Announcement

Collapse
No announcement yet.

NSClient++ et CheckEventLog Jnal Application (suis-je fou ?)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • NSClient++ et CheckEventLog Jnal Application (suis-je fou ?)

    Bonjour à tous.
    Nous utilisons Nagios depuis 4 ans pour nos propres besoins.
    Dernièrement, nous avons déployé Oréon. Bravo, très beau projet !

    Enfin, nous avons pris la supervision d'un parc de serveur Windows 2003.

    Nous avons mis en place NSClient++.
    Mis à part les counter.defs qui m'ont fait tourner en bourrique, pas de problèmes, sauf celui-ci, surprenant, et je pense que c'est ma méconnaissance Windows qui me joue des tours (ceci-dit les admins Win actuels sont secs eux aussi :razz: :

    Sur un serv W2K3SP2, DC

    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal system : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal security : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal application : RIEN
    Les check eventlog fonctionnent parfaitement sur les journaux system, security, autres... mais PAS sur le journalApplication.

    En revanche sur les config ci-dessous, pas de problème
    W2KSP2 non contrôleur de domaine,W2K contrôleur de domaine, XP PRO SP2

    Sur un serv W2K3SP2, "Standalone", c'est a dire non contrôleur de domaine

    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal system : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal security : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal application : OK


    Sur un serv W2K, DC
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal system : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal security : OK
    Linux->Check_nrpe -> W2K3SP2->NSCP->checkeventlog sur le journal application : OK


    Si quelqu'un a une idée....

  • #2
    Salut,

    J'amerai savoir checkeventlog il fait quoi exactement ? car si il fait ce que je pense ça pourrait m'interesser de savoir comment il fonctionne.

    Merci

    Comment


    • #3
      Le checkeventlog permet de checker à intervalles réguliers le contenu des différents journaux d'événements.
      La combinaison de plusieurs filtres permet de fixer une fenêtre temporelle (generated), la source générant l'événement (eventSource), le niveau de criticité du message (error, warning, info, etc.) et l'ID Windows de l'événeent eventID.

      Si cela vous intéresse j'ai fait un manuel français à destination d'un usage interne sur NSClient soit par l'utilisation du check_nt ou par l'utilisation du check_nrpe que personnellement je privilégie. Je pourrais le diffuser ici éventuellement.

      Les exemples cidessous :
      Ce check va scruter le journal d'événements application pour voir si la source EvntAgnt a généré des entrées depuis les 10 dernières minutes avec un niveau de criticité warning. Si plus d'une entrée est trouvée=>retour warning à nagios, si plus de 3=>critical
      /check_nrpe -H 192.168.0.80 -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==warning
      Réponse :
      EvntAgnt, EvntAgnt, : 2 > warning|''=2;1;3;

      Si on élève le niveau de criticité à error :
      ./check_nrpe -H 192.168.0.80 -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==error
      Réponse :
      Eventlog check ok|''=0;1;3;

      Attention à penser (ce qui n'est pas ait sur ces exemples) à utiliser truncate=x (x<1024, taille maxi du buffer nrpe) si la liste retournée risque d'être longue.

      Ce moyen est assez pratique pour checker les antivirus (mise à jour effectuées), les backup, etc. mais aussi pour identifier les problèmes avant l'incident car par expérience, la remontée et la centralisation des logs est une chose (on ne passe pas son temps à les regarder...), mais des check pro actifs sont beaucoup plus efficaces dans une démarche d'anticipation. On peut penser qu'avant de cracher complètement, un service peut commencer par être bavard...

      Comment


      • #4
        Merci pour tout ces details.

        J'aimerai bien disposer de ton manuel pour pouvoir plus étudier la chose, et je confirme que c'est ce que je cherche à faire depuis un certain temps.

        Quels sont les choses a installer sur les serveurs/postes (windows) et sur le serveur (linux) ?

        Merci beaucoup (je vous contact par mp pour vous passez mon adresse email).

        Comment


        • #5
          Ici...

          Bon, je vois que cela peut t'intéresser, et pourquoi pas d'autres ici.

          Après tout, ne sommes nous pas dans un projet collaboratif ?

          Voici en extrait de ma doc, concernant NSCLient++.
          C'est une première version destinée à des admin windows qui ne sont pas familiers avec le monitoring et encore moins Linux...:confused:


          Ce n'est pas complètement finalisé, mais c'est à mon avis un bon début. :razz:

          Bon, le fichier étant trop gros pour être téléchargé ici, je vous le met en lien http://proxyconcept.net/zone/NSCient-Howto.pdf

          Tout retour et appréciation appréciés.

          Comment


          • #6
            Je tiens a dire bravo pour ce HowTo qui est extremement génial.

            Super bien expliqué par contre dans les premières lignes il y a une faute (chacks != checks )

            "Les scripts check_nt_* dans /usr/lib/nagios/libxec/ sont les lugins utilisés par Nagios (ou Centreon)
            pour lancer les chacks auprès de Nsclient++."

            Comment


            • #7
              J'avais dit, première version...

              Il y en surement d'autre dans le genre...

              Merci du compliment.

              Comment


              • #8
                Bravo pour ce tuto !!

                J'ai vu aussi, que NSClient ++ n'est plus mis à jour depuis un bout de temps.
                Il serait remplacer par le projet NS_NET sur SourceForge:
                http://sourceforge.net/project/platf...roup_id=160140

                Je cherchais jusqu'à maintenant un moyen de parser les fichiers log de Window$.
                Suis en train de bosser dessus... Histoire de voir ce que ça donne... :wink:

                Je supervise aussi des serveurs W2k3... Je verrai bien si je rencontre les mêmes problèmes...

