Manche SNMP-f\u00e4higen Ger\u00e4te k\u00f6nnen auch noch beim Auftreten \nbestimmter Bedingungen eine Nachricht an eine zentrale Station schicken.\n Man nennt dies einen Trap<\/strong>. Beispielsweise k\u00f6nnen Router eine Nachricht schicken, wenn eine Verbindung ausf\u00e4llt.\n<\/p>\n\n\n\n Auf meinen Maschinen ist SNMP daher nat\u00fcrlich auch eingerichtet. \nDabei werden Dienste auf Funktionsf\u00e4higkeit gepr\u00fcft, Log-Dateien und die\n Maschinenauslastung \u00fcberwacht, Verkehrsdaten erfasst und auch noch der \nangeschlossene WLAN-Router \u00fcberwacht, der ebenfalls SNMP-f\u00e4hig ist.\n<\/p>\n\n\n\n Weiterf\u00fchrende Informationen zum Thema SNMP gibt es bei Net-SNMP [1]<\/a>, bei Cisco [2]<\/a> und nat\u00fcrlich bei Wikipedia [3]<\/a>. Eine \u00dcbersicht von Standard-MIBs und OIDs findet sich bei ByteSphere [4]<\/a> sowie auf [5]<\/a> und [6]<\/a>.\n<\/p>\n\n\n\n Um SNMP einzurichten, muss das Paket net-snmp<\/strong> installiert werden. Dann f\u00fchrt man entweder das interaktive Skript Den Community-Namen public<\/strong> sollte man aus Sicherheitsgr\u00fcnden \ndurch einen selbst gew\u00e4hlten Namen ersetzen. Dieser muss dann aber bei \nallen SNMP-Knoten im Netzwerk gleich gew\u00e4hlt werden. Gleicherma\u00dfen \nm\u00fcssen auth_pwd_local<\/strong> und crypto_pwd_local<\/strong> durch m\u00f6glichst komplexe Passworte ersetzt werden. Diese Passworte dienen zur Authentifizierung (auth_pwd_local<\/strong>) und zur Verschl\u00fcsselung (crypto_pwd_local<\/strong>) beim Zugriff auf SNMP-Daten, wenn SNMP in der Version 3 (SNMPv3<\/strong>) zum Einsatz kommt.\n<\/p>\n\n\n\n Die hier gezeigte Konfigurationsdatei \/etc\/snmp\/snmpd.conf<\/strong>\n gliedert sich in f\u00fcnf Teile und beinhaltet Konfigurationsanweisungen \nsowohl f\u00fcr SNMPv2 als auch f\u00fcr SNMPv3. Im ersten Teil werden die \nZugriffsberechtigungen festgelegt; aus Sicherheitsgr\u00fcnden sind diese auf\n reine Lesezugriffe vom Server selbst und aus dem SOHO-Netzwerk \nbeschr\u00e4nkt. Dort sind 3 Netzwerke angegeben, weil der Caipirinha-Server \n\u00fcber mehrere VPNs mit verschiedenen Netzwerken verbunden ist oder selbst\n \u00fcber VPN-Dienste anbietet. Weiterhin wird f\u00fcr SNMPv3 ein Benutzername \n(hier: public<\/strong>) angelegt. SNMPv3 kennt verschiedene Sicherheitsmechanismen, welche man sich mit Im zweiten Abschnitt sind die Kontaktdaten f\u00fcr den Administrator \ndes Caipirinha-Servers und der Maschinenstandort angegeben. Diese Daten \nerleichtern bei einem umfangreichen Netzwerk die Lokalisierung von \nAnsprechpartnern, wenn Probleme auf der Maschine auftreten. Der Wert bei\n sysservices<\/strong> spiegelt die F\u00e4higkeiten des Netzknotens wieder. Details zur Berechnung dieses Wertes finden sich auf [8]<\/a>.\n<\/p>\n\n\n\n Der dritten Abschnitt selbst gliedert sich in drei \nUnterabschnitte, in denen verschiedene Kenngr\u00f6\u00dfen \u00fcberwacht werden. \nSobald eine Kenngr\u00f6\u00dfe in eine kritische Richtung durchschritten wird, \nwird eine Mitteilung an den snmptrapd<\/strong> geschickt.\n<\/p>\n\n\n\n Im vierten Abschnitt sind Skripte angegeben, die aus dem SNMP-Dienst \nheraus mit festzulegenden Argumenten aufgerufen werden k\u00f6nnen. Jeder \nAufruf selbst bekommt auch noch einen Namen (beispielsweise mbox_gabriel<\/strong> oder mbox_joselia<\/strong>). Die hier erw\u00e4hnten Shell-Skripte mailsize.sh<\/a>, bandwidth.sh<\/a>, pingtimes.sh<\/a> und vpn_traffic.sh<\/a> sind in Admin-Skripte<\/a> dokumentiert.