Настройка Nagios для FreeBSD


Nagios — это приложение, предназначенное для выполнения мониторинга систем и сетей. Оно следит за назначенными приложениями и службами и генерирует оповещения в зависимости от поведения наблюдаемых служб. До какого-то времени проект был известен как NetSaint. В настоящий момент, хотя сайт NetSaint работает, дальнейшая разработка проекта продолжается под именем Nagios.

Nagios это рекурсивный акроним, расшифровывающийся как Nagios Ain't Gonna Insist On Sainthood (Nagios не собирается настаивать на святости — намек на прежнее название проекта, NetSaint — сетевой святой).
Предварительная подготовка

Установите из портов перечисленные приложения:
MySQL 4x server : /usr/ports/databases/mysql40-server
MySQL 4x client : /usr/ports/databases/mysql40-client
Apache 1.3x : /usr/ports/www/apache13
Net-SNMP : /usr/ports/net-mgmt/net-snmp
Nagios : /usr/ports/net-mgmt/nagios (WITH_MYSQL="YES")

Настройка SNMP

В системе, за которой вы собираетесь наблюдать с помощью Nagios, должен быть установлен и сконфигурирован SNMP. Настройка SNMP выполняется достаточно просто. Обязательно поменяйте названия сообществ (community), приведённые в конфигурационном файле. Названия сообществ это фактически пароли, и оставляя их неизменными вы делаете удар по безопасности системы.

Есть два способа настроить SNMP в Unix:
Запустить snmpconf и ответить на все вопросы, которые будут задаваться;
Создать свой собственный конфигурационный файл /usr/local/share/snmp/snmpd.conf вручную.

Выберите любой удобный вам способ.

Создание файла конфигурации

Ниже пример конфигурационного файла snmpd.conf созданного с помощью программы snmpconf.
syslocation: Meganetwork, Russia

sysservices 0

syscontact admin@yourlan.com #community #hosts allowed

rwcommunity private trusted.host.com

rocommunity everyone 10.0.0.0/24

В этом конфигурационном файле присутствует самая базовая конфигурация:
rwcommunity указывает, кто может выполнять запись в MIB хоста (вместо private укажите другое слово — это пароль);
rocommunity указывает, кто может смотреть дерево SNMP.

По умолчанию название rocommunity public, но из соображений безопасности его лучше изменить на другое. Имя community это фактически пароль.

Если вы используете другую операционную систему, процедура будет незначительно отличаться. Другими будут пути к конфигурационным файлам.

Настройка Nagios

Сейчас, когда и Nagios и его дополнительные модули (plugins) уже проинсталлированы, почти можно начинать. Однако, Nagios, даже не запустится, если его перед этим правильно не настроить.

Для начала можно ознакомиться с тем, примеры каких файлов есть в каталоге /usr/local/etc/nagios:
# ls /usr/local/etc/nagios/*sample

cgi.cfg-sample

checkcommands.cfg-sample

contactgroups.cfg-sample

contacts.cfg-sample

dependencies.cfg-sample

escalations.cfg-sample

hostgroups.cfg-sample

hosts.cfg-sample

misccommands.cfg-sample

nagios.cfg-sample

resource.cfg-sample

services.cfg-sample

timeperiods.cfg-sample

Поскольку это файлы-примеры, разработчики Nagios добавили к каждому из них суффикс -sample. Прежде всего нужно переименовать или скопировать файлы, чтобы в названии не было этого суффикса. (Если эти файлы не переименовать, Nagios будет всё равно искать файлы .cfg и, естественно, ничего не найдёт).

