Es ist erstaunlich wieviele Interfaces zwar HC Counter haben d.h. ifHCInOctets und Co - aber die entsprechenden Counter für Broad und Multicast traffic nicht:

Feb  1 11:18:55 nagios checkif[6238]: 172.55.63.1 TenGigE0/0/1/2.343 Invalid value: ifHCInMulticastPkts.20567 =
Feb  1 11:18:55 nagios checkif[6238]: 172.55.63.1 TenGigE0/0/1/2.343 Invalid value: ifHCInBroadcastPkts.20567 =
Feb  1 11:18:55 nagios checkif[6238]: 172.55.63.1 TenGigE0/0/1/2.343 Invalid value: ifHCOutMulticastPkts.20567 =
Feb  1 11:18:55 nagios checkif[6238]: 172.55.63.1 TenGigE0/0/1/2.343 Invalid value: ifHCOutBroadcastPkts.20567 =

Ich habe die immer wie selbstverständlich mit gepollt wenn entsprechenden HC Counter supported waren. Das war wohl ein trugschluss. Auch verstehe ich nicht warum gerade auf den modernen Plattformen wie ASR9k/IOS-XR ifInUnknownProtos scheinbar unsupported ist - Selbst im show interface wird das angezeigt.

Hmm - warum die entitySensoren auf den ASR9k die Werte der SFPs in Milliwatt ausgeben und auf den Switchen wie den 2960 oder 4500X direkt in dBm wird mir ein Rätsel bleiben.

dBm nochmal in dBm versuchen zu konvertieren geht natürlich schief:

IF OK - in   14.08 MBit/s    687 pkt/s   out    8.88 MBit/s    376 pkt/s  
    Optic Tx: nandBm Rx: nandBm Temp: 41.6°C 

entSensorType auswerten und schon geht auch das gut ...

IF OK - in  108.39 MBit/s   2315 pkt/s   out   44.76 MBit/s   1075 pkt/s 
    Optic Tx:-2dBm Rx:-2.2dBm Temp: 41.6°C

Wieder noch zum schluss das Tagwerk vollbracht.

Ein neuer Check wurde geboren:

root@icinga2# check_srx_ipsec_tunnel --address 172.34.55.23 --community SIiVOPT19e5L --peeraddr 172.44.61.77
IPSECTUN OK - Peer address 172.44.61.77 IKE Tun State up(1) IPSec SA State active(1)

Wer was mit der libcec machen will und verzweifelt das er keinen git commit findet der baut - Die aktuellen brauchen c++11 was nicht unbedingt da ist und die dazwischen bauen bei mir nicht wegen obskurster Fehlermeldungen.

apt-get install autoconf build-essential git liblockdev1-dev libtool libudev-dev pkg-config 
git clone git://github.com/Pulse-Eight/libcec.git
cd libcec/
git -b evenolder checkout a560d244101d963b2f3e8a25a71aafb9e36ffb53
./bootstrap
./configure --with-rpi-include-path=/opt/vc/include --with-rpi-lib-path=/opt/vc/lib --enable-rpi
make 
make install

Nach 4 Wochen und viel Design der Datenmodelle und schreiben und neuschreiben von Checks wächst jetzt der engmaschig überwachte Teil des Netzes. Passend zum Freitag die 2k Checks marke durchbrochen.

"Fürchte dich nicht vor den Dummen die nichts wissen, fürchte dich vor den Schlauen die nichts fühlen!" Erich Kästner

Das Archiv des Montreux Jazz Festivals wird scheinbar nach Digitalisierung online gestellt. 50 Jahre Musikgeschichte u.a. auch mehrere Konzerte Andreas Vollenweiders müssten dann verfügbar sein. Die Webseite ist gerade ein bischen Zäh.

http://actu.epfl.ch/news/the-treasured-montreux-jazz-festival-archive-is-no/

Mein Ex Arbeitgeber sucht scheinbar Leute. Eine von 6 Anzeigen in der NW zum Thema Java für gestern. Der Umbau der Firma von einem Netzbetriebsdienstleisters zu einer Softwareentwicklung schreitet stramm vorran. Im Netzbereich wird "abgebaut" und in der Softwareentwicklung wird aufgebaut - Mit einher wird bestimmt auch eine restrukturierung der "Macht" in der Geschäftsleitung gehen.