\n<\/p>\n\n\n\n Im f\u00fcnften Abschnitt sind schlie\u00dflich die Daten f\u00fcr den snmptrapd<\/strong> angegeben. Man erkennt mehrere Schl\u00fcsselworte. Mit authtrapenable<\/strong> werden versuchte SNMP-Abfragen mit einem fehlerhaften Login entweder an den snmptrapd<\/strong> geschickt (authtrapenable 1<\/strong>) oder eben nicht (authtrapenable 2<\/strong>). Mit iquerySecName<\/strong> wird der SNMPv3-Benutzername festgelegt, unter dem die Abfragen beim snmpd<\/strong> durchgef\u00fchrt werden. Dieser Name muss gleich dem unter dem Schl\u00fcsselwort rouser<\/strong> angegebenen Benutzernamen sein. Mit createUser<\/strong> werden die Algorithmen und die Passworte zur Authentifizierung (auth_pwd_local<\/strong>) und zur Verschl\u00fcsselung (crypto_pwd_local<\/strong>)\n beim Zugriff mit dem entsprechenden SNMPv3-Benutzernamen auf lokale \nSNMP-Daten festgelegt. Man kann das Verschl\u00fcsselungspasswort (crypto_pwd_local<\/strong>) auch weglassen und die Authentifizierung und Verschl\u00fcsselung mit dem gleichen Passwort (in diesem Fall dann auth_pwd_local<\/strong>) durchf\u00fchren. In diesem Fall muss die createUser<\/strong>-Anweisung so lauten:\n<\/p>\n\n\n\n Das Schl\u00fcsselwort trap2sink<\/strong> gibt das Ziel und den \nSNMPv2-Community-Namen an, an den die Traps geschickt werden. Achtung, \nhier wird SNMPv2 benutzt, w\u00e4hrend die Abfrage der SNMP-Werte beim snmpd \nmit SNMPv3 l\u00e4uft! trap2sink<\/strong> ist hier allerdings auskommentiert, zu Gunsten von informsink<\/strong>. Durch informsink<\/strong> wird kein Trap, sondern eine Inform<\/strong>-Mitteilung\n an den snmptrapd geschickt. Das hat den Vorteil, dass der snmptrapd den\n Erhalt der Mitteilung best\u00e4tigt. Laufen sowohl snmpd als auch snmptrapd\n auf der gleichen Maschine, ist das unwichtig. Ist aber der snmptrapd \nauf einer entfernten Maschine, ist informsink<\/strong> eindeutig die \nbessere Wahl, denn so vermeidet man, dass die UDP-Pakete eines Trap \nverloren gehen k\u00f6nnen. Man kann bei beiden Schl\u00fcsselworten sowohl eine \nlokale als auch eine entfernte Maschine angeben. Beim Caipirinha-Server \nund Caipiroska-Server laufen die snmptrapd auf den gleichen Maschinen. \nDamit kann auch ein Trap gesendet werden, wenn die Netzwerkverbindung \ngerade down<\/strong> ist. In einem lokalen Netz, bei dem man sich sicher ist, dass die Verbindungen immer up<\/strong> sind, kann man den snmptrapd auch auf einer Maschine zentralisieren und von dort aus das gesamte Netzwerk \u00fcberwachen.\n<\/p>\n\n\n\n Die vier monitor<\/strong>-Anweisungen legen fest, dass beim \nAuftreten einer Fehlerbedingung ein Trap zu schicken ist. Die \nentsprechende Syntax habe ich direkt aus Mit dem Schl\u00fcsselwort trapsess<\/strong> kann man Traps<\/strong> und Informs<\/strong>\n auch \u00fcber SNMPv3 zu einem snmptrapd auf einer lokalen oder entfernten \nMaschine schicken. Im falle einer entfernten Maschine muss man localhost<\/strong> durch den Maschinennamen oder die IP-Adresse ersetzen. Die Parameter public<\/strong>, auth_pwd_trap<\/strong> und crypto_pwd_trap<\/strong>\n m\u00fcssen denen des snmptrapd entsprechen. Mit dieser Konfiguration wird \ndie Nachricht vom snmpd zum snmptrapd dann sowohl an einen g\u00fcltigen \nLogin gebunden als auch verschl\u00fcsselt. Die Option -Ci<\/strong> legt fest, \ndass eine Inform-Mitteilung geschickt wird. Fehlt diese Option, wird \nlediglich eine (unbest\u00e4tigte) Trap-Mitteilung geschickt.