CA Spectrum - 10.3.2 - Japanese - Japan

SDC TrapX サポート

22
casp1032jp
2
2
基本の説明
TrapX は、SNMP トラップ メッセージを受信およびフィルタし、他のホストおよびポートにある他の管理アプリケーションに転送する、簡易ネットワーク管理プロトコル(SNMP)の管理アプリケーションです。CA Spectrum TrapX を使用して、他の管理のステーションにトラップを転送できます。CA Spectrum 10.3.2 では、v1、v2、v3 のトラップをフィルタして異なる製品に転送する、TrapX の新機能をサポートしています。Secure Domain Connector(SDC)が TrapX として動作し、v1、v2 および v3 トラップをフィルタします。その後、v2 を v1 へ、v3 を v1 へそれぞれ変換し、指定された宛先に、フィルタされたトラップをプッシュします。
CA Spectrum TrapX 機能によって、トラップの設定および管理が簡略化され、ユーザは情報技術(IT)のリソースをより戦略的な活動に専念させることができます。CA TrapX は、複数の管理アプリケーションが、制限された数の SNMP マネージャへのみメッセージを発行できる多様な一連の SNMP 対応デバイスからメッセージを受信する必要がある環境で、特に有用です。ユーザは、次の目的で TrapX を活用することができます。
  • トラップのフィルタリング
  • その他のトラップ レシーバへのトラップの転送
  • CA eHealth AdvantEDGE View を含む、エレメント マネージャへのトラップの転送
  • TCP 接続経由でのトラップの転送
  • 管理ソフトウェアのフォールト トレランスの拡張
以前のレガシー TrapX ではフィルタリングまたは v3 トラップの変換はサポートされていませんでしたが、Spectrum 10.3.2 リリースでは SDC TrapX の v3 トラップのフィルタリング、変換、および転送がサポートされています。さらにこのリリースでは、レガシー TrapX の機能で制限のあった、v1 に変換された 64 ビット カウンタの v2 トラップもサポートされています。 
: OneClick が UIM や VNA などの製品と統合されている場合は、16 GB のメモリの確保を推奨します。
: SDC が TrapX としてインストールされている場合、その SDC はセキュア ドメインでは(ポーリングを含む)デバイスの管理には使えません。
以下の図は、Spectrum SDC TrapX がトラップをフィルタし、さまざまなデバイスに転送する方法を示しています。
SDC-TRAPX (1).png
TrapX の SDC のサポートの有効化
SDC の機能を TrapX の機能に変換するには、Spectrum 10.3.2 Secure Domain Connector のインストール中に以下で示されているとおりに[TrapX]チェック ボックスを有効化します。 
image (10).png
: すでにインストールされている TrapX/SDC からのサイレント インストールによる TrapX/SDC へのアップグレードが失敗した場合、SDMConnector/bin フォルダの「InstallationError.log」ファイルにエラー メッセージが返されます。回避策の詳細については、CA サポート サイトの KB 記事を参照してください。
予期される動作
  • SNMPv3 プロファイルの作成中に SDC ドメインの下に作成されたすべての v3 プロファイルは、トラップを処理するために SDC にプッシュされます。 
  • SDC が TrapX としてインストールされている場合、同じ SDC はセキュア ドメインでは(ポーリングを含む)デバイスの管理には使えません。 SDC TrapX を展開するための専用の VM/物理ボックスの確保を推奨します。
  • Secure Domain Manager(SDM)の下に作成された SDC プロファイルは、[Model by IP(IP によるモデル)]、[ディスカバリ コンソール]、および[MIB ツール]の下にはモデリングされません。たとえば、
    10.241.3.152
     は Secure Domain Manager の下にプッシュされた SNMPv3 トラップですが、スクリーン ショットに示されているように、[Model by IP]の下にはモデリングされていません。同様に、[ディスカバリ コンソール]や[MIB ツール]の下にもモデリングされません。 
    ModelByIp.png
フィルタの設定
フィルタを設定するには、以下の手順に従います。 
  • trapX.config ファイルを作成します。 
  • 設定ファイルにフィルタを追加します。TrapX のフィルタ式では、次の形式を使用します。 
DateTime、SrcIP、Agent、TrapType、SpecificType、Enterprise、Action でフィルタします(オプション)
フィルタの名前/タイプ
Description
フィルタの値
DateTime(オプション) 
SDC TrapX によってトラップを受信した日時を示す正規表現です。
たとえば、Fri May 11 09:23:34 EDT 2001 などです。
: この値は必ずしもデバイスによってトラップが送信された時間を示すものではありません。
SrcIP(オプション)
ソース IP を IP パケット ヘッダと一致させるために SDC TrapX が使用する、IP アドレスに基づく正規表現です。トラップの受信元の IP アドレスは、トラップ PDU 内のエージェント IP アドレスと常に一致するとは限りません。この正規表現は、いずれかの IP アドレスが一致することを示します。このフィールドでは、IP アドレスの代わりにホスト名を指定できます。
AgentIP(オプション)
