Kitsum

Необычные проблемы требуют необычных решений. Начнем с прелюдии На определенном удалении друг от друга имеются две локальные домашние сети. Во главе одной стоит маршрутизатор на базе стационарного компьютера с RouterOS на борту, а сердцем второй является Cisco 800-ой серии (далее просто Кошка). В каждой из сетей имеются ресурсы представляющие интерес друг для друга. И вот настал прекрасный момент, была приобретена статика, и начался процесс поднятия GRE тоннеля. Все завелось с первого раза, пакетики побежали между сетями. Данное событие было отмечено, как подобает Русскому представителю IT сообщества и все разошлись заниматься своими делами. Но счастье было не долгим. Через пару дней, из-за не преодолимых обстоятельств, произошло отключение питания на стороне "Кошки" и MikroTik начал скучать и ждать своего боевого товарища. После проведения аварийно-восстановительных работ "Кошка" радостно заурчала, но пакетики не побежали. Вскрытие показало, что провайдер не поддерживает адекватную работу с DHCP семейства кошачьих и в панике выдавал первый свободный IP из пула, со всеми вытекающими последствиями. Несколько недель велись переговоры с провайдером, и раз эта статья была написана, значит, провайдер пока не добился положительного результата. Решено разбираться самостоятельно и попробовать поднимать тоннель, основываясь только на одном статическом адресе. Ведь в цирке медведи ездят на одноколесных велосипедах? А чем мы хуже медведей?! Реализация Кошка будет гулять по всему пулу адресов провайдера, следовательно, приспосабливаться к этим загулам придется MiktoTik-у. Средствами RouterOS решить эту проблему сходу не получилось и решено вводить в бой тяжелую артиллерию, это сверх мощный и производительный сервер Raspberry Pi А Вы, что подумали?) Эта игрушка с 512mb RAM, 800мГц CPU, Lunux-ом на борту и питанием от USB разъема самого MikroTik-а очень сильно расширяет функционал маршрутизатора, не повышая расходы на электроэнергию и общую стоимость проекта. Если быть серьезным, то MikroTik API + Raspberry Pi (далее просто Малина) позволяют реализовать практически любую Вашу фантазию. Фото моего роутера Поведение будет следующим: На MikroTik-е настраивается проброс 80 порта до Малины.Cisco каждые N минут будет обращаться по протоколу http на Raspberry Pi и методом GET передавать секретный ключ.На борту Малинки крутится Apache + PHP. Последний проверяет корректность ключа, реализуя идентификацию кошки по схеме "Свой\Чужой".Если идентификация пройдена успешно, то по средствам API маршрутизатора происходит перенастройка GRE тоннеля.Хочу отметить, что таким способом можно производить конфигурацию всего маршрутизатора, а не только GRE. Проброс портов на MikroTik-е /ip firewall nat add action=netmap chain=dstnat disabled=no dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.100 to-ports=80in-interface - имя интерфейса смотрящего в интернетto-addresses - внутренний адрес малинкиНе забудьте активировать сервис API у маршрутизатора. /ip service enable 5 Настройка Cisco cisco-test#configure terminal cisco-test(config)#kron policy-list gre cisco-test(config-kron-policy)#cli more http://64.64.64.64/?key=a7656fafe94dae72b1e1487670148412 cisco-test(config-kron-policy)#exit cisco-test(config)#kron occurrence gre in 015 recurring cisco-test(config-kron-occurrence)#policy-list gre cisco-test(config-kron-occurrence)#^Z cisco-test#write В данном случае настраивается задание для планировщика KRON на выполнение команды more каждые 15 минут. Сама команда просто выводит на экран содержимое из различных источников. Естественно необходимо изменить IP адрес на актуальный для Вас. Значение key необходимо изменить на Ваш ключ, указанный в PHP скрипте ниже и закодированный в md5! Еще один важный момент. В GET запросе, символ вопроса "?" обозначает, что начинается передача параметров. В Cisco это спец символ показывающий справку по командам и чтобы его ввести, необходимо перед его написанием нажать Ctrl + V PHP Script для Raspberry Pi Нам понадобится PHP class для работы с RouterOS API https://github.com/BenMenking/routeros-api <?PHP /** * @copyright: iT4iT.CLUB (c) 2015 * @author: https://it4it.club */ # Данные для подключения к API RouterOS $host = '192.168.0.1'; $login = 'login'; $pass = 'password'; # Уникальный ключ для проверки "Свой\Чужой". Удаленный маршрутизатор обязан передавать его в md5 $key = 'secret key'; # Интерфейс, который необходимо переконфигурировать $interfaceName = 'gre-tunnel1'; if(isset($_GET['key']) and $_GET['key'] == md5($key)) { require('./routeros_api.class.php'); $API = new RouterosAPI(); if($API->connect($host, $login, $pass)) { $API->write('/interface/gre/print'); foreach($API->read() as $id => $param) { if($param['name'] == $interfaceName and $param["remote-address"] != $_SERVER['REMOTE_ADDR']) { $API->comm("/interface/gre/set", array( "numbers" => $id, "remote-address" => $_SERVER['REMOTE_ADDR'], )); break; } } $API->disconnect(); } } ?>В данном скрипте при совпадении ключей происходит поиск интерфейса gre-tunnel1 в ветке /interface/gre и в случае его обнаружения следует изменение параметра remote-address на IP клиента передавшего верный ключ в формате md5. Более подробно почитать об API можно на официальном сайте http://wiki.mikrotik.com/wiki/Manual:API PS: Данный вариант управления маршрутизатором довольно забавен и очень гибок, но будьте очень осторожны, "друзья" Эдварда не дремлют! Советую также использовать https, фильтр по IP (провайдера) в коде скрипта и в фаерволе MikroTik-а. routeros_cisco_rpi.zip