\n<\/p>\n\n\n\n Zum Vergleich ist hier eine Konfigurationsdatei angegeben, bei \nder Inform-Mittelungen an eine entfernte Maschine geschickt werden:\n<\/p>\n\n\n\n Nach der Anpassung der Konfigurationsdatei \/etc\/snmp\/snmpd.conf<\/strong> muss man noch den snmpd noch starten. Eigentlich geschieht dies ja mit Wie bereits erw\u00e4hnt, l\u00e4uft auf meinen Maschinen nicht nur der snmpd<\/strong>, sondern auch noch der snmptrapd<\/strong>. Der Caipirinha-Server [9]<\/a>\n ist damit zugleich Quelle von SNMP-Mitteilungen, die den Server selbst \nbetreffen als auch zentrale Station zur Aufnahme aller Meldungen von \nGer\u00e4ten aus dem entsprechenden lokalen Netz. Es handelt sich also bei \nsnmptrapd um einen eigenst\u00e4ndigen Dienst, der auf Port 162\/udp auf \neingehende Mitteilungen von SNMP-Agenten<\/strong> wartet.\n<\/p>\n\n\n\n Auch f\u00fcr den snmptrapd gibt es eine Konfigurationsdatei, n\u00e4mlich \/etc\/snmp\/snmptrapd.conf<\/strong>. Diese ist hier abgedruckt:\n<\/p>\n\n\n\n Auch hier muss der Community-Name public<\/strong> durch den im gesamten Netzwerk einheitlich benutzten Community-Namen ersetzt werden. Mit authUser<\/strong> und createUser<\/strong> wird ein SNMPv3-Benutzer angelegt. auth_pwd_trap<\/strong> ist das Passwort zur Authentifizierung beim snmptrapd, und crypto_pwd_trap<\/strong> ist das Passwort zum Verschl\u00fcsseln der Daten. MD5<\/strong> ist der bei der Authentifizierung zum Einsatz kommende Algorithmus, und DES<\/strong> kommt bei der Verschl\u00fcsselung zum Einsatz. auth_pwd_trap<\/strong> und crypto_pwd_trap<\/strong>\n m\u00fcssen gleich sein wie bei der Konfiguration des snmpd auf einer \nMaschine, die diesem snmptrapd einen Trap oder eine Inform-Mitteilung \nschicken will. Auch hier kann man das Verschl\u00fcsselungspasswort (crypto_pwd_trap<\/strong>) weglassen und die Authentifizierung und Verschl\u00fcsselung mit dem gleichen Passwort (in diesem Fall dann auth_pwd_trap<\/strong>) durchf\u00fchren. In diesem Fall muss die createUser<\/strong>-Anweisung so lauten:\n<\/p>\n\n\n\n Es ist auch m\u00f6glich, mehrere SNMPv3-Benutzer anzulegen. Im Beispiel hier wurde mit public_2<\/strong>, auth_pwd_trap_2<\/strong> und crypto_pwd_trap_2<\/strong>\n ein zweiter SNMPv3-Benutzer angelegt, der diesem snmptrapd Mitteilungen\n schicken kann. Dies macht dann Sinn, wenn der snmptrapd Traps von \nunterschiedlichen Maschinen in Empfang nehmen soll, bei denen aber die \njeweiligen Administratoren nichts von den Logins der anderen Maschinen \nwissen sollen. Man k\u00f6nnte nat\u00fcrlich auch generell f\u00fcr den snmptrapd \neinen ganz anderen SNMPv3-Benutzer nehmen, der nichts mit irgendeinem \nSNMPv3-Benutzer auf einer der Maschinen zu tun hat. Dies w\u00e4re ohne \nZweifel die sicherste L\u00f6sung.\n<\/p>\n\n\n\n Die Anweisung traphandle<\/strong> legt fest, was beim Auftreten eines Traps zu tun ist. In diesem Fall wird eine E-Mail an root geschickt. format1<\/strong> und format2<\/strong>\n legen das Format f\u00fcr SNMPv1-Traps und SNMPv2\/SNMPv3-Traps fest. Ich \nhabe hier noch ein Format f\u00fcr SNMPv1 festgelegt, obwohl SNMPv1 nun \ninzwischen wirklich aus der Mode kommt, weil einige einfachen Router \ntats\u00e4chlich auch heute nur SNMPv1 beherrschen.\n<\/p>\n\n\n\n Es gibt f\u00fcr die Konfigurationsdatei auch eine Anweisung logOption<\/strong>,\n mit dem man in der Konfigurationsdatei einstellen k\u00f6nnen sollte, wohin \ndie Meldungen geloggt werden sollen. Allerdings funktioniert diese bei \nOpenSuSE 11.4 nicht, und wenn man Die erste Meldung sagt aus, dass kein smbd<\/strong>-Prozess l\u00e4uft. Die zweite Meldung sagt aus, dass auf der Partition \/home\/public\/Video<\/strong> weniger als 5% freier Festplattenspeicher ist. Der snmptrapd<\/strong>\n schickt auch entsprechende E-Mails, und die zu den zwei Meldungen \ngeh\u00f6renden E-Mails haben genau den gleichen Inhalt, wie man hier \nerkennen kann:\n<\/p>\n\n\n\n Durch den E-Mail-Mechanismus kann man sich als Systemadministrator \ndaher direkt informieren lassen, wenn auf einem der Server etwas aus dem\n Ruder l\u00e4uft. Das ist eine sehr praktische Sache, insbesondere, wenn man\n eine solche E-Mail gleich noch auf dem Smartphone empfangen kann.