.. _log-ocurrences:
***********************************************************
Monitorización pasiva en mediante el pack *Log occurrences*
***********************************************************
Dentro de la monitorización de redes e infraestructuras tecnológicas se
distinguen dos importantes grupos: **Monitorización Pasiva** y
**Monitorización Activa**
A grandes rasgos, mientras que la *monitorización activa* es regular
en cuanto a las peticiones para obtener el estado de operatividad
(independientemente de que se haya producido o no algún cambio);
la *monitorización pasiva* es asíncrona, esto quiere decir que recibe
**solo** los eventos relativos a dichos cambios. Luego la *monitorización
activa* es más costosa a nivel de cómputo, y más aún en infraestructuras
de gran tamaño, donde el número total de chequeos puede llegar a ser
bastante elevado.
.. sidebar:: Para más información...
Consulta
este `post `_
de nuestro blog corporativo y amplía información sobre
la Monitorización Pasiva y Activa.
Ambas metodologías de monitorización son completamente diferentes, pero igual
de útiles. No obstante,
:doc_url:`WOCU-Monitoring `
soluciona esta situación con el uso combinado de las mismas, aprovechando
los beneficios y reduciendo las limitaciones que presentan.
En definitiva, el resultado de esta unión, es el incremento del grado de
garantía de calidad, puesto que los problemas pueden ser detectados antes de
que ocurran o casi en tiempo real, junto con una comprensión profunda de la
causa raíz que los ha motivado.
.. image:: ../images/use_cases/5_072_aggregator_use_cases-passive-active-monitoring_0-50.jpg
:align: center
WOCU-Monitoring cuenta con un *backend* de indexación de eventos que utiliza
para almacenar los eventos procedentes del mundo de la *monitorización pasiva*:
logs de aplicativos, syslog de sistemas y traps de SNMP.
.. admonition:: Recuerda
Los Eventos son utilizados por WOCU-Monitoring como un elemento
más en el cálculo del estado de los activos y además ofrecen la oportunidad
de analizar las causas o circunstancias de una incidencia, puesto que un
buen análisis técnico debe estar siempre respaldado por los mensajes de
logs de los Dispositivos implicados.
WOCU organiza estas dos líneas de monitorización desde la
pestaña :ref:`events`, dedicando la
sección :doc_url:`Monitoring `
a las notificaciones que el propio sistema genera de forma interna
(*Monitorización Activa*), y recopilando en la sección
:doc_url:`Logs `
todos los eventos indexados en el *backend* resultado de
la *monitorización pasiva*.
.. image:: ../images/use_cases/5_076_aggregator_use_cases-events-tab_0-50.jpg
:align: center
En este caso de uso, mostraremos cómo se unifican ambas metodologías en
WOCU-Monitoring, para sacar el máximo partido a la herramienta.
Gestión de logs en WOCU-Monitoring
==================================
**1. Notificación de logs**
-----------------
Tomaremos como ejemplo el Dispositivo ``Router-87``, al que hemos habilitado
el envío de traps SNMP a WOCU-Monitoring.
Desde el :ref:`hostsinventory`, la existencia de eventos en
Dispositivos se indica con el icono de una base de datos:
.. image:: ../images/use_cases/5_073_aggregator_use_cases-logs-icon_0-50.jpg
:align: center
Podemos situar el cursor sobre el icono y conocer el número de
eventos registrados en las últimas 24 horas, o hacer clic sobre el mismo,
acción que nos remitirá al listado de :ref:`events_logs`.
.. image:: ../images/use_cases/5_074_aggregator_use_cases-logs-icon-detail_0-40.jpg
:align: center
.. Attention::
Es necesaria la habilitación previa del envío de traps hacia WOCU-Monitoring.
En función de las propiedades técnicas del Dispositivo se realizará
de una forma u otra.