(トラップ PDU の[Agent IP Address(エージェント IP アドレス)]フィールドにある)トラップを生成した管理対象オブジェクトの IP アドレスを一致させるために SDC TrapX が使用する、IP アドレスに基づく正規表現です。トラップの受信元の IP アドレスは、トラップ PDU 内のエージェント IP アドレスと常に一致するとは限りません。この正規表現は、いずれかの IP アドレスが一致することを示します。このフィールドでは、IP アドレスの代わりにホスト名を指定できます。
: IP アドレスに含まれるピリオド(.)のコンポーネントの前には、円記号(\)を追加することを確認してください。ピリオド(.)は、正規表現の構文における特殊文字です。
TrapType(オプション)
SDC TrapX がトラップ PDU の[TrapType]フィールドと比較する、整数ベースの正規表現です。
有効な SNMP TrapType 値を以下に示します。
■ coldStart(0)
 ■ warmStart(1)
■ linkDown(2)
■ linkUp(3)
■ authenticationFailure(4)
■ egpNeighborloss(5)
■ enterpriseSpecific(6)
SpecificType(オプション)
SDC TrapX がトラップ PDU の[SpecificType]フィールドと比較する、整数ベースの正規表現です。このフィールドで有効な値はすべての整数です。
Enterprise(オプション)
SDC TrapX がトラップ PDU の[enterprise]フィールドと比較する、OID に基づく正規表現です。
: OID に含まれるピリオド(.)のコンポーネントの前には、円記号(\)を追加することを確認してください。ピリオド(.)は、正規表現の構文における特殊文字です。
Action(オプション)
SDC TrapX が実行するアクションを示すキーワードです。以下のものが含まれます。
  • file:
    [オプション]フィールドで指定されたファイルに、トラップ PDU を記録します。ファイルが存在しない場合、SDC TrapX によって作成されます。このオプションは、SNMPv2c の SNMPv1 トラップへの変換の実行時に、SNMPv1 トラップおよび SNMPv2 トラップにのみ適用可能です。
  • forward:
    [オプション]フィールドで指定されたホストに、UDP 経由でトラップ PDU を転送します。トラップ レシーバが TCP をサポートしていない場合、または TCP 接続が切断されている場合に、このオプションを使用します。
  • break:
    このアクションでは、指定されたトラップに対してアクションを実行しません。現在のトラップ PDU に対する以降のフィルタ処理を実行せず、現在のトラップに対して他のフィルタを評価しません。このアクションに対するオプションはすべて無視されます。
  • Tcp:
    トラップのバッファなしで TCP 接続を経由してトラップを転送します。このアクションでは、SDC TrapX がリモート トラップ レシーバに接続できない場合、トラップをドロップします。
  • Tcpbuff:
    TCP 接続を介してトラップを転送します。このアクションでは、SDC TrapX のリモート トラップ レシーバへの接続が可能になるまで(またはタイムアウト期限に到達するまで)、トラップを保存します。バッファされるトラップ数は、フィルタで指定されているキューのサイズに依存します。 
    : tcp または tcpbuff アクションの使用中に「SDC TrapX: tcp forw detected a broken socket to: [port]」というエラー メッセージが表示された場合、TCP 接続が切断されているか、無効です。forward アクションを使用してください(これにより、UDP を介してトラップを転送します)。
  • blind:
    事前に解析またはデコードなしでトラップを転送します。この機能は、不正な形式のトラップまたはサポートされていない SNMP バージョンを転送する際に有用です。これにより、ソース IP アドレスのフィルタリングのみが有効になります。
  • exec:
     このアクションでは、プログラムまたはスクリプトを実行します。スクリプトへのパスは絶対パスを指定する必要があります。またパスと引数全体は、一重引用符で囲む必要があります。例:
    exec '/path/to/script [arg1 [arg2...]] '
    exec '/tmp/trapScript.pl 0 123 4321'
    exec 'c:\temp\trapScript.pl 0 123 4321'
     スクリプトを実行するには、同様に実行可能ファイルの絶対パスを指定します。例: 
    filter * * * * * * exec 'C:\\win32app\\Spectrum\\bin\\perl.exe C:\\abc.pl'
  • nat:
    このアクションでは、トラップの[agent-addr]フィールドを別の IP アドレスに変換します。
    注:
     このアクションは、アドレス変換のみを実行します。このアクションでは、転送は実行されません。そのため、nat アクションを有効にする必要がある転送ルールの前に、このルールを配置します。例:
    nat new-agent-addr
    または
    nat 1.2.3.4
: (フィルタまたはグローバル パラメータなどの)trapX.config ファイルを変更した場合は、SDC サービスを再起動します。
: SDM の TrapX 機能では -remoteconnect パラメータがサポートされており、SDC の TrapX 機能では -accept パラメータがサポートされています。
  • 変換の有効化
  • trapX.config ファイルに translate_v2c_traps オプションを追加して、SNMP v2c トラップの SNMPv1 トラップへの変換を有効にできます。以下の手順に従います。 