\n<\/p>\n\n\n\n Der snmptrapd<\/strong> muss \u00fcber das Kommando Oft ist es m\u00f6glich, selbst bei SOHO-Routern SNMP zu konfigurieren; \ndas nebenstehende Bild zeigt, wie man dies bei der “EasyBox 602” von Vodafone<\/a>\n macht. Tr\u00e4gt man dort die IP-Adresse des Caipiroska-Servers im \nHeimnetzwerk ein und konfiguriert den Community-Namen korrekt, so kann \nder DSL-Router Traps an den Caipiroska-Server schicken, beispielsweise, \nwenn die DSL-Verbindung wegen des in Deutschland einmal am Tag \nstattfindenden IP-Adresswechsels kurzzeitig zusammenbricht. Dann bekommt\n man mindestens einen Trap mit der “Line down”-Information und einen mit\n der “Line up”-Information, \u00fcblicherweise kurze Zeit danach. Man erkennt\n hier auch, dass es Sinn macht, einen snmptrapd<\/strong> im Heimnetz \nlaufen zu lassen und nicht auf eine entfernte Maschine zu verweisen, die\n ja dann nicht verf\u00fcgbar ist, wenn die DSL-Verbindung gerade \nzusammengebrochen ist. Bei der von snmptrapd erzeugten E-Mail wird \ndagegen vom smtpd<\/a> \u00fcber einen l\u00e4ngeren Zeitraum hinweg mehrmals eine Zustellung versucht.\n<\/p>\n\n\n\n Einen ersten \u00dcberblick<\/strong> \u00fcber die SNMP-Variablen einer Maschine verschafft man sich mit Die Ausgabe dieser Abfrage kann jedenfalls zu einer recht langen Liste f\u00fchren.\n<\/p>\n\n\n\n System-Statistiken<\/strong> kann man sich mit Angaben \u00fcber Partitionen<\/strong> und dere Auslastung bekommt man mit Einrichtung des SNMP-Dienstes<\/h2>\n\n\n\n
snmpconf -g basic_setup<\/code> aus, um eine erste Version der SNMP-Konfiguration zu erstellen oder man passt gleich die Datei \/etc\/snmp\/snmpd.conf<\/strong> an, so wie sie hier abgedruckt ist. Eine Beispielkonfiguration mit verschiedenen Einstellungen findet sich auf [7]<\/a>.\n<\/p>\n\n\n\n###########################################################################\n# SNMP-Konfiguration\n#\n# 05-Dec-2012 Gabriel R\u00fceck\n#\n\nrouser public\nrocommunity public localhost\nrocommunity public 192.168.2.0\/24\nrocommunity public 192.168.3.0\/24\nrocommunity public 192.168.4.0\/24\n\n###########################################################################\n# SECTION: System Information Setup\n#\n\nsyslocation \"\u4e2d\u56fd110016 \u6c88\u9633\u5e02\u548c\u5e73\u533a\u6587\u4f53\u8def\"\nsyscontact \"Gabriel R\u00fceck <gabriel@caipirinha.homelinux.org>\"\nsysservices 78\n\n###########################################################################\n# SECTION: Monitor Various Aspects of the Running Host\n#\n\n# The results are reported in the dskTable section.\n\ndisk \/ 30%\ndisk \/home 10%\ndisk \/home\/public\/Video 5%\ndisk \/var 20%\ndisk \/backup 10%\n\n# The results are reported in the fileTable section\n\nfile \/var\/log\/messages 100000\nfile \/var\/log\/warn 100000\n\n# The results are reported in the laTable section.\n\nload 15 10 10\n\n# The results are reported in the prTable section.