**2. Histórico de logs**
------------------
A continuación, accederemos al histórico de eventos indexados del equipo
``Router-87``. WOCU-Monitoring recopila todos los eventos procedentes de la
*monitorización pasiva* en el apartado
**Logs** del listado de :ref:`showevents`.
.. image:: ../images/use_cases/5_075_aggregator_use_cases-logs-list_0-40.jpg
:align: center
Para este caso de uso, se ha provocado la caída y levantada de la interfaz
del Dispositivo ``Router-87``, para observar cómo el flujo corriente de
actuación es la generación y envío de traps al *backend* de WOCU-Monitoring
referentes a la operatividad de la interfaz:
* Trap relativo a la caída de la interfaz:
.. image:: ../images/use_cases/5_075a_aggregator_use_cases-example-down_0-40.jpg
:align: center
* Trap relativo a la levantada de la interfaz ya operativa:
.. image:: ../images/use_cases/5_075b_aggregator_use_cases-example-up_0-40.jpg
:align: center
Cada entrada almacena el texto íntegro de logs para conocer en detalle el
motivo del evento y poder actuar en consecuencia.
Ya hemos visto el espacio de gestión y tratamiento de los logs
resultado de la *monitorización pasiva* en WOCU. A continuación, mostraremos
cómo configurar y adaptar nuevos servicios de monitorizacón a partir
del pack
:doc_url:`Log Ocurrences `.
Configuración del packs de monitorización *Log Occurrences*
===========================================================
Aprovechando el gran potencial de la *monitorización pasiva*, el equipo de WOCU
ha desarrollado el pack de monitorización
:doc_url:`Log Ocurrences `
que permite crear alertas basadas en los eventos indexados.
Accediendo a su
:doc_url:`ficha técnica `
del catálogo de packs de monitorización, observaremos toda la información
relativa a las variables y parámetros de configuración.
A continuación, se indica el procedimiento de configuración para la
generación de alertas basadas en *traps SNMP* utilizando dicho pack.
**1. Localización del Dispositivo para la asignación del packs**
------------------------
Dentro de la herramienta de importación de WOCU, localizaremos el Dispositivo
de prueba ``Router-87`` en el listado
:doc_url:`Active Assets `
y accederemos al módulo de configuración de packs de monitorización haciendo
clic en el botón **Packs** correspondiente.
.. image:: ../images/use_cases/5_077_aggregator_use_cases-packs_0-50.jpg
:align: center
Situados en el inventario de asignación de packs, en concreto, en el pack
:doc_url:`Log Ocurrences `,
utilizaremos la opción **Configure** para acceder a su perfil de configuración.
.. image:: ../images/use_cases/5_078_aggregator_use_cases-packs-configure_0-40.jpg
:align: center
.. Note::
Utiliza la barra de búsqueda ubicada sobre el inventario para agilizar
el proceso de localización en listados extensos.
**2. Configuración del pack Log Occurrences**
------------------------
La configuración se realiza asignando a cada Macro (variable de configuración)
un valor determinado.
Siguiendo con el ejemplo del ``Router-87``, veamos los
campos necesarios para la correcta identificación de traps:
.. image:: ../images/use_cases/5_079_aggregator_use_cases-packs-configure-macros_0-40.jpg
:align: center
:guilabel:`SIMPLE MACROS`
A continuación, procedemos a configurar los parámetros necesarios para
conectar el *backend* de indexación de eventos a WOCU.
.. csv-table::
:header: "Macro", "Descripción", "Valor"
:widths: 6, 6, 6
"**_ELASTICSEARCH_CLUSTER_IP**", "Dirección IP del *backend* de indexación de eventos en el que se va a hacer la búsqueda. Esta información la proporcionará el administrador de WOCU.", "172.16.100.48"
"**_ELASTICSEARCH_CLUSTER_PORT**", "Puerto en el que escucha el *backend*.", "172.16.100.48"
"**_ELASTICSEARCH_PREFIX_INDEX**", "Prefijo del índice donde se guardan los eventos.", "Traps"
"**_IDENTIFIER**", "Forma en que se identifica nuestro equipo en el *backend*: IP o Host-Name.", "IP"
"**_IDENTIFIER_FIELD**", "Campo donde se indica la IP del equipo en los eventos indexados.", "IP"
"**_TIME_RANGE**", "Tiempo durante el que se ejecutarán las búsquedas en el *backend*.", "5"
:guilabel:`COMPLEX MACROS`
A continuación, procedemos a configurar la información relativa a los datos
que recibirá WOCU en cada trap.
