snmp trap日志_snmp协议能支持syslog日志接入吗-程序员宅基地

SNMP是网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。SNMP采用UDP协议在管理端和agent之间传输信息， SNMP采用UDP 161端口接收和发送请求，162端口接收trap。

网络管理中常用来采集日志数据的方式包括文本方式采集、SNMP Trap方式采集和syslog方式采集等，特殊应用也有一些其他采集方式，如Telnet 采集(远程控制命令采集)、RSR232串口采集等。其中，syslog是最基础最通用的日志方式，对于网络设备，还常使用snmp trap方式产生和收集日志。本文主要介绍snmp trap方式的日志采集及如何转换为syslog日志。

一、SNMP相关概念

1. MIB与OID

SNMP系统包括网络管理系统NMS（Network Management System）、代理进程Agent、被管对象Management object和管理信息库MIB（Management Information Base）四部分组成。

MIB文件中的变量使用的名字取自ISO和ITU管理的对象标识符（object idenTIfier）名字空间。它是一种分级树的结构。如图所示，第一级有三个节点：ccitt、iso、iso-ccitt。低级的对象ID分别由相关组织分配。一个特定对象的标识符可通过由根到该对象的路径获得。一般网络设备取iso节点下的对象内容，例如名字空间ip结点下名为ipInReceives的MIB变量被指派数字值3，该变量的名字为：iso.org.dod.internet.mgmt.mib.ip.ipInReceives，数字表示（对象标识符OID）为：1.3.6.1.2.1.4.3，当网络管理协议在报文中使用MIB变量时，每个变量名后还要加一个后缀，以作为该变量的一个实例。如ipInReceives的实例数字表示为：1.3.6.1.2.1.4.3.0. 。

进一步，下图给出了NMS系统中SNMP可访问网络设备的对象识别树（OID：Object Identifier）结构。

mib2 — http://www.toplee.com/blog/385.html

2. SNMP的五种消息类型

　　SNMP中定义了五种消息类型：Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap

3. NET-SNMP与snmp trap

NET-SNMP 是一种开放源代码的 SNMP 协议实现。它支持 SNMP v1, SNMP v2c 与 SNMP v3，并可以使用 IPV4 及 IPV6 。在 Linux 系统中，net-snmp 是最常用的 SNMP 软件包。Net-snmp 包含了 snmp 实用程序集和完整的 snmp 开发，也包含 SNMP Trap 的所有相关实现。主要提供的命令有：snmpwalk、snmpget、snmpgetnext、snmptrap等，参考https://blog.csdn.net/weixin_30527323/article/details/95253462

一些应用程序可以用来从支持 SNMP 的设备获得数据。其中 snmpget, snmpgetnext 可以支持独立请求，snmpwalk, snmptable, snmpdelta 则用来支持重复请求。
snmpset 对支持 SNMP 的设备配置属性。
命令 snmpdf, snmpnetstat, snmpstatus 可以从支持 SNMP 的设备获取特定的信息。
snmptranslate 命令将 MIB OIDs 的两种表现形式 ( 数字及文字 ) 相互转换。并显示 MIB 的内容与结构
回应 SNMP 查询的客户端 snmpd. 它集成了大量 SNMP 的模块 . 并可通过动态链接库 , 外部脚本与命令 , 多路 SNMP 技术 (SMUX), 以及可扩客户端协议 (AgentX) 进行扩展 .
接收 SNMP traps 的守护程序 snmptrapd。可以将选定的 SNMP 消息记录到系统日志 syslog,NT 事件日志，或者文本文件中。或是转发到其它的 SNMP 管理程序 , 也可以传给外部的应用程序。

snmpwalk [APPLICATION OPTIONS] [COMMON OPTIONS] [OID]   #用来取得所有类识别代码 (OID, Object Identifier)，取得类为从根类 (root) 开始的全部 MIB 类。

