monitoring sieci

Monitoring sieciKamil Grabowski

e-mail: [email protected]

PLIX Tech Talks 09.06.2010, Warszawa

mailto:[email protected]

Dlaczego *KONIECZNIE*

trzeba monitorować swoją sieć?


Istnieje kilka powodów:• Awarie• Anomalie• Ataki• Rozwój• Testy• Rozliczania z klientami (SLA)


Dwie szkoły monitoringu• Aktywny monitoring

Okresowo (np. co minutę) odpytujemy nasze urządzenia w celu pobrania interesujących nas informacji.

• Pasywny monitoring Urządzenie samo wysyła nam informacje o wszystkich interesujących nas informacjach - nie musimy tego robić sami.


Aktywny monitoring• Zalety

• Zazwyczaj dużo prostszy niż aktywny• Wykryjemy poważne awarie

• Wady• Duży narzut• Wielokrotnie pytamy o to samo• Problem flappowania


Pasywny monitoring• Zalety

• Wysoka wydajność• Brak problemu „przegapienia” zdarzenia

• Wady• Nie dowiemy się o poważnej awarii

urządzenia takiej jak brak prądu itp.


... od czego więc zacząć?


Statystyki ruchu• Ile ruchu generuje Twoja sieć?• Ile ruchu generują Twoi klienci?• Jak ten ruch rozkłada się w ciągu dnia?• Piki?• Brak ruchu na porcie?• Wysycenie łącza?• 95-ty percentyl


W jaki sposób je pozyskać?• Aktywnie (snmp)

• wiele gotowych narzędzi• prosta instalacja• uniwersalność

• Pasywnie (sFlow, netFlow)• dużo większa szczegółowość• ogromna ilość danych


Jak działają countery?


1 godzina60 kilometrów



3 godziny180 kilometrów




180 km - 60 km = 120 km



3 godziny180 kilometrów3 godz. - 1 godz. = 2 godz.




180 km - 60 km 120 km -------------------- = ---------3 godz. - 1 godz. 2 godz.




180 km - 60 km 120 km -------------------- = --------- = 60 km/h3 godz. - 1 godz. 2 godz.

Świadomość ogromnej ilości danych• 10 przełączników po 48 portów każdy• statystyki zbierane co minutę• interesują nas dane z roku (365 dni)

... policzmy ile to jest danych!


Świadomość ogromnej ilości danych

10 * 48 = 480 próbek co minutę



10 * 48 = 480 próbek co minutę480 * 60 = 28 800 próbek na godzinę



10 * 48 = 480 próbek co minutę480 * 60 = 28 800 próbek na godzinę28 800 * 24 = 691 200 próbek dziennie



10 * 48 = 480 próbek co minutę480 * 60 = 28 800 próbek na godzinę28 800 * 24 = 691 200 próbek dziennie691 200 * 31 = 2 142 7200 próbek miesięcznie



10 * 48 = 480 próbek co minutę480 * 60 = 28 800 próbek na godzinę28 800 * 24 = 691 200 próbek dziennie691 200 * 31 = 2 142 7200 próbek miesięcznie28 800 * 365 = 252 288 000 próbek rocznie


Jak przechowywać tak dużą ilość danych?

... np. w bazie danych (MySQL, PostgreSQL)• przy dużej ilości danych operacje

insert/update/delete stanowią problem• przeliczanie (counter -> wartość)• wizualizacja danych (wykres)


Panaceum -> Round Robin Database• Wydajna i prosta baza danych• Wbudowana obsługa danych typu Counter• Funkcje agregujące (MIN, MAX, AVG)• Odporność na nieprawidłowe dane• Archiwa i konsolidacja danych• API do wszystkich popularnych języków• RrdGraph - rysowanie wykresów


RRD posiada też drobne wady• Brak replikacji• Przenośność (i386, amd64)• Zmiana struktury bazy danych• I/O hell (rrd daemon)• Skomplikowana obsługa (rrdgraph)