Ich fände es spannend wieviele Bewerbungen da wirklich kommen. Ich tippe auf 0 in Worten Null. Aus den letzten Monaten weiß ich das es REIHENWEISE offene Java Entwicklungsstellen gibt - Alleine das Arbeitsamt hat mir jede Woche 4-6 Stellen zugeschickt. Junior, Senior und auch "Egal was sie können solange sie wissen was ein jar file ist". Teilweise seit Monaten unbesetzt.

Die Frage ist was die Vitroconnect so besonders macht, weshalb ein Bewerber genau DORT anfangen sollte.

Dazu kommt ja noch "Brooks's Law" - IMHO fundamentale Erkenntnisse der 70er Jahre.

Adding manpower to a late software project makes it later.

Ich empfehle hier mal die 25th Anniversary Edition of "The Mythical man-month"

Darten - 110 - T20 17 T11 - Kollegen wollen nicht mehr mit darten ...

Export der config dauert mittlerweile doch ein paar Minuten, läuft aber automatisch alle Stunden vollautomatisch. Inkrementelle updates der icinga2 config auf der Agenda ...

Ein weiterer Milestone erreicht - Es wird automatisch DNS geschrieben jede Stunde.

Damit sind die wichtigen Milestones erreicht von Config Sicherung, Überwachung und jetzt DNS Erzeugung für alle erfassten Netzkomponenten. Der nächste Milestone ist automatische Interface Config. Die Erzeugung in Abhängigkeit von Hardware und Softwarestand geht schon. Jetzt geht es darum das Schrittweise zu aktivieren für die "Allgemeinheit".

Das Hardwarebouquet wird dann auch noch anwachsen um Arrista und Cisco Nexus Serie.

Heute mal intensiv mich in die Cisco Nexus serie gegraben. Sieht aus wie ein abgespecktes IOS - ganz schick eigentlich und relativ übersichtlich.

Aber warum zum Henker gibt es wieder "wildcard prefix" Listen wie anno tobak:

ip access-list 42
 10 permit ip 192.168.2.1/0 any
 20 permit ip 172.32.40.1/0 any

Aeh wa? Das fühlt sich so an wie "Return of the Living Dead".

Ein Gucktipp ... "Der Banker - Master of the Universe" - Peter Voss ein ehemaliger Banker erzählt über die Zusammenhängen der Bankenkriese.

Gucken bevor es depubliziert wird.

In der ARD Mediathek Der Banker - Master of the Universe

Eine Spannende Szene für mich Persöhnlich ist ab 1:15:00. Dort geht es um seinen Rauswurf aus der Bank.

Dem Söldner tut das nicht weh.

CPUs und RAM ersetzen kein Hirn

Wir haben da noch ein paar 10GigE Arrista Switche die bisher wenig Liebe bekommen haben. Das hat sich heute geändert. Mal ein bischen Tacacs+, NTP, Config backup geschrieben und ein wenig mehr überwachung. Dazu noch überwachung für die Anzahl der Session Flows in den SRX Firewall Clustern. Tagwerk vollbracht - Der rest ist Kür ...

Da steht ja wieder arbeit vor der Tür mit den beiden DSAs DSA-3481 und DSA-3480. Wir legen uns schonmal debian-goodies mit checkrestart parat und wundern uns was der default restart mechanismus so alles vergisst.

Updates für squeeze-lts, wheezy und jessie sind da ... Also dann mal ran ...

Auch gerne genommen

lsof -nnP | grep DEL.*libc

Warum macht man sowas? Um Wasser zu klauen ja wohl kaum?!?

