TWLogEye開発7日目:脅威検知時に送信するSNMPのTRAPを定義しました
今朝は4時すぎに自力で起きたら、かみさんの布団で寝ていた助手の猫さんも一緒についてきました。1階で少し撫でてて、ご飯をあげたら、また、かみさんの布団に戻って寝たようです。
コーヒーのお湯を沸かしている間、猫さんと
を観ました。ブラタモリの浅野里香さんが懐かしかったです。
山道を歩きたくなりました。
開発中のTWLogEyeですが
syslogを受信する処理
SIGMAルールでログをチェックする処理
ログをDBに保存する処理
syslog,trapで通知する処理
設定ファイルを読み込む処理
これらをまとめて起動する処理
ができました。送信するTRAPのMIB定義も作りました。
TWHRTRAP-MIB DEFINITIONS ::= BEGIN
IMPORTS
MODULE-IDENTITY, OBJECT-TYPE, NOTIFICATION-TYPE,enterprises
FROM SNMPv2-SMI
DisplayString FROM SNMPv2-TC;
twise OBJECT IDENTIFIER ::= { enterprises 17861 }
twProducts OBJECT IDENTIFIER ::= { twise 1 }
twLogEyeTrap MODULE-IDENTITY
LAST-UPDATED "2501210000Z"
ORGANIZATION "Twise Labo Inc."
CONTACT-INFO
"Masayuki Yamai
Postal: Twise Labo Inc.
Saitama Japan
E-mail: twsnmp@gmail.com"
DESCRIPTION "A MIB module for twLogEye"
::= { twProducts 11 }
twLogEyeTrapTraps OBJECT IDENTIFIER ::= { twLogEyeTrap 0 }
twLogEyeTrapObjects OBJECT IDENTIFIER ::= { twLogEyeTrap 1 }
-- Trap data
twLogEyeTrapSrc OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS accessible-for-notify
STATUS current
DESCRIPTION "src name(host name)"
::= { twLogEyeTrapObjects 1 }
twLogEyeTrapLevel OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS accessible-for-notify
STATUS current
DESCRIPTION "rule level"
::= { twLogEyeTrapObjects 2 }
twLogEyeTrapID OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS accessible-for-notify
STATUS current
DESCRIPTION "rule id"
::= { twLogEyeTrapObjects 3 }
twLogEyeTrapID OBJECT-TYPE
SYNTAX DisplayString
MAX-ACCESS accessible-for-notify
STATUS current
DESCRIPTION "rule title"
::= { twLogEyeTrapObjects 4 }
-- twLogEyeTrap Traps
twLogEyeNotifyTrap NOTIFICATION-TYPE
OBJECTS { twLogEyeTrapHrName,twLogEyeTrapThresold, twLogEyeTrapCurrentValue }
STATUS current
DESCRIPTION "Trap of CPU Usage thresold over."
::= { twLogEyeTrapTraps 1 }
END起動パラメータの処理を作れば、明日には、動くものができそうです。
明日に続く
いいなと思ったら応援しよう!
