Configurar e entender interceptações SNMP para monitorar o Cisco ISE

Introduction

Este documento descreve como configurar e entender armadilhas do Simple Network Management Protocol (SNMP) para monitorar o Cisco ISE.

Traps SNMP são mensagens UDP enviadas de um dispositivo ativado por SNMP para um servidor MIB remoto. O Identity Services Engine (ISE) pode ser configurado para enviar armadilhas para um servidor SNMP para monitorar e solucionar problemas. O objetivo deste documento é familiarizar-se com algumas das verificações básicas para isolar problemas e entender as limitações das armadilhas do ISE.

Prerequisites

Requirements

A Cisco recomenda que você conheça estes tópicos:

• Linux básico
• SNMP
• ISE 

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco ISE, versão 2.6
• servidor RHEL 7 

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configuração

O ISE suporta SNMP v1, v2 e v3. Verifique se o SNMP está habilitado na CLI do ISE e o resto da configuração.

Exemplo, SNMP v3:

sotumu24/admin# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
sotumu24/admin(config)# snmp-server enable
sotumu24/admin(config)# snmp-server trap dskThresholdLimit "75"
sotumu24/admin(config)# snmp-server community SNMP$tring ro
sotumu24/admin(config)# snmp-server user SNMPUSER v3 plain authpasswd privpasswd


sotumu24/admin(config)# snmp-server host 10.127.197.81 version 3 SNMPUSER 0x474b49494c49464e474943 plain authpasswd privpasswd

>> The SNMP server might require the engineID if version 3 is being used and it can be dervied from the output of the command here :

sotumu24/admin# show snmp-server engineID
Local SNMP EngineID: GKIILIFNGIC

>> This is the same as ISE Serial number, need not be configured. 

sotumu24/admin# sh udi

SPID: ISE-VM-K9
VPID: V01
Serial: GKIILIFNGIC

Portas e acessibilidade

O servidor remoto deve conseguir acessar o ISE para consultar armadilhas, se necessário. Certifique-se de que o ISE permita que o servidor SNMP acesse IP (se configurado).

Verifique se a porta 161 está aberta na CLI do ISE:

sotumu24/admin# sh ports | in 161
     udp: 0.0.0.0:25087, 0.0.0.0:161
--
     tcp: 169.254.0.228:49, 10.127.197.81:49, 169.254.0.228:50, 10.127.197.81:50
, 169.254.0.228:51, 10.127.197.81:51, 169.254.0.228:52, 10.127.197.81:52, 127.0.
0.1:8888, 10.127.197.81:8443, :::443, 10.127.197.81:8444, 10.127.197.81:8445, ::
:9085, 10.127.197.81:8446, :::19231, :::9090, 127.0.0.1:2020, :::9060, :::9061,
:::8905, :::8009, :::5514, :::9002, :::1099, :::8910, :::61616, :::80, :::9080

Logs

Se o daemon de serviço SNMP estiver preso ou não puder ser reiniciado, os erros serão vistos no arquivo de log de mensagens.

2020-04-27T12:28:45.326652+05:30 sotumu24 su: (to oracle) root on none
2020-04-27T12:29:48.391712+05:30 sotumu24 snmpd[81079]: Received TERM or STOP signal...  shutting down...
2020-04-27T12:29:48.590240+05:30 sotumu24 snmpd[47597]: NET-SNMP version 5.7.2
2020-04-27T12:30:29.319929+05:30 sotumu24 rsyslogd: [origin software="rsyslogd" swVersion="7.4.7" x-pid="20126" x-info="http://www.rsyslog.com"] rsyslogd was HUPed

Armadilhas e consultas

Armadilhas SNMP genéricas geradas por padrão no Cisco ISE:

O ISE não tem nenhuma MIB para status do processo ou utilização do disco. O Cisco ISE usa OID HOST-RESOURCES-MIB::hrSWRunName para interceptações SNMP. snmp walk ou snmp get comando para consultar o status do processo ou a utilização do disco não pode ser usada no ISE.

Fonte: Guia do administrador

No laboratório, a interceptação SNMP (Trap) foi definida para disparar quando a utilização do disco ultrapassa o limite de 75: sotumu24/admin(config)# snmp-server trap dskThresholdLimit "75"

Os dados para essa armadilha são coletados das saídas abaixo:

Execute estes comandos em uma caixa externa do LINUX ou no console do Servidor SNMP:

Linux/admin# snmpwalk -v 3 -l authPriv -u SNMPUSER -a sha -x AES -A "authpasswd" -X "privpasswd" 10.127.197.217 dskPercent >> Gives the percentage of disk utilized. Also works with – hrStorageSize.