\n\nproc amavisd 3 1\nproc apcupsd 1 1\nproc atd 1 1\nproc authdaemond 10 1\nproc clamd 1 1\nproc couriertcpd 2 2\nproc cron 4 1\nproc cupsd 1 1\nproc dhcpd 1 1\nproc fail2ban-server 1 1\nproc famd 1 1\nproc freshclam 1 1\nproc httpd2-prefork 50 1\nproc icecast 10 1\nproc master 1 1\nproc mdadm 1 1\nproc minidlna 5 1\nproc mrtg 1 1\nproc mysqld 2 1\nproc named 1 1\nproc nmbd 1 1\nproc ntpd 1 1\nproc openvpn 6 5\nproc pure-ftpd 1 1\nproc rsyncd 5 1\nproc rsyslogd 1 1\nproc saslauthd 1 1\nproc sensord 1 1\nproc smartd 1 1\nproc smbd 20 1\nproc sshd 20 1\nproc tlsmgr 1 1\n\n###########################################################################\n# SECTION: Custom Programs\n#\n\nexec mbox_gabriel \/root\/bin\/mailsize.sh gabriel\nexec mbox_joselia \/root\/bin\/mailsize.sh joselia\nexec bw_rueeck \/root\/bin\/bandwidth.sh rueeck.name\nexec bw_caipiroska \/root\/bin\/bandwidth.sh caipiroska.homelinux.org\nexec ping_gw0 \/root\/bin\/pingtimes.sh gw0\nexec ping_tun0 \/root\/bin\/pingtimes.sh tun0\nexec ping_gw1 \/root\/bin\/pingtimes.sh gw1\nexec ping_tun1 \/root\/bin\/pingtimes.sh tun1\nexec ping_gw2 \/root\/bin\/pingtimes.sh gw2\nexec ping_tun2 \/root\/bin\/pingtimes.sh tun2\nexec vpn_tun0_r \/root\/bin\/vpn_traffic.sh tun0 read\nexec vpn_tun0_w \/root\/bin\/vpn_traffic.sh tun0 write\nexec vpn_tun1_r \/root\/bin\/vpn_traffic.sh tun1 read\nexec vpn_tun1_w \/root\/bin\/vpn_traffic.sh tun1 write\nexec vpn_tun2_r \/root\/bin\/vpn_traffic.sh tun2 read\nexec vpn_tun2_w \/root\/bin\/vpn_traffic.sh tun2 write\n\n###########################################################################\n# SECTION: Trap Destinations\n#\n\nauthtrapenable 2\niquerySecName public\ncreateUser public MD5 auth_pwd_local DES crypto_pwd_local\n#trap2sink localhost public\ninformsink localhost public\n#trapsess -Ci -v3 -u public -a MD5 -A auth_pwd_trap -x DES -X crypto_pwd_trap -l authPriv localhost\n\nmonitor -o prNames -o prErrMessage \"process table\" prErrorFlag != 0\nmonitor -o dskPath -o dskErrorMsg \"dskTable\" dskErrorFlag != 0\nmonitor -o laNames -o laErrMessage \"laTable\" laErrorFlag != 0\nmonitor -o fileName -o fileErrorMsg \"fileTable\" fileErrorFlag != 0<\/pre>\n\n\n\n
man 5 snmpd.conf<\/code>\n vergegenw\u00e4rtigen kann. Als Standard wird beim Zugriff auf SNMP-Daten \n\u00fcber SNMPv3 zumindest Authentifizierung verlangt. Verschl\u00fcsselung ist \noptional.\n<\/p>\n\n\n\ncreateUser public MD5 auth_pwd_local DES crypto_pwd_local<\/pre>\n\n\n\n
man 5 snmpd.conf<\/code> heraus kopiert. Man h\u00e4tte auch die Anweisung defaultMonitors yes<\/strong> benutzen k\u00f6nnen, aber diese beinhaltet noch weitere Pr\u00fcfungen, die ich hier nicht haben wollte.\n<\/p>\n\n\n\n###########################################################################\n# SNMP-Konfiguration\n#\n# 05-Dec-2012 Gabriel R\u00fceck\n#\n\nrouser public\nrocommunity public localhost\nrocommunity public 124.95.128.109\/32\n\n###########################################################################\n# SECTION: System Information Setup\n#\n\nsyslocation \"\u8fbd\u5b81\u7701\u6c88\u9633\u5e02\"\nsyscontact \"Gabriel R\u00fceck <gabriel@rueeck.de>\"\nsysservices 78\n\n###########################################################################\n# SECTION: Monitor Various Aspects of the Running Host\n#\n\n# The results are reported in the dskTable section.\n\ndisk \/ 50%\ndisk \/home 10%\ndisk \/tmp 20%\ndisk \/var 20%\n\n# The results are reported in the fileTable section\n\nfile \/var\/log\/messages 50000\nfile \/var\/log\/warn 50000\n\n# The results are reported in the laTable section.\n\nload 5 3 1\n\n# The results are reported in the prTable section.