Event Console / syslog trap / verschiedene Zustände in einer Meldung

Hallo zusammen,

ich erstelle gerade Regeln in der Event Console (Enterprise 1.6.0p25). Ich stehe vor dem Problem, dass ein Gerät Traps in einer Meldung versendet. Wie kann ich den Status der einzelnen Zustände (Fan-Alarm und Door-alarm) auswerten bzw. wie müssen die Regeln “gebaut” werden.

Löst einen “Door-Alarm” aus:

1.3.6.1.2.1.1.3.0: 2233167350, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.2.0: 3, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.3.0: 2, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.6.0: 37, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.4.0: 1633012031, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.8.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.9.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.10.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.11.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.12.0: Main-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.13.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.14.0: -48V-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.15.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.16.0: OP-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.17.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.18.0: DDP-Alarm, **1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm**, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 0, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.23.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.24.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.25.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.26.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.2.10.1.0: 78684

hebt den Alarm auf:

1.3.6.1.2.1.1.3.0: 2233168657, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.2.0: 3, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.3.0: 2, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.6.0: 37, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.4.0: 1633012044, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.8.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.9.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.10.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.11.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.12.0: Main-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.13.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.14.0: -48V-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.15.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.16.0: OP-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.17.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.18.0: DDP-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm, **1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm**, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.23.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.24.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.25.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.26.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.2.10.1.0: 78686

Löst einen “Fan-Alarm” aus:

1.3.6.1.2.1.1.3.0: 2233173045, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.2.0: 3, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.3.0: 2, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.6.0: 37, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.4.0: 1633012088, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.8.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.9.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.10.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.11.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.12.0: Main-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.13.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.14.0: -48V-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.15.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.16.0: OP-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.17.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.18.0: DDP-Alarm, **1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 0, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm**, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.23.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.24.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.25.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.26.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.2.10.1.0: 78688

hebt den Alarm auf:

1.3.6.1.2.1.1.3.0: 2233174865, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.2.0: 3, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.3.0: 2, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.6.0: 37, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.4.0: 1633012106, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.8.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.9.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.10.0: Not supported, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.11.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.12.0: Main-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.13.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.14.0: -48V-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.15.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.16.0: OP-Alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.17.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.18.0: DDP-Alarm, **1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm**, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.23.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.24.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.25.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.26.0: unused, 1.3.6.1.4.1.231.7.1.2.2.1.2.10.1.0: 78690

Hier nochmal die jeweiligen Zustände:

0 = Alarm
1 = Alarm aufgehoben

1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 0, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm
1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.21.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.22.0: Door-alarm

1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 0, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm
1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.19.0: 1, 1.3.6.1.4.1.231.7.1.2.2.1.1.7.2.20.0: Fan-Alarm

Aktuell bekomme ich es nur hin, dass ein Zustand “überwacht” wird, die 1. Regel.
Für einen Denkanstoss wäre ich dankbar.

Viele Grüße
Oliver

Da kann doch prima anhand der OIDs unterschieden werden, ob es ein Door-Alarm oder ein Fan-Alarm ist.

Zur besseren Sichtbarkeit würde ich die Trap-Translation in der Event Console einschalten und die passenden MIBs dafür hochladen.

Dann sind die Regeln bzw die Pattern darin auch besser zu lesen.

Ich sehe hier ein größeres Problem. Das Gerät versendet Trap Meldungen in welchen immer alle Statusangaben in einer Trap zusammen sind.
Meiner Meinung nach ist es nur zuverlässig möglich die Störungen zu erkennen aber nicht das wieder ok. Das Problem besteht da jede Störungsmeldung einer Komponente für alle anderen Komponenten ein OK enthalten kann.
→ Einfach schlecht programmiert vom Hersteller.

Ansonsten würde ich das auch so wie @r.sander machen.

Wenn die Trap für alle Komponenten in einer Übertragung stattfindet dann ist es nicht so einfach möglich ein OK auszuwerten.

Ah, das hatte ich übersehen.

Genau, die Meldungen sind immer zusammen in einem Trap. Vielen Dank für die Einschätzung. Ich finde es auch schlecht gelöst vom Hersteller.

Also wird es mit Hausmitteln von Checkmk nicht zu lösen sein oder gibt es dazu eventuell eine Möglichkeit?

Ich wüsste keine Möglichkeit dies mit logischen Verknüpfungen in der EventConsole zu machen.