home *** CD-ROM | disk | FTP | other *** search
/ Danny Amor's Online Library / Danny Amor's Online Library - Volume 1.iso / bbs / rfc / rfcxxxx_3.lha / rfc1224 < prev    next >
Text File  |  1995-07-26  |  53KB  |  1,235 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                       L. Steinberg
  8. Request for Comments: 1224                               IBM Corporation
  9.                                                                 May 1991
  10.  
  11.  
  12.  
  13.         Techniques for Managing Asynchronously Generated Alerts
  14.  
  15. Status of this Memo
  16.  
  17.    This memo defines common mechanisms for managing asynchronously
  18.    produced alerts in a manner consistent with current network
  19.    management protocols.
  20.  
  21.    This memo specifies an Experimental Protocol for the Internet
  22.    community.  Discussion and suggestions for improvement are requested.
  23.    Please refer to the current edition of the "IAB Official Protocol
  24.    Standards" for the standardization state and status of this protocol.
  25.    Distribution of this memo is unlimited.
  26.  
  27. Abstract
  28.  
  29.    This RFC explores mechanisms to prevent a remotely managed entity
  30.    from burdening a manager or network with an unexpected amount of
  31.    network management information, and to ensure delivery of "important"
  32.    information.  The focus is on controlling the flow of asynchronously
  33.    generated information, and not how the information is generated.
  34.  
  35. Table of Contents
  36.  
  37.    1. Introduction...................................................  2
  38.    2. Problem Definition.............................................  3
  39.    2.1 Polling Advantages............................................  3
  40.     (a) Reliable detection of failures...............................  3
  41.     (b) Reduced protocol complexity on managed entity................  3
  42.     (c) Reduced performance impact on managed entity.................  3
  43.     (d) Reduced configuration requirements to manage remote entity...  4
  44.    2.2 Polling Disadvantages.........................................  4
  45.     (a) Response time for problem detection..........................  4
  46.     (b) Volume of network management traffic generated...............  4
  47.    2.3 Alert Advantages..............................................  5
  48.     (a) Real-time knowledge of problems..............................  5
  49.     (b) Minimal amount of network management traffic.................  5
  50.    2.4 Alert Disadvantages...........................................  5
  51.     (a) Potential loss of critical information.......................  5
  52.     (b) Potential to over-inform a manager...........................  5
  53.    3. Specific Goals of this Memo....................................  6
  54.    4. Compatibility with Existing Network Management Protocols.......  6
  55.  
  56.  
  57.  
  58. Steinberg                                                       [Page 1]
  59.  
  60. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  61.  
  62.  
  63.    5. Closed Loop "Feedback" Alert Reporting with a "Pin" Sliding
  64.       Window Limit...................................................  6
  65.    5.1 Use of Feedback...............................................  7
  66.    5.1.1 Example.....................................................  8
  67.    5.2 Notes on Feedback/Pin usage...................................  8
  68.    6. Polled, Logged Alerts..........................................  9
  69.    6.1 Use of Polled, Logged Alerts.................................. 10
  70.    6.1.1 Example..................................................... 12
  71.    6.2 Notes on Polled, Logged Alerts................................ 12
  72.    7. Compatibility with SNMP and CMOT .............................. 14
  73.    7.1 Closed Loop Feedback Alert Reporting.......................... 14
  74.    7.1.1 Use of Feedback with SNMP................................... 14
  75.    7.1.2 Use of Feedback with CMOT................................... 14
  76.    7.2 Polled, Logged Alerts......................................... 14
  77.    7.2.1 Use of Polled, Logged Alerts with SNMP...................... 14
  78.    7.2.2 Use of Polled, Logged Alerts with CMOT...................... 15
  79.    8. Notes on Multiple Manager Environments......................... 15
  80.    9. Summary........................................................ 16
  81.    10. References.................................................... 16
  82.    11. Acknowledgements.............................................. 17
  83.    Appendix A.  Example of polling costs............................. 17
  84.    Appendix B.  MIB object definitions............................... 19
  85.    Security Considerations........................................... 22
  86.    Author's Address.................................................. 22
  87.  
  88. 1.  Introduction
  89.  
  90.    This memo defines mechanisms to prevent a remotely managed entity
  91.    from burdening a manager or network with an unexpected amount of
  92.    network management information, and to ensure delivery of "important"
  93.    information.  The focus is on controlling the flow of asynchronously
  94.    generated information, and not how the information is generated.
  95.    Mechanisms for generating and controlling the generation of
  96.    asynchronous information may involve protocol specific issues.
  97.  
  98.    There are two understood mechanisms for transferring network
  99.    management information from a managed entity to a manager: request-
  100.    response driven polling, and the unsolicited sending of "alerts".
  101.    Alerts are defined as any management information delivered to a
  102.    manager that is not the result of a specific query.  Advantages and
  103.    disadvantages exist within each method.  They are detailed in section
  104.    2 below.
  105.  
  106.    Alerts in a failing system can be generated so rapidly that they
  107.    adversely impact functioning resources.  They may also fail to be
  108.    delivered, and critical information maybe lost.  Methods are needed
  109.    both to limit the volume of alert transmission and to assist in
  110.    delivering a minimum amount of information to a manager.
  111.  
  112.  
  113.  
  114. Steinberg                                                       [Page 2]
  115.  
  116. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  117.  
  118.  
  119.    It is our belief that managed agents capable of asynchronously
  120.    generating alerts should attempt to adopt mechanisms that fill both
  121.    of these needs.  For reasons shown in section 2.4, it is necessary to
  122.    fulfill both alert-management requirements.  A complete alert-driven
  123.    system must ensure that alerts are delivered or their loss detected
  124.    with a means to recreate the lost information, AND it must not allow
  125.    itself to overburden its manager with an unreasonable amount of
  126.    information.
  127.  
  128. 2.  Problem Definition
  129.  
  130.    The following discusses the relative advantages and disadvantages of
  131.    polled vs. alert driven management.
  132.  
  133. 2.1  Polling Advantages
  134.  
  135.    (a) Reliable detection of failures.
  136.  
  137.           A manager that polls for all of its information can
  138.           more readily determine machine and network failures;
  139.           a lack of a response to a query indicates problems
  140.           with the machine or network.   A manager relying on
  141.           notification of problems might assume that a faulty
  142.           system is good, should the alert be unable to reach
  143.           its destination, or the managed system be unable to
  144.           correctly generate the alert.  Examples of this
  145.           include network failures (in which an isolated network
  146.           cannot deliver the alert), and power failures (in which
  147.           a failing machine cannot generate an alert).  More
  148.           subtle forms of failure in the managed entity might
  149.           produce an incorrectly generated alert, or no alert at
  150.           all.
