3 SNMP traps

개요

SNMP 트랩 수신은 SNMP 지원 장치를 쿼리하는 것과 반대입니다.

이 경우, 정보는 SNMP 지원 장치에서 snmptrapd로 전송되고 Zabbix 서버 또는 Zabbix 프록시가 파일에서 수집하거나 "트랩"합니다.

일반적으로 트랩은 어떤 조건 변화가 발생할 때 전송되고 에이전트는 서버의 162 포트로 연결됩니다(쿼리에 사용되는 에이전트 측의 161 포트와 반대). 트랩을 사용하면 쿼리 간격 사이에 발생하여 쿼리 데이터에서 놓칠 수 있는 일부 짧은 문제를 감지할 수 있습니다.

Zabbix에서 SNMP 트랩 수신은 snmptrapd와 트랩을 Zabbix로 전달하는 메커니즘 중 하나인 Bash 또는 Perl 스크립트 또는 SNMPTT와 함께 작동하도록 설계되었습니다.

트랩 수신의 워크플로:

1. snmptrapd가 트랩을 수신합니다
2. snmptrapd가 트랩을 수신기 스크립트(Bash, Perl) 또는 SNMPTT로 전달합니다
3. 수신기가 트랩을 파싱, 포맷팅하고 파일에 씁니다
4. Zabbix SNMP trapper가 트랩 파일을 읽고 파싱합니다
5. 각 트랩에 대해 Zabbix는 수신된 트랩 주소와 일치하는 호스트 인터페이스를 가진 모든 "SNMP trapper" 아이템을 찾습니다. 일치 중에는 호스트 인터페이스에서 선택된 "IP" 또는 "DNS"만 사용됩니다.
6. 찾은 각 아이템에 대해 트랩을 snmptrap[regexp]의 정규식과 비교합니다. 트랩은 일치하는 모든 아이템의 값으로 설정됩니다. 일치하는 아이템을 찾지 못하고 snmptrap.fallback 아이템이 있으면 트랩이 해당 아이템의 값으로 설정됩니다.
7. 트랩이 어떤 아이템의 값으로도 설정되지 않으면 Zabbix는 기본적으로 일치하지 않는 트랩을 로그에 기록합니다. (이는 관리 > 일반 > 기타의 "일치하지 않는 SNMP 트랩 로그"에서 구성됩니다.)

HA 장애 조치에 대한 참고사항

고가용성(HA) 노드 전환 중에 Zabbix는 마지막 ISO 8601 타임스탬프 내의 마지막 레코드 이후부터 처리를 계속합니다. 동일한 레코드를 찾을 수 없는 경우에는 타임스탬프만 사용하여 마지막 위치를 식별합니다.

SNMP 트랩 구성

이 항목 유형은 다음과 같은 프론트엔드 구성이 필요합니다.

1. 호스트에 대한 SNMP 인터페이스 생성

• 데이터 수집 > 호스트에서 호스트를 생성/편집하고, 인터페이스 필드에서 IP 또는 DNS 주소를 지정하여 "SNMP" 인터페이스 유형을 추가합니다.
  
  수신된 각 트랩의 주소는 모든 SNMP 인터페이스의 IP 및 DNS 주소와 비교되어 해당 호스트를 찾습니다.

2. 항목 구성

• 데이터 수집 > 호스트에서 필요한 항목을 생성/편집합니다.
• 키 필드에서 다음 SNMP 트랩 키 중 하나를 사용합니다:

• 타임스탬프가 파싱되도록 정보 유형을 "로그"로 설정합니다. "숫자"와 같은 다른 형식도 허용되지만 사용자 정의 트랩 핸들러가 필요할 수 있습니다.

SNMP trap 모니터링 설정

Zabbix server/proxy 구성

트랩을 읽기 위해서는 Zabbix server나 proxy가 SNMP trapper 프로세스를 시작하고 SNMPTT나 Bash/Perl 트랩 수신기가 작성하는 트랩 파일을 가리키도록 구성되어야 합니다. 이를 위해 구성 파일 (zabbix_server.conf 또는 zabbix_proxy.conf)을 편집하세요:

StartSNMPTrapper=1
SNMPTrapperFile=[TRAP FILE]

Bash trap receiver 구성하기

요구사항: snmptrapd만 필요합니다.

Bash trap receiver 스크립트를 사용하여 trapper 파일을 통해 snmptrapd에서 Zabbix 서버로 trap을 전달할 수 있습니다. 이를 구성하려면 snmptrapd 구성 파일(snmptrapd.conf)에 traphandle 옵션을 추가하세요. 예제를 참조하세요.