Управление микроконтроллером Arduino через Ethernet получает все большую популярность. Я сам активно использую микроконтроллеры в сети для сбора различной информации на удаленных объектах. И в один прекрасный день натолкнулся на мысль, что изменять настройки моих поделок можно только перезаписывая микропрограмму, что не совсем удобно. Намного приятнее производить конфигурацию и менять поведение контроллера через Web интерфейс. Но последовала мысль, что любой может набрать в браузере адрес моей железки и оказаться там, где его не ждут, со всеми вытекающими последствиями! Нужно сделать хотя бы картонную дверь. Идея есть, приступаем к реализации. Т.к работа с моими игрушками происходит через Web браузер, то логично воспользоваться стандартными средствами авторизации заложенными в большинство браузеров. Забегая вперед скажу, что у меня все заработало в браузерах: chrome, firefox и opera. Через ишака не завелось, но он живет своей жизнью и меня не интересует (даже разбираться не стал). В остальных не проверял, но думаю, что все будет работать. Механизм выглядит следующим образом При запросе страницы, браузер (например Opera) отправляет множество различной информации на Web сервер. GET / HTTP/1.1 User-Agent: Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.60 Host: 10.10.10.2 Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8 Accept-Encoding: gzip, deflate Connection: keep-aliveВ свою очередь мы ожидаем во всем этом шлаке увидеть заголовок Authorization: Basic <encoded-key> и естественно его не видим. Делаем правильный вывод - клиент не авторизован. Отправляем пользователю заголовок который заставит его браузер отобразить форму авторизации. HTTP/1.0 401 Unauthorized WWW-Authenticate: Basic realm="Arduino - iT4iT.CLUB" После заполнения пользователем соответствующих форм и отправки данных на сервер, мы получаем тот же шлак, но в нем присутствует интересующий нас заголовок. GET / HTTP/1.1 User-Agent: Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.60 Host: 10.10.10.2 Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8 Accept-Encoding: gzip, deflate Authorization: Basic bG9naW46cGFzc3dvcmQ= Connection: keep-aliveПри дальнейшем изучении вопроса, выясняется, что уникальный ключ bG9naW46cGFzc3dvcmQ= является ничем иным как строкой закодированной в Base64. И при её преобразовании в читаемый вид получаем login:password. Это и есть наши данные разделенные спец. символом ":". Для работы с Base64, для Arduino имеется сторонняя библиотека с одноименным названием и забрать ей можно тут: https://github.com/adamvr/arduino-base64 У меня в наличие имеются Ethernet модули на чипах W5100 и ENC28J60 для Arduino Uno и Nano соответственно. Они имеют серьезные отличия и требуют для работы различные библиотеки. К примеру W5100 , в отличие от ENC28J60, имеет аппаратную поддержку TCP/IP: TCP, UDP, IPv4, ICMP, ARP, IGMP, MAC. Следовательно в ENC28J60 вся эта кухня должна быть реализована программно, что отразится на свободной памяти микроконтроллера. W5100 Для работы требуются библиотеки Ethernet.h и SPI.h. Поставляется совместно со средой разработки Arduino. Скетч для микроконтроллера будет выглядеть следующим образом: ENC28J60 Для данного чипа требуется сторонняя библиотека. Я выбрал UIPEthernet.h, забрать можно тут: https://github.com/ntruchsess/arduino_uip Для работы подойдет предыдущий скетч, необходимо лишь изменить подключаемые библиотеки: /* sign in (authentication) to the Web server Arduino (с) http://it4it.club */ #include <UIPEthernet.h> // Used for Ethernet #include <Base64.h>На этом пока все, всем удачи с экспериментами! PS: Не забывайте изменить IP в скетче.

Думаю, учитывая тот факт, что данная запись позиционируется как шпаргалка, начинать с заурядных вступлений с описанием, что такое SNMP бессмысленно. Основное можно прочитать на wikipedia В моем случае SNMP протокол используется для мониторинга различного оборудования Ubuntu Server'ом. В Debian установка выглядит весьма тривиально sudo apt-get install snmpЕсли необходим еще и демон, то sudo apt-get install snmp snmpdВ пакет snmp также входит всем известная утилита snmpwalk файлы конфигурации (из названия понятно за что отвечает каждый из них) /etc/snmp/snmp.conf/etc/snmp/snmpd.conf/etc/snmp/snmptrapd.confПо умолчанию, после установки, snmpwalk может работать только с цифровыми именами, что может вызвать неудобство для восприятия человека. snmpwalk -v 2c -c public 127.0.0.1 iso.3.6.1.2.1.1.3.0Если заглянуть в snmp.conf, то там красуется печальный, но вполне обоснованный заголовок # As the snmp packages come without MIB files due to license reasons, loading # of MIBs is disabled by default. If you added the MIBs you can reenable # loading them by commenting out the following line.Что нам требуется, то и загружаем самостоятельно в каталог /usr/share/mibs, с последующим занесением имени базы в данный файл. Можно установить дополнительный пакет который, по нашему требованию, будет закачивать различные MIB'ы. sudo apt-get install snmp-mibs-downloaderДля обновления списка баз используем sudo /usr/bin/download-mibsВыглядит это следующим образом После данной процедуры каталог /usr/share/mibs будет под завязку полон. В файле конфигурации можно указать какие MIB'ы использовать просто перечислив их Теперь можно использовать иерархическое пространство в запросах. snmpwalk -v 2c -c public 127.0.0.1 SNMPv2-MIB::sysUpTime.0На мой взгляд, в каталоге /usr/share/mibs стоит держать только те MIB'ы которые необходимы для работы. Можно создавать собственные базы или использовать те, что предоставляет изготовитель используемого Вами оборудования. Что касается демона snmpd, то по умолчанию он обслуживает только кольцевой ip со стандартным community public. Раскомментируем следующую строку для доступа через любой сетевой интерфейс или укажем явно необходимый адрес. agentAddress udp:161,udp6:[::1]:161Для изменения/добавления community смотрим в ветку ACCESS CONTROL. Формат записи [[rocommunity[6]]|[rwcommunity[6]] [community name] [source [OID | -V VIEW [CONTEXT]]]rocommunity - доступ на чтениеrwcommunity - полный доступrocommunity secret1 192.168.1.10 rwcommunity secret2 192.168.1.10 rocommunity secret3 192.168.1.11 .1.3.6.1.2.1.1.3.0Все изменения применяются только после перезапуска демона service snmpd restartПодробное описание можно найти тут http://www.net-snmp.org/docs/man/snmpd.conf.html PS: об остальных возможностях поговорим позже.

