Eventlog auslesen SNMP?!?!?

[cosen1989]

Guten Morgen liebe Community,

Ich habe die Aufgabe gestellt bekommen, Daten wie z.B. Eventlogs, Funktion des Netzteils und RAID-Verbund von PC´s auszulesen und in unserer Leitstelle anzeigen zu lassen.

Wobei der Schwerpunkt auf den Eventlogs ist.

Ich bin ein ziemlciher Neuling in Sachen SNMP und weiß ganrich wie ich anfangen soll, wie es wirklich funktioniert etc...

Könnt ihr mir da Anregungen geben? Könnt ihr mir das ein wenig erläutern?

Oder hat so etwas vllt schon einmal gemacht?

Bitte Hilfe xD

Mfg Cosen

[Chief Wiggum]

Suchst du fertige Tools dafür oder willst du selber was programmieren?

[cosen1989]

Nein Programmieren darf ichs leider nicht

Ich brauch was fertiges

[afo]

Programme für Windows oder für Unix?

[cosen1989]

Betriebssystem: XP

Soll angeziet werden in: BTC Prins

[cosen1989]

Noh eine kleine Verständnisfrage ^^

Kann ich von jeder Managementstation jegliche Cleints erreichen?

Also kann ich eine xy-Management-Station mit abc-Client kommunizieren lassen?

Oder geht dies nur mit Komponenten der gleichen Firma?

[h3llraid3r]

Sofern der "Management-Server" die Berechtigung dazu hat (sprich die Firewall für den Port und den Server freigeschaltet ist), kannst du selbstverständlich alle Clients ansprechen.

Die Art der Geräte ist hierbei nicht maßgeblich, da SNMP kein proprietäres Protokoll ist.

Für die Programme musst du einfach mal Tante Google benutzen, es gibt zig Programme, die SNMP benutzen, da kommt es ganz darauf an was du damit vor hast.

Spontan würde mir z.B. Cacti einfallen, ich glaube aber kaum dass du so etwas meinst. Wie wäre es, sich einfach ein Shell-/Batch-Skript zu schreiben und das zu verwenden?

EDIT: Der Einwand, du DARFST es nicht programmieren ist übrigends Unfug, denn wenn du dir so ein Skript im Internet besorgst, weißt du nicht mal was es tut... Wenn du es selber machst, weißt du erstens was es tut und zweitens verstehst du es auch

Bearbeitet 10. Dezember 2010 von h3llraid3r

[tester2k5]

Zu welchem Zweck möchtest du die Daten auslesen?

Bei entsprechender Redundanz der Komponenten kannst du per SNMP noch auf das System zugreifen, wenn das System bereits offline ist kommst du nicht mehr dran. Evtl. ist SYSLOG für dich interessant?

Gruss,

tester2k5

[cosen1989]

So neue Situation xD

Ich darfs nicht Programmieren weils für meine Abschlussprüfung ist, ein Skript werde ich wohl ebenfalls nicht verwenden dürfen^^

Aber hab nun endlcih mal Informationen zu dem BTC Prins bekommen

Es kann von sich aus SNMP-Anfragen senden... Also auch verarbeiten....

Da ich nur im internen LAN Daten einlesen möchte ist eine Firewall nicht vorhanden.

Also kann ich dann sagen wir aml so den SNMP-Dienst von Windwos (Client) mit anderen Management-Stationen kommunizeiren lassen?

[Chief Wiggum]

Eine Anzahl von SNMP Geräten zu konfigurieren, damit sie von einer gegeben Netzwerkmanagementlösung eingelesen werden können taugt nicht als Abschlussprojekt für einen Fisi.

Wenn es sich um einen anderen Beruf handeln sollte, dann schreib das bitte dabei, wenn du Fisi bist, solltest du dringend einen Blick in den Bereich Abschlussprojekte werfen!

[Eleu]

Wie muss denn das Datagramm aussehen, welches ich zum Switch über eine

Winsock Verbindung sende, damit der mir dann seine Status Informationen zurücksendet ?

[Eleu]

Vielleicht ein konkretes Beispiel.

Anstatt eines Switches zwei Rechner mit XP Professional.

Rechner 1 als SNMP Agent konfiguriert.

Beschreibung siehe hier

http://www.microsoft.com/germany/technet/itsolutions/network/evaluate/technol/tcpipfund/tcpipfund_appb.mspx#EFH

Rechner 2 als SNMP Client, der eine UDP-Winsock Verbindung zum Rechner 1 aufbauen soll

und über (Ich nehme an Port 160) eine Statusanfrage an Rechner 1 sendet.

Wie muss das Datagramm im Datenteil aussehen, welches Rechner 2 senden muss ?

[cosen1989]

Nein ich bin ITSE...

Es ist ja auch nicht das einzige was ich im Rahmen dieses Projektes machen werde...

So nun nochmal was ich jetzt grade wissen möchte ^^^:

Ich weiß nun, dass BTC Prins mit SNMP arbeiten kann.

