Thresholds für Fortinet-Produkte

Posted: 24th Oktober 2012 by marcel in OpenNMS
Tags: , , , , ,

Basierend auf Thorbens Datacollection kann man sich recht einfach einige Thresholds bauen.
Die Fortinet Produkte schicken zwar auch alle super SNMP Traps, aber nur weil einmal eine CPU auf 80% war will ich keine Trap oder noch schlimmer eine Email.
Daher ist es meiner Meinung nach sinnvoller, das über das SNMP Polling zu regeln. Über den Trigger kann man ja super den Zeitraum festlegen. In meinem Bsp. wäre das dann Trigger=2, also bei Standardpolling 2x 5 Minuten.

Fix ein neues Packet im Threshd angelegt:

<package name="Fortinet">
        <filter>IPADDR != '0.0.0.0'</filter>
        <include-range begin="1.1.1.1" end="254.254.254.254"/>
        <service name="SNMP" interval="300000" user-defined="false" status="on">
            <parameter key="thresholding-group" value="Fortinet"/>
        </service>
    </package>

Hier Thresholds für CPU, Memory, AV Detections, aktive SSLVPN Websessions und Tunnels. Die Werte solltet ihr natürlich eurer Umgebung anpassen.

    <group name="Fortinet" rrdRepository="/var/lib/opennms/rrd/snmp/">
        <threshold type="high" ds-type="node" value="70.0" rearm="20.0"
            trigger="2"
            triggeredUEI="uei.opennms.org/threshold/highThresholdExceeded"
            rearmedUEI="uei.opennms.org/threshold/highThresholdRearmed"
            filterOperator="or" ds-name="SysCpuUsage"/>
        <threshold type="high" ds-type="node" value="70.0" rearm="40.0"
            trigger="2"
            triggeredUEI="uei.opennms.org/threshold/highThresholdExceeded"
            rearmedUEI="uei.opennms.org/threshold/highThresholdRearmed"
            filterOperator="or" ds-name="SysMemUsage"/>
        <threshold type="absoluteChange" ds-type="node" value="5.0"
            rearm="0.0" trigger="1"
            triggeredUEI="uei.opennms.org/threshold/highThresholdExceeded"
            rearmedUEI="uei.opennms.org/threshold/highThresholdRearmed"
            filterOperator="or" ds-name="AvVirusDetect1"/>
        <threshold type="high" ds-type="node" value="1.0" rearm="0.0"
            trigger="1"
            triggeredUEI="uei.opennms.org/threshold/highThresholdExceeded"
            rearmedUEI="uei.opennms.org/threshold/highThresholdRearmed"
            filterOperator="or" ds-name="VpnSslActWebSess1"/>
        <threshold type="high" ds-type="node" value="1.0" rearm="0.0"
            trigger="1"
            triggeredUEI="uei.opennms.org/threshold/highThresholdExceeded"
            rearmedUEI="uei.opennms.org/threshold/highThresholdRearmed"
            filterOperator="or" ds-name="VpnSslActWebTun1"/>
    </group>

Notifications benötigt ihr dafür nicht, da die Standardnotifications für High/Low Thresholds genommen werden.
edit: Der AbsoluteChange ist nicht optimal was die Standardnotifications High/Low Thresholds angeht, da dieser kein Rearm hat und bei dem Thresholdwert dann z.B. die Zahl 435 anzeigt (diese steigt ja kontenuierlich). Aber da könnt ihr euch ja was eigenes bauen.