Monitorización pasiva en mediante el pack Log occurrences

Dentro de la monitorización de redes e infraestructuras tecnológicas se distinguen dos importantes grupos: Monitorización Pasiva y Monitorización Activa

A grandes rasgos, mientras que la monitorización activa es regular en cuanto a las peticiones para obtener el estado de operatividad (independientemente de que se haya producido o no algún cambio); la monitorización pasiva es asíncrona, esto quiere decir que recibe solo los eventos relativos a dichos cambios. Luego la monitorización activa es más costosa a nivel de cómputo, y más aún en infraestructuras de gran tamaño, donde el número total de chequeos puede llegar a ser bastante elevado.

Ambas metodologías de monitorización son completamente diferentes, pero igual de útiles. No obstante, WOCU-Monitoring soluciona esta situación con el uso combinado de las mismas, aprovechando los beneficios y reduciendo las limitaciones que presentan. En definitiva, el resultado de esta unión, es el incremento del grado de garantía de calidad, puesto que los problemas pueden ser detectados antes de que ocurran o casi en tiempo real, junto con una comprensión profunda de la causa raíz que los ha motivado.

../../_images/5_072_aggregator_use_cases-passive-active-monitoring_0-50.jpg

WOCU-Monitoring cuenta con un backend de indexación de eventos que utiliza para almacenar los eventos procedentes del mundo de la monitorización pasiva: logs de aplicativos, syslog de sistemas y traps de SNMP.

Recuerda

Los Eventos son utilizados por WOCU-Monitoring como un elemento más en el cálculo del estado de los activos y además ofrecen la oportunidad de analizar las causas o circunstancias de una incidencia, puesto que un buen análisis técnico debe estar siempre respaldado por los mensajes de logs de los Dispositivos implicados.

WOCU organiza estas dos líneas de monitorización desde la pestaña Eventos (Events), dedicando la sección Monitoring a las notificaciones que el propio sistema genera de forma interna (Monitorización Activa), y recopilando en la sección Logs todos los eventos indexados en el backend resultado de la monitorización pasiva.

../../_images/5_076_aggregator_use_cases-events-tab_0-50.jpg

En este caso de uso, mostraremos cómo se unifican ambas metodologías en WOCU-Monitoring, para sacar el máximo partido a la herramienta.

Gestión de logs en WOCU-Monitoring

1. Notificación de logs


Tomaremos como ejemplo el Dispositivo Router-87, al que hemos habilitado el envío de traps SNMP a WOCU-Monitoring.

Desde el Inventario de Dispositivos (Hosts Inventory), la existencia de eventos en Dispositivos se indica con el icono de una base de datos:

../../_images/5_073_aggregator_use_cases-logs-icon_0-50.jpg

Podemos situar el cursor sobre el icono y conocer el número de eventos registrados en las últimas 24 horas, o hacer clic sobre el mismo, acción que nos remitirá al listado de Otros Eventos de Log (Logs).

../../_images/5_074_aggregator_use_cases-logs-icon-detail_0-40.jpg

Atención

Es necesaria la habilitación previa del envío de traps hacia WOCU-Monitoring. En función de las propiedades técnicas del Dispositivo se realizará de una forma u otra.

2. Histórico de logs


A continuación, accederemos al histórico de eventos indexados del equipo Router-87. WOCU-Monitoring recopila todos los eventos procedentes de la monitorización pasiva en el apartado Logs del listado de Events.

../../_images/5_075_aggregator_use_cases-logs-list_0-40.jpg

Para este caso de uso, se ha provocado la caída y levantada de la interfaz del Dispositivo Router-87, para observar cómo el flujo corriente de actuación es la generación y envío de traps al backend de WOCU-Monitoring referentes a la operatividad de la interfaz:

  • Trap relativo a la caída de la interfaz:

../../_images/5_075a_aggregator_use_cases-example-down_0-40.jpg
  • Trap relativo a la levantada de la interfaz ya operativa:

../../_images/5_075b_aggregator_use_cases-example-up_0-40.jpg

Cada entrada almacena el texto íntegro de logs para conocer en detalle el motivo del evento y poder actuar en consecuencia.

Ya hemos visto el espacio de gestión y tratamiento de los logs resultado de la monitorización pasiva en WOCU. A continuación, mostraremos cómo configurar y adaptar nuevos servicios de monitorizacón a partir del pack Log Ocurrences.

Configuración del packs de monitorización Log Occurrences

Aprovechando el gran potencial de la monitorización pasiva, el equipo de WOCU ha desarrollado el pack de monitorización Log Ocurrences que permite crear alertas basadas en los eventos indexados. Accediendo a su ficha técnica del catálogo de packs de monitorización, observaremos toda la información relativa a las variables y parámetros de configuración.

A continuación, se indica el procedimiento de configuración para la generación de alertas basadas en traps SNMP utilizando dicho pack.

1. Localización del Dispositivo para la asignación del packs


Dentro de la herramienta de importación de WOCU, localizaremos el Dispositivo de prueba Router-87 en el listado Active Assets y accederemos al módulo de configuración de packs de monitorización haciendo clic en el botón Packs correspondiente.