Перед тем как переименовывать файлы, сделайте их резервную копию, чтобы в случае чего можно было всегда вернуться и посмотреть как сделано в примере.
# cd /usr/local/etc/nagios/etc

# mkdir sample

# cp *.cfg-sample sample/

Быстро переименовать множество файлов можно следующим образом:
# for i in *cfg-sample; do mv $i `basename $i "-sample"`; done

В итоге в каталоге должны остаться такие файлы:
cgi.cfg

checkcommands.cfg

contactgroups.cfg

contacts.cfg

dependencies.cfg

escalations.cfg

hostgroups.cfg

hosts.cfg

misccommands.cfg

nagios.cfg

resource.cfg

sample/

services.cfg

timeperiods.cfg

Прежде всего нужно посмотреть главный конфигурационный файл, nagios.cfg. В FreeBSD вы можете оставить все как есть, потому что при инсталляции в конфигурационном файле были установлены правильные пути. Единственное, что можно поменять это параметр check_external_commands, установленный по умолчанию в 0. Если вы хотите добавить новые возможности к Nagios, или напрямую вызывать команды Unix через web-интерфейс Nagios, установите этот параметр равным 1. Чтобы эта возможность заработала, нужно установить ещё несколько опций в файле cgi.cfg. Например, указать, каким пользователям разрешается выполнять внешние команды.

Для того чтобы заставить Nagios работать, нужно модифицировать несколько конфигурационных файлов. Вообще, настраивать Nagios намного проще чем может показаться.

Сначала лучше всего запускать Nagios в режиме отладки. Вызов в режим отладки выполняется так:
# nagios -v /usr/local/etc/nagios/nagios.cfg

Команда загрузит все конфигурационные файлы и сообщит обо всех ошибках, которые она найдет. Исправляйте все ошибки по очереди, а потом запускайте команду снова. Перечисленные ниже файлы можно просто стереть и заменить их собственными версиями, которые представлены ниже.
hosts.cfg
services.cfg
contacts.cfg
contactgroups.cfg
hostgroups.cfg
dependencies.cfg
escalations.cfg.

Мы не будем выполнять продвинутую настройку, которая требует использования файлов dependecies.cfg и escalations.cfg. Удалите примеры файлов, чтобы они не смущали Nagios и создайте на их месте пустые файлы с такими же названиями.

Это можно сделать так:
# cd /usr/local/etc/nagios

# rm dependencies.cfg

# rm escalations.cfg

# touch dependencies.cfg

# touch escalations.cfg

или так
# cd /usr/local/etc/nagios

# > dependencies.cfg

# > escalations.cfg

Настройка мониторинга

Файл hosts.cfg

Сначала нужно описать хосты, за которыми будет выполняться наблюдение. Можно описать сколь-угодно много хостов, но для простоты мы начнем с одного.
# Generic host definition template

define host{

# The name of this host template - referenced i

name generic-host

# Other host definitions, used for template recursion/resolution

# Host notifications are enabled

notifications_enabled 1

# Host event handler is enabled

event_handler_enabled 1

# Flap detection is enabled

flap_detection_enabled 1

# Process performance data

process_perf_data 1

# Retain status information across program restarts

retain_status_information 1

# Retain non-status informatddion across program restarts

retain_nonstatus_information 1

# DONT REGISTER THIS DEFINITION - ITS NOT A REAL HOST,

# JUST A TEMPLATE!

register 0

}# Host Definition

define host{

# Name of host template to use

use generic-host

host_name domain.com

alias My Registered Domain

address www.domain.com

check_command check-host-alive

max_check_attempts 10

notification_interval 120

notification_period 24x7

notification_options d,u,r

}

Первый описанный хост это не настоящий хост, а шаблон, на котором основываются описания всех остальных хостов. Такой же механизм можно встретить и в других конфигурационных файлах, когда конфигурация основывается на предварительно определенном множестве значений по умолчанию.

При такой конфигурации мы выполняем наблюдение только за хостом www.domain.com и выполняем только одну проверку — проверяем, живой ли хост. Параметр host_name является здесь принципиально важным, поскольку на другие конфигурационные файлы обращаются к описанию сервера по этому имени.

Файл hostgroups.cfg

Теперь нужно добавить хост в группу хостов (hostgroup). Даже в нашей простой конфигурации, когда хост один, все равно нужно добавлять его в группу, чтобы Nagios знал какую контактную группу (contact group) нужно использовать для отправки оповещений. О контактной группе подробнее ниже.
define hostgroup{

hostgroup_name domain-servers

alias Domain Servers

contact_groups domain-admins

members domain.com

}

Мы определили группу хостов domain-servers и связали её с контактной группой domain-admins. Теперь переходим к описанию контактной группы.