#实例
snmpwalk -v2c -c public  localhost .1.3.6.1.2.1.1
  -v2c：     使用的是2c的snmp版本，可选1|2c|3
  -c public：community 名为public
  localhost: 代理的地址，这里因为代理运行在本机上，所以可用localhost
  .1.3.6.1.2.1.1:这里查询的是.iso.org.dod.internet.mgmt.mib-2.system，其Oid为.1.3.6.1.2.1.1，
#其Oid也可使用名称具体操作如下：
snmpwalk -v2c -c public  localhost system
#或：
snmpwalk -v2c -c public  localhost .1.3.6.1.2.1.1

实例：

snmpget [OPTIONS] AGENT OID [OID]  #用来查询叶子节点

#实例：使用这个命令使叶子节点要在后面加.0。可后面查询多个OID期间用空格分开
snmpget －v2c －c public localhost .1.3.6.1.2.1.1.5.0

#其Oid也可使用名称具体操作如下：
snmpget －v2c －c public localhost .1.3.6.1.2.1.1.5.0

#返回信息如下：
SNMPv2-MIB::sysName.0 = STRING: ubuntu
snmpget －v2c －c public localhost sysName
SNMPv2-MIB::sysName.0 = STRING: ubuntu

4. snmp trap与日志采集

SNMP TRAP是基于SNMP MIB的，因为SNMP MIB 是定义了网络设备都有哪些信息可以被收集，哪些trap的触发条件可以被定义，只有符合TRAP触发条件的事件才被发送出去。SNMP中，get/set 操作都是从 NMS 发送到被管理设备的。但SNMP Trap 就是被管理设备主动发送消息给 NMS 的一种机制。SNMP Trap 是 SNMP 的一部分，当被监控段出现特定事件，可能是性能问题，甚至是网络设备接口宕掉等，代理端会给管理站发告警事件。

生成Trap消息的事件(如系统重启)由Trap代理内部定义，而不是通用格式定义。由于Trap机制是基于事件驱动的，代理只有在监听到故障时才通知管理系统，非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行，生成的消息格式单独定义，对于不支持 SNMP设备通用性不是很强。通过对 SNMP 数据报文中 Trap 字段值的解释就可以获得一条网络设备的重要信息，由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据，这样才能完成对网络设备的信息监控和数据采集。

相对syslog而言，SNMP由于网络结构和网络技术的多样性，以及不同厂商管理其网络设备的手段不同，既要能够正确解释公有 Trap，更要保证对私有 Trap 完整正确的解析和应用。导致snmptrap方式面对不同厂商的产品采集日志数据方式需单独进行编程处理，且要全面解释所有日志信息才能有效地采集到日志数据。由此可见，该采集在日常日志数据采集中通用性要弱于syslog。

前面介绍Net-snmp中，Net-snmp提供了接收 SNMP traps 的守护程序 snmptrapd（配置文件/etc/snmp/snmptrapd.conf），snmptrapd格式如下：

snmptrapd [OPTIONS] [LISTENING ADDRESSES]  

-L[efos]
    Specify where logging output should be directed (standard error or output, to a file or via syslog).

snmptrapd可以将选定的 SNMP 消息记录到系统日志 syslog,NT 事件日志，或者文本文件中。或是转发到其它的 SNMP 管理程序 , 也可以传给外部的应用程序。通过LOGGING OPTIONS选项详细控制（参考 http://www.net-snmp.org/docs/man/snmpcmd.html）：

LOGGING OPTIONS
The mechanism and destination to use for logging of warning and error messages can be controlled by passing various parameters to the -L flag.

-Le
    Log messages to the standard error stream. 
-Lf FILE
    Log messages to the specified file. 
-Lo
    Log messages to the standard output stream. 
-Ls FACILITY
    Log messages via syslog, using the specified facility ('d' for LOG_DAEMON, 'u' for LOG_USER, or '0'-'7' for LOG_LOCAL0 through LOG_LOCAL7). 

There are also "upper case" versions of each of these options, which allow the corresponding logging mechanism to be restricted to certain priorities of message. Using standard error logging as an example:

-LE pri
    will log messages of priority 'pri' and above to standard error. 
-LE p1-p2
    will log messages with priority between 'p1' and 'p2' (inclusive) to standard error. 