  151.  
  152.    (b) Reduced protocol complexity on managed entity
  153.  
  154.           The use of a request-response based system is based on
  155.           conservative assumptions about the underlying transport
  156.           protocol.  Timeouts and retransmits (re-requests) can
  157.           be built into the manager.  In addition, this allows
  158.           the manager to affect the amount of network management
  159.           information flowing across the network directly.
  160.  
  161.    (c) Reduced performance impact on managed entity
  162.  
  163.           In a purely polled system, there is no danger of having
  164.           to often test for an alert condition.  This testing
  165.           takes CPU cycles away from the real mission of the
  166.           managed entity.  Clearly, testing a threshold on each
  167.  
  168.  
  169.  
  170. Steinberg                                                       [Page 3]
  171.  
  172. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  173.  
  174.  
  175.           packet received could have unwanted performance effects
  176.           on machines such as gateways.  Those who wish to use
  177.           thresholds and alerts must choose the parameters to be
  178.           tested with great care, and should be strongly
  179.           discouraged from updating statistics and checking values
  180.           frequently.
  181.  
  182.    (d) Reduced Configuration Requirements to manage remote
  183.           entity
  184.  
  185.           Remote, managed entities need not be configured
  186.           with one or more destinations for reporting information.
  187.           Instead, the entity merely responds to whomever
  188.           makes a specific request.  When changing the network
  189.           configuration, there is never a need to reconfigure
  190.           all remote manageable systems.  In addition, any number
  191.           of "authorized" managers (i.e., those passing any
  192.           authentication tests imposed by the network management
  193.           protocol) may obtain information from any managed entity.
  194.           This occurs without reconfiguring the entity and
  195.           without reaching an entity-imposed limit on the maximum
  196.           number of potential managers.
  197.  
  198. 2.2  Polling Disadvantages
  199.  
  200.    (a) Response time for problem detection
  201.  
  202.           Having to poll many MIB [2] variables per machine on
  203.           a large number of machines is itself a real
  204.           problem.  The ability of a manager to monitor
  205.           such a system is limited; should a system fail
  206.           shortly after being polled there may be a significant
  207.           delay before it is polled again.  During this time,
  208.           the manager must assume that a failing system is
  209.           acceptable.  See Appendix A for a hypothetical
  210.           example of such a system.
  211.  
  212.           It is worthwhile to note that while improving the mean
  213.           time to detect failures might not greatly improve the
  214.           time to correct the failure, the problem will generally
  215.           not be repaired until it is detected.  In addition,
  216.           most network managers would prefer to at least detect
  217.           faults before network users start phoning in.
  218.  
  219.    (b) Volume of network management traffic
  220.  
  221.           Polling many objects (MIB variables) on many machines
  222.           greatly increases the amount of network management
  223.  
  224.  
  225.  
  226. Steinberg                                                       [Page 4]
  227.  
  228. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  229.  
  230.  
  231.           traffic flowing across the network (see Appendix A).
  232.           While it is possible to minimize this through the use
  233.           of hierarchies (polling a machine for a general status
  234.           of all the machines it polls), this aggravates the
  235.           response time problem previously discussed.
  236.  
  237. 2.3  Alert Advantages
  238.  
  239.    (a) Real-time Knowledge of Problems
  240.  
  241.           Allowing the manager to be notified of problems
  242.           eliminates the delay imposed by polling many objects/
  243.           systems in a loop.
  244.  
  245.    (b) Minimal amount of Network Management Traffic
  246.  
  247.           Alerts are transmitted only due to detected errors.
  248.           By removing the need to transfer large amounts of status
  249.           information that merely demonstrate a healthy system,
  250.           network and system (machine processor) resources may be
  251.           freed to accomplish their primary mission.
  252.  
  253. 2.4  Alert Disadvantages
  254.  
  255.    (a) Potential Loss of Critical Information
  256.  
  257.           Alerts are most likely not to be delivered when the
  258.           managed entity fails (power supply fails) or the
  259.           network experiences problems (saturated or isolated).
  260.           It is important to remember that failing machines and
  261.           networks cannot be trusted to inform a manager that
  262.           they are failing.
  263.  
  264.    (b) Potential to Over-inform the Manager
  265.  
  266.           An "open loop" system in which the flow of alerts to
  267.           a manager is fully asynchronous can result in an excess
  268.           of alerts being delivered (e.g., link up/down messages
  269.           when lines vacillate).  This information places an extra
  270.           burden on a strained network, and could prevent the
  271.           manager from disabling the mechanism generating the
  272.           alerts; all available network bandwidth into the manager
  273.           could be saturated with incoming alerts.
  274.  
  275.    Most major network management systems strive to use an optimal
  276.    combination of alerts and polling.  Doing so preserves the advantages
  277.    of each while eliminating the disadvantages of pure polling.
  278.  
  279.  
  280.  
  281.  
  282. Steinberg                                                       [Page 5]
  283.  
  284. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  285.  
  286.  
  287. 3.  Specific Goals of this Memo
  288.  
  289.    This memo suggests mechanisms to minimize the disadvantages of alert
  290.    usage.  An optimal system recognizes the potential problems
  291.    associated with sending too many alerts in which a manager becomes
  292.    ineffective at managing, and not adequately using alerts (especially
  293.    given the volumes of data that must be actively monitored with poor
  294.    scaling).  It is the author's belief that this is best done by
  295.    allowing alert mechanisms that "close down" automatically when over-
  296.    delivering asynchronous (unexpected) alerts, and that also allow a
  297.    flow of synchronous alert information through a polled log.  The use
  298.    of "feedback" (with a sliding window "pin") discussed in section 5
  299.    addresses the former need, while the discussion in section 6 on
  300.    "polled, logged alerts" does the latter.
  301.  
  302.    This memo does not attempt to define mechanisms for controlling the
  303.    asynchronous generation of alerts, as such matters deal with
  304.    specifics of the management protocol.  In addition, no attempt is
  305.    made to define what the content of an alert should be.  The feedback
  306.    mechanism does require the addition of a single alert type, but this
  307.    is not meant to impact or influence the techniques for generating any
  308.    other alert (and can itself be generated from a MIB object or the
  309.    management protocol).  To make any effective use of the alert
  310.    mechanisms described in this memo, implementation of several MIB
  311.    objects is required in the relevant managed systems.  The location of
  312.    these objects in the MIB is under an experimental subtree delegated
  313.    to the Alert-Man working group of the Internet Engineering Task Force
  314.    (IETF) and published in the "Assigned Numbers" RFC [5].  Currently,
  315.    this subtree is defined as
  316.  