.. csv-table::
:header: "Macro", "Descripción", "Valor"
:widths: 6, 6, 6
"**Display name**", "Nombre con el que será identificado el servicio", "Search Estado Iface1/0"
"**Elasticsearch index**", "Índice del *backend*", "wocu-demos"
"**Search field for the criteria**", "Campo donde se va a buscar en la trap", "``event_name``"
"**Regular expression**", "Patrón de búqueda del campo anterior. Para evitar problemas en la recuperación con mayúsculas y minúsculas, se recomienda utilizar los caracteres ``.*``", ".*linkdown.*"
"**WARGING**", "Umbral de alerta", "2"
"**CRITICAL**", "Umbral de alerta", "4"
.. Attention::
Los campos indexados pueden variar según cómo se efectúe el parseo de la
información desde WOCU-Monitoring hacia los *backend* de indexación de
eventos.
Por último, habrá que guardar la configuración establecida y confirmar la
aplicación del pack con la opción **Apply and exit**.
.. image:: ../images/use_cases/5_082_aggregator_use_cases-apply-pack_0-40.jpg
:align: center
Es importante asegurarse de que el pack esté marcado (cambio de color de
fondo en verde), en caso contrario, no se asignará el
pack :doc_url:`Log Ocurrences `
al Dispositivo ``Router-87``.
**4. Confirmación de los cambios en el sistema: WOCU Check**
--------------------
Los cambios se consolidarán en el sistema a través de la ejecución de la
acción **Check**.
.. image:: ../images/use_cases/5_008_aggregator_use_cases-geomap-check-button_0-50.jpg
:align: center
De inmediato aparecerá un cuadro de diálogo informando del estado de la
BBDD. Para efectuar los cambios, habrá que confirmar el reinicio y
actualización del sistema, el botón azul **Restart WOCU**.
.. image:: ../images/setup/4_071_import-tool_wocu-check_message-ok_0-57.jpg
:align: center
:scale: 80 %
**5. Nuevo servicio asociado al Dispositivo Router-87**
--------------------
Reiniciado el sistema, en el :ref:`hostsinventory` observamos un nuevo
servicio ``Search Estado_iface1/0`` (macro *Display name*) asociado al
``Router-87``, al que previamente hemos asignado el
pack :doc_url:`Log Ocurrences `.
.. image:: ../images/use_cases/5_080_aggregator_use_cases-service-pack_0-50.jpg
:align: center
El correcto comportamiento de este servicio sería el siguiente:
- Ante la caída de una interfaz, WOCU-Monitoring recibirá un conjunto de
traps indicando esta situación anómala en el Dispositivo en cuestión.
.. image:: ../images/use_cases/5_075a_aggregator_use_cases-example-down_0-40.jpg
:align: center
- En consecuencia, el servicio ``Search Estado_iface1/0`` alcanzará un estado
**Warning** o **Critical** (según los umbrales definidos en el pack).
Más información accediendo a su :ref:`services`.
.. image:: ../images/use_cases/5_081_aggregator_use_cases-service-pack-warning_0-50.jpg
:align: center
- Gracias a estas comprobaciones que ejecuta el propio servicio, el operario
podrá hacer un análisis más profundo en términos de disponibilidad y
conocer la causa raíz de la problemática.
De esta forma, WOCU-Monitoring unifica la *Monitorización Pasiva* y
*Monitorización Activa*. Manteniendo un *backend* de indexación de eventos
procedentes de métodos pasivos y desarrollando packs de monitorización que
permiten definir servicios a medida, cumpliendo con las necesidades
técnicas y funcionales de la infraestructura monitorizada.
Consulta nuestro :doc_url:`Catálogo de Packs de Monitorización `,
para ampliar información sobre
el pack :doc_url:`Log Ocurrences `.
Además, también está disponible el siguiente vídeo que recoge todo
lo anterior visto, para no quedarte con ninguna duda.
.. raw:: html