Push уведомления - очень удобное, даже жизненно необходимое, дополнение к серверу. В любом месте на планете мы получаем оперативную информацию с поля боя. Для реализации задуманного есть очень удобный ресурс pushbullet.com с простым API. Забегая немного вперед, сразу покажу как это хозяйство будет выглядеть. Android Windows На момент написания статьи, сервис поддерживает следующие платформы для получения push уведомлений: AndroidiOSWindowsChromeFirefoxOperaSafariДумаю, что в скором времени и Mac добавится к списку. И так, к делу Все работы я проводил на Linux Ubuntu Server 4.8 и Zabbix 2.4, но описанное подойдет для любой ОС семейства UNIX, а под Windows лишь с небольшими модификациями. Первым делом нам необходимо перейти на сайт pushbullet (ссылка в начале поста) и пройти регистрацию или авторизоваться под одной из предоставленных систем: google, facebook ... В общем есть из чего выбирать. Привязать необходимую платформу для получения уведомлений можно в разделе Devices -> Add device. Для установки Вас перенаправят на ресурс соответствующий вашему выбору. Устанавливаем, авторизуемся и возвращаемся на сайт в раздел Settings -> Account. Ищем графу Access Token и, если у Вас хорошая память, запоминаем или переписываем секретный ключ. Самое тяжелое позади, переходим к изучению API Необходимый багаж знаний мы можем получить в соответствующем разделе сайта docs.pushbullet.com Раздел Pushes гласит, что мы можем отправлять запросы методом POST/GET и использовать следующие типы запросов с сопутствующими параметрами: На момент написания статьи, ссылка по которой реализована работа с API выглядит так - https://api.pushbullet.com/v2/pushes В документации приведен пример для отправки тестового push уведомления методом POST с использованием Curl в формате Json. curl --header 'Authorization: Bearer <your_access_token_here>' \ -X POST https://api.pushbullet.com/v2/pushes \ --header 'Content-Type: application/json' \ --data-binary '{"type": "note", "title": "Note Title", "body": "Note Body"}'Для теста замените <your_access_token_here> на свой секретный ключ. Это довольно удобно, но у меня возникли проблемы в реализации связки Zabbix -> Bash -> Curl+Json, при которой наблюдались перебои в работе. Поэтому я выкинул из связки Json. Устремляемся на сервер Идем в каталог со скриптами оповещений Zabbix (в Linux это /usr/local/share/zabbix/alertscripts) и создаем там файл с любым именем, но для удобства понимания назовем его pushbullet. Это будет простенький Bash скрипт со следующим содержимым: #!/bin/bash API_URL="https://api.pushbullet.com/v2/pushes" API_KEY="$1" SUBJECT="$2" MESSAGE="$3" curl $API_URL -u $API_KEY: -d type=note -d title="$SUBJECT" -d body="$MESSAGE" -X POST Переходим в Zabbix В разделе Администрирование -> Способы оповещения и добавляем новый способ со следующими параметрами: Имя - pushbulletТип - СкриптИмя скрипта - pushbulletИдем в раздел Настройка -> Действия -> Источник событий: Триггеры и создаем новое действие с именем Report problems to Pushbullet. Активируйте и отредактируйте Сообщение по умолчанию и Сообщение о восстановлении, это поможет получать как список самих проблем так и сообщения при их устранении. Далее в разделе Операции указываем Тип операции: отправлять сообщение и выбираем отправлять только через pushbullet. Можно отредактировать через стандартный шаблон оповещений, но отдельный шаблон позволяет создать конкретное сообщение, что очень удобно т.к например на телефоне не большой дисплей и плавать во всем шлаке данных о проблеме будет не удобно. Что выбрать решать только Вам. Теперь самое вкусно. Переходим в раздел Администрирование -> Пользователи и выбираем нашу учетную запись. Во вкладке Оповещения добавляем новое оповещение со следующими параметрами: Тип - pushbulletОтправлять на - указываем <your_access_token_here>Остальные параметры по желанию, но по личному опыту советую изменить активность на Ваше рабочее время. Я уже получал посреди ночи пулеметную очередь уведомлений с последующими одиночными выстрелами. Таким образом настраиваются уведомления для всех необходимых пользователей. Все готово к работе. PS: По желанию Вы можете модифицировать скрипт и профили пользователей для получения уведомлений на конкретные устройства или распределить между устройствами оповещения в зависимости от текущего времени дня (на рабочий телефон в рабочее время, на домашний компьютер/телефон в свободное). Выбор остается за Вами.