For -Lf and -Ls the priority specification comes before the file or facility token. The priorities recognised are:

    0 or ! for LOG_EMERG,
    1 or a for LOG_ALERT,
    2 or c for LOG_CRIT,
    3 or e for LOG_ERR,
    4 or w for LOG_WARNING,
    5 or n for LOG_NOTICE,
    6 or i for LOG_INFO, and
    7 or d for LOG_DEBUG. 

Normal output is (or will be!) logged at a priority level of LOG_NOTICE

二、SNMPTrap的操作实例

主要是对配置文件/etc/snmp/snmptrapd.conf进行配置。

《Snmp Trap 的发送和接收演示》IBM开发者网站关于snmp trap引用最多的文章，https://blog.csdn.net/openbox2008/article/details/79958092补充了很多常用OID。
snmptrapd手册：http://www.net-snmp.org/docs/man/snmptrapd.conf.html，http://www.net-snmp.org/wiki/index.php/Snmptrapd
中文翻译：《snmptrapd.conf 文件内容及参数》，详细列出了参数

1. 权限控制

/etc/snmp/snmptrapd.conf中默认的权限设置是：

authCommunity execute public

以 authCommunity 开头的一行配置了 snmptrapd 的安全设置，表示可以接收 community 为”public”的 SNMP Trap，并且本进程可以有 log，net 和 execute 的权限。Log 权限表明收到 Trap 之后 snmptrapd 可以记录日志；execute 表明收到 Trap 之后可以执行 traphandle 中所指定的操作。Net 表示 snmptrapd 可以将接收到的 Trap 信息转发到其他的 Receiver 去。（假如需要转发，还需要对给定的 OID 指定以 forward 为开始的处理细节：forward OID|default DESTINATION）

测试阶段可以关闭授权控制：

#authCommunity   log,execute,net pulic      #注释掉这行
disableAuthorization     yes                #关闭授权

2. 基本的snmp tap收发测试

启动 snmptrapd（指定config文件的位置）在前台运行，将log信息打印到stdout：

$snmptrapd -C -c /etc/snmp/snmptrapd.conf -f -Lo

也可以在后台运行，并将log信息打印到文件中：

$snmptrapd -C -c /etc/snmp/snmptrapd.conf -Lf /tmp/trapd.log

通过snmptrap工具发送一个trap（目标地址是“192.168.2.27:162”），格式如下：

snmptrap -v [2c|3] [COMMON OPTIONS]        uptime      trap-oid                [OID TYPE VALUE]
#example：
snmptrap -v 2c -c public 192.168.2.27:162 "ttime." .1.3.6.1.2.1.1.1.0 SysDesc s "test"
snmptrap -v 2c -c public 192.168.2.27:162 "" .1.3.6.1.2.1.1.1.0 SysDesc s "test from snmptrap tool."
snmptrap -v1 -c public 192.168.2.27 .1.3.6.1.4.1.1 156.18.2.27 2 3 1000

查看snmptrapd的log信息，可以看到192.168.2.27发送的trap(前面三条记录，后面两条是防火墙设备的trap信息）：

$snmptrapd -C -c /etc/snmp/snmptrapd.conf -f -Lo
NET-SNMP version 5.7.2

2020-12-04 14:22:06 mail.hubei.net [UDP: [192.168.2.27]:56666->[192.168.2.27]:162]:
SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::sysDescr.0 SNMPv2-MIB::sysDescr = STRING: test
2020-12-04 15:07:20 mail.hubei.net [UDP: [192.168.2.27]:34068->[192.168.2.27]:162]:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (34624323) 4 days, 0:10:43.23  SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::sysDescr.0 SNMPv2-MIB::sysDescr = STRING: test from snmptrap tool.
2020-12-04 15:15:48 mail.hubei.net [192.168.2.27] (via UDP: [192.168.2.27]:37219->[192.168.2.27]:162) TRAP, SNMP v1, community public
        SNMPv2-SMI::enterprises.1 Link Down Trap (3) Uptime: 0:00:10.00