POL-GT: Versuchter Einbruch in Wasserwerk

Cisco möchte dann auf den Arm ... Fast alle Produktlinien bis auf "Good old IOS(tm)" sind betroffen. Also alles was groß und Cisco ist möchte dann ggfs. mal gebootet werden.

Die CSU hat ein seltsames Rechtsverständniss wenn Verurteilte und Bestrafte Täter die eigentlich als Rehabilitiert anzusehen sind weiter Bestraft werden sollen. Christian Klar hat seine Strafe abgesessen und damit sollte für eine Rechtsstaatliche Partei, wie die CSU immer wieder vorgibt eine zu sein, das Thema erledigt sein.

Bundestag verweigert Ex-RAF-Mitglied einen Hausausweis

Es war mal wieder klar das ich über so einen Bug stolpere. Nach dem glibc upgrade dauern logins ~30 Sekunden. Nach ein bischen strace sieht man wie der sshd an einem DBUS connect hängen bleibt. Ein bischen google-foo und siehe da. Wenn man DBUS restartet (Was nach dem glibc desaster notwendig ist) sollte man auch den logind restarten. Das passiert aber nicht automatisch.

Siehe auch #770135

Es ist ja schon bemerkenswert das man 2 Bugs an einem Tag findet die causal mit SystemD zu tun haben. Dieses mal - ncsa-ng startet nicht mehr nach einem reboot.

Der Maintainer hatte wohl vergessen das es systemd gibt und das man im unit file auch die directories für das PID File anlegen muss.

#784431

Erklärt das dann mal ...

Da ich mir auch in der neuen Firma eine automatische Zeiterfassung bauen wollte habe ich mir mal den Spaß gemacht und die Daten bei meinem letzte Arbeitgeber Analysiert. Der hatte mich ja auf ziemlich Üble Art und Weise entsorgt.

So zeigt ich jede menge Stunden gearbeitet habe die mein Arbeitgeber mir lieber nicht ausgezahlt hat. Der Arbeitsvertrag sprach ja auch davon das alle Mehrarbeit mit dem Grundgehalt abgegolten sind.

5 Minuten Perl wirft das hier raus:

total weeks 35 total hours 1453.17 - avg hours 41.52

Natürlich lügt die Zahl tüchtig. Hier fehlen ja 20 Tage Urlaub die ich in den ersten 35 Wochen genommen habe und in denen ich nicht gearbeitet habe. Wenn man die 4 Wochen Abzieht - also die Stunden durch 31 Wochen teilt dann kommen da

46,87 Stunden/Woche

bei raus oder eben 213,17 unbezahlte Stunden die nur zwischen Februar und September 2015 aufgelaufen sind. Zeiten von 2011 bis 2015 habe ich leider nicht - die werden aber nicht anders aussehen.

Dazu kommen natürlich die mir zu Unrecht vorenthaltenen Lohn der Kündigungsfrist von nochmal einem Monat, da ja die fristlose Kündigung jeder Grundlage entbehrt. Ausserdem natürlich noch der Schaden durch nichtgezahltes ALG I in den ersten 3 Monaten (Eine Fristlose Kündigung zieht ja immer eine Sperre im ALG I nach sich) etc etc etc ... Man kommt schnell dahin das ein Schaden im deutlich 5 stelligen Bereich entstanden ist.

Vielen Dank nochmal dafür ...

So - und jetzt baue ich mal eine neue Zeiterfassung.

In der Tradition von Fefe mit dem "Bug der Woche" ist gerade eine schöne Geschichte an mir vorbei geflogen. DNS ist case insensitive - Nein - Doch - Ohhhhh

Dank an Sven

Date: Mon, 22 Feb 2016 08:18:34 -0800
From: Sven Geggus <notifications@github.com>
To: Monitoring Plugins Development <devel@monitoring-plugins.org>
Subject: DNS is case insensitive! (#1404)

To have check_dns.c consider this fact change strstr to strcasestr
You can view, comment on, or merge this pull request online at:

  https://github.com/monitoring-plugins/monitoring-plugins/pull/1404

-- Commit Summary --

  * DNS is case insensitive!