Perl 트랩 수신기 구성

요구사항: Perl, --enable-embedded-perl로 컴파일된 Net-SNMP (Net-SNMP 5.4부터 기본값으로 설정됨)

Perl 트랩 수신기(misc/snmptrap/zabbix_trap_receiver.pl 참조)를 사용하여 snmptrapd에서 Zabbix 서버로 트랩을 직접 전달할 수 있습니다. 구성하려면:

• snmptrapd 구성 파일(snmptrapd.conf)에 Perl 스크립트를 추가합니다. 예:

perl do "[FULL PATH TO PERL RECEIVER SCRIPT]";

• 수신기를 구성합니다. 예:

$SNMPTrapperFile = '[TRAP FILE]';
$DateTimeFormat = '[DATE TIME FORMAT]';

Regexp modifiers "/l" and "/a" are mutually exclusive at (eval 2) line 1, at end of line
Regexp modifier "/l" may not appear twice at (eval 2) line 1, at end of line

SNMPTT 구성

먼저, snmptrapd가 SNMPTT를 사용하도록 구성해야 합니다.

SNMPTT가 트랩을 수신하도록 구성되면, snmptt.ini를 구성하십시오:

1. NET-SNMP 패키지에서 Perl 모듈 사용을 활성화합니다:

net_snmp_perl_enable = 1

2. Zabbix가 읽을 트랩 파일에 트랩을 기록합니다:

log_enable = 1
log_file = [TRAP FILE]

3. 날짜-시간 형식을 설정합니다:

date_time_format = %Y-%m-%dT%H:%M:%S%z

이제 Zabbix가 인식할 수 있도록 트랩을 포맷합니다 (snmptt.conf 편집):

1. 각 FORMAT 문은 "ZBXTRAP [address]"로 시작해야 하며, 여기서 [address]는 Zabbix의 SNMP 인터페이스 IP 및 DNS 주소와 비교됩니다. 예:

EVENT coldStart .1.3.6.1.6.3.1.1.5.1 "Status Events" Normal
FORMAT ZBXTRAP $aA Device reinitialized (coldStart)

2. 아래에서 SNMP 트랩 형식에 대한 자세한 내용을 참조하십시오.

EVENT general .* "General event" Normal

SNMP trap 형식

모든 사용자 정의 Perl trap 수신기와 SNMPTT trap 구성은 다음과 같은 방식으로 trap을 형식화해야 합니다:

[timestamp] [the trap, part 1] ZBXTRAP [address] [the trap, part 2]

여기서

• [timestamp] - "%Y-%m-%dT%H:%M:%S%z" 형식의 타임스탬프
• ZBXTRAP - 이 줄에서 새로운 trap이 시작됨을 나타내는 헤더
• [address] - 이 trap에 대한 호스트를 찾는 데 사용되는 IP 주소

"ZBXTRAP"과 "[address]"는 처리 중에 메시지에서 제거됩니다. trap이 다르게 형식화되면 Zabbix가 trap을 예기치 않게 파싱할 수 있습니다.

예제 trap:

2024-01-11T15:28:47+0200 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events" localhost - ZBXTRAP 192.168.1.1 Link down on interface 2. Admin state: 1. Operational state: 2

이는 IP=192.168.1.1인 SNMP 인터페이스에 대해 다음과 같은 trap을 생성합니다:

2024-01-11T15:28:47+0200 .1.3.6.1.6.3.1.1.5.3 Normal "Status Events"
localhost - Link down on interface 2. Admin state: 1. Operational state: 2

시스템 요구사항

대용량 파일 지원

Zabbix는 SNMP 트래퍼 파일에 대한 대용량 파일 지원을 제공합니다. Zabbix가 읽을 수 있는 최대 파일 크기는 2\^63 (8 EiB)입니다. 파일 시스템에서 파일 크기에 대해 더 낮은 제한을 가할 수 있다는 점에 주의하세요.

로그 순환

Zabbix는 로그 순환 시스템을 제공하지 않으므로 사용자가 직접 처리해야 합니다. 로그 순환은 trap이 손실되지 않도록 먼저 이전 파일의 이름을 변경하고 나중에 삭제해야 합니다:

1. Zabbix는 마지막으로 알려진 위치에서 trap 파일을 열고 3단계로 이동합니다
2. Zabbix는 현재 열린 파일의 inode 번호를 정의된 trap 파일의 inode 번호와 비교하여 순환되었는지 확인합니다. 열린 파일이 없으면 Zabbix는 마지막 위치를 재설정하고 1단계로 이동합니다.
3. Zabbix는 현재 열린 파일에서 데이터를 읽고 새 위치를 설정합니다.
4. 새 데이터가 파싱됩니다. 이것이 순환된 파일이었다면 파일을 닫고 2단계로 돌아갑니다.
5. 새 데이터가 없었다면 Zabbix는 1초 동안 대기하고 2단계로 돌아갑니다.

파일 시스템

트랩 파일 구현으로 인해, Zabbix는 파일을 구분하기 위해 inode를 지원하는 파일 시스템이 필요합니다(정보는 stat() 호출을 통해 획득됩니다).

다양한 SNMP 프로토콜 버전을 사용한 설정 예제

이 예제는 snmptrapd와 Bash 수신 스크립트를 사용하여 Zabbix 서버로 트랩을 전달합니다.