  317.          alertMan ::= { experimental 24 }.
  318.  
  319. 4.  Compatibility With Existing Network Management Protocols
  320.  
  321.    It is the intent of this document to suggest mechanisms that violate
  322.    neither the letter nor the spirit of the protocols expressed in CMOT
  323.    [3] and SNMP [4].  To achieve this goal, each mechanism described
  324.    will give an example of its conformant use with both SNMP and CMOT.
  325.  
  326. 5.  Closed Loop "Feedback" Alert Reporting with a "Pin" Sliding
  327.     Window Limit
  328.  
  329.    One technique for preventing an excess of alerts from being delivered
  330.    involves required feedback to the managed agent.  The name "feedback"
  331.    describes a required positive response from a potentially "over-
  332.    reported" manager, before a remote agent may continue transmitting
  333.    alerts at a high rate.  A sliding window "pin" threshold (so named
  334.    for the metal on the end of a meter) is established as a part of a
  335.  
  336.  
  337.  
  338. Steinberg                                                       [Page 6]
  339.  
  340. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  341.  
  342.  
  343.    user-defined SNMP trap, or as a managed CMOT event.  This threshold
  344.    defines the maximum allowable number of alerts ("maxAlertsPerTime")
  345.    that may be transmitted by the agent, and the "windowTime" in seconds
  346.    that alerts are tested against.  Note that "maxAlertsPerTime"
  347.    represents the sum total of all alerts generated by the agent, and is
  348.    not duplicated for each type of alert that an agent might generate.
  349.    Both "maxAlertsPerTime" and "windowTime" are required MIB objects of
  350.    SMI [1] type INTEGER, must be readable, and may be writable should
  351.    the implementation permit it.
  352.  
  353.    Two other items are required for the feedback technique.  The first
  354.    is a Boolean MIB object (SMI type is INTEGER, but it is treated as a
  355.    Boolean whose only value is zero, i.e., "FALSE") named
  356.    "alertsEnabled", which must have read and write access.  The second
  357.    is a user defined alert named "alertsDisabled".  Please see Appendix
  358.    B for their complete definitions.
  359.  
  360. 5.1  Use of Feedback
  361.  
  362.    When an excess of alerts is being generated, as determined by the
  363.    total number of alerts exceeding "maxAlertsPerTime" within
  364.    "windowTime" seconds, the agent sets the Boolean value of
  365.    "alertsEnabled" to "FALSE" and sends a single alert of type
  366.    "alertsDisabled".
  367.  
  368.    Again, the pin mechanism operates on the sum total of all alerts
  369.    generated by the remote system.  Feedback is implemented once per
  370.    agent and not separately for each type of alert in each agent.  While
  371.    it is also possible to implement the Feedback/Pin technique on a per
  372.    alert-type basis, such a discussion belongs in a document dealing
  373.    with controlling the generation of individual alerts.
  374.  
  375.    The typical use of feedback is detailed in the following steps:
  376.  
  377.       (a)  Upon initialization of the agent, the value of
  378.            "alertsEnabled" is set to "TRUE".
  379.  
  380.       (b)  Each time an alert is generated, the value of
  381.            "alertsEnabled" is tested.  Should the value be "FALSE",
  382.            no alert is sent.  If the value is "TRUE", the alert is
  383.            sent and the current time is stored locally.
  384.  
  385.       (c)  If at least "maxAlertsPerTime" have been generated, the
  386.            agent calculates the difference of time stored for the
  387.            new alert from the time associated with alert generated
  388.            "maxAlertsPerTime" previously.  Should this amount be
  389.            less than "windowTime", a single alert of the type
  390.            "alertsDisabled" is sent to the manager and the value of
  391.  
  392.  
  393.  
  394. Steinberg                                                       [Page 7]
  395.  
  396. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  397.  
  398.  
  399.            "alertsEnabled" is then set to "FALSE".
  400.  
  401.       (d)  When a manager receives an alert of the type "Alerts-
  402.            Disabled", it is expected to set "alertsEnabled" back
  403.            to "TRUE" to continue to receive alert reports.
  404.  
  405. 5.1.1  Example
  406.  
  407.    In a sample system, the maximum number of alerts any single managed
  408.    entity may send the manager is 10 in any 3 second interval.  A
  409.    circular buffer with a maximum depth of 10 time of day elements is
  410.    defined to accommodate statistics keeping.
  411.  
  412.    After the first 10 alerts have been sent, the managed entity tests
  413.    the time difference between its oldest and newest alerts.  By testing
  414.    the time for a fixed number of alerts, the system will never disable
  415.    itself merely because a few alerts were transmitted back to back.
  416.  
  417.    The mechanism will disable reporting only after at least 10 alerts
  418.    have been sent, and the only if the last 10 all occurred within a 3
  419.    second interval.  As alerts are sent over time, the list maintains
  420.    data on the last 10 alerts only.
  421.  
  422. 5.2  Notes on Feedback/Pin Usage
  423.  
  424.    A manager may periodically poll "alertsEnabled" in case an
  425.    "alertsDisabled" alert is not delivered by the network.  Some
  426.    implementers may also choose to add COUNTER MIB objects to show the
  427.    total number of alerts transmitted and dropped by "alertsEnabled"
  428.    being FALSE.  While these may yield some indication of the number of
  429.    lost alerts, the use of "Polled, Logged Alerts" offers a superset of
  430.    this function.
  431.  
  432.    Testing the alert frequency need not begin until a minimum number of
  433.    alerts have been sent (the circular buffer is full).  Even then, the
  434.    actual test is the elapsed time to get a fixed number of alerts and
  435.    not the number of alerts in a given time period.  This eliminates the
  436.    need for complex averaging schemes (keeping current alerts per second
  437.    as a frequency and redetermining the current value based on the
  438.    previous value and the time of a new alert).  Also eliminated is the
  439.    problem of two back to back alerts; they may indeed appear to be a
  440.    large number of alerts per second, but the fact remains that there
  441.    are only two alerts.  This situation is unlikely to cause a problem
  442.    for any manager, and should not trigger the mechanism.
  443.  
  444.    Since alerts are supposed to be generated infrequently, maintaining
  445.    the pin and testing the threshold should not impact normal
  446.    performance of the agent (managed entity).  While repeated testing
  447.  
  448.  
  449.  
  450. Steinberg                                                       [Page 8]
  451.  
  452. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  453.  
  454.  
