monitoring

, , , , , , , , , 0 comments

Webserver monitoring

Привет,

В този пост ще споделя за най-често използваните методи от мен за така наречения webserver monitoring.
Идеята е ясна – като уеб администратор, за мен е много важно да знам винаги какво се случва зад колисите на уеб сървъра.

Типичен пример за нужда от мониторинг е когато сървърът ни е вдигнал висок load, и е необходимо да разберем от къде идва той.

netstat

netstat е моят най-добър приятел в подобни ситуации. С годините съм се осъвършенствал в използването му и съм открил най-добрата комбинация от параметри с които лесно да откривам от кой сървърът ми е „flood“-нат.

netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' | cut -f1 -d: | sort | uniq -c | sort -rn | head

И резултата е следният :

[root@web ~]# netstat -tn 2>/dev/null | grep ':80 ' | awk '{print $5}' | cut -f1 -d: | sort | uniq -c | sort -rn | head
47 104.31.11.*
25 86.229.74.*
12 109.133.39.*
12 104.20.209.*
10 94.225.141.*
10 213.219.168.*
7 84.198.179.*
7 81.82.83.*
7 68.180.228.*
7 213.119.25.*

Същата комбинация може да се използва и за порт 443!!

Алтернатива на netstat може да бъде командата : ss

Когато имаме IP адресите, можеш бързо и лесно чрез whois да разберем кой от къде идва, и да предприемем съответните мерки.

Приермно да ги блокираме :

iptables -I INPUT -s $IP -j DROP

 

Access Logs

Много е важно правилното разчитана на логовете на уеб сървъра. Много често ни нападат така наречените „ботове„, които отварят wp-login.php и пробват да влязат в нашият wordpress. Всеки такъв опит обаче отваря нова заявка към php и mysql сървърите ни, и „яде“ процесорно време и памет.

Подробности може да прочетете в моят предишен пост wordpress wp-login.php attack

top, mytop

top е командата която използвам най-често за мониторинг в реално време – тя ми показва кой процес товари най-много сървъра ни и така мога лесно да се ориентирам къде да търся проблема.
top

mytop е алтернатива на top специализирана за мониторинг на mysql сървъри. Чрез него можем да наблюдаваме заявките в реално време на машината, като можем да kill-ваме директно по ID-та, да наблюдаваме репликацията (ако има такава) и още много други!
mytop

graphics

Разбира се за къде сме без графиките.

Аз лично използвам LibreNMS и Netdata за наблюдение на сървърите ми и рисуване на графиките им.

LibreNMS
LibreNMS
Netdata
Netdata

Много години използвах cacti , но поради ред причини мигрирах към LibreNMS (преди това Observium)

 

Разбира се има и много други начини за мониторинг на нашият уеб сървър, но за мен изброените по-горе са най-добрите.

, , , , 0 comments

How to monitor single ip with MRTG

По принцип MRTG има възможност да рисува графика на интерфейса, но в моя случай искам да правя графики на отделни айпи адреси на които моя интерфейс е гейт. В моя случай MRTG сървъра и трафик сървъра / кръстен е fw / са различни машини.

За целта съм направил следното :

1. Направих ssh ключ чрез които достъпвам fw без парола

2. На fw добавих 2 реда в таблица mangle :

iptables -t mangle -I FORWARD -s 10.0.20.2 -j MARK --set-mark 0xa101
iptables -t mangle -I FORWARD -d 10.0.20.2 -j MARK --set-mark 0xd101

3. Написах си малък скрипт кръстен „traffic-counter.sh“ и го сложих в /root/ :

#!/bin/bash
iptables -t mangle -vxnL | grep "$1"| awk '{ print $2 }'

4. Написах скрипт на MRTG сървъра които да взима инфото от fw и го кръстих /web-bg/check-traffic-fw.sh:

#!/bin/bash
/usr/bin/ssh root@fw 'sh /root/traffic-counter.sh 10.0.20.2' > /web-bg/traffic-stats/10.0.20.2.txt

Тук можем да добавим колкото си искаме айпи адреси като предварително сме ги добавили в mangle на fw
5. Направих и крон през 1 минута които да прави проверките :

*/1 * * * * root /web-bg/check-traffic-fw.sh >/dev/null >/dev/null

6. Накрая следва и конфига в mrtg.cfg за цялата тая работа :

Title[fw-traffic-10.0.20.2]: detailed fw traffic for 10.0.20.2
Target[fw-traffic-10.0.20.2]: `cat /web-bg/traffic-stats/10.0.20.2.txt`
MaxBytes[fw-traffic-10.0.20.2]: 1250000
AbsMax[fw-traffic-10.0.20.2]: 3750000
Directory[fw-traffic-10.0.20.2]: fw-traffic
Options[fw-traffic-10.0.20.2]: growright, bits, unknaszero, noinfo, pngdate
PageTop[fw-traffic-10.0.20.2]:

fw traffic for 10.0.20.2

И в обобщение ето и резултата 🙂
How to monitor single ip with MRTG

, , , , , 0 comments

Linux monitoring with monit and mmonit

Наскоро съвсем случайно открих този малък и лесен за използване инструмент наречен monit. 

Тъй като съм фен на новостите и честото ъпгрейдване, реших да го тествам на един от дев сървърите ми. За мое голямо учудване, открих нещо много полезно в него, и така реших да го сложа и при другите.

Полезното което може да прави е, да изпраща мейли когато даден сървър падне (и по-якото е че може да го рестартира направо).

Притежава доста големи възможности за отчитане на проблемите.

Самият monit изглежда така:

Linux monitoring with monit and mmonit

Тук идва и момента на mmonit – приложението което обединява всичките monit агенти в едно. Също лесно за инсталиране и конфигуриране, mmonit ни позволява лесното извършване на мониторинг на сървисите ни по различните сървъри, позволява ни да ги спираме и пускаме или да ги рестартираме от уеб приложението.
Разбира се, сигурността тук е от съществено значение и за това препоръчвам вдигането на mmonit демона да се прави на локално айпи до което се стига чрез впн или само от даден влан.
Направих и скрийншот на mmonit:
Linux monitoring with monit and mmonit

Повече скрийншоти може да се намерят и на страницата на приложението http://mmonit.com/monit/screenshots/

До колкото разбрах, mmonit е платен, или има възможност да се заплати лиценз. При мен в момента показва че лиценза ще изтече след 1 месец.

Не е ясно какво ще стане след това.. 🙂 Ще пиша след като разбера за повече подробности!

, , , 0 comments

Munin?

Munin?Тъй като съм голям привърженик на доброто старо MRTG не исках и да чувам за други видове мониторинг на системата. В ЛинкБГ ползвахме повече cacti и по-малко MRTG , и от там знам доста трикове и неща за cacti-то. Хубаво е , но мен ме кефи като вляза да видя всичко на куп, не да цъкам като див по хостовете за да откривам проблеми и тн..
Отдавна съм хвърлил око на тази системка munin която за разлика от другите две , работи на принципа – сървър – клиент , като това позволява всеки клиент да има активирани отделни плугини и тн.
Това което ми допадна за сега е че адски лесно и бързо се инсталира и конфигурира. Просто елементарно..
Препоръчвам го за начинаещите в тази свера.