Необходимо ограничить доступ к TFTP серверу на который сохраняются различные конфигурационные файлы. В моем случае на сервер ходят только маршрутизаторы со статическими ip адресами. Следовательно доступ органическим существам необходимо строго-настрого запретить. В Linux имеются два замечательных файла, названия которых говорят сами за себя: /etc/hosts.allow/etc/hosts.denyСинтаксис файлов: <служба или ALL>: <IP, имя хоста или подсеть>Я использую демона tftpd для организации TFTP сервера. Идем в /etc/hosts.allow и добавляем в конец файла секцию описывающую каким хостам разрешено работать с демоном: # --------------------------------------------------------------------------- # TFTP # --------------------------------------------------------------------------- # router 1 in.tftpd: 10.10.10.1 # router 2 in.tftpd: 10.10.10.2 # router 3 in.tftpd: 10.10.10.3 # router 4 in.tftpd: 10.10.10.4Теперь идем в /etc/hosts.deny и добавляем секцию в которой красуется короткая и лаконичная запись "ты кто такой давай до свидания": # --------------------------------------------------------------------------- # TFTP # --------------------------------------------------------------------------- in.tftpd: ALLЕстественно Вы можете указать любую службу: smtp, http, mysqld, sshd ... Spawn Позволяет выполнить код при наступление определенного события соответствующего правилам описанным выше. Добавим логирование событий чтобы знать о всех неудачных попытках подключения к TFTP серверу. Модифицируем /etc/hosts.deny # --------------------------------------------------------------------------- # TFTP # --------------------------------------------------------------------------- in.tftpd: ALL : spawn /bin/echo $(/bin/date +"%%d-%%m-%%y %%T") отказано в доступе %h>>/var/log/tftp.access.logМожно использовать следующие макросы: %a Адрес клиента%A Адрес сервера%c Информация о клиенте: user@host, user@address, имя хоста или просто адрес%d Имя демона/процесса%h Имя хоста клиента или адрес, если имя хоста недоступно%H Имя хоста сервера или адрес, если имя хоста недоступно%n Имя хоста клиента (либо 'unknown' или 'paranoid')%N Имя хоста сервера (либо 'unknown' или 'paranoid')%p Идентификатор процесса (PID)%s Информация о сервере: daemon@host, daemon@address или просто имя демона%u Имя пользователя клиента (или 'unknown')%% Одиночный символ '%'Теперь мы будем знать о всех неудачных попытках подключения к TFTP серверу. Полученный в итоге файл можно скормить Zabbix'у и сигнализировать при его изменении администратору сервера!

Еще один интересный вариант, это воспользоваться планировщиком задач. Любопытно, что CRON у CISCO называется KRON! Ну, Бог с ним, лишь бы работал. Делаем копию текущей конфигурации раз в день, в час ночи: cisco-test#configure terminal cisco-test(config)#kron policy-list put_config_tftp cisco-test(config-kron-policy)#cli show startup-config | redirect tftp://10.10.10.10/cisco-test-running-config cisco-test(config-kron-policy)#exit cisco-test(config)#kron occurrence daily at 1:00 recurring cisco-test(config-kron-occurrence)#policy-list put_config_tftp cisco-test(config-kron-occurrence)#^Z cisco-test#write

Для данной процедуры использую автоматическое архивирование которое происходит при записи изменений в NVRAM. Архивы хранятся на удаленном TFTP сервере. Настройка маршрутизатора: Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#archive Router(config-archive)#path tftp://10.10.10.10/OBJ-NAME/$H Router(config-archive)#write-memory Router(config-archive)#^Z Router#writeOBJ-NAME - папка с именем агрегата\помещения\т.п (должна уже быть на TFTP сервере) для удобства поиска т.к это все потом будет съедать другая программа$H - имя устройства (устройство знает этот макрос как и $T - время создания архива)write-memory - создание архива происходит при изменении (записи в nvram) конфигурацииМожно сделать автоматическое создание архивов раз в день или как душе угодно Router(config-archive)#time-period 1440Просмотр созданных архивов Router#show archiveСравнение архивов Router#show archive config differences tftp://10.10.10.10/router-1 tftp://10.10.10.10/router-2Восстановление конфигурации из множества источников Router#configure replace ? archive: URL of config file that will replace running-config cns: URL of config file that will replace running-config flash: URL of config file that will replace running-config ftp: URL of config file that will replace running-config http: URL of config file that will replace running-config https: URL of config file that will replace running-config null: URL of config file that will replace running-config nvram: URL of config file that will replace running-config rcp: URL of config file that will replace running-config scp: URL of config file that will replace running-config system: URL of config file that will replace running-config tar: URL of config file that will replace running-config tftp: URL of config file that will replace running-config usbflash0: URL of config file that will replace running-config xmodem: URL of config file that will replace running-config ymodem: URL of config file that will replace running-configTFTP Router#configure replace tftp://10.10.10.10/router-1USB Router#configure replace usbflash0:router-1