Wie kann ich jetzt mit dem anderen Gerät kommunizeiren?

Kann ich dort einfach den Windows-SNMP-Dienst installieren und los gehts?

Wie komme ich an die Eventlogs?

Blick garnich mehr durch

[cosen1989]

Hätte da noch einige Anliegen:

1. Was muss ich machen dass ich nun mit den Netzwerk-PC's kommunizieren kann? Reicht es wenn ich den SNMP-Dienst von Windows installiere?

2. Wie komme ich an die Eventlogs? Also hab gegooglet und hab mehrere MIBs zu Eventlogs gefunden, weiß nur nicht welche die richtige ist.....

Bitte helft mir

[Eleu]

Hätte da noch einige Anliegen:

1. Was muss ich machen dass ich nun mit den Netzwerk-PC's kommunizieren kann? Reicht es wenn ich den SNMP-Dienst von Windows installiere?

2. Wie komme ich an die Eventlogs? Also hab gegooglet und hab mehrere MIBs zu Eventlogs gefunden, weiß nur nicht welche die richtige ist.....

Bitte helft mir

Hallo cosen1989,

also ich kenne das Tool BTC Prins nicht, aber wenn es SNMP - Traps versteht,

besteht die Möglichkeit, einzelne eventlogs als Traps über UDP zu versenden.

Die Traps werden über den Port 162 gesendet.

Mache folgendes:

Installiere den SNMP - Dienst auf dem Rechner, von dem Du die eventlogs bekommen möchtest.

Trage im SNMP-Dienst in der Registerlasche Traps unter communityname "public" ein und darunter die IP Adresse der Managementstation (BTC Prins).

Dann beende den Dienst und starte den Dienst danach neu.

Der SNMP-Dienst sendet ein authentication trap als UDP-Paket zu der IP - Zieladresse auf Port 162.

Dieses Paket muss die Managementstation (BTC Prins) empfangen und irgendwie anzeigen.

Falls nicht, geht da nur was über eigene Softwareentwicklungen mit der winsocket, oder so.

Oder ein anderes Tool, was auf Port 162 lauscht und Traps versteht.

Sollte was angezeigt werden, kannst Du auf dem Rechner, der die Traps liefert, mit dem Tool "evntwin.exe" einzelne eventlogs herausfiltern und

in eine ???.cnf Datei ablegen.

Mit dem Tool "evntcmd.exe" werden die Traps danach für den localhost registriert.

Kannst dich ja mal zurückmelden, ob BTC Prins was empfängt.

Mich würde interessieren, wie der Datenteil im UDP-Paket aussehen muss,

wenn ich über eine bestimmte OID Informationen aus der MIB auslesen möchte. Am liebsten wäre mir ein Beispiel.

Gruß

Eleu

[cosen1989]

Hallo cosen1989,

Mache folgendes:

Installiere den SNMP - Dienst auf dem Rechner, von dem Du die eventlogs bekommen möchtest.

Trage im SNMP-Dienst in der Registerlasche Traps unter communityname "public" ein und darunter die IP Adresse der Managementstation (BTC Prins).

Dann beende den Dienst und starte den Dienst danach neu.

Der SNMP-Dienst sendet ein authentication trap als UDP-Paket zu der IP - Zieladresse auf Port 162.

Dieses Paket muss die Managementstation (BTC Prins) empfangen und irgendwie anzeigen.

Eleu

Okay das werde ich machen und dann nochmal Rückmeldung geben.

Sollte was angezeigt werden, kannst Du auf dem Rechner, der die Traps liefert, mit dem Tool "evntwin.exe" einzelne eventlogs herausfiltern und

in eine ???.cnf Datei ablegen.

Mit dem Tool "evntcmd.exe" werden die Traps danach für den localhost registriert.

Eleu

Also kann ich nicht direkt von dem management-Programm auf die Eventlogs zugreifen? Also muss man sie vorher mit einem Programm auslesen?

[Eleu]

Also kann ich nicht direkt von dem management-Programm auf die Eventlogs zugreifen? Also muss man sie vorher mit einem Programm auslesen?

Jaein, so ungefähr.

Annahme: Der Eventlog am Rechner erhält einen neuen Eintrag.

Daraufhin sendet der SNMP-Dienst auf dem Rechner einen sogenannten Trap ins LAN, insofern dieser Event vorher mit dem Tool "evntwin.exe" verknüpft und mit dem Tool "evntcmd.exe" registriert wurde.

Im SNMP-Dienst muss dazu die Ziel IP von der Managementstation (BT Prins) angegeben werden.

Weitere Annahme:

Die Managementstation (BTC Prins) hat einen Port 162 geöffnet und wartet auf Daten.

Es kommt ein Trap an.

BTS Prins übersetzt das Format "ASN.1" oder so in "Ascii" und zeigt die Eventinformation als Text an.