../../_images/5_077_aggregator_use_cases-packs_0-50.jpg

Situados en el inventario de asignación de packs, en concreto, en el pack Log Ocurrences, utilizaremos la opción Configure para acceder a su perfil de configuración.

../../_images/5_078_aggregator_use_cases-packs-configure_0-40.jpg

Nota

Utiliza la barra de búsqueda ubicada sobre el inventario para agilizar el proceso de localización en listados extensos.

2. Configuración del pack Log Occurrences


La configuración se realiza asignando a cada Macro (variable de configuración) un valor determinado.

Siguiendo con el ejemplo del Router-87, veamos los campos necesarios para la correcta identificación de traps:

../../_images/5_079_aggregator_use_cases-packs-configure-macros_0-40.jpg

SIMPLE MACROS

A continuación, procedemos a configurar los parámetros necesarios para conectar el backend de indexación de eventos a WOCU.

Macro

Descripción

Valor

_ELASTICSEARCH_CLUSTER_IP

Dirección IP del backend de indexación de eventos en el que se va a hacer la búsqueda. Esta información la proporcionará el administrador de WOCU.

172.16.100.48

_ELASTICSEARCH_CLUSTER_PORT

Puerto en el que escucha el backend.

172.16.100.48

_ELASTICSEARCH_PREFIX_INDEX

Prefijo del índice donde se guardan los eventos.

Traps

_IDENTIFIER

Forma en que se identifica nuestro equipo en el backend: IP o Host-Name.

IP

_IDENTIFIER_FIELD

Campo donde se indica la IP del equipo en los eventos indexados.

IP

_TIME_RANGE

Tiempo durante el que se ejecutarán las búsquedas en el backend.

5

COMPLEX MACROS

A continuación, procedemos a configurar la información relativa a los datos que recibirá WOCU en cada trap.

Macro

Descripción

Valor

Display name

Nombre con el que será identificado el servicio

Search Estado Iface1/0

Elasticsearch index

Índice del backend

wocu-demos

Search field for the criteria

Campo donde se va a buscar en la trap

event_name

Regular expression

Patrón de búqueda del campo anterior. Para evitar problemas en la recuperación con mayúsculas y minúsculas, se recomienda utilizar los caracteres .*

.*linkdown.*

WARGING

Umbral de alerta

2

CRITICAL

Umbral de alerta

4

Atención

Los campos indexados pueden variar según cómo se efectúe el parseo de la información desde WOCU-Monitoring hacia los backend de indexación de eventos.

Por último, habrá que guardar la configuración establecida y confirmar la aplicación del pack con la opción Apply and exit.

../../_images/5_082_aggregator_use_cases-apply-pack_0-40.jpg

Es importante asegurarse de que el pack esté marcado (cambio de color de fondo en verde), en caso contrario, no se asignará el pack Log Ocurrences al Dispositivo Router-87.

4. Confirmación de los cambios en el sistema: WOCU Check


Los cambios se consolidarán en el sistema a través de la ejecución de la acción Check.

../../_images/5_008_aggregator_use_cases-geomap-check-button_0-50.png

De inmediato aparecerá un cuadro de diálogo informando del estado de la BBDD. Para efectuar los cambios, habrá que confirmar el reinicio y actualización del sistema, el botón azul Restart WOCU.

../../_images/4_071_import-tool_wocu-check_message-ok_0-57.jpg

5. Nuevo servicio asociado al Dispositivo Router-87


Reiniciado el sistema, en el Inventario de Dispositivos (Hosts Inventory) observamos un nuevo servicio Search Estado_iface1/0 (macro Display name) asociado al Router-87, al que previamente hemos asignado el pack Log Ocurrences.

../../_images/5_080_aggregator_use_cases-service-pack_0-50.jpg

El correcto comportamiento de este servicio sería el siguiente:

  • Ante la caída de una interfaz, WOCU-Monitoring recibirá un conjunto de traps indicando esta situación anómala en el Dispositivo en cuestión.

    ../../_images/5_075a_aggregator_use_cases-example-down_0-40.jpg
  • En consecuencia, el servicio Search Estado_iface1/0 alcanzará un estado Warning o Critical (según los umbrales definidos en el pack). Más información accediendo a su Vista de detalle de Servicios asociados a un Dispositivo.

    ../../_images/5_081_aggregator_use_cases-service-pack-warning_0-50.jpg
  • Gracias a estas comprobaciones que ejecuta el propio servicio, el operario podrá hacer un análisis más profundo en términos de disponibilidad y conocer la causa raíz de la problemática.

De esta forma, WOCU-Monitoring unifica la Monitorización Pasiva y Monitorización Activa. Manteniendo un backend de indexación de eventos procedentes de métodos pasivos y desarrollando packs de monitorización que permiten definir servicios a medida, cumpliendo con las necesidades técnicas y funcionales de la infraestructura monitorizada.

Consulta nuestro Catálogo de Packs de Monitorización, para ampliar información sobre el pack Log Ocurrences. Además, también está disponible el siguiente vídeo que recoge todo lo anterior visto, para no quedarte con ninguna duda.