Munin

В коллекции планигов Munin, безусловно, есть огромное количество плагинов для получения статистики с самых разных сервисов и системных параметров. В дистрибутиве CentOS они располагаются в директории /usr/share/munin/plugins/. Однако есть потрясающая возможность создавать свои плагины, которые будут подключены к общей системе статистики, и анализиоровать практически всё, что угодно.

В именовании файлов плагинов Munin принято однообразные плагины (относящиеся к одной подсистеме или сервису) начинать с одного префикса. Например, mysql_bytes, mysql_innodb, mysql_queries и т.д. Впрочем, название файла не обязано соответствовать категоризации плагина. Категория и всевозможные параметры задаются внутри скрипта.

Плагины Munin представляют из себя обычные скрипты, чаще всего написанные на shell, которые принимают параметры config и autoconf, а также возвращают текущие значения для наблюдаемых параметров. При вызове с параметром config должны быть выданы настройки модуля (об этом ниже).
Создание плагина для мониторинга сетевых соединений
Возьмём в качестве основы модуль netstat. Здесь приводить его содержание не буду; содержание скрипта может отличаться от версии к версии. Скопируем его в свой файл, например, в файл my_connections:

[root@saytostroy.ru]# cd /usr/share/munin/plugins/
[root@saytostroy.ru]# cp netstat my_connections

И откроем его на редактирование. Для начала нам потребуется заменить текстовое описание head1 NAME, head1 CONFIGURATION, head1 AUTHOR и т.д., хотя в нашем случае их содержание не играет роли.

Перейдём непосредственно к коду. Ветка, отрабатывающая autoconf нас так же не интересует — там проверяется наличие исполнительной программы файрвола iptables. Поскольку мы заимствуем аналогичный модуль, то менять там ничего не требуется. Перейдём сразу к config, где и содержатся основные параметры. Все они выводятся через оператор echo. Рассмотрим их подробнее:

• graph_title определяет отображаемое в статистике название плагина;
• graph_vlabel — название раздела плагина. Будет отображаться в виде списка в просмотре готовой статистики;
• graph_category — принадлежность к категории всей системы Munin. В нашем случае здесь сохраняется network. Нужен для правильного распределение по категориям Munin. Таким образом все сетевые данные оказываются в одном месте:
  
• graph_period — период измерений, отображаемый на графиках. Оставим по умолчанию second, чтобы значения приводились из масштаба «число значений в секунду». Важное замечание: несмотря на то, что скрипт будет запускаться значительно реже (5 раз в минуту по умолчанию через планировщик заданий), значения будут приводиться исходя из секундного интервала;
• graph_info — описание, которое отображается в системе статистики в раскрытой вкладке выбранного плагина;
• graph_scale — производить ли масштабирование графика. Наш выбор: no.

Итак, в нашем случае будет следующая «шапка» конфигурационной части плагина:

echo 'graph_title MyConnections'
echo 'graph_vlabel TCP connections'
echo 'graph_category network'
echo 'graph_period second'
echo 'graph_info This graph shows the number of TCP connections.'
echo 'graph_scale no'

Далее идёт непосредственно наш измеряемый параметр. Для примера я выбрал отображение числа SYN-пакетов протокола TCP. Эта статистика может быть полезна для обнаружение SYN-flood-атак. Мы наглядно увидим лавинообразное увеличение числа таких пакетов и получим уведомление, если правильно настроим Munin. Наш параметр будет называться syn и получит следующие значения:

echo 'syn.label SYN'
echo 'syn.type ABSOLUTE'
echo 'syn.max 1000000'
echo 'syn.min 0'
echo 'syn.info The number of SYN TCP packets.'
print_warning syn
print_critical syn

Здесь мы казали метку нашей кривой на графике (label), тип значений (ABSOLUTE — т.е., скрипт будет возвращать актуальные значения и их не нужно аккумулировать), минимальное и максимальное значение параметра и пояснение для графика (info). Так же будут высылаться уведомления в случае крайних значений параметра (значения для warning и critical задаются в общей конфигурации Munin или в конфиге модуля через параметры my_connections.syn.warning и my_connections.syn.critical).

