MAC Adresse auslesen und alarm wenn bestimmte aus einer Liste aktiv sind

Hallo,
gibt es eine direkte Lösung von checkmk um MAC Adressen zu überprüfen.
Konkret sollen in einer Umgebung bestimmte MAC-Adressen nicht aktiv sein da sie für bestimmte virtuelle Systeme reserviert sind.
Indirekte Lösungen habe ich zur Hand aber es geht ggf. auch einfacher.
Gruß

Als Überwachungstool, welche MAC-Adressen Pakete an ein Interface schicken, kenne ich nur arpwatch. Mit logwatch von checkmk kann dann das Logfile von arpwatch überwacht werden.

Hallo,
wie gesagt.
Indirekte Lösungen habe ich schon parat.
Die Frage wäre ob es einen check der direkt über den agent an die MAC kommt und direkt aus seiner Config sagen kann „Crit“ weil diese Adresse „böse“ ist.
Gruß

Dann ein einfaches Nein.

Was ich bisher mache ist einfach in Zuge der HW/SW Inventory die MACs auf den Switchen einsammeln um dann danach suchen zu können.
MACs einsammeln ist meist nicht so einfach wie der Portstatus. Ein arpwatch hilft halt in einem gut segmentierten Netz auch nicht sonderlich weiter da ich immer nur das sehe was für mich als Rechner relevant ist.
Die Core Router/Switche mag ich auch nicht mit den recht aufwendigen Abfragen für MACs jede Minute “belästigen”. :slight_smile:

Hi @rprengel,
willst Du einfach auf dem Host die MAC-Adressen der jeweiligen Interfaces direkt überprüfen?

Die solltest Du aus dem HW/SW-Inventory auslesen können. Oder Du schreibst Dir einen schnellen Local Check, der die MAC der Interfaces gegen die “Bösenliste” prüft.

Hallo,
so ähnlich wird es laufen.
Danke für die Infos.
Mit freundlichen Grüßen
Ralf Prengel