monitoring

March 5, 2017

Webserver monitoring

Николай Николов Howto apache, iptables, librenms, monitoring, mysql, netdata, netstat, nginx, php, webserver 0

Hi,

In this post I will share about the most commonly used methods by me for the so-called webserver monitoring.
The idea is clear – as a web administrator, it is very important for me to always know what is happening behind the wheel of the web server.

A typical example of the need for monitoring is when our server has lifted a high load, and we need to understand where it comes from.

netstat

netstat is my best friend in such situations. Over the years I have improved in its use and I have found the best combination of parameters with which to easily find out which server my “flood” is.

netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' | cut -f1 -d: | sort | uniq -c | sort -rn | head

And the result is :

[root@web ~]# netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' | cut -f1 -d: | sort | uniq -c | sort -rn | head
47 104.31.11.*
25 86.229.74.*
12 109.133.39.*
12 104.20.209.*
10 94.225.141.*
10 213.219.168.*
7 84.198.179.*
7 81.82.83.*
7 68.180.228.*
7 213.119.25.*

The same combination can be used for port 443 !!

The alternative of netstat is command : ss

When we have IP addresses, you can quickly and easily through whois find out who is coming from where and take appropriate action.

And we can block them :

iptables -I INPUT -s $IP -j DROP

Access Logs

It is very important to properly rely on the logs of the web server. We are often attacked by so-called “bots” that open wp-login.php and try to enter our wordpress. However, each such attempt opens a new request to our php and mysql servers, and “eats” CPU time and memory.

You can read details in my previous post wordpress wp-login.php attack

top, mytop

top is the command I use most often for real-time monitoring – it shows me which process loads our server the most and so I can easily find out where to look for the problem. top

mytop is an alternative to top specialized in monitoring mysql servers. Through it we can monitor the requests in real time on the machine, as we can kill directly by IDs, monitor replication (if any) and much more! mytop

graphics

Of course, where are we without the graphics.

I personally use LibreNMS and Netdata to monitor my servers and draw their graphs.

I used cacti for many years, but for a number of reasons I migrated to LibreNMS (formerly Observium)

Of course, there are many other ways to monitor our web server, but for me the ones listed above are the best.

Here is a link to an article with many useful Linux commands.

May 31, 2014

How to monitor single ip with MRTG

Николай Николов Howto iptables, mangle, monitoring, mrtg, traffic 0

По принцип MRTG има възможност да рисува графика на интерфейса, но в моя случай искам да правя графики на отделни айпи адреси на които моя интерфейс е гейт. В моя случай MRTG сървъра и трафик сървъра / кръстен е fw / са различни машини.

За целта съм направил следното :

1. Направих ssh ключ чрез които достъпвам fw без парола

2. На fw добавих 2 реда в таблица mangle :

iptables -t mangle -I FORWARD -s 10.0.20.2 -j MARK --set-mark 0xa101
iptables -t mangle -I FORWARD -d 10.0.20.2 -j MARK --set-mark 0xd101

3. Написах си малък скрипт кръстен “traffic-counter.sh” и го сложих в /root/ :

#!/bin/bash
iptables -t mangle -vxnL | grep "$1"| awk '{ print $2 }'

4. Написах скрипт на MRTG сървъра които да взима инфото от fw и го кръстих /web-bg/check-traffic-fw.sh:

#!/bin/bash
/usr/bin/ssh root@fw 'sh /root/traffic-counter.sh 10.0.20.2' > /web-bg/traffic-stats/10.0.20.2.txt

Тук можем да добавим колкото си искаме айпи адреси като предварително сме ги добавили в mangle на fw
5. Направих и крон през 1 минута които да прави проверките :

*/1 * * * * root /web-bg/check-traffic-fw.sh >/dev/null >/dev/null

6. Накрая следва и конфига в mrtg.cfg за цялата тая работа :

Title[fw-traffic-10.0.20.2]: detailed fw traffic for 10.0.20.2
Target[fw-traffic-10.0.20.2]: `cat /web-bg/traffic-stats/10.0.20.2.txt`
MaxBytes[fw-traffic-10.0.20.2]: 1250000
AbsMax[fw-traffic-10.0.20.2]: 3750000
Directory[fw-traffic-10.0.20.2]: fw-traffic
Options[fw-traffic-10.0.20.2]: growright, bits, unknaszero, noinfo, pngdate
PageTop[fw-traffic-10.0.20.2]:

fw traffic for 10.0.20.2

И в обобщение ето и резултата 🙂
How to monitor single ip with MRTG

September 10, 2013

Linux monitoring with monit and mmonit

Николай Николов Работа, Howto mmonit, monit, monitoring, servers, services 0

Наскоро съвсем случайно открих този малък и лесен за използване инструмент наречен monit.

Тъй като съм фен на новостите и честото ъпгрейдване, реших да го тествам на един от дев сървърите ми. За мое голямо учудване, открих нещо много полезно в него, и така реших да го сложа и при другите.

Полезното което може да прави е, да изпраща мейли когато даден сървър падне (и по-якото е че може да го рестартира направо).

Притежава доста големи възможности за отчитане на проблемите.

Самият monit изглежда така:

Тук идва и момента на mmonit – приложението което обединява всичките monit агенти в едно. Също лесно за инсталиране и конфигуриране, mmonit ни позволява лесното извършване на мониторинг на сървисите ни по различните сървъри, позволява ни да ги спираме и пускаме или да ги рестартираме от уеб приложението.
Разбира се, сигурността тук е от съществено значение и за това препоръчвам вдигането на mmonit демона да се прави на локално айпи до което се стига чрез впн или само от даден влан.
Направих и скрийншот на mmonit:

Повече скрийншоти може да се намерят и на страницата на приложението http://mmonit.com/monit/screenshots/

До колкото разбрах, mmonit е платен, или има възможност да се заплати лиценз. При мен в момента показва че лиценза ще изтече след 1 месец.

Не е ясно какво ще стане след това.. 🙂 Ще пиша след като разбера за повече подробности!

April 28, 2012

Munin?

Николай Николов Работа cacti, monitoring, mrtg, munin 0

Тъй като съм голям привърженик на доброто старо MRTG не исках и да чувам за други видове мониторинг на системата. В ЛинкБГ ползвахме повече cacti и по-малко MRTG , и от там знам доста трикове и неща за cacti-то. Хубаво е , но мен ме кефи като вляза да видя всичко на куп, не да цъкам като див по хостовете за да откривам проблеми и тн..
Отдавна съм хвърлил око на тази системка munin която за разлика от другите две , работи на принципа – сървър – клиент , като това позволява всеки клиент да има активирани отделни плугини и тн.
Това което ми допадна за сега е че адски лесно и бързо се инсталира и конфигурира. Просто елементарно..
Препоръчвам го за начинаещите в тази свера.