Теперь нужно перейти к получению непосредственных значений, но вначале немного разберёмся с iptables, из которого мы их планируем извлекать.
Получение параметров из файрвола iptables
Для того, чтобы получать статистику по конкретным интересующим нас параметрам из файрвола, необходимо задать дополнительные правила. Нас интересуют пакеты с флагом SYN, поэтому мы добавляем такое правило:

iptables -I INPUT 1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -j ACCEPT

Мы добавили его первым номером, чтобы гарантировать обработку любого поступившего пакета. Если добавить правило в конец, возможно, пакет уже будет отброшен.

Теперь посмотрим, что показывает статистика файрвола:

[root@saytostroy.ru]# iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x02
...

В поле pkts отображено текущее число пакетов по данному правилу, а bytes — суммарный объём наших пакетов с флагом SYN. Пока что они нулевые.

Для наших нужд потребуется каждый раз обнулять статистику файрвола, чтобы при вызове iptables собранные данные не суммировались (мы ведь выбрали type ABSOLUTE в параметрах модуля). Для этого будем использовать параметр вызова -x, который будет обнулять статистику при каждом вызове. Кроме того, нас интересуют несокращённые значения (без обозначения K для килобайтов и т.д.), пожтому мы используем параметр -Z. Чтобы разгрузить программу от лишнего обращения к DNS для разрешения IP-адресов, зададим параметр -n. Итак, итоговый вызов будет следующим:

iptables -L -x -n -v -Z

Теперь вернёмся к нашему новоиспечённому плагину и завершим работу над ним, задав вывод актуального значения параметра syn.
Отображение значений параметра
Из вывода iptables по команде выше мы должны выбрать только ту цепочку, за которой мы хотим наблюдать, а именно — за нашим правилом. Для этого воскользуемся следующей цепочкой команд:

iptables -L -x -n -v -Z | awk '/tcp flags:0x3F/0x02/ { print "syn.value " $1 }'

Сохраним наш модуль и проверим его вывод при помощи программы munin-run

[root@saytostroy.ru]# /usr/sbin/munin-run my_connections
syn.value 32

Уже успели пробежать три десятков пакетов, инициирующих сетевые соединения, поэтому мы увидели value больше нуля.

Отлично. Теперь остаётся только подключить наш модуль к Munin и перезапустить сервис:

[root@saytostroy.ru]# sudo ln -s /usr/share/munin/plugins/my_connections /etc/munin/plugins/my_connections
[root@saytostroy.ru]# service munin-node restart

Мы установили символическую ссылку на наш модуль в папку /etc/munin/plugins/, где «лежат» модули, задействованные в системе.

Для удобства использования лучше подвесить статистику на поддомен, ведь согласитесь нам не за чем иметь директорию с отчетами в документрут от сайта, или копить директории на домене сервера [если такой есть], хотя тут кому как удобно. Решил делать именно на поддомене munin.site.com, добавил запись «А» в DNS чтобы создать этот самый поддомен, а пока обновляется информация, можно приступить к настройке.

NOTE: работа с munin-node, для сбора статистики с разных серверов, рассмотрена не будет.

Установка munin (серверная часть) и munin-node (клиентская часть)

Ставим

# apt-get install munin munin-node munin-plugins-extra libwww-perl -y

libwww-perl — все равно ставить нужно будет позже, поэтому поставим сразу, чтобы незаморачиваться.

Раскомментируем строки и укажем нужные пути в munin.conf

# nano /etc/munin/munin.conf

конфиг

dbdir   /var/lib/munin
htmldir /usr/local/hosting/stat.adminunix.ru/www
logdir /usr/local/hosting/stat.adminunix.ru/log
rundir  /var/run/munin
tmpldir /etc/munin/templates

создадим каталоги для логов и html-отчетов

# mkdir -p /usr/local/hosting/stat.adminunix.ru/www

# mkdir -p /usr/local/hosting/stat.adminunix.ru/log

Сменим владельца, иначе munin не сможет писать статистику и логи

# chown -R munin:munin /usr/local/hosting/stat.adminunix.ru
# chmod 770 /usr/local/hosting/stat.adminunix.ru/www

Предоставим доступ пользователю site.com к файлам пользователя munin. Это делать необязательно, но в моем случае nginx наотрез отказывался показывать статистику, если расположить каталог где-то в /var/www будет все чин-чином и это делать не надо

# usermod -a -G nginx munin

Запустим первую индексацию

# su - munin --shell=/bin/bash
$ /usr/share/munin/munin-update
$ exit

Теперь можно проверить, появились ли файлы в/usr/local/hosting/stat.adminunix.ru/www

# ls -la /usr/local/hosting/stat.adminunix.ru/www

Есть все хорошо, продолжаем.