    1. translate_v2c_traps
       を trapX.config ファイルに追加します。
    2. デバイスが snmpTrapAddress なしで v2c トラップを送信する場合、次のオプションを有効にします: agentaddr_is_srcaddr_translated_v1
      このオプションにより、v2c トラップ エージェントのアドレスをソース アドレスと同じにします。このオプションは、v2c から v1 への変換および v3 から v1 への変換が有効な場合に使用されます。この変換が有効でない場合は、このオプションを使用することはできません。
  • SNMPv3 トラップから SNMPv1 への変換を有効にするには、conf ファイルに translate_v3_traps:1:test を追加 します。以下に例を示します。 
    filter * * * * * * forward  138.42.86.54 translate_v3_traps:1:xyz
    ここでは、オプション 1 の変換を有効にします。これにより、v3 トラップが v1 にコミュニティ文字列変換されます。このオプションが指定されていな場合は、パブリックの値になります。
フィルタのサンプル
このセクションでは、trapX.config ファイルに追加できるフィルタのサンプルが含まれます。フィルタを追加するには、以下の手順に従います。 
  1. 事前に trapX.config ファイルが作成されていることを確認します。 これらの例を使用して、ご使用の環境に適したフィルタの作成に役立てることができます。これらの例では、アスタリスク(*)は、特定の値でフィルタしないフィールドのプレースホルダを示します。 
  • ローカル ホストからのトラップ PDU の一致:
     これらの例では、ローカル ホストからのすべてのトラップ PDU を一致させ、これらに対するフィルタ処理を効果的にドロップおよび一時停止します。
    filter * * 127\.0\.0\.1 * * * break
    filter * * ::1 * * * break
    : デフォルトでは、SDC trapX は UDP ポート 162 上および TCP ポート 161 上のトラップをリスンします(TCP ポートでリスンが有効になっている場合)。これらのポートは、UDP の sdc.rc ファイルまたは TCP の trapX.config ファイルの「snmp_trap_port=」の値を変更することで設定できます。
  • 認証失敗トラップの一致:
    この例では、すべての authenticationFailure (4)トラップを一致させ、UDP ポート 162(デフォルト)にある concord という名前のシステムに転送します。
    filter * * * 4 * * forward concord
  • プライベート - エンタープライズ トラップの一致:
    この例では、SpecificType 3 ~ 8 のすべての private-enterprise トラップを一致させ、UDP ポート 191 の concord という名前のシステムに転送します。
    filter * * * 6 [3-8] * forward concord:191
  • エンタープライズ OID によるトラップの一致
    : この例では、エンタープライズ OID 1.3.6.1.4.1.546.1.1 が含まれるすべてのトラップを一致させ、UDP ポート 162(デフォルト)の ottoman という名前のシステムに転送します。
    filter * * * * * 1\.3\.6\.1\.4\.1\.546\.1\.1 forward ottoman
    各ピリオド文字(.)の前には円記号(\)を入力します。これは、ピリオドが正規表現のワイルドカード操作のためではなく、エンタープライズ ID の一部として正しく読み取られるようにするためです。
  • 日付によるトラップの一致:
     この例では、SDC TrapX が金曜日に受信したすべてのトラップを一致させ、ottoman という名前のシステムに転送します。
    filter "Fri" * * * * * forward ottoman
  • ソース IP アドレスによるトラップの一致:
     これらの例では、ソース IPv4 アドレス 199.250.183.215 から送信されたすべてのトラップを一致させ、ottoman という名前のシステムに転送します。 
    filter * 199\.250\.183\.215 * * * * forward ottoman
    filter * fe80::a00:20ff:fe8c:af7e * * * * forward ottoman
  • エージェント IP アドレスによるトラップの一致:
     これらの例では、IPv4 アドレス 199.250.183.215 の管理対象オブジェクトから送信されたすべてのトラップを一致させ、ottoman という名前のシステムに転送します。
    filter * * 199\.250\.183\.215 * * * forward ottoman
     filter * * fe80::a00:20ff:fe8c:af7e * * * forward ottoman
  • agentaddr_is_srcaddr_translated_v1:
    このコマンドは、translate_v2c_traps および translate_v3_traps に対応し(translate_v2c_traps および translate_v3_traps がオンになっている場合)、これにより v2c トラップまたは v3 トラップのエージェント アドレスがソース アドレスになります。デフォルトでは、これはコメント アウトされます。
TCP 接続を介したトラップの転送