2020-12-04 15:12:47 192.168.247.2(via UDP: [192.168.247.2]:54464->[192.168.2.27]:162) TRAP, SNMP v1, community public
        SNMPv2-SMI::enterprises.15227.1.1.251.2 Enterprise Specific Trap (2) Uptime: 458 days, 22:55:00.19
        SNMPv2-SMI::enterprises.15227.1.1.251.6 = STRING: "serialNo=146d6491ba9074be; deviceName=targe.usernet; sysObjectID=.1.3.6.1.4.1.15227.1.1.1"
2020-12-04 15:12:48 192.168.247.2(via UDP: [192.168.247.2]:50591->[192.168.2.27]:162) TRAP, SNMP v1, community public
        SNMPv2-SMI::enterprises.15227.1.1.251.4 Enterprise Specific Trap (4) Uptime: 458 days, 22:55:01.21
        SNMPv2-SMI::enterprises.15227.1.1.251.6 = STRING: "serialNo=146d6491ba9074be; deviceName=targe.usernet; sysObjectID=.1.3.6.1.4.1.15227.1.1.1"

3. traphandle

traphandle default /usr/local/zabbix/bin/snmptrap.sh #处理脚本

4. snmp trap及traphandle示例收集

1. perl简单例子：https://my.oschina.net/kcw/blog/483653

2. python例子：https://www.cnblogs.com/JetpropelledSnake/p/9870336.html，https://cloud.tencent.com/developer/article/1367965

3. traphanle详解（本地监控磁盘等）：https://blog.csdn.net/u014403008/article/details/53883423，https://blog.csdn.net/zym361589736/article/details/4381539

4. zabbix对接：

https://www.cnblogs.com/h2zZhou/archive/2004/01/13/8637264.html
https://blog.csdn.net/u013219448/article/details/84637066
https://yq.aliyun.com/articles/680769?scm=20140722.184.2.173
zabbix_snmptrap官方文档：https://www.zabbix.com/documentation/3.4/zh/manual/config/items/itemtypes/snmptrap
https://www.zabbix.org/wiki/Start_with_SNMP_traps_in_Zabbix
zabbix利用SNMPTrap接收交换机主动告警:https://www.cnblogs.com/zhenwei66/p/10483473.html

5. nagios：《Nagios XI - SNMP Trap Tutorial》、https://blog.51cto.com/wushank/1157305

6. snmpinform： https://www.cnblogs.com/javawebsoa/archive/2013/03/24/2978266.html

7. 现实的GUI例子：http://www.eyegroup.cc/light_help/configure_alarm/passive_listening/snmp_trap.htm

freebsd：https://www.xuebuyuan.com/625873.html

三、其它工具

1. snmptt

SNMPTT是用perl写的SNMP trap处理器，使用SNMPTT的变量替换功能，消息可以变的更友好，SNMPTT可以将输出记录到文本日志，NT event 日志，SQL数据库，或者通过外部程序传给Nagios，邮件客户端等。snmptt官方文档：http://www.snmptt.org/docs/snmptt.shtml；参考：http://blog.chinaunix.net/uid-261392-id-2138987.html

2. windows下的snmptrap

面向windows系统的：《 SnmpTrap测试与学习》，使用工具《烂泥：TrapGen 使用说明》和SNMP_Trap_Watcher，《比较好用的SNMP Trap工具》提供下载。

本文链接：https://blog.csdn.net/McwoLF/article/details/110441578

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

稀疏编码的数学基础与理论分析-程序员宅基地

文章浏览阅读290次，点赞8次，收藏10次。1.背景介绍稀疏编码是一种用于处理稀疏数据的编码技术，其主要应用于信息传输、存储和处理等领域。稀疏数据是指数据中大部分元素为零或近似于零的数据，例如文本、图像、音频、视频等。稀疏编码的核心思想是将稀疏数据表示为非零元素和它们对应的位置信息，从而减少存储空间和计算复杂度。稀疏编码的研究起源于1990年代，随着大数据时代的到来，稀疏编码技术的应用范围和影响力不断扩大。目前，稀疏编码已经成为计算...