Настройка nginx

Для начала скопируем уже готовый виртулхост, можно скопировать и defalt

# cp /etc/nginx/sites-available/stat.adminunix.ru /etc/nginx/sites-available/stat.adminunix.ru

Редактируем его под свои нужды

# nano /etc/nginx/sites-available/stat.adminunix.ru

Изменим пути и впишем простую http-авторизацию. У меня получилось что-то вроде

server {
        listen   80;
        server_name  stat.adminunix.ru www.adminunix.ru; #домен по которому будет откликаться наш новый хост

        access_log  /usr/local/hosting/stat.adminunix.ru/log/nginx.access.log; #расположение логов данного хоста
        error_log  /usr/local/hosting/stat.adminunix.ru/log/nginx.error.log; #расположение логов данного хоста

        location / {
                root   /usr/local/hosting/stat.adminunix.ru/www; #расположение корневой директории, тут у нас будут отчеты

                #редирект
                if ($http_host != "stat.adminunix.ru") {
                 rewrite ^ http://stat.adminunix.ru$request_uri permanent;
                }

                index index.html; #файлы которые будут загружаться по умолчанию
                auth_basic  "restricted"; #http-авторизация
                auth_basic_user_file    /usr/local/hosting/stat.adminunix.ru/www/.htpasswd; #http-авторизация
        }
        #...

Теперь в /etc/nginx/sites-available/default

# nano /etc/nginx/sites-available/default

Добавим в секцию server {} новый локейшен

#...
        location /nginx_status {
            stub_status on;
            access_log  off;
            allow       127.0.0.1;
            deny        all;
        }
        #...

Создадим access.log и error.log в log

# touch /usr/local/hosting/stat.adminunix.ru/log/nginx.access.log
# touch /usr/local/hosting/stat.adminunix.ru/log/nginx.error.log

Активируем виртуальный хост munin.site.com путем создания симлинка в директорию /etc/nginx/sites-enabled

# ln -s /etc/nginx/sites-available/stat.adminunix.ru /etc/nginx/sites-enabled/stat.adminunix.ru

Перезагружаем nginx

# /etc/init.d/nginx restart

Создаем .htpasswd где у нас будет зашифрованный пароль и пользователь «admin».

# htpasswd -c  /usr/local/hosting/stat.adminunix.ru/www/.htpasswd admin

Проверяем работу зайдя через браузер по URL

http://stat.adminunix.ru/

В общем то статистика отобразилась, все хорошо. Проверим работу /nginx_status

# lynx localhost/nginx_status
# wget -qO - http://127.0.0.1/nginx_status

Установка плагинов Munin для Nginx

Плагинов у этой штуки много. Я дополнительно ставил только для мониторинга nginx. Переходим в каталог доступных плагинов munin

# cd /usr/share/munin/plugins/

Скачиваем в него плагины для nginx

# wget -nd http://debianuser.org/nginx/nginx_{memory,status,traffic,request}

# wget -nd http://munin-monitoring.org/browser/munin-contrib/plugins/nginx/nginx_{memory,error,upstream,vhost_traffic,connection_request}
#wget -nd http://munin-monitoring.org/export/munin-contrib/plugins/nginx/nginx_vhost_traffic

• request — мониторинг запросов
• status — мониторинг статуса сервера
• memory — мониторинг занимаемой памяти
• traffic — мониторинг трафика

Даем права

# chmod +x nginx_memory
# chmod +x nginx_status
# chmod +x nginx_request
# chmod +x nginx_traffic

# chmod +x nginx_error
# chmod +x nginx_upstream
# chmod +x nginx_vhost_traffic
# chmod +x nginx_nginx-cache-multi_
# chmod +x nginx_connection_request

# chmod +x mysql_connections
# chmod +x mysql_connections_per_user
# chmod +x mysql_qcache
# chmod +x mysql_qcache_mem
# chmod +x mysql_report
# chmod +x mysql_size_
# chmod +x mysql_size_ondisk
# chmod +x mysql_slave
# chmod +x mysql_slave_threads
# chmod +x mysql_aggregate_