\n\nproc atd 1 1\nproc clamd 1 1\nproc cron 4 1\nproc fail2ban-server 1 1\nproc famd 1 1\nproc freshclam 1 1\nproc httpd2-prefork 600 1\nproc master 1 1\nproc mdadm 1 1\nproc mrtg 1 1\nproc mysqld 2 1\nproc named 1 1\nproc ntpd 1 1\nproc openvpn 2 1\nproc rsyncd 5 1\nproc rsyslogd 1 1\nproc sensord 1 1\nproc smartd 1 1\nproc sshd 20 1\n\n###########################################################################\n# SECTION: Custom Programs\n#\n\nexec bw_rueeck \/root\/bin\/bandwidth.sh rueeck.name\nexec bw_caipiroska \/root\/bin\/bandwidth.sh caipiroska.homelinux.org\n\n###########################################################################\n# SECTION: Trap Destinations\n#\n\nauthtrapenable 1\niquerySecName public\ncreateUser public MD5 auth_pwd_local DES crypto_pwd_local\n#informsink caipirinha.homelinux.org public\ntrapsess -Ci -v3 -u public -a MD5 -A auth_pwd_trap -x DES -X crypto_pwd_trap -l authPriv caipirinha.homelinux.org\n\nmonitor -o prNames -o prErrMessage \"process table\" prErrorFlag != 0\nmonitor -o dskPath -o dskErrorMsg \"dskTable\" dskErrorFlag != 0\nmonitor -o laNames -o laErrMessage \"laTable\" laErrorFlag != 0\nmonitor -o fileName -o fileErrorMsg \"fileTable\" fileErrorFlag != 0<\/pre>\n\n\n\n
\/etc\/init.d\/snmpd start<\/code>. Allerdings liest der snmpd<\/strong> beim Start gleich alle m\u00f6glichen Konfigurationsdateien aus unterschiedlichen Verzeichnissen ein (siehe man 5 snmp_config<\/code>). Das ist eine b\u00f6se Falle, die mich viel Zeit gekostet hat. So werden unter anderem existierende SNMPv3-Benutzerdaten aus \/var\/lib\/net-snmp\/snmpd.conf<\/strong>\n eingelesen, die dann die Einstellungen aus der aktuellen \nKonfigurationsdatei zunichte machen. Deshalb sollte man nach dem \nAnpassen der Konfigurationsdatei den snmpd mit snmpd -C -c \/etc\/snmp\/snmpd.conf<\/code> unter alleiniger Ber\u00fccksichtigung dieser Konfigurationsdatei neu starten. In diesem Fall werden dann die SNMPv3-Benutzer in \/var\/lib\/net-snmp\/snmpd.conf<\/strong> von der Konfigurationsdatei \/etc\/snmp\/snmpd.conf<\/strong> \u00fcbernommen.\n<\/p>\n\n\n\nEinrichtung des SNMPTRAP-Dienstes<\/h2>\n\n\n\n
###########################################################################\n# SNMPTRAP-Konfiguration\n#\n# 30-Nov-2012 Gabriel R\u00fceck\n#\n\n# donotfork: Do not fork from the shell\n# arguments: (1|yes|true|0|no|false)\ndoNotFork no\n\n# pidfile: Store Process ID in file\n# arguments: PID file\npidFile \/var\/run\/snmptrapd.pid\n\n# ignoreauthfailure: Ignore authentication failure traps\n# arguments: (1|yes|true|0|no|false)\nignoreAuthFailure yes\n\nauthCommunity log,execute public\nauthUser log,execute public\nauthUser log,execute public_2\ncreateUser public MD5 auth_pwd_trap DES crypto_pwd_trap\ncreateUser public_2 MD5 auth_pwd_trap_2 DES crypto_pwd_trap_2\n\ntraphandle default \/usr\/bin\/traptoemail -f \"System Administrator <root@caipirinha.homelinux.org>\" root@caipirinha.homelinux.org\n\nformat1 %04.4y-%02.2m-%02.2l %02.2h:%02.2j From %B: %W \\n\nformat2 %04.4y-%02.2m-%02.2l %02.2h:%02.2j From %B: %W \\n<\/pre>\n\n\n\n
createUser public MD5 auth_pwd_trap DES<\/pre>\n\n\n\n
snmptrapd -H<\/code> aufruft, \nkommt ja auch eine entsprechende Meldung, die besagt, lass kein \nLog-Handling aktiv ist. Alle Mitteilungen werden daher leider nach \/var\/log\/messages<\/strong> geschrieben, ob man das will oder nicht. Beim Caipiroska-Server [10]<\/a> sieht das dann beispielsweise so aus:\n<\/p>\n\n\n\nNov 26 07:40:49 caipiroska snmptrapd[18445]: localhost [UDP: [127.0.0.1]:56402->[127.0.0.1]:162]: Trap , DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (22) 0:00:00.22, SNMPv2-MIB::snmpTrapOID.0 = OID: DISMAN-EVENT-MIB::mteTriggerFired, DISMAN-EVENT-MIB::mteHotTrigger.0 = STRING: process table, DISMAN-EVENT-MIB::mteHotTargetName.0 = STRING: , DISMAN-EVENT-MIB::mteHotContextName.0 = STRING: , DISMAN-EVENT-MIB::mteHotOID.0 = OID: UCD-SNMP-MIB::prErrorFlag.24, DISMAN-EVENT-MIB::mteHotValue.0 = INTEGER: 1, UCD-SNMP-MIB::prNames.24 = STRING: smbd, UCD-SNMP-MIB::prErrMessage.24 = STRING: No smbd process running\nNov 26 07:40:49 caipiroska snmptrapd[18445]: localhost [UDP: [127.0.0.1]:56402->[127.0.0.1]:162]: Trap , DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (23) 0:00:00.23, SNMPv2-MIB::snmpTrapOID.0 = OID: DISMAN-EVENT-MIB::mteTriggerFired, DISMAN-EVENT-MIB::mteHotTrigger.0 = STRING: dskTable, DISMAN-EVENT-MIB::mteHotTargetName.0 = STRING: , DISMAN-EVENT-MIB::mteHotContextName.0 = STRING: , DISMAN-EVENT-MIB::mteHotOID.0 = OID: UCD-SNMP-MIB::dskErrorFlag.3, DISMAN-EVENT-MIB::mteHotValue.0 = INTEGER: 1, UCD-SNMP-MIB::dskPath.3 = STRING: \/home\/public\/Video, UCD-SNMP-MIB::dskErrorMsg.3 = STRING: \/home\/public\/Video: less than 5% free (= 100%)<\/pre>\n\n\n\n
Host: localhost (UDP: [127.0.0.1]:56402->[127.0.0.1]:162)\n DISMAN-EVENT-MIB::sysUpTimeInstance 0:0:00:00.22\n SNMPv2-MIB::snmpTrapOID.0 DISMAN-EVENT-MIB::mteTriggerFired\n DISMAN-EVENT-MIB::mteHotTrigger.0 process table\n DISMAN-EVENT-MIB::mteHotTargetName.0 \nDISMAN-EVENT-MIB::mteHotContextName.0 \n DISMAN-EVENT-MIB::mteHotOID.0 UCD-SNMP-MIB::prErrorFlag.24\n DISMAN-EVENT-MIB::mteHotValue.0 1\n UCD-SNMP-MIB::prNames.24 smbd\n UCD-SNMP-MIB::prErrMessage.24 No smbd process running<\/pre>\n\n\n\n
Host: localhost (UDP: [127.0.0.1]:56402->[127.0.0.1]:162)\n DISMAN-EVENT-MIB::sysUpTimeInstance 0:0:00:00.23\n SNMPv2-MIB::snmpTrapOID.0 DISMAN-EVENT-MIB::mteTriggerFired\n DISMAN-EVENT-MIB::mteHotTrigger.0 dskTable\n DISMAN-EVENT-MIB::mteHotTargetName.0 \nDISMAN-EVENT-MIB::mteHotContextName.0 \n DISMAN-EVENT-MIB::mteHotOID.0 UCD-SNMP-MIB::dskErrorFlag.3\n DISMAN-EVENT-MIB::mteHotValue.0 1\n UCD-SNMP-MIB::dskPath.3 \/home\/public\/Video\n UCD-SNMP-MIB::dskErrorMsg.3 \/home\/public\/Video: less than 5% free (= 100%)<\/pre>\n\n\n\n
![\"SNMP-Konfiguration](\"https:\/\/caipirinha.spdns.org\/wp\/wp-content\/uploads\/SNMP-Einstellungen_am_A602-Router-1024x1024.png\")
<\/a>snmptrapd<\/code> gestartet werden. Es ist leider nicht m\u00f6glich, einen automatischen Start \u00fcber den Runlevel-Editor<\/strong>\n einzustellen. Dies wird auf dem Caipirinha-Server im Rahmen eines \nSkripts durchgef\u00fchrt, welches der Systemadministrator nach dem Start des\n Systems ausf\u00fchren muss. Wie beim spnmd sollte man den snmptrapd nach \ndem \u00c4ndern der Konfigurationsdatei mit snmptrapd -C -c \/etc\/snmp\/snmptrapd.conf<\/code> starten, weil auch der snmptrapd beim Start mehrere Konfigurationsdateien aus unterschiedlichen Verzeichnissen einliest (siehe man 5 snmp_config<\/code>), unter anderem aus \/var\/lib\/net-snmp\/snmptrapd.conf<\/strong>.\n<\/p>\n\n\n\nKonfiguration von SNMP bei DSL-Routern<\/h2>\n\n\n\n
Beispiele f\u00fcr SNMP-Abfragen<\/h2>\n\n\n\n
snmpwalk -v2c -cpublic localhost<\/code> oder, wenn SNMPv3 zum Einsatz kommen soll, mit snmpwalk -v3 -u public -l authNoPriv -a MD5 -A auth_pwd_local localhost<\/code>. Die Option authNoPriv<\/strong>\n besagt, dass hier zwar eine Authentifizierung durchgef\u00fchrt wird, aber \nkeine Verschl\u00fcsselung der Daten, die \u00fcbertragen werden. Leider habe ich \nmit der Option authPriv<\/strong> und der Angabe des crypto_pwd_local<\/strong> nur eine Fehlermeldung bekommen.