ホスト名(または IP アドレス)、ポート、および接続のタイムアウト値を指定すると、TrapX は TCP 接続を介してトラップを転送できます。TrapX では、TCP を介してトラップを転送するための、tcp および tcpbuff の 2 つのアクションが提供されています。TrapX ファイル内のトラップのフィルタに対する tcp アクションを指定すると、TrapX はトラップをバッファしません。さらにトラップ レシーバが使用できない場合、TrapX はトラップをドロップします。tcpbuff アクションを指定する際に、TrapX はトラップをキューし、トラップ レシーバの再起動時にこれらを送信できます。これにより、tcp アクションが提供するよりも高度な TCP 接続の管理を実現します。 バッファありまたはなしで TCP を介してトラップを転送することができます。トラップをバッファ(トラップ レシーバが利用できない場合に保存)するには、tcpbuff アクションを使用します。バッファなしでトラップをフィルタするには、tcp アクションを使用します。以下に例を示します。
: TCP を介してのトラップを転送では、セキュリティ、プライバシー、または認証が保証されません。これは単に、トラップの受信の信頼性を高めます。 1771 の tcp_traps をリスンし、trapX.config ファイルの TCP ポートにトラップを転送します。例: filter * * * * * * tcp 10.241.3.151:1771 translate_v3_traps 300
  • TCP を介したバッファありのトラップのフィルタ
    : この例では、ポート 5058 の violet というホスト名のシステムに、60 トラップ同等のバッファ サイズおよび 300 秒のタイムアウト値で TCP 接続を介してトラップを転送します。
    filter * * * * * *  tcpbuff  violet:5058  translate_v3_traps 60 300
    バッファの CA SDC TrapX バッファ トラップは、ドロップまでに 300 秒間、60 トラップを保持します。
  • TCP を介したバッファなしのトラップのフィルタ
    : この例では、ポート 162 の electrode というホスト名のシステムに、30 秒のタイムアウト値で TCP 接続を介してバッファなしでトラップを転送します。
     filter * * * * * * tcp electrode:162 30
  • UDP 接続を介したトラップの転送:
     この例では、ポート 5058 の orange というホスト名のシステムへ UDP 接続を介してトラップを転送します。 トラップ レシーバが TCP をサポートしていない場合、UDP 介してトラップを転送できます。
    filter * * * * * * forward orange:5058
  • トラップのブラインド転送
     この例では、ポート 5058 の lemon というホスト名のシステムに、解析またはデコードなしでトラップを転送します。 解析またはデコードなしで、トラップをブラインド転送できます。
    filter * * * * * * blind lemon:5058
SDC TrapX の制限事項
この機能での制限事項は以下のとおりです。
  • このリリースでは、マルチ NIC および SDC TrapX High Availability(HA)はサポートされていません。 
  • SpectroSERVER ボックスへの SDC TrapX のインストールはサポートされていません。
  • SDC ボックスへの SDC Trapx のインストールはサポートされていません。
  • このリリースでサポートされていないフィルタは、以下のとおりです。
    フィルタ名
    Description
    overloaded_header
    overloaded_header
    このフラグは、v2c トラップから v1 への変換中に、SNMPv1 トラップ PDU へ 16 バイトのエージェント IP アドレスをオーバーロードします。このフラグは、translate_v2c_traps フラグがオンの場合にのみ有効です。
    so_rcvbuf <バッファサイズ(バイト数)>
    so_rcvbuf 128000
    このコマンドは、バッファを受信するソケットのサイズを設定します。これは、UDP と TCP リスニング ソケットの両方に適用されます。デフォルトでは 128000 バイトです。
    tcp_receive_timeout <タイムアウト時間(秒)>
    tcp_receive_timeout 5
    このコマンドでは、TCP リスン ソケットでの recv() 操作のタイムアウト(秒)を定義します。基本的には、これにより非承認の TCP 接続による TrapEXPLODER の無期限のブロックを防止します。値を 0 にすることでタイムアウトを無効にし、TCP recv() 操作で無期限のブロックが可能になります。このオプションは、listen_for_tcp_traps が「オン」に設定されている場合にのみ有効です。デフォルトは 5 秒です。
    'aview' action
    aview /opt/aview/var/traps
    aview c:\aview\var\traps
    このアクションでは、aview 形式でトラップを書き込みます。Trap Exploder が Fault Manager ライセンスのある eHealth® マシンで実行されている場合、このアクションは機能しません。
    'eh' action
    eh 1.2.3.4:666 666 30
    このアクションは、CA eHealth® 5.0 で、eHealth トラップ レシーバにトラップを転送するために使用されます。このアクションは、CA eHealth® 5.5 以降では廃止されます。

Content feedback and comments