설정:

1. Zabbix가 SNMP trapper를 시작하고 트랩 파일을 설정하도록 구성합니다. zabbix_server.conf에 추가:

StartSNMPTrapper=1
SNMPTrapperFile=/var/lib/zabbix/snmptraps/snmptraps.log

2. Bash 스크립트를 /usr/sbin/zabbix_trap_handler.sh로 다운로드합니다:

curl -o /usr/sbin/zabbix_trap_handler.sh https://raw.githubusercontent.com/zabbix/zabbix-docker/7.0/Dockerfiles/snmptraps/alpine/conf/usr/sbin/zabbix_trap_handler.sh

필요한 경우 스크립트의 ZABBIX_TRAPS_FILE 변수를 조정합니다. 기본값을 사용하려면 먼저 상위 디렉토리를 생성하세요:

mkdir -p /var/lib/zabbix/snmptraps

3. snmtrapd.conf에 다음을 추가합니다 (작동하는 예제 참조)

traphandle default /bin/bash /usr/sbin/zabbix_trap_handler.sh

4. SNMP 아이템 TEST를 생성합니다 (초기 구성 요구사항을 염두에 두세요):

   유형: SNMP trap
   정보 유형: Log
   호스트 인터페이스: SNMP 127.0.0.1
   키: snmptrap["linkUp"]
   로그 시간 형식: yyyyMMdd.hhmmss

ISO 8601 날짜 및 시간 형식이 사용됩니다.

5. 다음으로 선택한 SNMP 프로토콜 버전에 대해 snmptrapd를 구성하고 snmptrap 유틸리티를 사용하여 테스트 트랩을 전송합니다.

SNMPv1, SNMPv2

SNMPv1과 SNMPv2 프로토콜은 "커뮤니티 문자열" 인증에 의존합니다. 아래 예제에서는 커뮤니티 문자열로 "secret"을 사용하겠습니다. 이 값은 SNMP 트랩 전송자에서도 동일한 값으로 설정되어야 합니다.

여전히 프로덕션 환경에서 널리 사용되고 있지만, SNMPv2는 암호화나 실제 전송자 인증 기능을 제공하지 않는다는 점에 주의하십시오. 데이터가 평문으로 전송되므로 이러한 프로토콜 버전들은 사설 네트워크와 같은 보안 환경에서만 사용해야 하며 공용 네트워크나 제3자 네트워크에서는 절대 사용해서는 안 됩니다.

SNMP 버전 1은 64비트 카운터를 지원하지 않고 레거시 프로토콜로 간주되므로 요즘에는 거의 사용되지 않습니다.

SNMPv1 또는 SNMPv2 트랩 수신을 활성화하려면 snmptrapd.conf에 다음 줄을 추가해야 합니다. "secret"을 SNMP 트랩 전송자에서 구성된 SNMP 커뮤니티 문자열로 교체하십시오:

authCommunity log,execute,net secret

다음으로 snmptrap을 사용하여 테스트 트랩을 전송할 수 있습니다. 이 예제에서는 일반적인 "link up" OID를 사용하겠습니다:

snmptrap -v 2c -c secret localhost '' linkUp.0

SNMPv3

SNMPv3는 SNMPv1/v2의 보안 문제를 해결하고 인증과 암호화를 제공합니다. MD5 또는 다중 SHA 인증 방법과 DES/다중 AES를 암호로 사용할 수 있습니다.

SNMPv3 수신을 활성화하려면 snmptrapd.conf에 다음 줄을 추가하세요:

createUser -e 0x8000000001020304 traptest SHA mypassword AES
authuser log,execute traptest

snmptrap -v 3 -n "" -a SHA -A mypassword -x AES -X mypassword -l authPriv -u traptest -e 0x8000000001020304 localhost 0 linkUp.0

검증

두 예제 모두에서 /var/lib/zabbix/snmptraps/snmptraps.log에서 유사한 라인들을 볼 수 있습니다:

2024-01-30T10:04:23+0200 ZBXTRAP 127.0.0.1
UDP: [127.0.0.1]:56585->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 2538834
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

Zabbix의 아이템 값은 다음과 같을 것입니다:

2024-01-30 10:04:23 2024-01-30 10:04:21 

2024-01-30T10:04:21+0200 UDP: [127.0.0.1]:56585->[127.0.0.1]:162
DISMAN-EVENT-MIB::sysUpTimeInstance = 2538834
SNMPv2-MIB::snmpTrapOID.0 = IF-MIB::linkUp.0

Perl을 사용한 예제:

2024-01-30T11:42:54+0200 ZBXTRAP 127.0.0.1
PDU INFO:
  receivedfrom                   UDP: [127.0.0.1]:58649->[127.0.0.1]:162
  notificationtype               TRAP
  version                        1
  community                      public
  errorstatus                    0
  transactionid                  1
  requestid                      2101882550
  messageid                      0
  errorindex                     0
VARBINDS:
  DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (457671) 1:16:16.71
  SNMPv2-MIB::snmpTrapOID.0      type=6  value=OID: IF-MIB::linkUp.0

참고 자료

• SNMP 트랩에 대한 Zabbix 블로그 글
• snmptrapd 구성 (공식 net-snmp 문서)
• SNMPv3 알림을 수신하도록 snmptrapd 구성 (공식 net-snmp 문서)