  455.    may affect performance when an excess of alerts are being
  456.    transmitted, this effect would be minor compared to the cost of
  457.    generating and sending so many alerts.  Long before the cost of
  458.    testing (in CPU cycles) becomes relatively high, the feedback
  459.    mechanism should disable alert sending and affect savings both in
  460.    alert sending and its own testing (note that the list maintenance and
  461.    testing mechanisms disable themselves when they disable alert
  462.    reporting).  In addition, testing the value of "alertsEnabled" can
  463.    limit the CPU burden of building alerts that do not need to be sent.
  464.  
  465.    It is advised that the implementer consider allowing write access to
  466.    both the window size and the number of alerts allowed in a window's
  467.    time.  In doing so, a management station has the option of varying
  468.    these parameters remotely before setting "alertsEnabled" to "TRUE".
  469.    Should either of these objects be set to 0, a conformant system will
  470.    disable the pin and feedback mechanisms and allow the agent to send
  471.    all of the alerts it generates.
  472.  
  473.    While the feedback mechanism is not high in CPU utilization costs,
  474.    those implementing alerts of any kind are again cautioned to exercise
  475.    care that the alerts tested do not occur so frequently as to impact
  476.    the performance of the agent's primary function.
  477.  
  478.    The user may prefer to send alerts via TCP to help ensure delivery of
  479.    the "alerts disabled" message, if available.
  480.  
  481.    The feedback technique is effective for preventing the over-reporting
  482.    of alerts to a manager.  It does not assist with the problem of
  483.    "under-reporting" (see "polled, logged alerts" for this).
  484.  
  485.    It is possible to lose alerts while "alertsEnabled" is "FALSE".
  486.    Ideally, the threshold of "maxAlertsPerTime" should be set
  487.    sufficiently high that "alertsEnabled" is only set to "FALSE" during
  488.    "over-reporting" situations.  To help prevent alerts from possibly
  489.    being lost when the threshold is exceeded, this method can be
  490.    combined with "polled, logged alerts" (see below).
  491.  
  492. 6.  Polled, Logged Alerts
  493.  
  494.    A simple system that combines the request-response advantages of
  495.    polling while minimizing the disadvantages is "Polled, Logged
  496.    Alerts".  Through the addition of several MIB objects, one gains a
  497.    system that minimizes network management traffic, lends itself to
  498.    scaling, eliminates the reliance on delivery, and imposes no
  499.    potential over-reporting problems inherent in pure alert driven
  500.    architectures.  Minimizing network management traffic is affected by
  501.    reducing multiple requests to a single request.  This technique does
  502.    not eliminate the need for polling, but reduces the amount of data
  503.  
  504.  
  505.  
  506. Steinberg                                                       [Page 9]
  507.  
  508. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  509.  
  510.  
  511.    transferred and ensures the manager either alert delivery or
  512.    notification of an unreachable node.  Note again, the goal is to
  513.    address the needs of information (alert) flow and not to control the
  514.    local generation of alerts.
  515.  
  516. 6.1  Use of Polled, Logged Alerts
  517.  
  518.    As alerts are generated by a remote managed entity, they are logged
  519.    locally in a table.  The manager may then poll a single MIB object to
  520.    determine if any number of alerts have been generated.  Each poll
  521.    request returns a copy of an "unacknowledged" alert from the alert
  522.    log, or an indication that the table is empty.  Upon receipt, the
  523.    manager might "acknowledge" any alert to remove it from the log.
  524.    Entries in the table must be readable, and can optionally allow the
  525.    user to remove them by writing to or deleting them.
  526.  
  527.    This technique requires several additional MIB objects.  The
  528.    alert_log is a SEQUENCE OF logTable entries that must be readable,
  529.    and can optionally have a mechanism to remove entries (e.g., SNMP set
  530.    or CMOT delete).  An optional read-only MIB object of type INTEGER,
  531.    "maxLogTableEntries" gives the maximum number of log entries the
  532.    system will support.  Please see Appendix B for their complete
  533.    definitions.
  534.  
  535.    The typical use of Polled, Logged Alerts is detailed below.
  536.  
  537.       (a)  Upon initialization, the agent builds a pointer to a log
  538.            table.  The table is empty (a sequence of zero entries).
  539.  
  540.       (b)  Each time a local alert is generated, a logTable entry
  541.            is built with the following information:
  542.  
  543.       SEQUENCE {
  544.                  alertId          INTEGER,
  545.                  alertData        OPAQUE
  546.            }
  547.  
  548.            (1) alertId number of type INTEGER, set to 1 greater
  549.                than the previously generated alertId.  If this is
  550.                the first alert generated, the value is initialized
  551.                to 1.  This value should wrap (reset) to 1 when it
  552.                reaches 2**32.  Note that the maximum log depth
  553.                cannot exceed (2**32)-1 entries.
  554.  
  555.            (2) a copy of the alert encapsulated in an OPAQUE.
  556.  
  557.       (c)  The new log element is added to the table.  Should
  558.            addition of the element exceed the defined maximum log
  559.  
  560.  
  561.  
  562. Steinberg                                                      [Page 10]
  563.  
  564. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  565.  
  566.  
  567.            table size, the oldest element in the table (having the
  568.            lowest alertId) is replaced by the new element.
  569.  
  570.       (d)  A manager may poll the managed agent for either the next
  571.            alert in the alert_table, or for a copy of the alert
  572.            associated with a specific alertId.  A poll request must
  573.            indicate a specific alertId. The mechanism for obtaining
  574.            this information from a table is protocol specific, and
  575.            might use an SNMP GET or GET NEXT (with GET NEXT
  576.            following an instance of zero returning the first table
  577.            entry's alert) or CMOT's GET with scoping and filtering
  578.            to get alertData entries associated with alertId's
  579.            greater or less than a given instance.
  580.  
  581.       (e)  An alertData GET request from a manager must always be
  582.            responded to with a reply of the entire OPAQUE alert
  583.            (SNMP TRAP, CMOT EVENT, etc.) or a protocol specific
  584.            reply indicating that the get request failed.
  585.  
  586.            Note that the actual contents of the alert string, and
  587.            the format of those contents, are protocol specific.
  588.  
  589.       (f)  Once an alert is logged in the local log, it is up to
  590.            the individual architecture and implementation whether
  591.            or not to also send a copy asynchronously to the
  592.            manager.  Doing so could be used to redirect the focus
  593.            of the polling (rather than waiting an average of 1/2
  594.            the poll cycle to learn of a problem), but does not
  595.            result in significant problems should the alert fail to
  596.            be delivered.