EasyGBS国标流媒体服务器GB28181国标方案安装使用文档-程序员宅基地

文章浏览阅读217次。EasyGBS - GB28181 国标方案安装使用文档下载安装包下载，正式使用需商业授权, 功能一致在线演示在线API架构图EasySIPCMSSIP 中心信令服务, 单节点, 自带一个 Redis Server, 随 EasySIPCMS 自启动, 不需要手动运行EasySIPSMSSIP 流媒体服务, 根..._easygbs-windows-2.6.0-23042316使用文档

【Web】记录巅峰极客2023 BabyURL题目复现——Jackson原生链_原生jackson 反序列化链子-程序员宅基地

文章浏览阅读1.2k次，点赞27次，收藏7次。2023巅峰极客 BabyURL之前AliyunCTF Bypassit I这题考查了这样一条链子：其实就是Jackson的原生反序列化利用今天复现的这题也是大同小异，一起来整一下。_原生jackson 反序列化链子

一文搞懂SpringCloud，详解干货，做好笔记_spring cloud-程序员宅基地

文章浏览阅读734次，点赞9次，收藏7次。微服务架构简单的说就是将单体应用进一步拆分，拆分成更小的服务，每个服务都是一个可以独立运行的项目。这么多小服务，如何管理他们？(服务治理注册中心[服务注册发现剔除])这么多小服务，他们之间如何通讯？这么多小服务，客户端怎么访问他们？(网关)这么多小服务，一旦出现问题了，应该如何自处理？(容错)这么多小服务，一旦出现问题了，应该如何排错?(链路追踪)对于上面的问题，是任何一个微服务设计者都不能绕过去的，因此大部分的微服务产品都针对每一个问题提供了相应的组件来解决它们。_spring cloud

Js实现图片点击切换与轮播-程序员宅基地

文章浏览阅读5.9k次，点赞6次，收藏20次。Js实现图片点击切换与轮播图片点击切换<!DOCTYPE html><html> <head> <meta charset="UTF-8"> <title></title> <script type="text/ja..._点击图片进行轮播图切换

tensorflow-gpu版本安装教程（过程详细）_tensorflow gpu版本安装-程序员宅基地

文章浏览阅读10w+次，点赞245次，收藏1.5k次。在开始安装前，如果你的电脑装过tensorflow，请先把他们卸载干净，包括依赖的包（tensorflow-estimator、tensorboard、tensorflow、keras-applications、keras-preprocessing），不然后续安装了tensorflow-gpu可能会出现找不到cuda的问题。cuda、cudnn。..._tensorflow gpu版本安装

随便推点

物联网时代权限滥用漏洞的攻击及防御-程序员宅基地

文章浏览阅读243次。0x00 简介权限滥用漏洞一般归类于逻辑问题，是指服务端功能开放过多或权限限制不严格，导致攻击者可以通过直接或间接调用的方式达到攻击效果。随着物联网时代的到来，这种漏洞已经屡见不鲜，各种漏洞组合利用也是千奇百怪、五花八门，这里总结漏洞是为了更好地应对和预防，如有不妥之处还请业内人士多多指教。0x01 背景2014年4月，在比特币飞涨的时代某网站曾经..._使用物联网漏洞的使用者

Visual Odometry and Depth Calculation--Epipolar Geometry--Direct Method--PnP_normalized plane coordinates-程序员宅基地

文章浏览阅读786次。A. Epipolar geometry and triangulationThe epipolar geometry mainly adopts the feature point method, such as SIFT, SURF and ORB, etc. to obtain the feature points corresponding to two frames of images. As shown in Figure 1, let the first image be and th_normalized plane coordinates

开放信息抽取(OIE)系统（三）-- 第二代开放信息抽取系统(人工规则, rule-based, 先抽取关系)_语义角色增强的关系抽取-程序员宅基地

文章浏览阅读708次，点赞2次，收藏3次。开放信息抽取(OIE)系统（三）-- 第二代开放信息抽取系统(人工规则, rule-based, 先关系再实体)一.第二代开放信息抽取系统背景第一代开放信息抽取系统(Open Information Extraction， OIE， learning-based, 自学习, 先抽取实体)通常抽取大量冗余信息，为了消除这些冗余信息，诞生了第二代开放信息抽取系统。二.第二代开放信息抽取系统历史第二代开放信息抽取系统着眼于解决第一代系统的三大问题: 大量非信息性提取（即省略关键信息的提取）、_语义角色增强的关系抽取