\n<\/p>\n\n\n\nsnmpwalk -v2c -cpublic localhost .1.3.6.1.4.1.2021.11<\/code> bzw. snmpwalk -v3 -u public -l authNoPriv -a MD5 -A auth_pwd_local localhost .1.3.6.1.4.1.2021.11<\/code> anzeigen lassen [11]<\/a>, [12]<\/a>. Dies liefert beispielsweise:\n<\/p>\n\n\n\nUCD-SNMP-MIB::ssIndex.0 = INTEGER: 1\nUCD-SNMP-MIB::ssErrorName.0 = STRING: systemStats\nUCD-SNMP-MIB::ssSwapIn.0 = INTEGER: 0 kB\nUCD-SNMP-MIB::ssSwapOut.0 = INTEGER: 0 kB\nUCD-SNMP-MIB::ssIOSent.0 = INTEGER: 353 blocks\/s\nUCD-SNMP-MIB::ssIOReceive.0 = INTEGER: 0 blocks\/s\nUCD-SNMP-MIB::ssSysInterrupts.0 = INTEGER: 537 interrupts\/s\nUCD-SNMP-MIB::ssSysContext.0 = INTEGER: 796 switches\/s\nUCD-SNMP-MIB::ssCpuUser.0 = INTEGER: 0\nUCD-SNMP-MIB::ssCpuSystem.0 = INTEGER: 1\nUCD-SNMP-MIB::ssCpuIdle.0 = INTEGER: 95\nUCD-SNMP-MIB::ssCpuRawUser.0 = Counter32: 7043838\nUCD-SNMP-MIB::ssCpuRawNice.0 = Counter32: 1157149\nUCD-SNMP-MIB::ssCpuRawSystem.0 = Counter32: 5023506\nUCD-SNMP-MIB::ssCpuRawIdle.0 = Counter32: 147653397\nUCD-SNMP-MIB::ssCpuRawWait.0 = Counter32: 9671287\nUCD-SNMP-MIB::ssCpuRawKernel.0 = Counter32: 0\nUCD-SNMP-MIB::ssCpuRawInterrupt.0 = Counter32: 352\nUCD-SNMP-MIB::ssIORawSent.0 = Counter32: 1866410120\nUCD-SNMP-MIB::ssIORawReceived.0 = Counter32: 2797478450\nUCD-SNMP-MIB::ssRawInterrupts.0 = Counter32: 597294992\nUCD-SNMP-MIB::ssRawContexts.0 = Counter32: 1239253106\nUCD-SNMP-MIB::ssCpuRawSoftIRQ.0 = Counter32: 338170\nUCD-SNMP-MIB::ssRawSwapIn.0 = Counter32: 0\nUCD-SNMP-MIB::ssRawSwapOut.0 = Counter32: 0<\/pre>\n\n\n\n
snmpwalk -v2c -cpublic localhost .1.3.6.1.4.1.2021.9<\/code> bzw. snmpwalk -v3 -u public -l authNoPriv -a MD5 -A auth_pwd_local localhost .1.3.6.1.4.1.2021.9<\/code> [13]<\/a>, [14]<\/a>. Auf dem Caipirinha-Server ergibt dies dann:\n<\/p>\n\n\n\nUCD-SNMP-MIB::dskIndex.1 = INTEGER: 1\nUCD-SNMP-MIB::dskIndex.2 = INTEGER: 2\nUCD-SNMP-MIB::dskIndex.3 = INTEGER: 3\nUCD-SNMP-MIB::dskIndex.4 = INTEGER: 4\nUCD-SNMP-MIB::dskIndex.5 = INTEGER: 5\nUCD-SNMP-MIB::dskPath.1 = STRING: \/\nUCD-SNMP-MIB::dskPath.2 = STRING: \/home\nUCD-SNMP-MIB::dskPath.3 = STRING: \/home\/public\/Video\nUCD-SNMP-MIB::dskPath.4 = STRING: \/var\nUCD-SNMP-MIB::dskPath.5 = STRING: \/backup\nUCD-SNMP-MIB::dskDevice.1 = STRING: rootfs\nUCD-SNMP-MIB::dskDevice.2 = STRING: \/dev\/mapper\/cr_md2\nUCD-SNMP-MIB::dskDevice.3 = STRING: \/dev\/md3\nUCD-SNMP-MIB::dskDevice.4 = STRING: \/dev\/mapper\/cr_md1\nUCD-SNMP-MIB::dskDevice.5 = STRING: \/dev\/mapper\/cr_sde1\n...\nUCD-SNMP-MIB::dskMinPercent.1 = INTEGER: 30\nUCD-SNMP-MIB::dskMinPercent.2 = INTEGER: 10\nUCD-SNMP-MIB::dskMinPercent.3 = INTEGER: 5\nUCD-SNMP-MIB::dskMinPercent.4 = INTEGER: 20\nUCD-SNMP-MIB::dskMinPercent.5 = INTEGER: 10\nUCD-SNMP-MIB::dskTotal.1 = INTEGER: 51612944\nUCD-SNMP-MIB::dskTotal.2 = INTEGER: 901563648\nUCD-SNMP-MIB::dskTotal.3 = INTEGER: 2147483647\nUCD-SNMP-MIB::dskTotal.4 = INTEGER: 8253744\nUCD-SNMP-MIB::dskTotal.5 = INTEGER: 1922857728\nUCD-SNMP-MIB::dskAvail.1 = INTEGER: 37133060\nUCD-SNMP-MIB::dskAvail.2 = INTEGER: 622951360\nUCD-SNMP-MIB::dskAvail.3 = INTEGER: 922618048\nUCD-SNMP-MIB::dskAvail.4 = INTEGER: 2117264\nUCD-SNMP-MIB::dskAvail.5 = INTEGER: 1687921664\nUCD-SNMP-MIB::dskUsed.1 = INTEGER: 11858084\nUCD-SNMP-MIB::dskUsed.2 = INTEGER: 232815424\nUCD-SNMP-MIB::dskUsed.3 = INTEGER: 2147483647\nUCD-SNMP-MIB::dskUsed.4 = INTEGER: 5717212\nUCD-SNMP-MIB::dskUsed.5 = INTEGER: 234936064\nUCD-SNMP-MIB::dskPercent.1 = INTEGER: 24\nUCD-SNMP-MIB::dskPercent.2 = INTEGER: 27\nUCD-SNMP-MIB::dskPercent.3 = INTEGER: 76\nUCD-SNMP-MIB::dskPercent.4 = INTEGER: 73\nUCD-SNMP-MIB::dskPercent.5 = INTEGER: 12\n...\nUCD-SNMP-MIB::dskErrorFlag.1 = INTEGER: noError(0)\nUCD-SNMP-MIB::dskErrorFlag.2 = INTEGER: noError(0)\nUCD-SNMP-MIB::dskErrorFlag.3 = INTEGER: noError(0)\nUCD-SNMP-MIB::dskErrorFlag.4 = INTEGER: noError(0)\nUCD-SNMP-MIB::dskErrorFlag.5 = INTEGER: noError(0)\nUCD-SNMP-MIB::dskErrorMsg.1 = STRING:\nUCD-SNMP-MIB::dskErrorMsg.2 = STRING:\nUCD-SNMP-MIB::dskErrorMsg.3 = STRING:\nUCD-SNMP-MIB::dskErrorMsg.4 = STRING:\nUCD-SNMP-MIB::dskErrorMsg.5 = STRING:<\/pre>\n\n\n\n