  597.  
  598.       (g)  Should a manager request an alert with alertId of 0,
  599.            the reply shall be the appropriate protocol specific
  600.            error response.
  601.  
  602.       (h)  If a manager requests the alert immediately following
  603.            the alert with alertId equal to 0, the reply will be the
  604.            first alert (or alerts, depending on the protocol used)
  605.            in the alert log.
  606.  
  607.       (i)  A manager may remove a specific alert from the alert log
  608.            by naming the alertId of that alert and issuing a
  609.            protocol specific command (SET or DELETE).  If no such
  610.            alert exists, the operation is said to have failed and
  611.            such failure is reported to the manager in a protocol
  612.            specific manner.
  613.  
  614.  
  615.  
  616.  
  617.  
  618. Steinberg                                                      [Page 11]
  619.  
  620. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  621.  
  622.  
  623. 6.1.1  Example
  624.  
  625.    In a sample system (based on the example in Appendix A), a manager
  626.    must monitor 40 remote agents, each having between 2 and 15
  627.    parameters which indicate the relative health of the agent and the
  628.    network.  During normal monitoring, the manager is concerned only
  629.    with fault detection.  With an average poll request-response time of
  630.    5 seconds, the manager polls one MIB variable on each node.  This
  631.    involves one request and one reply packet of the format specified in
  632.    the XYZ network management protocol.  Each packet requires 120 bytes
  633.    "on the wire" (requesting a single object, ASN.1 encoded, IP and UDP
  634.    enveloped, and placed in an ethernet packet).  This results in a
  635.    serial poll cycle time of 3.3 minutes (40 nodes at 5 seconds each is
  636.    200 seconds), and a mean time to detect alert of slightly over 1.5
  637.    minutes.  The total amount of data transferred during a 3.3 minute
  638.    poll cycle is 9600 bytes (120 requests and 120 replies for each of 40
  639.    nodes).  With such a small amount of network management traffic per
  640.    minute, the poll rate might reasonably be doubled (assuming the
  641.    network performance permits it).  The result is 19200 bytes
  642.    transferred per cycle, and a mean time to detect failure of under 1
  643.    minute.  Parallel polling obviously yields similar improvements.
  644.  
  645.    Should an alert be returned by a remote agent's log, the manager
  646.    notifies the operator and removes the element from the alert log by
  647.    setting it with SNMP or deleting it with CMOT.  Normal alert
  648.    detection procedures are then followed.  Those SNMP implementers who
  649.    prefer to not use SNMP SET for table entry deletes may always define
  650.    their log as "read only".  The fact that the manager made a single
  651.    query (to the log) and was able to determine which, if any, objects
  652.    merited special attention essentially means that the status of all
  653.    alert capable objects was monitored with a single request.
  654.  
  655.    Continuing the above example, should a remote entity fail to respond
  656.    to two successive poll attempts, the operator is notified that the
  657.    agent is not reachable.  The operator may then choose (if so
  658.    equipped) to contact the agent through an alternate path (such as
  659.    serial line IP over a dial up modem).  Upon establishing such a
  660.    connection, the manager may then retrieve the contents of the alert
  661.    log for a chronological map of the failure's alerts.  Alerts
  662.    undelivered because of conditions that may no longer be present are
  663.    still available for analysis.
  664.  
  665. 6.2  Notes on Polled, Logged Alerts
  666.  
  667.    Polled, logged alert techniques allow the tracking of many alerts
  668.    while actually monitoring only a single MIB object.  This
  669.    dramatically decreases the amount of network management data that
  670.    must flow across the network to determine the status.  By reducing
  671.  
  672.  
  673.  
  674. Steinberg                                                      [Page 12]
  675.  
  676. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  677.  
  678.  
  679.    the number of requests needed to track multiple objects (to one), the
  680.    poll cycle time is greatly improved.  This allows a faster poll cycle
  681.    (mean time to detect alert) with less overhead than would be caused
  682.    by pure polling.
  683.  
  684.    In addition, this technique scales well to large networks, as the
  685.    concept of polling a single object to learn the status of many lends
  686.    itself well to hierarchies.  A proxy manager may be polled to learn
  687.    if he has found any alerts in the logs of the agents he polls.  Of
  688.    course, this scaling does not save on the mean time to learn of an
  689.    alert (the cycle times of the manager and the proxy manager must be
  690.    considered), but the amount of network management polling traffic is
  691.    concentrated at lower levels.  Only a small amount of such traffic
  692.    need be passed over the network's "backbone"; that is the traffic
  693.    generated by the request-response from the manager to the proxy
  694.    managers.
  695.  
  696.    Note that it is best to return the oldest logged alert as the first
  697.    table entry.  This is the object most likely to be overwritten, and
  698.    every attempt should be made ensure that the manager has seen it.  In
  699.    a system where log entries may be removed by the manager, the manager
  700.    will probably wish to attempt to keep all remote alert logs empty to
  701.    reduce the number of alerts dropped or overwritten.  In any case, the
  702.    order in which table entries are returned is a function of the table
  703.    mechanism, and is implementation and/or protocol specific.
  704.  
  705.    "Polled, logged alerts" offers all of the advantages inherent in
  706.    polling (reliable detection of failures, reduced agent complexity
  707.    with UDP, etc.), while minimizing the typical polling problems
  708.    (potentially shorter poll cycle time and reduced network management
  709.    traffic).
  710.  
  711.    Finally, alerts are not lost when an agent is isolated from its
  712.    manager.  When a connection is reestablished, a history of conditions
  713.    that may no longer be in effect is available to the manager.  While
  714.    not a part of this document, it is worthwhile to note that this same
  715.    log architecture can be employed to archive alert and other
  716.    information on remote hosts.  However, such non-local storage is not
  717.    sufficient to meet the reliability requirements of "polled, logged
  718.    alerts".
  719.  
  720.  
  721.  
  722.  
  723.  
  724.  
  725.  
  726.  
  727.  
  728.  
  729.  
  730. Steinberg                                                      [Page 13]
  731.  
  732. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  733.  
  734.  
  735. 7.  Compatibility with SNMP [4] and CMOT [3]
  736.  
  737. 7.1  Closed Loop (Feedback) Alert Reporting
  738.  
  739. 7.1.1  Use of Feedback with SNMP
  740.  
