#contents *自作ツールでシステム管理 [#v5c6a7ca] :主旨|システムの「常態」を知ろう。~ ... 異常を検知するためには、システムの通常の状態を知る → 一定期間にわたって測定を行い、傾向を把握。~ ... サーバ毎に特徴があり、特徴を把握 ~ ... 自作のツール / 一般のツールを組み合わせて使う。 **SAGとは? [#wbaa1d74] [[System Activity Grapher>http://kaw.ath.cx/openbsd/?SAG]] ... 川俣の自作ツール -特徴 --Perl script, Shell script, Gnuplot, NetPBM で構成 --ロードアベレージ, プロセス生成回数, ネットワーク流量, 時刻同期, メモリ, ディスク使用量, ファン回転数, ケース内温度, etc... --データは、/proc/*, コマンド (sysctl, netstat, du ...)から取得 ... 一般ユーザ権限で動作 --グラフ表示をカスタマイズできる ... gnuplotスクリプト --伝送路は特に規定なし ... HTTPとかが手軽。scpとかでも可。 -低いリソース消費 ... [[Linux/98 on 486/66MHz, 14MB mem, 320MB HDD>http://kaw.ath.cx/dl/misc/ebug/svstat/nonsugar.html]] -欠点 --リアルタイム監視には向かない ... 毎時間更新 -実装 --構成 ---データ取得 ..... 任意の間隔 ---データ集計 ..... パース + 集計 + グラフ集計 ---日変わり処理 ... ローテート / キャッシュ再生成 --低プライオリティで動作 ... renice -15 --競合状態の排除 ... 同じタイミングでの動作は逐次実行される / ファイルローテート時の取得データ追加 **運用例 [#t7980a7e] |&ref(sags.gif);| |CENTER:構成例| -LAN --pingscan, SAG --[[内部サーバ>http://kaw.ath.cx/dl/misc/ebug/svstat/]] -DMZ --snort, [[ntop>http://kaw.ath.cx:25000/ntop/]], [[SAG>http://kaw.ath.cx:25000/mom/]] ... promiscモードで動作するソフトと併用するとトラフィック全体を計測できる --ntpd, [[SAG>http://kaw.ath.cx:25000/hsv/]] -ISP --www, [[SAG>http://kaw.ath.cx/dl/misc/ebug/svstat/www.html]] **事例 [#mae49bd3] ***ルータトラブル [#d2a8bdbe] -NTPのRTTが増大 -ネットワークの輻輳はなし -時刻誤差も -...原因は? ***Squid Web Proxy Cacheのキャッシュ調整 [#j407ad6d] -オンメモリ・キャッシュの大きさは? -...スワップぎりぎりまで確保 ***スパム攻撃1 [#ifaeb77d] -NTPのRTT増大 -回線輻輳 ***スパム攻撃2 [#ee26851f] -snortによる。「TCP port sweep / TCP port scan」増大 ***メールサーバ過負荷 [#maee5405] -別図 //***One Linerが書けると重宝します。 [#dd362f4e]