Con este post pretendo expliar una de las maneras rápidas que tenemos, usando el Kiwi Syslog, de enterarnos de eventos concretos que suceden en nuestra red.
Todas las consultas que explicaré se hacen mediante SNMP, para los que no estén muy familiarizados tengo un artículo que puede ayudar http://gonsystem.blogspot.com.es/2010/12/gestion-de-logs-de-la-red.html
Todas las consultas que explicaré se hacen mediante SNMP, para los que no estén muy familiarizados tengo un artículo que puede ayudar http://gonsystem.blogspot.com.es/2010/12/gestion-de-logs-de-la-red.html
Una pantalla estandar del Kiwi Syslog de recepción de todos los eventos de nuestros hosts sería la siguiente:
Depende como tengamos configurado nuestro syslog puede ser un continuo la recepción de eventos, haciendo difícil localizar de una manera rápida y visual los más conflictivos.
Está claro que hay eventos que nos interesa saber cuando están pasado lo antes posible. Aquí explicaré como lo tengo yo. No hace mucho que tengo este programa, pero poco a poco le voy bien sus grandes ventajas.
Por ejemplo, quiero que me avise cuando alguien se conecte en modo MANAGER en alguno de mis switches.
Empezamos....
Como no se que tengo que mirar, primero entro en el switch en modo MANAGER para ver que me dice el Kiwi, me sale lo siguiente:
Vemos a que switch me he conectado y el nombre y la IP del PC desde el PC que me he conectado.
Vamos a configurar que nos avise. Entramos en modo configuración "Setup"
Y añadimos una nueva regla:
Nos creará lo siguiente con lo que poder trabajar:
A mi me gustar ir renombrando lo que vamos creando, "New Rule" -> "Rule Test Manager", para identificarla más rápidamente y cuanto tengamos unas cuantas poder trabajar mejor.
Añadiremos el filtro que nos ayudará a cazar el evento:
Renombro el "New Filter" por "Filter MANAGER" y en este caso del campo "Field" elegiré la opción "Message text"
Añando la cadena que quiero que me avise cuando aparezca en los logs, en este caso es "MANAGER" y damos a "Apply" para guardar los cambios.
Ahora añandiremos una "Action", que es lo que queremos que haga cuando encuentre el texto anterior:
Renombro "New Action" por "Action MANAGER" y le digo que quiero que me envíe un email.
Nos saldrá la siguiente pantalla que tendremos que configurar a nuestro gusto:
Yo lo he configurado así:
Con lo que me llegan emails de este tipo:
Si lo que queremos también es ver, en nuestra pantalla de recepción de logs, de una manera rápida estos registros deberíamos hacer lo siguiente:
En la pantalla donde tenemos los logs dar botón derecho opción "Highlighthing"
Le damos a la opción de +
Le añadimos la cadena "MANAGER" en la opción de "String to match:" y luego ponemos el icono y los colores que queramos que llame más la atención. En la colunma "Field" acuérdate de poner "Message":
Algunas reglas que tengo puestas en lo que controla avisos de la electrónica de Red Cisco, podrían ser:
GoN. Rev 2. Julio 2015.