  741.    At configuration time, an SNMP agent supporting Feedback/Pin is
  742.    loaded with default values of "windowTime" and "maxAlerts-PerTime",
  743.    and "alertsEnabled" is set to TRUE.  The manager issues an SNMP GET
  744.    to determine "maxAlertsPerTime" and "windowTime", and to verify the
  745.    state of "alertsEnabled".  Should the agent support setting Pin
  746.    objects, the manager may choose to alter these values (via an SNMP
  747.    SET).  The new values are calculated based upon known network
  748.    resource limitations (e.g., the amount of packets the manager's
  749.    gateway can support) and the number of agents potentially reporting
  750.    to this manager.
  751.  
  752.    Upon receipt of an "alertsDisabled" trap, a manager whose state and
  753.    network are not overutilized immediately issues an SNMP SET to make
  754.    "alertsEnabled" TRUE.  Should an excessive number of "alertsDisabled"
  755.    traps regularly occur, the manager might revisit the values chosen
  756.    for implementing the Pin mechanism.  Note that an overutilized system
  757.    expects its manager to delay the resetting of "alertsEnabled".
  758.  
  759.    As a part of each regular polling cycle, the manager includes a GET
  760.    REQUEST for the value of "alertsEnabled".  If this value is FALSE, it
  761.    is SET to TRUE, and the potential loss of traps (while it was FALSE)
  762.    is noted.
  763.  
  764. 7.1.2  Use of Feedback with CMOT
  765.  
  766.    The use of CMOT in implementing Feedback/Pin is essentially identical
  767.    to the use of SNMP.  CMOT GET, SET, and EVENT replace their SNMP
  768.    counterparts.
  769.  
  770. 7.2  Polled, Logged Alerts
  771.  
  772. 7.2.1  Use of Polled, Logged alerts with SNMP
  773.  
  774.    As a part of regular polling, an SNMP manager using Polled, logged
  775.    alerts may issue a GET_NEXT Request naming
  776.    { alertLog logTableEntry(1) alertId(1) 0 }.  Returned is either the
  777.    alertId of the first table entry or, if the table is empty, an SNMP
  778.    reply whose object is the "lexicographical successor" to the alert
  779.    log.
  780.  
  781.    Should an "alertId" be returned, the manager issues an SNMP GET
  782.    naming { alertLog logTableEntry(1) alertData(2) value } where "value"
  783.  
  784.  
  785.  
  786. Steinberg                                                      [Page 14]
  787.  
  788. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  789.  
  790.  
  791.    is the alertId integer obtained from the previously described GET
  792.    NEXT.  This returns the SNMP TRAP encapsulated within an OPAQUE.
  793.  
  794.    If the agent supports the deletion of table entries through SNMP
  795.    SETS, the manager may then issue a SET of { alertLog logTableEntry(1)
  796.    alertId(1) value } to remove the entry from the log.  Otherwise, the
  797.    next GET NEXT poll of this agent should request the first "alertId"
  798.    following the instance of "value" rather than an instance of "0".
  799.  
  800. 7.2.2  Use of Polled, Logged Alerts with CMOT
  801.  
  802.    Using polled, logged alerts with CMOT is similar to using them with
  803.    SNMP.  In order to test for table entries, one uses a CMOT GET and
  804.    specifies scoping to the alertLog.  The request is for all table
  805.    entries that have an alertId value greater than the last known
  806.    alertId, or greater than zero if the table is normally kept empty by
  807.    the manager.  Should the agent support it, entries are removed with a
  808.    CMOT DELETE, an object of alertLog.entry, and a distinguishing
  809.    attribute of the alertId to remove.
  810.  
  811. 8.  Multiple Manager Environments
  812.  
  813.    The conflicts between multiple managers with overlapping
  814.    administrative domains (generally found in larger networks) tend to
  815.    be resolved in protocol specific manners.  This document has not
  816.    addressed them.  However, real world demands require alert management
  817.    techniques to function in such environments.
  818.  
  819.    Complex agents can clearly respond to different managers (or managers
  820.    in different "communities") with different reply values.  This allows
  821.    feedback and polled, logged alerts to appear completely independent
  822.    to differing autonomous regions (each region sees its own value).
  823.    Differing feedback thresholds might exist, and feedback can be
  824.    actively blocking alerts to one manager even after another manager
  825.    has reenabled its own alert reporting.  All of this is transparent to
  826.    an SNMP user if based on communities, or each manager can work with a
  827.    different copy of the relevant MIB objects.  Those implementing CMOT
  828.    might view these as multiple instances of the same feedback objects
  829.    (and allow one manager to query the state of another's feedback
  830.    mechanism).
  831.  
  832.    The same holds true for polled, logged alerts.  One manager (or
  833.    manager in a single community/region) can delete an alert from its
  834.    view without affecting the view of another region's managers.
  835.  
  836.    Those preferring less complex agents will recognize the opportunity
  837.    to instrument proxy management.  Alerts might be distributed from a
  838.    manager based alert exploder which effectively implements feedback
  839.  
  840.  
  841.  
  842. Steinberg                                                      [Page 15]
  843.  
  844. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  845.  
  846.  
  847.    and polled, logged alerts for its subscribers.  Feedback parameters
  848.    are set on each agent to the highest rate of any subscriber, and
  849.    limited by the distributor.  Logged alerts are deleted from the view
  850.    at the proxy manager, and truly deleted at the agent only when all
  851.    subscribers have so requested, or immediately deleted at the agent
  852.    with the first proxy request, and maintained as virtual entries by
  853.    the proxy manager for the benefit of other subscribers.
  854.  
  855. 9.  Summary
  856.  
  857.    While "polled, logged alerts" may be useful, they still have a
  858.    limitation: the mean time to detect failures and alerts increases
  859.    linearly as networks grow in size (hierarchies offer shorten
  860.    individual poll cycle times, but the mean detection time is the sum
  861.    of 1/2 of each cycle time).  For this reason, it may be necessary to
  862.    supplement asynchronous generation of alerts (and "polled, logged
  863.    alerts") with unrequested transmission of the alerts on very large
  864.    networks.
  865.  
  866.    Whenever systems generate and asynchronously transmit alerts, the
  867.    potential to overburden (over-inform) a management station exists.
  868.    Mechanisms to protect a manager, such as the "Feedback/Pin"
  869.    technique, risk losing potentially important information.  Failure to
  870.    implement asynchronous alerts increases the time for the manager to
  871.    detect and react to a problem.  Over-reporting may appear less
  872.    critical (and likely) a problem than under-informing, but the
  873.    potential for harm exists with unbounded alert generation.
  874.  
  875.    An ideal management system will generate alerts to notify its
  876.    management station (or stations) of error conditions.  However, these
  877.    alerts must be self limiting with required positive feedback.  In
  878.    addition, the manager should periodically poll to ensure connectivity
  879.    to remote stations, and to retrieve copies of any alerts that were
  880.    not delivered by the network.
