#contents *自作ツールでシステム管理 [#v5c6a7ca] :主旨|システムの「常態」を知ろう。~ ... 異常を検知するためには、システムの通常の状態を知る → 一定期間にわたって測定を行い、傾向を把握。~ ... サーバ毎に特徴があり、特徴を把握 ~ ... 自作のツール / 一般のツールを組み合わせて使う。 **SAGとは? [#wbaa1d74] [[System Activity Grapher>http://kaw.ath.cx/openbsd/?SAG]] ... 川俣の自作ツール -特徴 --Perl script, Shell script, Gnuplot, NetPBM で構成 --ロードアベレージ, プロセス生成回数, ネットワーク流量, 時刻同期, メモリ, ディスク使用量, ファン回転数, ケース内温度 --グラフ表示をカスタマイズできる ... gnuplotスクリプト --伝送路は特に規定なし ... HTTPとかが手軽 -低いリソース消費 ... Linux/98 on 486/66MHz, 14MB mem, 320MB HDD -欠点 --リアルタイム監視には向かない ... 毎時間更新 -実装 --構成 ---データ取得 ..... 任意の間隔 ---データ集計 ..... パース + 集計 + グラフ集計 ---日変わり処理 ... アーカイビング / キャッシュ再生成 --低プライオリティで動作 --競合状態 **運用例 [#t7980a7e] |&ref(sags.gif);| |CENTER:構成例| -LAN --pingscan, SAG --内部サーバ -DMZ --snort, [[ntop>http://kaw.ath.cx:25000/ntop/]], [[SAG>http://kaw.ath.cx:25000/mom/]] ... promiscモードで動作するソフトと併用 → トラフィック全体を計測できる --ntpd, [[SAG>http://kaw.ath.cx:25000/hsv/]] -ISP --www, SAG **事例 [#mae49bd3] ***ルータトラブル [#d2a8bdbe] -NTPのRTTが増大 -ネットワークの輻輳はなし -時刻誤差も -...原因は? ***Squid Web Proxy Cacheのキャッシュ調整 [#j407ad6d] -オンメモリ・キャッシュの大きさは? -...スワップぎりぎりまで確保 ***スパム攻撃1 [#ifaeb77d] -NTPのRTT増大 -回線輻輳 ***スパム攻撃2 [#ee26851f] -snortによる。「TCP port sweep / TCP port scan」増大 ***メールサーバ過負荷 [#maee5405] -別図 //***One Linerが書けると重宝します。 [#dd362f4e]