Включаем плагины сделав симлинки на них в директорию /etc/munin/plugins/

# ln -s /usr/share/munin/plugins/nginx_memory /etc/munin/plugins/nginx_memory
# ln -s /usr/share/munin/plugins/nginx_status /etc/munin/plugins/nginx_status
# ln -s /usr/share/munin/plugins/nginx_traffic /etc/munin/plugins/nginx_traffic
# ln -s /usr/share/munin/plugins/nginx_request /etc/munin/plugins/nginx_request
# ln -s /usr/share/munin/plugins/nginx_error /etc/munin/plugins/nginx_error
# ln -s /usr/share/munin/plugins/nginx_upstream /etc/munin/plugins/nginx_upstream
# ln -s /usr/share/munin/plugins/nginx_cache_multi_ /etc/munin/plugins/nginx_cache-multi_
# ln -s /usr/share/munin/plugins/nginx_vhost_traffic /etc/munin/plugins/nginx_vhost_traffic
# ln -s /usr/share/munin/plugins/nginx_connection_request /etc/munin/plugins/nginx_connection_request
# ln -s /usr/share/munin/plugins/mysql_connections /etc/munin/plugins/mysql_connections
# ln -s /usr/share/munin/plugins/mysql_connections_per_user /etc/munin/plugins/mysql_connections_per_user
# ln -s /usr/share/munin/plugins/mysql_qcache /etc/munin/plugins/mysql_qcache
# ln -s /usr/share/munin/plugins/mysql_qcache_mem /etc/munin/plugins/mysql_qcache_mem
# ln -s /usr/share/munin/plugins/mysql_report /etc/munin/plugins/mysql_report
# ln -s /usr/share/munin/plugins/mysql_size_ /etc/munin/plugins/mysql_size_
# ln -s /usr/share/munin/plugins/mysql_size_all /etc/munin/plugins/mysql_size_all
# ln -s /usr/share/munin/plugins/mysql_size_ondisk /etc/munin/plugins/mysql_size_ondisk
# ln -s /usr/share/munin/plugins/mysql_slave /etc/munin/plugins/mysql_slave
# ln -s /usr/share/munin/plugins/mysql_slave_threads /etc/munin/plugins/mysql_slave_threads
# ln -s /usr/share/munin/plugins/mysql_aggregate_ /etc/munin/plugins/mysql_aggregate_
или

cd /etc/munin/plugins/
ln -sf /usr/share/munin/plugins/nginx_* .
ln -sf /usr/share/munin/plugins/mysql_* .

Теперь нужно указать куда ходить за статистикой. Можно ручками добавить

# nano /etc/munin/plugin-conf.d/munin-node

В конце файла

[nginx*]
env.url http://localhost/nginx_status

А можно так для разнообразия

# echo "" | tee -a /etc/munin/plugin-conf.d/munin-node
# echo "[nginx*]" | tee -a /etc/munin/plugin-conf.d/munin-node
# echo "env.url http://localhost/nginx_status" | tee -a /etc/munin/plugin-conf.d/munin-node

Все, проверяем работу плагинов

# munin-run nginx_memory
# munin-run nginx_status
# munin-run nginx_memory
# munin-run nginx_traffic

Если ругани в виде ошибок и замечаний нет, все отлично, перезагружаем munin-node, ждем какое-то время чтобы «первая» статистика собралась

# /etc/init.d/munin-node restart

Работу плагинов можно еще посмотреть командой ниже, если что-то не так, об этом будет написано напротив названия плагина

# munin-node-configure --suggest

#ln -s /var/cache/munin/www /usr/local/hosting/munin/

Можно принудительно запустить опрос нод, так же поможет для отладки

Shell

class="crayon-plain-wrap">#root@Debian~# su -munin --sheel=/bin/bash
class="crayon-plain-wrap">#root@Debian~# /usr/share/munin/minin-update --nofork --debug
class="crayon-plain-wrap">#exit

  root@Debian ~ # su - munin --shell=/bin/bash
munin@Debian:~$  /usr/share/munin/munin-update --nofork --debug
exit

Если все ок то вскоре появятся файлики с графиками в /var/cache/munin/www а тем временем в браузере