  881.  
  882. 10.  References
  883.  
  884.    [1] Rose, M., and K. McCloghrie, "Structure and Identification of
  885.        Management Information for TCP/IP-based Internets", RFC 1155,
  886.        Performance Systems International and Hughes LAN Systems, May
  887.        1990.
  888.  
  889.    [2] McCloghrie, K., and M. Rose, "Management Information Base for
  890.        Network Management of TCP/IP-based internets", RFC 1213, Hughes
  891.        LAN Systems, Inc., Performance Systems International, March 1991.
  892.  
  893.    [3] Warrier, U., Besaw, L., LaBarre, L., and B. Handspicker, "Common
  894.        Management Information Services and Protocols for the Internet
  895.  
  896.  
  897.  
  898. Steinberg                                                      [Page 16]
  899.  
  900. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  901.  
  902.  
  903.        (CMOT) and (CMIP)", RFC 1189, Netlabs, Hewlett-Packard, The Mitre
  904.        Corporation, Digital Equipment Corporation, October 1990.
  905.  
  906.    [4] Case, J., Fedor, M., Schoffstall, M., and C. Davin, "Simple
  907.        Network Management Protocol" RFC 1157, SNMP Research, Performance
  908.        Systems International, Performance Systems International, MIT
  909.        Laboratory for Computer Science, May 1990.
  910.  
  911.    [5] Reynolds, J., and J. Postel, "Assigned Numbers", RFC 1060,
  912.        USC/Information Sciences Institute, March 1990.
  913.  
  914. 11.  Acknowledgements
  915.  
  916.    This memo is the product of work by the members of the IETF Alert-Man
  917.    Working Group and other interested parties, whose efforts are
  918.    gratefully acknowledged here:
  919.  
  920.       Amatzia Ben-Artzi          Synoptics Communications
  921.       Neal Bierbaum              Vitalink Corp.
  922.       Jeff Case                  University of Tennessee at Knoxville
  923.       John Cook                  Chipcom Corp.
  924.       James Davin                MIT
  925.       Mark Fedor                 Performance Systems International, Inc.
  926.       Steven Hunter              Lawrence Livermore National Labs
  927.       Frank Kastenholz           Clearpoint Research
  928.       Lee LaBarre                Mitre Corp.
  929.       Bruce Laird                BBN, Inc
  930.       Gary Malkin                FTP Software, Inc.
  931.       Keith McCloghrie           Hughes Lan Systems
  932.       David Niemi                Contel Federal Systems
  933.       Lee Oattes                 University of Toronto
  934.       Joel Replogle              NCSA
  935.       Jim Sheridan               IBM Corp.
  936.       Steve Waldbusser           Carnegie-Mellon University
  937.       Dan Wintringham            Ohio Supercomputer Center
  938.       Rich Woundy                IBM Corp.
  939.  
  940. Appendix A
  941.  
  942.    Example of polling costs
  943.  
  944.       The following example is completely hypothetical, and arbitrary.
  945.       It assumes that a network manager has made decisions as to which
  946.       systems, and which objects on each system, must be continuously
  947.       monitored to determine the operational state of a network.  It
  948.       does not attempt to discuss how such decisions are made, and
  949.       assumes that they were arrived at with the full understanding that
  950.       the costs of polling many objects must be weighed against the
  951.  
  952.  
  953.  
  954. Steinberg                                                      [Page 17]
  955.  
  956. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  957.  
  958.  
  959.       level of information required.
  960.  
  961.       Consider a manager that must monitor 40 gateways and hosts on a
  962.       single network.  Further assume that the average managed entity
  963.       has 10 MIB objects that must be watched to determine the device's
  964.       and network's overall "health".  Under the XYZ network management
  965.       protocol, the manager may get the values of up to 4 MIB objects
  966.       with a single request (so that 3 requests must be made to
  967.       determine the status of a single entity).  An average response
  968.       time of 5 seconds is assumed, and a lack of response within 30
  969.       seconds is considered no reply.  Two such "no replies" are needed
  970.       to declare the managed entity "unreachable", as a single packet
  971.       may occasionally be dropped in a UDP system (those preferring to
  972.       use TCP for automated retransmits should assume a longer timeout
  973.       value before declaring the entity "unreachable" which we will
  974.       define as 60 seconds).
  975.  
  976.       We begin with the case of "sequential polling".  This is defined
  977.       as awaiting a response to an outstanding request before issuing
  978.       any further requests.  In this example, the average XYZ network
  979.       management protocol packet size is 300 bytes "on the wire"
  980.       (requesting multiple objects, ASN.1 encoded, IP and UDP enveloped,
  981.       and placed in an ethernet packet).  120 request packets are sent
  982.       each cycle (3 for each of 40 nodes), and 120 response packets are
  983.       expected.  72000 bytes (240 packets at 300 bytes each) must be
  984.       transferred during each poll cycle, merely to determine that the
  985.       network is fine.
  986.  
  987.       At five seconds per transaction, it could take up to 10 minutes to
  988.       determine the state of a failing machine (40 systems x 3 requests
  989.       each x 5 seconds per request).  The mean time to detect a system
  990.       with errors is 1/2 of the poll cycle time, or 5 minutes.  In a
  991.       failing network, dropped packets (that must be timed out and
  992.       resent) greatly increase the mean and worst case times to detect
  993.       problems.
  994.  
  995.       Note that the traffic costs could be substantially reduced by
  996.       combining each set of three request/response packets in a single
  997.       request/response transaction (see section 6.1.1 "Example").
  998.  
  999.       While the bandwidth use is spread over 10 minutes (giving a usage
  1000.       of 120 bytes/second), this rapidly deteriorates should the manager
  1001.       decrease his poll cycle time to accommodate more machines or
  1002.       improve his mean time to fault detection.  Conversely, increasing
  1003.       his delay between polls reduces traffic flow, but does so at the
  1004.       expense of time to detect problems.
  1005.  
  1006.       Many network managers allow multiple poll requests to be "pending"
  1007.  
  1008.  
  1009.  
  1010. Steinberg                                                      [Page 18]
  1011.  
  1012. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  1013.  
  1014.  
