ich versuche eine Regel zu konfigurieren die Alarm schlägt bei geringer oder keiner Bandbreite.
Die Regel habe ich soweit gefunden. Sie soll nur für einen bestimmten Host und einen bestimmten Port greifen. Ich hab soweit alles eingetragen, aber die Regel greift nicht und ist ausgegraut. Ich finde den Fehler nicht.
Wenn eine Regel nicht greift, kann das daran liegen, dass die Bedingungen falsch formuliert sind (z.B. fehlerhafter Hostname oder falscher WATO Folder), oder dass sie durch eine andere, spezifischere Regel überschrieben wird.
Man kann die unwirksamen Regeln anzeigen lassen und muss dann im Einzelfall prüfen, warum das so ist.
D.h. wo in deinem Screenshot bisher die “9901” als Port-Angabe steht, hast du jetzt “[9901]” hingeschrieben? Oder gar “[9][9][0][1]”? Und allein das hat bewirkt, dass die Regel jetzt greift?
Dann würde mich interessieren, wie der fragliche Service auf Host “DanCom” konkret aussieht, also der Name incl. “Interface”.
Das hat als regulärer Ausdruck eben die Bedeutung von “ein einzelnes Zeichen, das entweder eine 9 oder eine 9 oder eine 0 oder eine 1” ist. Könnte man auch klarer als “[019]” schreiben. Aber ist das hier wirklich so gemeint?
Ja, bzw. bei welchem Service sie bisher eben nicht gegriffen hat.
Mit der doppelten 9 zumindest für mich nicht nachvollziehbar, wenn das ein regulärer Ausdruck sein soll.
Der Service-Name ist also “Interface 1”. Wenn du genau dieses eine Interface und sonst kein anderes mit der Regel treffen willst, dann wäre die exakt passende Port-Angabe nur ein “1$”. Also die Zahl 1 gefolgt vom Dollar-Zeichen, das im regulären Ausdruck das String-/Zeilenende angibt.
Okay. Aber ich würde gerne explizit den Port 9901 auf Interface 02 überwachen. So würde ja die Regel auf für das gesamte Interface gelten. Also auch Interface 02 war gemeint und nicht 01.
Ich fürchte da geht etwas durcheinander. (Netzwerk-)Port und Interface sind hier gleichbedeutend.
In deinem Bild sehe ich auch nur genau diesen einen Service namens “Interface 1”.
Meinst du jetzt TCP-Port 9901? Das gibt der Check leider nicht her, sorry.
Der Check schaut nur nach dem physical interface bzw. Layer 1, basierend auf den Infos von ethtool und /sys/class/net/....
Du brauchst stattdessen etwas auf Layer 3, Stichworte netflow, ntop etc. Das wird dann aber auch leider gleich etwas komplexer. Quick&dirty vielleicht was mit iptables/nftables+logging basteln, was dann von einem local check abgefragt/ausgewertet und ans Monitoring weitergereicht wird.
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.