Moin zusammen,
ich versuche eine Regel zu konfigurieren die Alarm schlägt bei geringer oder keiner Bandbreite.
Die Regel habe ich soweit gefunden. Sie soll nur für einen bestimmten Host und einen bestimmten Port greifen. Ich hab soweit alles eingetragen, aber die Regel greift nicht und ist ausgegraut. Ich finde den Fehler nicht.
Gruß
M.Lies
Wenn eine Regel nicht greift, kann das daran liegen, dass die Bedingungen falsch formuliert sind (z.B. fehlerhafter Hostname oder falscher WATO Folder), oder dass sie durch eine andere, spezifischere Regel überschrieben wird.
Man kann die unwirksamen Regeln anzeigen lassen und muss dann im Einzelfall prüfen, warum das so ist.
Vielen Dank für die Rückmeldung. Ich werde mich da mal reinlesen.
Gruß
Falls jemand ähnliche Probleme hat. Der Fehler lag in der Angabe der Portnummer.
Die Zahlen müssen in eckigen Klammern stehen.
D.h. wo in deinem Screenshot bisher die “9901” als Port-Angabe steht, hast du jetzt “[9901]” hingeschrieben? Oder gar “[9][9][0][1]”? Und allein das hat bewirkt, dass die Regel jetzt greift?
Dann würde mich interessieren, wie der fragliche Service auf Host “DanCom” konkret aussieht, also der Name incl. “Interface”.
Ja genau. Ich habe es in [9901] geändert.
“Dann würde mich interessieren, wie der fragliche Service auf Host “DanCom” konkret aussieht, also der Name incl. “Interface”.”
Auf welchem Service die Regel greift?
Ist es so falsch?
Das hat als regulärer Ausdruck eben die Bedeutung von “ein einzelnes Zeichen, das entweder eine 9 oder eine 9 oder eine 0 oder eine 1” ist. Könnte man auch klarer als “[019]” schreiben. Aber ist das hier wirklich so gemeint?
Ja, bzw. bei welchem Service sie bisher eben nicht gegriffen hat.
Mit der doppelten 9 zumindest für mich nicht nachvollziehbar, wenn das ein regulärer Ausdruck sein soll.
Der Service-Name ist also “Interface 1”. Wenn du genau dieses eine Interface und sonst kein anderes mit der Regel treffen willst, dann wäre die exakt passende Port-Angabe nur ein “1$”. Also die Zahl 1 gefolgt vom Dollar-Zeichen, das im regulären Ausdruck das String-/Zeilenende angibt.
Okay. Aber ich würde gerne explizit den Port 9901 auf Interface 02 überwachen. So würde ja die Regel auf für das gesamte Interface gelten. Also auch Interface 02 war gemeint und nicht 01.
Gruß
Ich fürchte da geht etwas durcheinander. (Netzwerk-)Port und Interface sind hier gleichbedeutend.
In deinem Bild sehe ich auch nur genau diesen einen Service namens “Interface 1”.
Meinst du jetzt TCP-Port 9901? Das gibt der Check leider nicht her, sorry.
Ja genau ich habe den TCP -Port gemeint. Okay das erklärt dann einiges.
Vielen Dank für die Aufklärung 
Der Check schaut nur nach dem physical interface bzw. Layer 1, basierend auf den Infos von
ethtool und /sys/class/net/....
Du brauchst stattdessen etwas auf Layer 3, Stichworte netflow, ntop etc. Das wird dann aber auch leider gleich etwas komplexer. Quick&dirty vielleicht was mit iptables/nftables+logging basteln, was dann von einem local check abgefragt/ausgewertet und ans Monitoring weitergereicht wird.
Okay. Danke für den Lösungsvorschlag damit werde ich mich dann mal vorsichtig befassen 
Hallo,
es gibt ein ntop Feature für cmk das aber extra kostet.
Gruß
This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.
