2009年3月5日木曜日

グラフに表示される項目を変える方法

HobbitはCPU使用率やメモリ使用率、ディスク容量などグラフ表示機能を標準でサポートしていますが、
グラフの表示項目はデフォルトの項目以外に変更することが可能です。

例として、ここでは『TCP statistics』のグラフ項目を変更してみます。

【変更内容】
・デフォルトのグラフ項目)In、Out、Retrans
・変更後のグラフ項目)Active Opens、Passive Opens、TCP Failed Attempts、TCP Established Resets

【変更するファイル】
hobbitgraph.cfg

【変更箇所】
[netstat]

【変更内容】
[netstat2]の内容をそのまま[netstat]にコピーする

ファイルを編集するとグラフには即時反映されます。(hobbitサーバのリロードは必要ない)

・MRTGやRRDToolからの監視ツール移行にどうしても『Active Open数』が必要
・より詳しくCPU使用率の情報も表示させたい
といった場合に使える機能です。

2009年2月17日火曜日

client-localファイルの設定方法と仕様について

Hobbitクライアント側で監視したいログファイルを指定する

Hobbitサーバにあるclient-localファイルを、Hobbitクライアントが定期的に取得することで、
ログ監視およびファイル監視をしたいファイルの情報をHobbitサーバに通知することが可能となる。


■設定例
    log:/var/log/messages:10240 
    ignore MARK 
    trigger Oops

・LOG:FILENAME:SIZE (ログ:ファイルネーム:サイズ)
 Hobbitサーバに送るファイル(フルパス)と最大サイズを指定する。(単位はバイト)

・ignore:pattern (任意オプション)
 無視するパターンの行を指定する。(ノイズ除去)
 マッチする行はHobbitサーバに通知しない仕様

・tregger PATTERN (任意オプション)
 必ずHobbitサーバに通知する行を指定する
 ログサイズがSIZEで指定した最大サイズより大きくなるような場合に有効

■特別設定
通常はログファイルの情報を全てHobbitサーバに送信するが、パターンにマッチした行だけ送信したい場合はlinecountを使う。

■設定例
linecount:/var/log/messages 
diskerrors:I/O error.*device.*hd 
badlogins:Failed login

(シスログの中からディスクエラー、ログイン失敗の情報のみHobbitサーバに通知する)

■ファイルの状態監視設定
 ファイルのグループ、オーナー、サイズ、パーミッション、チェックサム監視が可能

 file:/var/log/messages[:HASH]
 デフォルトではハッシュ値は計算されません。ハッシュ値(md5、SHA1、rmd160)

■ディレクトリ、サブディレクトリのサイズ監視設定
 dir:DIRECTORYNAME

Hobbitサーバ上のlog項目で参照することが出来る。

■設定例
dir:`find /var/log -maxdepth 1 -type d`


【Q&A】
Q.Hobbitサーバの設定を変更した場合はいつクライアントに反映される?
A.Hobbitクライアントの起動サイクル5-10分程度。

Q.ディレクトリサイズの監視はどうやっているの?
A.Hobbitクライアントがdu -kコマンドを実施しています。(単位はKB)

Q.ファイル監視って便利そうですね?
A.ファイル監視等ハッシュ値を計算するためにリソースのオーバーヘッドが大幅に増加します。
外部からの侵入によるファイル書き換え、改ざん検知など、特別なサーバにのみ設定することを想定しています。

Q.ファイル監視は複数設定することが可能?
A.複数のファイルを監視することは可能ですが項目は一つなので、
 どのファイルでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう

2009年2月5日木曜日

ログ監視の設定方法と仕様について

■ログ監視をするにはclient-local.cfgファイルとhobbit-clients.cfgファイルの両方を設定する必要があります。

・client-local.cfg        (Hobbitクライアント側:監視したいログファイルを指定する)
・hobbit-clients.cfg    (Hobbitサーバ側:マッチパターンを検出、警告レベルの判定を行う)

■hobbit-clients.cfgファイルの設定方法 []は任意オプション

LOG logfilename pattern [COLOR=color] [IGNORE=excludepattern]

■オプションの内容
・logfilename
 監視するログのファイル名を指定します。(フルパスで指定します)

・pattern
 エラーを検知したいパターンを正規表現で指定します。

・COLOR
 マッチするパターンを検知した場合の警告レベルを指定します(red:yellow)
 (指定がない場合はred)

・IGNORE
 無視するパターンを正規表現で指定します。
 (パターンに一致した行でもIGNOREのパターンに一致する場合は無視します)

■設定例
1)システムログにI/Oエラー、SCSIエラーが出た場合にステータスを赤にする
LOG /var/log/messages %.(I/O|SCSI).error COLOR=red

2)デーモンログにWARNINGもしくはNOTICEの文字列が出た場合にステータスを黄色にする。ただし、lprの文字列がある場合を除く
LOG /var/log/daemon.log %WARNING|NOTICE COLOR=yellow IGNORE=lpr

デフォルトではログ監視をしない設定。(監視対象とするログ、検知文字列がないため)
color="red", no "excludepattern".

【Q&A】
Q.エラー検知後にログファイルからエラーの行を削除すると?
A.すぐにグリーンになる。

Q.ログファイルのエラーを放置しておくと?
A.エラーが連続して出続けなければ、検知から30分後にグリーンとなる。

Q.ログ監視は複数設定することが可能?
A.システムログとクーロンログなど、併せて設定することは可能だがmsgs項目は一つなので、
 どのログでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう

Q.監視したいログの形式は?
A.日時 ホスト名 エラーメッセージの順
 Feb  5 14:00:39 zkanshi00 sshd(pam_unix)[1355]: session closed for user root