                Encore bravo pour le HowTo
                Guigui

                > PAS DE SUPPORT VIA MP <

                "Ce n'est qu'en essayant continuellement que l'on finit par réussir. En d'autres termes, plus ça rate et plus on a de chances que ça marche !!" (Shadoks)

                Comment


                • #9
                  Bon, j'ai testé le NS_NET.

                  C'est quasiment la même chose. Mais je n'arrive pas a faire fonctionner le Eventlog. :mad:

                  Je vais revenir et voir avec NSClient++...
                  Guigui

                  > PAS DE SUPPORT VIA MP <

                  "Ce n'est qu'en essayant continuellement que l'on finit par réussir. En d'autres termes, plus ça rate et plus on a de chances que ça marche !!" (Shadoks)

                  Comment


                  • #10
                    Ça y est, j'ai testé NSClient++. Ça a l'air de fonctionner :cool:
                    Juste une remarque, quand je remonte plusieurs infos par requête, une seule est graphée dans Centreon.

                    Comme si la syntaxe des infos perfdata n'était pas bonne.
                    Une histoire de ";" à priori... mais je vois pas où corriger le problème. :roll:
                    Guigui

                    > PAS DE SUPPORT VIA MP <

                    "Ce n'est qu'en essayant continuellement que l'on finit par réussir. En d'autres termes, plus ça rate et plus on a de chances que ça marche !!" (Shadoks)

                    Comment


                    • #11
                      [RESOLU] NsClient + CkeckEventLog

                      Bonjour à tous,
                      Je reviens sur mon problème de folie sur les événements du journal des applications.
                      J'ai trouvé [enfin +ou-] une solution.

                      En réalité, en remontant sur plus de 300 jours d'ancienneté, j'ai obtenu des réponses. En tatonnant (algorithme de la dichotomie, cela m'a rajeuni) j'ai localisé la date à laquelle il n'y avait plus de réponse. C'est quand les serveur PDC ont été promus PDC, et lors de l'application de certaines GPO (pas précisément défini, mes admin windows restent parfois très discrets sur certains points...). Bon là, je pensais tenir une piste, mais laquelle ???
                      En fait, nous avons viré les fichiers journaux. Un nouveau fichier journal a été créé...ET CA MARCHE !!!

                      Reste un point noir : POURQUOI ?
                      Sur toutes les machines (a priori car + de 50 en prod), cela semble maintenant OK.

                      Je peux donc faire des tests sur les journaux d'événements Application et chercher mes evts de mis à jour d'AV, de backup etc.

                      Aux petits oignons.

                      Pour le reste NSClient 0.2.7 fonctionne well for me !

                      Comment


                      • #12
                        Originally posted by Guigui2607 View Post
                        Bravo pour ce tuto !!

                        J'ai vu aussi, que NSClient ++ n'est plus mis à jour depuis un bout de temps.
                        Il serait remplacer par le projet NS_NET sur SourceForge:
                        http://sourceforge.net/project/platf...roup_id=160140

                        Je cherchais jusqu'à maintenant un moyen de parser les fichiers log de Window$.
                        Suis en train de bosser dessus... Histoire de voir ce que ça donne... :wink:

                        Je supervise aussi des serveurs W2k3... Je verrai bien si je rencontre les mêmes problèmes...

                        Encore bravo pour le HowTo
                        Concernant la MàJ de NSClient, je pense qu'il vous faudrait consulter ce site :
                        http://trac.nakednuns.org/nscp/browser
                        Je suis surpris de votre analyse de la situation de NSClient++ (je ne suis pas actionnaire de NSClient, ni amoureux) mais il me semble qu'il est prdent de rétablir la situation.:confused:

                        Comment


                        • #13
                          Effectivement le site http://trac.nakednuns.org/nscp/ est beaucoup plus à jour. Mais je n'y avais pas accès du boulot... :mad:

                          J'y suis retourné depuis la maison et c'est tout bon. J'ai récupéré la toute dernière version.

                          Tout ce que j'ai testé fonctionne! :cool:
                          Guigui

                          > PAS DE SUPPORT VIA MP <

                          "Ce n'est qu'en essayant continuellement que l'on finit par réussir. En d'autres termes, plus ça rate et plus on a de chances que ça marche !!" (Shadoks)

                          Comment


                          • #14
                            Bonjour, j'ai essayer le tuto et a priori ca marche.
                            Quand je tape:
                            ./check_nrpe -H @IP -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==warning

                            il me retourne ca dans le log
                            NRPEException: Request command contained illegal metachars!
                            Je pense que ca vient du =\10m . Est tu sur de la syntaxe?
                            Last edited by gregorybel; 29 November 2007, 11:57.

                            Comment


                            • #15
                              Originally posted by gregorybel View Post
                              Bonjour, j'ai essayer le tuto et a priori ca marche.
                              Quand je tape:
                              ./check_nrpe -H @IP -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==warning

                              il me retourne ca dans le log
                              NRPEException: Request command contained illegal metachars!
                              Je pense que ca vient du =\10m . Est tu sur de la syntaxe?
                              Oui, je pense que tu devrais regarder ton fichier de conf NSC.ini et autoriser les métachars.
                              allow_nasty_meta_chars=1

                              Comment

                              Working...
                              X