jueves, 10 de marzo de 2011

Citrix Xenserver - SNMP Cacti

Para poder monitorizar los dom0 mediante SNMP hay que habilitar las reglas de iptables y poco más. Esto es lo que he aplicado a diferentes servidores dom0 citrix XenServer para poder monitorizarlos con Cacti. No he necesitado ningún plugin adicionar para tener una monitorización básica, cpu, memoria, redes... Básicamente lo que me interesa es ver el trafico de red que tienen estas maquinas. Bueno sin más preámbulos...

Editamos el fichero /etc/sysconfig/iptables y añadimos la siguiente regla en el INPUT:  -A RH-Firewall-1-INPUT -p udp --dport 161 -j ACCEPT

Reiniciamos iptables:
service iptables restart

Activamos el snmp para que arranque atumáticamente:
chkconfig snmpd on

Por defecto la config que trae snmp nos muestra el system view, podemos cambiarlo a all haciendo las siguiente modificación en el fichero /etc/snmp/snmpd.conf

-Añadimos la siguiente línea: 
view     all     included     .1 

-Cambiamos la línea:
access     notConfigGroup ""     any     noauth     exact     systemview     none      none
por
access     notConfigGroup ""     any     noauth     exact     all          none      none

-Guardamos y reiniciamos snmpd:  service snmpd restart

 Para cambiar la community string de xenserver, por defecto (public) cambiamos:

com2sec notConfigUser     default     public com2sec notConfigUser     default     anything_you_need

Probado en Xenserver 5.5/5.6/5.6-FP1
Fuente: http://support.citrix.com/article/CTX122337 

Esto seria una config de IPTables permitiendo snmp y conexiones de ComVault

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 8400 -j ACCEPT
-A INPUT -p tcp --dport 8401 -j ACCEPT
-A INPUT -p tcp --dport 8402 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x1 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x2 -j ACCEPT
-A INPUT -p tcp --dport 5678 -j ACCEPT
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 694 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
 

No hay comentarios:

Publicar un comentario