RRD Graph - przykładrrdtool graph example.png \DEF:obs=monitor.rrd:ifOutOctets:AVERAGE \DEF:pred=monitor.rrd:ifOutOctets:HWPREDICT \DEF:dev=monitor.rrd:ifOutOctets:DEVPREDICT \DEF:fail=monitor.rrd:ifOutOctets:FAILURES \TICK:fail#ffffa0:1.0:"Failures\: Average bits out" \CDEF:scaledobs=obs,8,* \CDEF:upper=pred,dev,2,*,+ \CDEF:lower=pred,dev,2,*,- \CDEF:scaledupper=upper,8,* \CDEF:scaledlower=lower,8,* \LINE2:scaledobs#0000ff:"Average bits out" \LINE1:scaledupper#ff0000:"Upper Confidence Bound: Average bits out" \LINE1:scaledlower#ff0000:"Lower Confidence Bound: Average bits out"


Gotowe narzędzia - Cacti


• Pobieranie z urządzeń counterów• Wizualizacja danych (wykresy statystyk)• Duże możliwości konfiguracyjne• Łatwa instalacja

http://www.cacti.net

http://www.cacti.net

Co dalej?


- legenda monitoringu


• Znane, sprawdzone i cenione narzędzie• Ogromne możliwości konfiguracyjne• Ogromna ilość pluginów • Społeczność użytkowników• Prosta instalacja• Prosty i przejrzysty interface www

- jak działa?


• Hosty oraz usługi• Pluginy, które zwracają status• Metody odpytywania

• Bezpośrednie zapytanie do usługi• SNMP• SSH• NRPE

- rodzaje notyfikacji


• Sygnał dźwiękowy w przeglądarce• Wysłanie wiadomości e-mail• Przy odpowiedniej konfiguracji wysłanie

wiadomości SMS• Wykonanie zdefiniowanej akcji np.

odpalenie wskazanego skryptu

Co warto monitorować na serwerze?


• Obciążenie: CPU, RAM, Load• Ruch in/out na interface’ach sieciowych• Zużycie dysków• Dostępność usług (ssh, bgpd, snmpd itp.)• Czy na serwerze jest prawidłowy czas?• Aktualizacje oprogramowania• Temperatura

Co warto monitorować na switchu?


• Obciążenie: CPU, RAM, Load• Stany interface’ów sieciowych (UP/DOWN)• Temperatura

Jak monitorować sesje BGP?


• Plugin do nagiosa: check_openbgpd lub

• NRPE Server + własny skrypt• cache’owanie

Wady naszego rozwiązania?


• Jest kilka wad takiego rozwiązania• nie zauważamy flappowania sesji• wydajność: okresowo musimy pytać

o wszystkie sesje BGP co przy dużej ilości sesji może powodować problemy.

Istnieje dużo dokładniejsze oraz wydajniejsze

rozwiązanie!


SNMP TRAPS


SNMP TRAPS - jak to działa?


Urządzenie



Urządzenie

!Zdarzenie



Urządzenie

!SNMP TRAP

SNMP tt



Urządzenie

!SNMP TRAP

SNMP tt

DB

sql inse

rt

SNMP TRAPS - możliwości


• Passive nagios• Uruchomienie skryptu• Wyświetlanie listy trapów na stronie www

lub aplikacji desktopowej• Dokładne czasy zdarzeń - niezbędne

do generowania raportów oraz liczenia SLA• SNMP Traps jest wspierane przez wiele

urządzeń np. przełączniki oraz routery

SNMP TRAPS + OpenBGPd


• OpenBGPd zapisuje wszystkie zdarzenia w dzienniku np. /var/log/daemon

• swatch obserwuje dzienniki logów w poszukiwaniu nowych zdarzeń

• gdy OpenBGPd zapisze zdarzenie do pliku swatch wykona odpowiedni skrypt

• skrypt wygeneruje trapa i wyśle go do naszego serwera SNMP TT

Inne narzędzia warte uwagi


• monit• collectd• munin

collectd

Wskazówki dotyczące monitoringu


• warto umieć programować :)• najlepsze garnitury szyje się na miarę• staraj się pisać testy• automatyczny deploy• centralizacja, wspólne API

Zapraszam do zadawania pytań :)


Port w PLIX promocja dla uczestników Tech Talks


• Port 1GE• instalacja: 1 PLN• pierwsze 3 miesiące: 1 PLN/m-c

• możliwość zrezygnowania z usługi w trakcie pierwszego miesiąca

Dziękuję za uwagę :)


Kamil Grabowski kontakt: [email protected]

http://blog.y3ti.pl

mailto:[email protected]

http://blog.y3ti.pl

monitoring sieci

Internet