Мониторинг ИБП через USB с помощью пакета apcupsd. Все манипуляции производились на операционной системе Linux Ubuntu 13.10 и Zabbix 2.2 Установка проста до невозможности: sudo apt-get install apcupsdПосле установки погружаемся в конфиг: nano /etc/apcupsd/apcupsd.confПри беглом изучении файла выяснилось, что для базовой настройки достаточно изменить пару строк. Привожу пример опять же для USB: # Имя ИБП, может быть любым UPSNAME ups-name # Используемый кабель UPSCABLE usb # Тип подключения. UPSTYPE usb # Закомментируем строку указанную по умолчанию #DEVICE /dev/ttyS0 # Указываем как часто сохранять информацию в "статус-файл", по умолчанию 0 и говорит о том, что файл создан не будет STATTIME 30 # Куда сохранять информацию о статусе ИБП, оставляем по умолчанию, но путь до файла запомнили STATFILE /var/log/apcupsd.statusДалее необходимо организовать сбор и передачу данных на zabbix. Захламлять конфиг демона десятками UserParameter нет совершенно никакого желания. Душа просит эстетики и мы начинаем конструировать велосипед. Нам понадобится скрипт который будет посредником между zabbix агентом и apcupsd. Для подобных фокусов у меня имеется каталог "/usr/local/etc/scripts/". Создаем там файл "/usr/local/etc/scripts/apcupsd.status.sh" права 750 владелец root группа zabbix Сам скрипт. Сильно впечатлительным и отцам программирования придется пролить слезу: #!/bin/bash if [[ -z "$1" || -z "$2" ]]; then exit 1 fi if [ -s "$1" ]; then if [[ "$2" =~ DATE|VERSION|CABLE|DRIVER|UPSMODE|STARTTIME|MODEL|LASTXFER|STATFLAG|FIRMWARE|'END APC' ]]; then QUERY=`cat "$1" | grep -iw "$2" | cut -d':' -f 2,3,4,5 | head -n1` else QUERY=`cat "$1" | grep -iw "$2" | cut -d':' -f 2 | awk '{print \$1}'` fi if [ "$2" = "STATUS" ]; then if [[ "${QUERY}" = *ONLINE* ]]; then echo "1" else echo "0" fi else echo "${QUERY}" fi else exit 1 fiОбращаю внимание, что в файле "/var/log/apcupsd.status" используется разделитесь ":", в то время как этот же символ может фигурировать и в самих данных, что приведет к потери части строки. В довесок к этому, некоторые данные отдаются с описанием их единиц измерения, а нам необходимо передать в zabbix эти значения как INT или FLOAT т.к если получать их как STRING, то мы не сможем ими манипулировать в дальнейшем. Например использовать в собственных расчетах и формулах. В общем, для всех этих фильтраций мы используем cut, head и awk. Как обрабатывать тот или иной параметр задано в условии формирующем переменную QUERY. Параметр STATUS отдаёт нам значение имеющее тип STRING и не подходящее нам для использования в графиках или других расчетах. Из тех вариантов, что мы получаем, нас интересует только определение типа его работы (от сети или от аккумулятора), для этого мы преобразуем для zabbix STRING в INT и отдаём "1" (работа от сети) или "0" (работа от батареи). ВАЖНО: Я использовал не все параметры указанные в спецификации apcupsd. Для более подробной информации и добавлению нужных Вам данных стоит почитать тут http://www.apcupsd.org/manual/manual.html Велосипед готов. Идем в конфиг агента "/usr/local/etc/zabbix_agentd.conf" и добавляем в конце файла строку которая будет отвечать за сбор параметров у скрипта: UserParameter=ups[*],/usr/local/etc/scripts/apcupsd.status.sh "/var/log/apcupsd.status" "$1"Тут все просто: ups[*] - массив в котором будут храниться данные от ИБП и по совместительству являться ключами в zabbix/usr/local/etc/scripts/apcupsd.status.sh - путь до скрипта"/var/log/apcupsd.status" - путь до "статус-файла" apcupsd"$1" - запрашиваемый параметрПерезапускаем zabbix агент и идем добавлять шаблон для всей этой кухни. Сам шаблон описывать сильно не буду, а просто добавлю его к посту. PS: На данный момент я отказался от подключения через USB и использую только SNMP описанный в посте выше. Но данный вариант отлично подходит для ИБП без сетевого интерфейса. Можно легко представить ситуацию, что ИБП отвечает за работу автоматизированной станции где нибудь в малообитаемой местности и для доступа к нему используется Raspberry Pi с установленным Zabbix Agent'ом. Хм... дешево и сердито, учитывая стоимость "APC Network Management Card". template_APCUPSD.xml apcupsd.status.zip

Речь пойдет о мониторинге источников бесперебойного питания, в моём случае SMART-UPS 5000 RM, по протоколу SNMP. Версия Zabbix 2.4. Использовать Ethernet для этих целей очень выгодно т.к это избавляет от лишнего звена в виде компьютера подключенного по COM или USB, но ИБП должен быть укомплектован сетевой платой Apc Network Management Card (NMC). У меня все прекрасно заработало на ИБП: SMART-UPS 1000\1500\5000\8000. Уверен, что все получится и с другими моделями. Доступное мне оборудование использует NMC: AP9617, AP9619, AP9631. И так, к делу. Первоначально необходимо произвести сброс настроек NMC. На лицевой стороне NMC есть еле заметное отверстие с красующейся надписью Reset. Ковырять там, разогнутой скрепкой, можно на работающем устройстве. Я использовал два вида кабелей COM to COM - ID 940-1524D USB to COM - ID 940-0272A Для подключения можно использовать как специализированный софт, так и обычный терминал. Я использовал PuTTY, что и Вам советую. Со скоростью поэкспериментируйте (у меня диалог с железкой завязался на 2400). После подключения жмем Enter и появляется запрос на авторизацию. По умолчанию логин и пароль: apc Настройка реализована в виде диалога с вариантами ответа как в дешевой квест-рпг