UCD-SNMP-MIB::dskPercent.1 = INTEGER: 11
UCD-SNMP-MIB::dskPercent.6 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.8 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.9 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.29 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.30 = INTEGER: 23
UCD-SNMP-MIB::dskPercent.31 = INTEGER: 2
UCD-SNMP-MIB::dskPercent.32 = INTEGER: 5
UCD-SNMP-MIB::dskPercent.33 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.34 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.35 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.36 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.37 = INTEGER: 5
UCD-SNMP-MIB::dskPercent.39 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.41 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.42 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.43 = INTEGER: 0
UCD-SNMP-MIB::dskPercent.44 = INTEGER: 0

Linux/admin# snmpwalk -v 3 -l authPriv -u SNMPUSER -a sha -x AES -A "authpasswd" -X "privpasswd" 10.127.197.217 dskPath >> Gives the list of disk path(s). Also works with – hrStorageDescr.

UCD-SNMP-MIB::dskPath.1 = STRING: /
UCD-SNMP-MIB::dskPath.6 = STRING: /dev/shm
UCD-SNMP-MIB::dskPath.8 = STRING: /run
UCD-SNMP-MIB::dskPath.9 = STRING: /sys/fs/cgroup
UCD-SNMP-MIB::dskPath.29 = STRING: /tmp
UCD-SNMP-MIB::dskPath.30 = STRING: /boot
UCD-SNMP-MIB::dskPath.31 = STRING: /storedconfig
UCD-SNMP-MIB::dskPath.32 = STRING: /opt
UCD-SNMP-MIB::dskPath.33 = STRING: /localdisk
UCD-SNMP-MIB::dskPath.34 = STRING: /run/user/440
UCD-SNMP-MIB::dskPath.35 = STRING: /run/user/301
UCD-SNMP-MIB::dskPath.36 = STRING: /run/user/321
UCD-SNMP-MIB::dskPath.37 = STRING: /opt/docker/runtime/overlay
UCD-SNMP-MIB::dskPath.39 = STRING: /opt/docker/runtime/containers/ae1cef55c92ba90ae6c848bd74c9277c2fb52a48ab781455ec9b1149e4634d2c/shm
UCD-SNMP-MIB::dskPath.41 = STRING: /run/user/0
UCD-SNMP-MIB::dskPath.42 = STRING: /run/user/304
UCD-SNMP-MIB::dskPath.43 = STRING: /run/user/303
UCD-SNMP-MIB::dskPath.44 = STRING: /run/user/322

Dessas saídas, a utilização do disco é calculada e quando o valor chega a 75, uma interceptação SNMP é enviada para o host SNMP-Server configurado. Não há recurso MIB para calcular e exibir diretamente a utilização do disco.

Além disso, o processo MIB hrSWRunName é usado para coletar essas informações (de acordo com o Guia de Administração do ISE):

Uma descrição textual deste software em execução, incluindo o fabricante, a revisão e o nome pelo qual ele é comumente conhecido. Se esse software foi instalado localmente, deve ser a mesma string usada no hrSWInstalledName correspondente. Os serviços considerados são servidor de aplicativos, rsyslog, servidor redis, conector ad, coletor mnt, processador mnt, servidor ca e pesquisa elástica.

Recursos MIB

O aplicativo ISE está hospedado no RHEL OS(Linux). No entanto, como mencionado no guia de administração do ISE, o ISE usa a MIB de recursos de host para coletar informações de interceptação SNMP. Este documento tem a lista de recursos de host MIB que podem ser consultados: 

SNMP HOST MIB.

No documento, pode-se inferir que não há consultas diretas que possam calcular e exibir os valores de utilização da CPU, da memória ou do disco. No entanto, os dados usados para calcular as saídas estão presentes nestes quadros:

• hrSWRPerfTable
• hrDiskStorageTable
• Tabela de escalares

Ponteiros adicionais sobre a utilização de memória e disco

Memória usada

Para calcular a memória usada:

mem_used = kb_main_total - kb_main_free - kb_main_cached - kb_main_buffers;
kb_main_cached = kb_page_cache + kb_slab_remendable;

Memória livre

Há uma pequena diferença entre os valores coletados no Servidor SNMP e a raiz da CLI do ISE. A utilização da memória também tem uma diferença nos valores devido à laje, que não é contabilizada no SNMP, e mostra o valor total.

A memória livre é uma pequena quantidade de memória que não está sendo usada no momento e causa essa diferença. Esta é a parte desperdiçada da memória que o sistema não pode utilizar. O ISE é hospedado em um sistema operacional Linux e usa toda a memória física que não é necessária pelos programas atuais como um cache de arquivos, para proporcionar eficiência. No entanto, se os programas precisarem dessa memória física, o kernel realocará a memória do cache de arquivos para o primeiro. Portanto, a memória usada pelo cache de arquivos é livre, mas não utilizada até ser necessária para um programa.

Consulte o link abaixo:

Explicação de memória livre.

Utilização do disco

Da mesma forma, até 5% do sistema de arquivos é reservado para o usuário raiz reduzir a fragmentação do arquivo. Esta saída não é vista em df.

Portanto, espera-se que haja uma pequena diferença na porcentagem calculada na raiz e, subsequentemente, na saída CLI.

A consulta SNMP não leva em conta esse espaço em disco reservado e calcula a saída com base nos valores exibidos na tabela.

Para obter mais informações, consulte Diferença na saída de df e espaço reservado em disco de saída de df.