Добрый день,
Помогите сделать правило для snmptt, чтобы выискавать нужные мне трапы общего потока.
Опыта с ловлей нет никакого, в лоб задачу решить не удалось)
На свичах настроен port-security. Если в порту находится неизвестный мак, шлется трап и порт уходит в даун.
В snmptrapd приходит вот такое сообщение
Dec 18 10:34:04 myhost7 snmptrapd[2720]: 2015-12-18 10:34:04 sw4.adm [192.168.05.04] (via UDP: [192.168.05.04]:161->[192.168.1.05]:162) TRAP, SNMP v1, community public#012#011SNMPv2-SMI::enterprises.11.2.14.12.4 Enterprise Specific Trap (1) Uptime: 13 days, 16:40:58.80#012#011SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.2.1.31 = INTEGER: 1#011SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.3.1.31 = INTEGER: 31#011SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.4.1.31 = Hex-STRING: 00 19 BB EA 7A 9E #011SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.6.1.31 = INTEGER: 1#011SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.7.1.31 = INTEGER: 1
По-человечьи тут говорится, что в 31 порту появился 0019BBEA7A9E и порт блочится.
Все данные хранятся в виде массива данных, это видно если пройтись по oid
snmpwalk -v2c -c public sw4.adm '.1.3.6.1.4.1.11.2.14.2.10.2.1'
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.1.1 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.1.2 = INTEGER: 2
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.1.3 = INTEGER: 3
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.2.1 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.2.2 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.2.3 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.3.1 = INTEGER: 31
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.3.2 = INTEGER: 31
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.3.3 = INTEGER: 13
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.4.1 = Hex-STRING: 00 19 BB EA 7A 9E
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.4.2 = Hex-STRING: 00 19 BB EA 7A 9E
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.4.3 = Hex-STRING: 1C AF F7 C8 5A 0A
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.5.1 = Timeticks: (118325864) 13 days, 16:40:58.64
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.5.2 = Timeticks: (119826150) 13 days, 20:51:01.50
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.5.3 = Timeticks: (120009389) 13 days, 21:21:33.89
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.6.1 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.6.2 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.6.3 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.7.1 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.7.2 = INTEGER: 1
SNMPv2-SMI::enterprises.11.2.14.2.10.2.1.7.3 = INTEGER: 1
в snmptt.conf написал, в надеже получить хоть что-то в /tmp/trap.txt )) Но тщетно.
EVENT InruderDetected .1.3.6.1.4.1.11.2.14.2.10.2.1 "Status Events" Critical
FORMAT InruderDetected $1 $2 $3 $4
EXEC InruderDetected $1 $2 $3 $4 >> /tmp/trap.txt
SDESC
hello world
EDESCПодскажите, пожалуйста , как подступится к этому.