure 옵션과 함께 다시 컴파일해야 할 수도 있습니다: --enable-blumenthal-aes. 이전 버전의 net-snmp는 AES192/AES256을 지원하지 않습니다. 참조: Strong Authentication or Encryption.

검증

두 예제 모두에서 /var/lib/zabbix/snmptraps/snmptraps.log에서 유사한 줄들을 볼 수 있습니다:

2024-01-30T10:04:23+0200 ZBXTRAP 127.0.0.1
UDP: [127.0.0.1]:56585->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 2538834
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

Zabbix의 아이템 값은 다음과 같습니다:

2024-01-30 10:04:23 2024-01-30 10:04:21 

2024-01-30T10:04:21+0200 UDP: [127.0.0.1]:56585->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 2538834
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

Perl 예제:

2024-01-30T11:42:54+0200 ZBXTRAP 127.0.0.1
PDU INFO:
  receivedfrom                   UDP: [127.0.0.1]:58649->[127.0.0.1]:162
  notificationtype               TRAP
  version                        1
  community                      public
  errorstatus                    0
  transactionid                  1
  requestid                      2101882550
  messageid                      0
  errorindex                     0
VARBINDS:
  DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (457671) 1:16:16.71
  SNMPv2-MIB::snmpTrapOID.0      type=6  value=OID: IF-MIB::linkUp.0

참고 자료