  1015.       at any given time.  It is assumed that such managers would not
  1016.       normally poll every machine without any delays.  Allowing
  1017.       "parallel polling" and initiating a new request immediately
  1018.       following any response would tend to generate larger amounts of
  1019.       traffic; "parallel polling" here produces 40 times the amount of
  1020.       network traffic generated in the simplistic case of "sequential
  1021.       polling" (40 packets are sent and 40 replies received every 5
  1022.       seconds, giving 80 packets x 300 bytes each per 5 seconds, or 4800
  1023.       bytes/second).  Mean time to detect errors drops, but at the cost
  1024.       of increased bandwidth.  This does not improve the timeout value
  1025.       of over 2 minutes to detect that a node is not responding.
  1026.  
  1027.       Even with parallel polling, increasing the device count (systems
  1028.       to manage) not only results in more traffic, but can degrade
  1029.       performance.  On large networks the manager becomes bounded by the
  1030.       number of queries that can be built, tracked, responses parsed,
  1031.       and reacted to per second.  The continuous volume requires the
  1032.       timeout value to be increased to accommodate responses that are
  1033.       still in transit or have been received and are queued awaiting
  1034.       processing.  The only alternative is to reduce the poll cycle.
  1035.       Either of these actions increase both mean time to detect failure
  1036.       and worst case time to detect problems.
  1037.  
  1038.       If alerts are sent in place of polling, mean time to fault
  1039.       detection drops from over a minute to as little as 2.5 seconds
  1040.       (1/2 the time for a single request-response transaction).  This
  1041.       time may be increased slightly, depending on the nature of the
  1042.       problem.  Typical network utilization is zero (assuming a
  1043.       "typical" case of a non-failing system).
  1044.  
  1045. Appendix B
  1046.  
  1047.               All defined MIB objects used in this document reside
  1048.               under the mib subtree:
  1049.  
  1050.               alertMan ::= { iso(1) org(3) dod(6) internet(1)
  1051.                     experimental(3) alertMan(24) ver1(1) }
  1052.  
  1053.               as defined in the Internet SMI [1] and the latest "Assigned
  1054.               Numbers" RFC [5]. Objects under this branch are assigned
  1055.               as follows:
  1056.  
  1057.               RFC 1224-MIB DEFINITIONS ::= BEGIN
  1058.  
  1059.               alertMan        OBJECT IDENTIFIER ::= { experimental 24 }
  1060.  
  1061.               ver1            OBJECT IDENTIFIER ::= { alertMan 1 }
  1062.  
  1063.  
  1064.  
  1065.  
  1066. Steinberg                                                      [Page 19]
  1067.  
  1068. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  1069.  
  1070.  
  1071.               feedback        OBJECT IDENTIFIER ::= { ver1 1 }
  1072.               polledLogged    OBJECT IDENTIFIER ::= { ver1 2 }
  1073.  
  1074.               END
  1075.  
  1076.  
  1077.               1) Feedback Objects
  1078.  
  1079.                  OBJECT:
  1080.                  ------
  1081.  
  1082.                  maxAlertsPerTime { feedback 1 }
  1083.  
  1084.                  Syntax:
  1085.                     Integer
  1086.  
  1087.                  Access:
  1088.                     read-write
  1089.  
  1090.                  Status:
  1091.                     mandatory
  1092.  
  1093.                  OBJECT:
  1094.                  ------
  1095.  
  1096.                  windowTime { feedback 2 }
  1097.  
  1098.                  Syntax:
  1099.                     Integer
  1100.  
  1101.                  Access:
  1102.                     read-write
  1103.  
  1104.                  Status:
  1105.                     mandatory
  1106.  
  1107.                  OBJECT:
  1108.                  ------
  1109.  
  1110.                  alertsEnabled { feedback 3 }
  1111.  
  1112.                  Syntax:
  1113.                     Integer
  1114.  
  1115.                  Access:
  1116.                     read-write
  1117.  
  1118.                  Status:
  1119.  
  1120.  
  1121.  
  1122. Steinberg                                                      [Page 20]
  1123.  
  1124. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  1125.  
  1126.  
  1127.                     mandatory
  1128.  
  1129.  
  1130.               2) Polled, Logged Objects
  1131.  
  1132.                  OBJECT:
  1133.                  ------
  1134.  
  1135.                  alertLog { polledLogged 1 }
  1136.  
  1137.                  Syntax:
  1138.                     SEQUENCE OF logTableEntry
  1139.  
  1140.                  Access:
  1141.                     read-write
  1142.  
  1143.                  Status:
  1144.                     mandatory
  1145.  
  1146.                  OBJECT:
  1147.                  ------
  1148.  
  1149.                  logTableEntry { alertLog 1 }
  1150.  
  1151.                  Syntax:
  1152.  
  1153.                     logTableEntry ::= SEQUENCE {
  1154.  
  1155.                        alertId
  1156.                           INTEGER,
  1157.                        alertData
  1158.                           OPAQUE
  1159.                     }
  1160.  
  1161.                  Access:
  1162.                     read-write
  1163.  
  1164.                  Status:
  1165.                     mandatory
  1166.  
  1167.                  OBJECT:
  1168.                  ------
  1169.  
  1170.                  alertId { logTableEntry 1 }
  1171.  
  1172.                  Syntax:
  1173.                     Integer
  1174.  
  1175.  
  1176.  
  1177.  
  1178. Steinberg                                                      [Page 21]
  1179.  
  1180. RFC 1224        Managing Asynchronously Generated Alerts        May 1991
  1181.  
  1182.  
  1183.                  Access:
  1184.                     read-write
  1185.  
  1186.                  Status:
  1187.                     mandatory
  1188.  
  1189.                  OBJECT:
  1190.                  ------
  1191.  
  1192.                  alertData { logTableEntry 2 }
  1193.  
  1194.                  Syntax:
  1195.                     Opaque
  1196.  
  1197.                  Access:
  1198.                     read-only
  1199.  
  1200.                  Status:
  1201.                     mandatory
  1202.  
  1203.                  OBJECT:
  1204.                  ------
  1205.  
  1206.                  maxLogTableEntries { polledLogged 2 }
  1207.  
  1208.                  Syntax:
  1209.                     Integer
  1210.  
  1211.                  Access:
  1212.                     read-only
  1213.  
  1214.                  Status:
  1215.                     optional
  1216.  
  1217. Security Considerations
  1218.  
  1219.    Security issues are not discussed in this memo.
  1220.  
  1221. Author's Address
  1222.  
  1223.    Lou Steinberg
  1224.    IBM NSFNET Software Development
  1225.    472 Wheelers Farms Rd, m/s 91
  1226.    Milford, Ct. 06460
  1227.  
  1228.    Phone:     203-783-7175
  1229.    EMail:     LOUISS@IBM.COM
  1230.  
  1231.  
  1232.  
  1233.  
  1234. Steinberg                                                      [Page 22]
  1235.