|
|
Manuel de l'administrateur | Table des matières |
|
|
Accès et installation du module (plugin Statistic DashBoard)
Présentation du module Statistic Dashboard
Contrôle du fonctionnement des mémoires cache de réception
Configurations avancées et paramétrage des mémoires cache
Le module de service Statistic Dashboard de LoriotPro permet de contr�ler le bon fonctionnement des � serveurs internes � � LoriotPro de r�ception des TRAP SNMP, des messages SYSLOG et des �v�nements propri�taires � LoriotPro. Par ailleurs le monitoring actif g�n�re des flux bidirectionnelles en SNMP avec les �quipements surveill�s, le DashBoard permet d'�valuer leurs volumes et leurs fr�quences.
La probl�matique du traitement des alarmes en temps r�el. Le logiciel LoriotPro est en charge de la surveillance de r�seaux pouvant compter des centaines de syst�mes et d'�quipements. Chacun de ces syst�mes peut envoyer vers LoriotPro des flux d'information cons�quents sous forme d'alarmes ou de notifications et LoriotPro doit prendre en compte ceux-ci et les m�moriser sans perte d'information.
Les flux d'alarmes re�us par les serveurs interne de LoriotPro (processus de r�ception) sont affich�s au fil de l'eau dans des fen�tres de type liste, sont sauvegard�s dans des fichiers d'historique, sont analys�s pour filtrage et action.
Depuis la release -bs de la� version 5 de LoriotPro, un mode encore plus performant de la gestion des m�moires cache/tampon de r�ception pour les diff�rents flux entrants a �t� mise en place. �Le module de service � Statistic Dashboard � permet d'en contr�ler le bon fonctionnement.
A noter que nous utiliserons pour simplifier uniquement le terme � m�moire cache � et non m�moire tampon, celle-ci ayant le double objectif d'am�lioration de la rapidit� d'acquisition et de stockage temporaire (tampon) pour �viter les pertes de flux.
On distingue les flux entrant (alarmes/notifications) suivants :
Les flux d'�v�nements (Event) Ce sont des flux de format propri�taire � LoriotPro provenant principalement de LoriotPro lui-m�me ou de LoriotPro distants dans une architecture distribu�e de plusieurs� LoriotPro.
Les flux de TRAP SNMP. Les flux de TRAP SNMP (RFC )sont envoy�s par les �quipements et les syst�mes qui ont �t� configur�s avec un agent SNMP actif et qui dirige leur TRAP vers la console LoriotPro.
Les flux SYSLOG. Les flux de message SYSLOG (RFC 3164)� sont envoy�s par les �quipements et les syst�mes qui ont �t� configur�s avec une redirection de leur flux vers� la console LoriotPro.
Les trois serveurs � deamon � de r�ception ; EVENT, TRAP, SYSLOG, disposent chacun d'une m�moire cache logiciel �de 10000 paquets en compl�ment d'une m�moire cache physique de 5Mbytes. Ces caches ont �t� impl�ment�s pour satisfaire des environnements critiques avec des flux cons�quents ou disposant de centaines d'�quipements.
Remarque technique du d�veloppeur : Le principal probl�me pos� par l'environnement Microsoft dans la gestion des �v�nements pour LoriotPro est le temps d'affichage des �v�nements dans les diff�rentes fen�tres de type liste � listbox � de l'interface graphique. Il n'est pas possible d'afficher en temps r�el les �v�nements dans ces listbox au-del� d'une cinquantaine de nouvelles lignes par seconde, les Listbox utilis�s dans ce workspace ne supportant pas le mode virtuel. Dans le cas ou la mise � jour temps r�el de ces fen�tres n'est plus possible, la sauvegarde dans les fichiers d'historique reste compl�tement op�rationnel.
L'installation des modules de service (plugin) est classique.
Ouvrir l’onglet service puis cliquer droit pour ouvrir le menu contextuel.
Sélectionner le plug-in Statistic DasBoard dans la liste des plugin.
Le module Statictic Dashboard est compos� des zones suivantes.
La zone de contr�le des flux SNMP, �elle m�me compos�e de 4 vum�tres et de deux courbes.
Les vum�tres et les courbes affichent les m�mes informations dans des formats diff�rents.
La zone de contr�le des m�moires de r�ception compos�e de trois graphiques.
