Spawnzao

Quem possui monitoramento snmp em seu servidor linux, sabe como é chato o flood de log que o snmpd faz no /var/log/messages.

Sep 22 14:50:58 servidor snmpd[831]: Connection from UDP: [192.168.1.1]:58245
Sep 22 14:50:58 servidor snmpd[831]: Received SNMP packet(s) from UDP: [192.168.1.1]:58245
Sep 22 14:50:58 servidor snmpd[831]: Connection from UDP: [192.168.1.1]:59601
Sep 22 14:50:58 servidor snmpd[831]: Received SNMP packet(s) from UDP: [192.168.1.1]:59601

Agora imagine issu se repetir 12 vezes a cada minuto, o messages acaba perdendo a sua utilidade. Passa a ser log de lixo do snmpd.

Bom, como em meus servidores eu controlo o acesso a porta 161 (padrão do snmp) via firewall, isto é, só permito que o meu servidor do cacti possa realizar uma requisição na porta 161 de meus servidores, eu desabilitei o log do snmpd.

Não vou entrar em detalhes de firewall, vou somente postar 2 regras que demonstram esse controle do tráfego snmd.

# Politica padrão na INPUT de DROP
iptables -P INPUT DROP
# Libero o meu servidor cacti realizar requisições na porta 161
iptables -A INPUT -p udp --dport 161 -i eth1 -s 192.168.1.1 -j ACCEPT

Partindo do princípio de que o firewall está controlando restritamente o acesso externo so snmp, então podemos desabilitar o log do snmpd e ter de volta o silêncio que o snmpd nos roubou do /var/log/messages. E o mais importante, ter de volta somente os logs realmente importantes, não que o log do snmpd não seja.

Para isso, vamos descomentar e editar uma linha no /etc/sysconfig/snmpd.options:

vim /etc/sysconfig/snmpd.options

E vamos deixar o arquivo dessa forma:

# snmpd command line options
OPTIONS="-Lf /dev/null -p /var/run/snmpd.pid -a"

Explicando

Removemos a opção -Lsd, que é responsável por fazer o log no syslog

Depois para colocar em produção:

service snmpd restart

Para confirmar o log:

tail -f /var/log/messages

E agora o messages estará quieto, exibindo somente os logs importantes, que são os do sistema!