ことの始まり
snmpポーリングをSplunkからしたくない場合、どうする?という話題になったので、代替手段を考えてみただけで、現実的な解かどうかはわかりません。
やりかた
EEMを使えばできそうだなと思ったのでやってみたらできました。とさ。
event manager applet Splunk
event snmp oid 1.3.6.1.4.1.9.9.109.1.1.1.1.3.1 get-type exact entry-op ge entry-val "0" poll-interval 5
action 1.0 syslog priority debugging msg "CPU:$_snmp_oid_val"
!
end
NETFLOW-R1#
*Nov 14 08:58:26 JST: %HA_EM-7-LOG: Splunk: CPU:8
*Nov 14 08:58:31 JST: %HA_EM-7-LOG: Splunk: CPU:0
*Nov 14 08:58:36 JST: %HA_EM-7-LOG: Splunk: CPU:3
*Nov 14 08:58:41 JST: %HA_EM-7-LOG: Splunk: CPU:1
*Nov 14 08:58:46 JST: %HA_EM-7-LOG: Splunk: CPU:1
*Nov 14 08:58:51 JST: %HA_EM-7-LOG: Splunk: CPU:0
Consoleにぽこぽこログが出てくるのとロギングバッファ食いつぶすのとで、ネットワーク屋さんは嫌がるでしょうね!