Pour facilit� la configuration et le contr�le du bon fonctionnement de la r�ception des �v�nements, des trap et des messages syslog, le module de service � Statistic Dashboard � affiche 3 graphiques de visualisation en temps r�el du mode de fonctionnement des m�moires de r�ception.
Syslog packets received/analyzed : Graphique d'utilisation de la m�moire cache de r�ception des messages Syslog.
Event packets received/analyzed : Graphique d'utilisation de la m�moire cache de r�ception des �v�nements LoriotPro (Events).
Trap packets received/analyzed : Graphique d'utilisation de la m�moire cache de r�ception des Trap SNMP.
Les courbes bleues correspondent aux paquets en attente dans la m�moire cache, les courbes vertes au nombre de paquets trait�s. Des courbes identiques indiquent que LoriotPro traite au fil de l'eau les flux entrant et que la m�moire cache est vid�e au fur et � mesure et sa fonction de tampon n'est pas utilis�.
Exemple 1
Consid�rons l'affichage suivant :
Dans l'exemple ci-dessus LoriotPro a re�u une salve de paquets (burst) de 10000 Traps SNMP, les deux ic�nes rouges (Listbox locked ) indiquent que les mises � jour de l'affichage dans les fen�tres de r�ception (liste dynamique) de l'interface graphique de LoriotPro sont stopp�s pour les �vents et les traps. �Ce comportement est normal dans une configuration par d�faut de Loriotpro ou un filtre g�n�re un Event par Trap snmp re�u.
Des indicateurs dans la ligne des statuts de la fen�tre principale de LoriotPro notifient de l'arr�t temporaire de la mise � jour de l'affichage des fen�tres en liste de r�ception dynamique d'�v�nement et de trap.
Exemple 2
On constate dans la courbe ci-dessus que le processus de r�ception des Events a du mal � assurer un traitement en temps r�el et que les deux courbes ne se superposent pas.
LoriotPro est ralenti dans sa capacit� de traitement des �v�nements �tant donn� le faible nombre de paquets trait�s toutes les 5 secondes. Il est possible que l'antivirus r�sident est un impact sur la vitesse de sauvegarde des �v�nements dans le fichier de log.
Arr�tons l'antivirus r�sident pour v�rifier :
Le serveur de r�ception passe instantan�ment de 360 � 1139 paquets g�r�s et sa capacit� de traitement devient sup�rieure au volume de r�ception actuel.
Le serveur de r�ception rattrape son retard et traite le flux en m�moire (le listbox est lib�r�).
Des messages Syslog ont �t� envoy�s pour indiquer les arr�ts de la mise � jour en temps r�el de la liste de la fen�tre de r�ception.
Pour assurer un fonctionnement performant de LoriotPro pour le traitement des flux entrant il est indispensable de supprimer de l'analyse antivirus les r�pertoires dans l'arborescence � bin/www � du logiciel.
Exemple 3
Consid�rons l'affichage suivant :
Ci-dessus un autre exemple de salve (burst) de 10000 Traps snmp �re�us en 2 secondes et trait�s en 20 �secondes. Il y a �g�n�ration d'un Event pour chaque Trap re�u et trait�. Dans le m�me temps les serveurs de r�ception des Events et des Syslogs re�oivent des messages informant de l'arr�t de la mise � jour des fen�tres de r�ception des Traps.
Pour information cette courbe est le r�sultat d'un script LUA qui a �t� utilis� pour g�n�rer cette salve de Trap (Burst).
for i=0,10000 do a=string.format("<%i> test %i:",j,i); j=j+1; if j>255 then j=0 end --lp.Sleep(1); --lp.SendSyslog("127.0.01",a); --lp.SendExternEvent("127.0.0.1","5001",25000,1,"1.1.1.1","255.255.255.255","test : "..a); lp.SendTrapV2('192.168.0.8','public','linkdown','sysname/(oc)'..a..'dlswTConnOperTDomain/(IN)145,dlswTConnOperRemoteTAddr/(NU),'); end |
Remarque : Les courbes et
valeurs donn�es ici ne sont qu'indicatives et d�pendent totalement des
caract�ristiques de votre plate-forme LoriotPro (puissance CPU, m�moire etc.). Suivant
la puissance de la machine utilis� pour Loriotpro, il est possible d'avoir avec
ce syst�me de m�moire cache un capacit� de traitement tr�s sup�rieure � celle
visualis�e ici.
Exemple 4
Consid�rons l'affichage suivant :
On constate dans la courbe ci-dessus une salve (Burst) de 5000 message Syslogs prise en compte par le serveur de r�ception.
