Bonjour à tous,

je suis en pleine migration de notre passerelle de supervision (Nagios2/Centron1.4) vers une plate forme Nagios3/Centreon2.0-RC3.

Nous utilisions sur notre ancienne plate forme les traps snmp pour contrôler l'accès réseau via le port-security (commutateur cisco).
Cette fonctionnalité nous permettait de générer des traps snmp lorsqu'une machine non connue (adresse MAC) se connectait sur un port d'un commutateur. Tant que la machine est connectée des traps snmp sont envoyées à intervalle régulier.
Le service était configurer pour qu'une seule notification soit envoyée (notification_interval à 0) et avec on utilisait le "check freshness" pour repasser le service à l'état OK.

Depuis le passage sur nagios3/centreon l'envoie de traps et sa prise en compte dans nagios fonctionnent correctement. Le seul problème est que la directive "notification_interval " n'a aucun effet. A chaque réception d'une trap une notification est générée.

Ci-dessous la config générée par centreon pour ce service :
define service{
host_name C1-AC4-C2
service_description port_security
is_volatile 1
check_command check_centreon_dummy!0!OK
max_check_attempts 1
normal_check_interval 1
retry_check_interval 1
active_checks_enabled 0
passive_checks_enabled 1
check_period 24x7
check_freshness 1
freshness_threshold 60
notification_interval 0
notification_period 24x7
notification_options w,u,c,r,f,s
notifications_enabled 1
contact_groups CRISI_NET
}


Voici une partie des logs :
[1220010301] EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;C1-AC4-C2;port_security;2;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010304] EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;C1-AC4-C2;port_security;2;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010305] PASSIVE SERVICE CHECK: C1-AC4-C2;port_security;2;The address violation notification is generated : FastEthernet0/6 00 08 02 ** ** **
[1220010306] HOST ALERT: C1-AC4-C2;UP;HARD;1;PING OK - Paquets perdus = 0%, RTA = 19.78 ms
[1220010306] SERVICE ALERT: C1-AC4-C2;port_security;CRITICAL;HARD;1;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010306] SERVICE NOTIFICATION: Admin;C1-AC4-C2;port_security;CRITICAL;notify-by-email;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010310] EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;C1-AC4-C2;port_security;2;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010310] PASSIVE SERVICE CHECK: C1-AC4-C2;port_security;2;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010310] SERVICE ALERT: C1-AC4-C2;port_security;CRITICAL;HARD;1;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
[1220010310] SERVICE NOTIFICATION: Admin;C1-AC4-C2;port_security;CRITICAL;notify-by-email;The address violation notification is generated : FastEthernet0/* 00 08 02 ** ** **
.....
[1220010840] Warning: The results of service 'port_security' on host 'C1-AC4-C2' are stale by 0d 0h 0m 47s (threshold=0d 0h 1m 0s). I'm forcing an immediate check of the service.
[1220010842] SERVICE ALERT: C1-AC4-C2;port_security;OK;HARD;1;OK
[1220010842] SERVICE NOTIFICATION: Admin;C1-AC4-C2;port_security;OK;notify-by-email;OK


La seule solution que j'ai trouvé pour l'instant est la désactivation de la notification ce qui permet d'éviter les 8 à 10 mails par minute...
Suis passer à côté de quelque chose ?

En consultant ton extrait de log, j'ai plutôt l'impression que c'est ton équipement qui envoie énormément d'interruption SNMP par minute.
Que peut faire Nagios ? À mon avis, pas grand chose.
Peut-être faudrait essayer de coupler ton mécanisme de réception avec SEC pour faire de la corrélation d'évènements et n'envoyer ainsi qu'une alerte par minute.

Je ne pense pas que le comportement des notifcations aient autant changé avec Nagios3 et il serait intéressant d'avoir un extrait de log de ta précédente version pour pouvoir comparer si tu recevais autant d'interruptions par minute que de notifications.

Effectivement l'équipement envoie un grand nombre d'interruption SNMP par minute ce qui peut être réglé par l'utilisation de SEC. Ce que je n'arrive pas à saisir c'est le comportement des notifications.
Normalement quand un service (par exemple un simple ping sur un équipement) devient inaccessible et passe à l'état critical, nagios se base sur la directive "notification_interval" pour définir la fréquence à laquelle il va notifier le ou les contacts.
Pourquoi ne fait-il pas la même chose avec mon service basé sur une trap snmp ?

Effectivement l'équipement envoie un grand nombre d'interruption SNMP par minute ce qui peut être réglé par l'utilisation de SEC. Ce que je n'arrive pas à saisir c'est le comportement des notifications.
Normalement quand un service (par exemple un simple ping sur un équipement) devient inaccessible et passe à l'état critical, nagios se base sur la directive "notification_interval" pour définir la fréquence à laquelle il va notifier le ou les contacts.
Pourquoi ne fait-il pas la même chose avec mon service basé sur une trap snmp ?

Parce qu'il n'est pas responsable des interruptions SNMP émises en nombre.
Pour lui, chaque nouvelle notification a pour vocation à être transmise...

tu as activé la volatilité... c'est surtout ça si je me rappelle bien...

tu as activé la volatilité... c'est surtout ça si je me rappelle bien...

En effet, ça m'a échappé.
Le fait que le service soit volatile explique bien pourquoi Nagios notifie à chaque réception d'une nouvelle interruption SNMP.

http://nagios.manubulon.com/traduction/wiki_preview/volatileservices.html

C'est hyper réactif. Après a toi de ne catcher que les bonnes Traps.

Merci pour la solution.
Je viens de tester et effectivement je n'ai plus le problème des multiples notifications.
Cela dit si j'avais mieux lu la doc je l'aurais trouvé ...

Note: Notification intervals are ignored for volatile services.

Merci pour la solution.
Je viens de tester et effectivement je n'ai plus le problème des multiples notifications.
Cela dit si j'avais mieux lu la doc je l'aurais trouvé ...

Ce n'était pas un bogue mais une fonctionnalité ;-)