игре. Пример начального квеста: Теперь продолжить настройку ИБП можно через Web интерфейс. Там все еще проще, описывать нет смысла, главное настройте SNMP COMMUNITY. Переходим к Zabbix. Для начала необходимо создать макрос {$SNMP_COMMUNITY} со значением SNMP COMMUNITY которое выставлено в настройках ИБП. Теперь необходимо пройти в Администрирование -> Общие -> Преобразование значений и импортировать список преобразований. Соответствующий файл есть в архиве. Без этих таблиц, во время импортирования шаблона вылетит ошибка и операция будет остановлена. Теперь можно импортировать сам шаблон, он как всегда, во вложении к данному посту. Что имеется на данные момент: Элемента данных Версия прошивки микропроцессора Верхний порог (V) для перехода на работу от батареи Время, прошедшее с момента как ИБП перешел на работу от батареи Входное максимальное зарегистрированное напряжение Входное минимальное зарегистрированное напряжение Входное напряжение Выходная потребляемая нагрузка в амперах Выходное напряжение Индикатор замены батареи Модель устройства Напряжение батареии Нижний порог (V) для перехода на работу от батареи Оставшееся время автономной работы Причина последнего перехода на работу от батареи Серийный номер микропроцессора Статус ONLINE\OFFLINE Статус батареи Текущая нагрузка Текущее состояние ИБП Температура батареи Температура внутри ИБП Уровень заряда батареи Частота входной линии Частота выходной линии Триггеры ИБП: Работает от батареи ИБП: батарея в аварийном состоянии ИБП: батарея разряжена ИБП: выключен или с ним нет связи по Ethernet ИБП: заряд батареи менее 25% ИБП: заряд батареи менее 50% ИБП: заряд батареи менее 75% ИБП: зафиксирован высокий скачек напряжения на входной линии ИБП: зафиксировано сильное падение напряжения на входной линии ИБП: нагрузка превысила 80% ИБП: нагрузка превысила 85% ИБП: нагрузка превысила 90% ИБП: нагрузка превысила 100% ИБП: необходимо заменить батарею ИБП: температура батареи превысила 40 градусов С Графики Входное и выходное напряжение Нагрузка (A, %) Оставшееся время автономной работы Состояние батареи Частота входной и выходной линии (Гц) Ниже добавлю несколько изображений с графиками, но для полноты данных они взяты уже не с 5000 серии, а с 1500. PS: Хочу добавить, что некоторые данные могут не поступать, например температура батареи. Это, как я понял, зависит от комплектации конкретного ИБП.

Делюсь шаблоном для мониторинга состояния маршрутизаторов CISCO, zabbix 2.4 Работа с устройством реализована по протоколу SNMP и тут есть ряд подводных камней, но самый основной это изменения стандарта от одной версии прошивки к другой. Если понадобится изменить OID значения, то поискать их можно тут http://tools.cisco.com/Support/SNMP/do/BrowseOID.do но часть старый параметров в базе отсутствует. Тут уж или через поисковик или "Селяви, что в перевод с древнегреческого - не повезло!". Простая конфигурация устройства: cisco-test#configure terminal Enter configuration commands, one per line. End with CNTL/Z. cisco-test(config)#snmp-server community public RO cisco-test(config)# Но при этом любой может подключиться к устройству и читать с него данные, если вы хотите чтобы плохие люди могли еще и отдавать команды то RO необходимо заменить на RW Если Вы желаете ограничить доступ к SNMP серверу устройства по IP, то необходимо использовать access-list: cisco-test#configure terminal Enter configuration commands, one per line. End with CNTL/Z. cisco-test(config)#ip access-list standard SNMP_ACCESS_RO cisco-test(config-std-nacl)#permit 192.168.1.2 cisco-test(config)#snmp-server community public RO SNMP_ACCESS_RO cisco-test(config)#^Z cisco-test# Сommunity можно обозвать как угодно, хоть BLABLABLA место public. IP естественно заменить на адрес Вашего сервера. RO - только чтение, RW - полный доступ Мы будем только читать, поэтому RO. В теории конечно можно отлавливать определенные события на устройстве и предпринимать ответные действия автоматически, только в таких случаях RW. Но об этом мы поговорим в другой раз. Теперь необходимо добавить макрос в zabbix Администрирование -> Общие -> Макросы {$SNMP_COMMUNITY} = имя community указанное в конфигурации CISCO, например "public" Сам шаблон можно забрать в конце поста. Немного о шаблоне. На данным момент собираются данные: Аптайм Модель маршрутизатора Загрузка центрального процессора за: 5 секунд, 1 минуту, 5 минут Статус (online\offline) Память: ОЗУ, ПЗУ Список доступных интерфейсов Статусы сетевых интерфейсов Количество byte RX\TX на каждом интерфейсе Количество error byte RX\TX на каждом интерфейсе По этим данным строятся соответствующие графики (ОЗУ, ПЗУ и т.п не выведены, можете добавить самостоятельно) Пока маловато триггеров, но по мере обновления шаблона, их количество увеличится: Маршрутизатор выключен или с ним нет связи по Ethernet Маршрутизатор был пере запущен менее 5 минут назад Нагрузка на ЦП выше 80% PS: следите за обновлениями! zbx_templates_router_cisco.xml