Exemple 5
Consid�rons l'affichage suivant :
Un burst de 1000 Events avec un traitement de 6975 paquets sur 5secondes, avec un d�lai de traitement d'environs 5s.
Remarque : L'horodatage (timestamp) des paquets correspond � l'heure de la r�ception des paquets et non pas � celui du traitement. Dans cette exemple le d�lai de traitement est de 5 secondes mais l' l'horodatage (timestamp) ne tiendra pas compte de ce d�lai. Actuellement l' horodatage (timestamp) sauvegard� est pr�cis � la seconde.
Tous les param�tres de configuration des m�moires de r�ception sont dans le fichier config/lalarm.ini dans le r�pertoire config du logiciel.
Configuration par d�faut :
����������� [ALARM] ����������� syslog_port 514 ����� ����������� //syslog udp reception port ����������� syslog_save_html 1 ���������� //1 for save all received syslog, 0 to no logging ����������� syslog_line 200 ����������������� //max number of line in the workspace listbox ����������� syslog_display_limit 100��� �//the number of packet in cache that limit the display of log in workspace syslog listbox
����������� alarm_port 5001 ���������������� //event udp reception port event_line 200 �� ����������� //max number of line in the workspace listbox ����������� event_display_limit 100 ��� //the number of packet in cache that limit the display of event in workspace syslog listbox ����������� event_save_html 1����������� //Allow saving in html format
����������� trap_port 162����������������������� //SNMP TRAP udp reception port ����������� trap_line 2000��������������������� //max number of line in the workspace listbox ����������� trap_display_limit 10���������� //the number of packet in cache that limit the display of trap in workspace syslog listbox ����������� trap_save_html 1 ��� ���������� //Allow saving in html format |
Il y a quatre param�tres pour chacun des 3 types d'�v�nement (EVENT,TRAP,SYSLOG):
Paramètre: xxx_port ���number
Le port UDP utilis� par le serveur pour le type d'alarme consid�r�, ou xxx est event, syslog, ou trap
Attention les ports UDP d'�coute r�serv�s par RFC sont :
le changement de ces valeurs emp�che Loriotpro de recevoir et d'afficher ces types d'alarmes. Il est possible de modifier ces valeurs si une modification de tous les �quipements sources de messages ou de trap sont aussi modifi�s en cons�quence.
Le port par d�faut pour le serveur de r�ception des �v�nements (EVENT) LoriotPro est 5001.
Attention :� En cas de changement du num�ro de port UDP de r�ception des �v�nements (EVENT)� il est aussi n�cessaire de changer le port destinataire (la variable alarm_port) dans le fichier� loriotpro.ini. Cette modification peut �tre utile dans un environnement avec une hi�rarchie de LoriotPro.
Exemple de Config/Loriot.ini
[ALARM]
alarm_port 5001
alarm_ip� 127.0.0.1
Le nombre maximum de lignes pouvant �tre� affich�es dans les fen�tres d'affichage en liste dynamique des Event, Trap et Syslog de l'interface graphique de LoriotPro, � sp�cifier pour chaque type d'alarme ou xxx est remplac� par � event �, � syslog � ou � trap �
Par d�faut 2000 lignes sont affich� pour les� TRAP et les messages Syslog, 15000 pour les EVENT.
Paramètre: xxx_display_limit number
Le nombre maximum de paquets support� dans la m�moire cache avant de stopper l'affichage au fil de l'eau dans les fen�tres d'affichage en liste dynamique des Event,Trap et Syslog de l'interface graphique de LoriotPro. Ces valeurs sont � sp�cifier pour chaque type d'alarme ou xxx est remplac� par � event �, � syslog � ou � trap �.
Ce param�tre permet de stopper l'affichage dans les fen�tres liste dynamique � listbox � si LoriotPro re�oit un salve de paquets (burst) sur une courte p�riode. En cas d'impossibilit� d'affichage, limite atteinte, un �v�nement et un syslog sont g�n�r�s pour information et en fonction du nombre et du type d'�v�nement non affich�.
Attention par d�faut ce param�tre est positionn� � 50 pour les � events � les � trap � et les � syslog �.
Lors ce que la limite est atteinte, un �v�nement et un syslog est �mis pour indiquer qu'il y a eu un arr�t dans l'affichage.
Attention: La modification de ces param�tres n�cessite un red�marrage de LoriotPro pour �tre prise en compte.
|