-- File Changes --

    M plugins/check_dns.c (2)

-- Patch Links --

https://github.com/monitoring-plugins/monitoring-plugins/pull/1404.patch
https://github.com/monitoring-plugins/monitoring-plugins/pull/1404.diff

Es ist echt unglaublich wie Cisco nachwievor versucht LLDP möglichst unbrauchbar zu machen.

Im show lldp neighbors versucht man nicht das remote interface sondern die snmp oid anzuzeigen:

2960S#sh lldp nei
Capability codes:
    (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
    (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other

Device ID           Local Intf     Hold-time  Capability      Port ID
srx01               Gi1/0/21       120        R               548
srx01               Gi1/0/22       120        R               510

Naja - denkt man sich - nicht schlimm - wir habe ja immer noch ein show lldp neighbors detail...

2960S#sh lldp neighbors detail 
------------------------------------------------
Chassis id: 0010.dbff.5010
Port id: 548
Port Description: ge-3/0/0.0
System Name: srx01

System Description: 
Juniper Networks, Inc. srx220h2 , version 12.1X44-D35.5 Build date: 2014-05-19 23:07:40 UTC 

Time remaining: 114 seconds
System Capabilities: B,R
Enabled Capabilities: R
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    1000baseT(FD)
    1000baseX(FD)
Media Attachment Unit type - not advertised
Vlan ID: - not advertised

------------------------------------------------

Na ? Was fehlt diesmal? Richtig - Das local interface. Also entweder ich sehe das remote ODER das local Interface. Es gibt keine Ansicht in der beides ist.

Der einzige weg ist sich das händisch rauszusuchen via

2960S#sh lldp neighbors GigabitEthernet 1/0/21 detail

Dann weiss man ja das lokale interface implizit und das remote wird dann angezeigt.

Ihr seid wirklich Arschgeigen.

Ein Sofa hat sich in mein Büro verirrt - So langsam wirds gemütlich ...

Der erste Schritt zur Alarm suppression - Wir monitoren auf von Kunden gemanageten Devices nicht den Link Status. 20 Minuten c++ basteln und einem boost::program_options bug später:

./checkif 
Need address, community and ifname
Allowed options:
  -h [ --help ]         produce help message
  --address arg         host address
  --community arg       host snmp v2 community
  --ifname arg          interface name to monitor
  --cachedir arg        cache directory for state files
  --nolinkstatus        ifOperStatus down is not critical

Das Attribute peer-device auf den interfaces in der FiDB übersetzen in eine icinga2 variable nolinkstatus:

# If we have an unmanaged peer device - dont monitor ifOperStatus 
if ($neighbour->attrmatch('peer-device', 'unmanaged', 0)) {
    $service->variableadd({ name => "nolinkstatus", value => 1 });
}

Und entsprechend eine conditional variable im icinga2 für den check:

object CheckCommand "customif" {
        import "plugin-check-command"

        command = [
                "/etc/icinga2/customchecks/checkif/checkif"
        ]

        arguments = {
                "--address" = "$address$"
                "--community" = "$snmprocommunity$"
                "--ifname" = "$ifname$"
                "--cachedir" = "/var/cache/nagios3/checkif/"
                "--nolinkstatus" = {
                        set_if = "$nolinkstatus$"
                }
        }
}

Und schon werden die entsprechenden ports nicht mehr CRITICAL wenn der Kunde meint zu booten oder den port runterzufahren. Es muss nur einmal richtig Dokumentiert werden.

Warum eigentlich lädt der CentOS 7 Installer ein 279MByte file nach? Bevor da irgendwas passiert vergehen minuten. Was zum Henker. Das benutzt wirklich wer?

Erstmal den squid so tunen das der dingen cached ... geht ja gar nicht ...

Alles für den Dackel ...