Описанный ниже велосипед является продолжением одной из моих статей на другом, интересном мне, ресурсе. Продолжение и все последующие обновления будут происходить только на it4it.club Для начала, хочу процитировать самого себя и тем самым дать пояснения: почему, зачем и для кого это нужно. Данная тема получила большую популярность у коллег и не раз выручила Вашего покорного слугу, не дав разгореться стулу на котором он сидит. Но имеющегося функционала стало не хватать, требовалось не только слышать и иногда видеть, а еще получать удаленный доступ к оборудованию и лицезреть всю картину в целом. Задача поставлена, идем исполнять, но с начало забегу немного вперед и продемонстрирую текущий функционал. Общее окно программы переработано и теперь отображает список всех групп из Zabbix с их хостами. Список активных триггеров переехал в нижнюю часть окна и отображает дополнительную информацию об узлах с которыми не все гладко. Сам список можно увеличивать, если все совсем плохо, или уменьшать если выражение "Хьюстон у нас проблемы" Вы слышите только в фильмах. Также появились цветные маркеры важности триггера. По двойному клику по активному триггеру мы перемещаемся в соответствующую группу где находится проблемный узел. Не забыли и про то, ради чего вся начальная песня и писалась - трей с всплывающими оповещениями и звуковым сигналом. Основное окно сворачивается именно туда, чтобы не залеживаться на панели где ценится каждый свободный пиксель. Хосты в группах стали кликабельны, правда пока только ПКМ, и имеют всплывающее меню позволяющее выполнять банальные действия: Подключение к узлу: Telnet SSH RDP VNC Проверка соединения: Ping Traceroute Естественно его можно расширить, добавив всяких вкусностей по мере возрастания аппетита IT отдела. Программа по прежнему имеет серверную и клиентскую часть, что позволило организовать кэширование запросов и осуществлять оповещения в момент определения проблемы сервером, а не по таймеру обновления, как это организовано в dashboard zabbix. Раньше узнали о проблеме, раньше приступили к устранению. Естественно и устаревшие триггеры убираются также оперативно. Также это позволило избавить программу от информации о доступе к серверу, что мне кажется не приемлемым для оповещалки. Чем меньше дырок, тем крепче сон. Приступим к реализации. Ну и естественно, Ваш покорный слуга еще не научился писать на C++ ничего более сложного чем "Hello World", поэтому клиент и сервер будет написан на PHP. За исключением того момента, что клиентская часть (при помощи магии Гарри Поттера) станет бинарным файлом. Бог с ним, серверная часть не доступна обывателю, а это самое важное!!! Для начала, нужно придумать безопасный и понятный алгоритм не нагружающий сервер т.к клиентов может быть 100и или 1000и, всякое бывает. Все не безопасные команды обязаны выполняться на сервере без участия клиента. Дальнейшая работа клиента: обработка данных, выполнение действий с триггерами и т.п должно выполняться только у клиента, не затрагивая сервер. При обращении клиента к серверу по http происходит проверка его ip на наличие в списках разрешенных. В противном случае показываем фигу. Проверяем, наличие актуального кеша, и отдаём его. Если кеша нет, генерируем новый. Если запрос прилетел от zabbix: принудительно считаем кеш устаревшим, генерируем новый и после этого рассылаем всем клиентам оповещения по UDP протоколу. Это позволит свести расход ресурсов базы данных к нулю т.к все клиенты ринутся забирать новые данные, а все уже в кеше. Супер, все дешево и сердито. Серверная часть представляет из себя файл index.php где-то на Вашем web сервере. Актуально для Zabbix 2.4 (скорее всего будет актуальна и для последующих версий, будем проверять по мере возрастания аппетита). Для дополнительной безопасности рекомендую создать отдельную учетную запись в базе данных с правами только на чтение и только к базе zabbix. Это актуально в наши дни. Переходи в zabbix Первым делом переходим в Настройка -> Действия -> Источники события: Триггеры и создать новое действие. Назовем случайным образом, например Report problems to ZabbixTrigger. В условиях выставляем Значение триггера = ПРОБЛЕМА Значение триггера = OK Это все необходимо, чтобы проблемы в GUI появлялись и исчезали точно именно тогда, когда это происходит в Zabbix (не путать с dashboard). Вкладка "Операции" должна выглядеть следующим образом. Естественно что путь до php скрипта должен быть вашим. Вуаля! Если Вы все сделали правильно (без кардинальных изменений), то я рад приветствовать нового ездока моего велосипеда. Поедем тандемом! Сам клиент прикреплен в конце поста. Для тех, кто читает титры в кинотеатре При запуске будет создан файл config.ini в корне программы. При необходимости, измените его настройки, благо их не много. [server] url="http://zabbix/zabbix-gui" update="60" [client] showalarm="20" Параметр url отвечает за http путь до скрипта на сервере, update за интервал (в секундах) обновления данных с сервера, а showalarm вроде как должен влиять на время отображения всплывающей подсказки в трее. Теперь немного структуры. В каталоге sounds находится звук оповещения о новом триггере, формат ogg Каталог icons содержит маркеры триггеров. trigger00 - для нормального состояния, а все последующие соответствуют начальным настройкам zabbix во вкладке Администрирование -> Общие раздел Важность триггеров. Можете изменить на свои цвета, программа все подхватит при перезагрузки. Ну и на закуску каталог ext, это как говорится для меломанов, содержит фри программы для обработки внешних действий клиента. Вы можете заменить их на свои при условии, что стандартные имена параметров запуска и их последовательность совпадают. PS: На этом все, спасибо тем кого это заинтересовало. Предлагайте свои идеи или способы доработки велосипеда. А если найдется программист на C++ так милости просим. В любом случае, функционал будет в дальнейшем расширяться. zabbixTrigger.zip