[cosen1989]

Hmm.. Okay

Aber^^:

Annahme: Der SNMP Dienst ist auf dem Eventlog-Pc installiert.

Hab ich die Möglcihkeit ohne Traps direkt vom Management-Programm an die Eventlog-Einträge heranzukommen? Das wäre dann ja eine Get-Anfrage.

Oder verstehe ich das Falsch`?

[Eleu]

Hmm.. Okay

Aber^^:

Annahme: Der SNMP Dienst ist auf dem Eventlog-Pc installiert.

Hab ich die Möglcihkeit ohne Traps direkt vom Management-Programm an die Eventlog-Einträge heranzukommen? Das wäre dann ja eine Get-Anfrage.

Oder verstehe ich das Falsch`?

Damit kannst Du glaube ich nicht die Eventlogs eines hosts auslesen, sondern nur die MIB die ein Agent auf einem Gerät (Z.B.: Switch, host) zur Verfügung stellt. Eventlogs werden über Traps versendet.

Wovon Du sprichst, ist im Prinzip das, was ich mit meinem Visual Basic Programm gerne über eine Winsock Verbindung machen möchte.

Das geht dann über Port 161.

Ich weiß nur nicht, wie ich die OID und das GET in VB6 dem winsock -Steuerelement übergeben muss ?

Hier mal ein Anwendungsbeispiel:

Management Information Base ? Wikipedia

Wie müsste ich die Get - Anweisung in VB6 programmieren ?

[cosen1989]

Guten Morgen liebe Community,

Ihr wisst ja schon:

Ich habe die Aufgabe bekommen Eventlogs von Rechnern (XP) auszulesen, speziell die Funktion des Netzteils.

Neue Situation:

Nun soll ich die Eventlogs erst einmal auf einer zentralen Verwaltungsstation (XP) sammeln und dann an unser Monitoring-Programm BTC Prins weitergeben.

Hat jemand so etwas schon einmal gemacht?

Hat jemand vielleciht ein passendes Programm?

Bin echt verzweifelt

[Chief Wiggum]

Erstens: ein Thread zum Thema reicht vollkommen aus!

Zweitens: du bist jetzt schon ein paar Wochen an dem Thema dran, wie weit bist du bis jetzt gekommen? Wo liegt das Problem?

[cosen1989]

hab ich jetzt gerafft Kommt nicht mehr vor

Ich hab bis jetzt raus gefunden dass ich um SNMP-Anfragen auf Systemen verarbeiten zu können auch den Windows-Dienst benutzen kann.

Werde mich glecih wenn ich endlcih mein SP2 Cd habe mal praktisch damit beschäftigen.

Nun suche ich nach SNMP-fähigen Programmen die die Eventlogs ausliest bzw. sammelt und dann über eine SNMP-Anfrage über unser Monitoring Tool zur verfügung stellt

[Eleu]

Du kannst das Versenden der Eventlogeinträge als SNMP-Traps mit windowseigenen Boardmitteln vornehmen (Betr. XP).

Geh mal auf Start / Ausführen / evntwin.exe / Enter.

Dann müsste ein Programm starten, für die Ereignis-nach-Trap-Konvertierung.

Dann Benutzerdefiniert und Bearbeiten und Du kannst die Ereignisquellen sehen. Du kannst dann aus Application oder System einzelne Events per Doppelklick auswählen.

Zuletzt alle ausgewählten events markieren und mit der Schaltfläche "Exportieren" in eine cnf-Datei exportieren (Name egal).

Dann in der Eingabeaufforderung mit dem Befehl "C:\evntcmd nameegal.cnf" die Traps anlegen.

Fertig.

Erfolgt ein Event wird der dazugehörige Trap auf Port 162 versendet, vorausgesetzt der SNMP Dienst ist aktiviert und der Zielhost ist im Dienst als Trap-Ziel angegeben.

Zum Empfangen und Anzeigen der Traps auf dem Zielhost kann man zum Beispiel die Freeware "SNMP Trap Watcher" verwenden

[cosen1989]

Vielen Dank für dei Anleitung

Mir ist aber grade der Super-Gau aufegfallen

Ich soll die Funtion des Netzteils d.h. ob der Pc überhaupt noch an ist auslesen.

Gibts doch garnicht in den Eventlogs!? Bzw Runterfahren ja schon aber wird bei direktem Stromverlust überhaupt ein "Runterfahr-Ereignis" protokolliert?

[Eleu]

Probier doch mal aus (Stecker ziehen)

Kommt dann vielleicht sowas:

Protokollname: System

Quelle: EventLog

Datum: ????????????????????

Ereignis-ID: 6008

Aufgabenkategorie:Keine

Ebene: Fehler

Schlüsselwörter:Klassisch

Benutzer: Nicht zutreffend

Computer: ??????????????????????????????

Beschreibung:

Das System wurde zuvor am ‎???????? um 20:11:55 unerwartet heruntergefahren.