Начнем с прелюдии. За благополучный доступ во всемирную паутину в моем жилище отвечает само сборный конструктор с операционной системой RouterOS v6.22 на борту. И настал тот кризисный день, когда понадобился доступ к устройству из вне (а может и за него), а денег на белый IP тратить не хочется т.к. цель должна сначала оправдать средства. А на данный момент самый лучший вариант - использовать DDNS. Для реализации задуманного решено использовать ресурс myddns.ru (и это не реклама, а первый попавшийся под руку). И так к делу Сервис myddns.ru предлагает несколько способов общения с ним. Но меня заинтересовал метод использования уникального ключа при обращения к сервису по http Выглядит это так http://myddns/key/куча_цифр_или_ваш_уникальный_ключ Но есть ограничения - если в течении трех дней не поступают запросы на обновления IP адреса, то происходит делегирование записи в DNS на сервере. И это может показаться банально смешной вещью, но мой провайдер выдает адреса на 3 часа, при этом если я не ухожу в офлайн, то буду получать один и тоже адрес из пула до скончания веков (ну или +/- день от века). Следовательно к моменту как произойдет смена IP адреса устройства, я уже потеряю запись в DNS на сервисе myddns и вся эта затея потеряет смысл. ЭТО НУЖНО УЧЕСТЬ! Нам понадобится всего две вещи: 1. создать скрипт в котором будет реализована вся логика 2. прописать его в планировщик задач RouterOS Пункт 1 (Скрипт) Суть его очень проста. При инициализации провести проверку соответствия текущего IP адреса интерфейса смотрящего во внешний и страшный мир и IP соответствующего нашему субдомену на myddns. Плюс к этому производить дополнительный запрос к сервису через каждый N-ый запуск скрипта. Решено запускать скрипт каждую минуту для проверки условия соответствия IP адресов. И каждый 60-ый запуск скрипта должен вызывать принудительный запрос к DDNS сервису (и не важно, изменился мой адрес или нет), это поможет дополнительно поддерживать стабильность услуги. :local ddnshost "kitsum.myddns.ru"; :local ddnsid "2356273494558114944"; :local wan "ether1"; :local tmpFile "myddns.info"; :local interval 60; :local ddnsip [:resolve $ddnshost]; :local localip [/ip addres get [/ip address find interface=$wan ] address]; :local localip [:pick $localip 0 [:find $localip "/"]]; :global ddnsinterval; :if ($localip != $ddnsip) do={ /tool fetch url="http://myddns.ru/key/$ddnsid" dst-path="$tmpFile" delay 2; :local fileid [/file find name="$tmpFile"]; :local fileContent [/file get $fileid contents]; /file remove $fileid; :if ($fileContent = "update") do={ :log info "DDNS: mismatch DNS records, correction is made. $ddnshost ($ddnsip) changed to $localip"; } } else={ :if ($interval <= $ddnsinterval) do={ :log info "DDNS: launched additional check" :set ddnsinterval 1; /tool fetch url="http://myddns.ru/key/$ddnsid" dst-path="$tmpFile" delay 2; :local fileid [/file find name="$tmpFile"]; :local fileContent [/file get $fileid contents]; :log info "DDNS: server response '$fileContent'"; /file remove $fileid; } else={ :set ddnsinterval ([$ddnsinterval] + 1); } }Параметры: 1. ddnshost - соответствует Вашему субдомену myddns.ru 2. ddnsid - Ваш уникальный ключ прописанный на сервисе ddns 3. wan - содержит имя интерфейса Вашего MikroTik который смотрит в интернет 4. tmpFile - имя временного файла который будет создаваться в ходе работы скрипта и содержать ответ сервера: 5. interval - как часто проводить принудительный запрос (измеряется в интервалах запуска помноженный на частоту запуска скрипта) Все остальные значения не предназначены для редактирования. Планировщик задач MikroTik Консольный вариант расписывать не буду т.к используют winbox. Проваливаемся в System -> Scheduler и создаем новую задачу с произвольным именем в которую прописываем запуск скрипта с интервалом в 1 минуту и запуск самой задачи при старте OS. Вы можете указать иной интервал, но для меня важно не терять связь с устройством (учитывая, что если IP изменится во время работы, то связь и так будет потеряна на время до 15-20 минут), пока обновятся записи DNS на сервисе. Команда запуска скрипта выглядит так /system script run myddnsГде myddns - имя исполняемого скрипта Привожу скин с настройками для наглядности

Первым делом необходимо получить список записей в access-list с их порядковыми номерами. cisco-test#show access-lists Standard IP access list SNMP_ACCESS_RO 10 permit 10.10.10.100 Extended IP access list 101 10 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.100 20 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.101 30 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.102В данном случае в ACL 101 имеются три записи с порядковыми номерами 10, 20, 30. Эти уникальные идентификаторы и позволят нам совершить акт вандализма. cisco-test#configure t Enter configuration commands, one per line. End with CNTL/Z. cisco-test(config)#ip access-list e 101 cisco-test(config-ext-nacl)#no 30В конфигурационном терминале мы выбрали для редактирования ACL 101 и указали какую запись необходимо удалить ссылаясь на её порядковый номер (в данном случае 30).