Файл contactgroups.cfg
define contactgroup{

contactgroup_name domain-admins

alias Domain.Com Admins

members bob, bill

}

Мы определили контактную группу domain-admins и добавили пользователей bob и bill в эту группу. Такая конфигурация гарантирует, что оба пользователя получат предупреждение в том случае, если что-то не так с серверами за которые отвечает группа domain-admins. Правда, нужно иметь в виду, что индивидуальные настройки по каждому из пользователей могут перекрыть эти настройки.

Следующим шагом нужно указать контактную информацию и настройки оповещений.

Файл contacts.cfg
define contact{

contact_name bob

alias Bob Buddy

service_notification_period 24x7

host_notification_period 24x7

service_notification_options w,u,c,r

host_notification_options d,u,r

service_notification_commands notify-by-email,notify-by-epager

host_notification_commands host-notify-by-email,host-notify-by-epager

email bob@domain.com

pager domian-admin@localhost.localdomain

}define contact{

contact_name bill

alias Bill Buddy

service_notification_period 24x7

host_notification_period 24x7

service_notification_options w,u,c,r

host_notification_options d,u,r

service_notification_commands notify-by-email,notify-by-epager

host_notification_commands host-notify-by-email

email bill@domain.com

}

Помимо того что в этом файле приводится дополнительная контактная информация пользователей, одно из полей, contact_name, имеет ещё одно назначение. CGI-cкрипты используют имена, заданные в этих полях для того чтобы определить, имеет пользователь право доступа к какому-то ресурсу или нет. Вы должны настроить аутентификацию, основывающуюся на .htaccess, но кроме этого нужно использовать те же имена, которые использованы выше, для того чтобы пользователи могли работать через Web-интерфейс.

Теперь, когда хосты и контакты настроены, можно переходить к настройке мониторинга отдельных сервисов, за которыми должно проводиться наблюдение.

Файл services.cfg
# Generic service definition template

define service{

# The 'name' of this service template,

# referenced in other service definitions

name generic-service

# Active service checks are enabled

active_checks_enabled 1

# Passive service checks are enabled/accepted

passive_checks_enabled 1

# Active service checks should be parallelized

# (disabling this can lead to major performance problems)

parallelize_check 1

# We should obsess over this service (if necessary)

obsess_over_service 1

# Default is to NOT check service 'freshness'

check_freshness 0

# Service notifications are enabled

notifications_enabled 1

# Service event handler is enabled

event_handler_enabled 1

# Flap detection is enabled

flap_detection_enabled 1

# Process performance data

process_perf_data 1

# Retain status information across program restarts

retain_status_information 1

# Retain non-status information across program restarts

retain_nonstatus_information 1

# DONT REGISTER THIS DEFINITION -

# ITS NOT A REAL SERVICE, JUST A TEMPLATE!

register 0

}# Service definition

define service{

# Name of service template to use

use generic-service

host_name host1.domain.com

service_description HTTP

is_volatile 0

check_period 24x7

max_check_attempts 3

normal_check_interval 5

retry_check_interval 1

contact_groups domain-admins

notification_interval 120

notification_period 24x7

notification_options w,u,c,r

check_command check_http

}

# Service definition

define service{

# Name of service template to use

use generic-service

host_name host1.domain.com

service_description PING

is_volatile 0

check_period 24x7

max_check_attempts 3

normal_check_interval 5

retry_check_interval 1

contact_groups domain-admins

notification_interval 120

notification_period 24x7

notification_options c,r

check_command check_ping!100.0,20%!500.0,60%

}

Мы указали Nagios выполнять наблюдение за двумя службами. В первом описании службы, которое названо HTTP, выполняется проверка web-сервера на доступность и в случае проблем генерирует оповещение. Во втором случае выполняется наблюдение за статистикой ping, и если время ответа возрастает слишком сильно или значительно увеличивается процент потерь, сообщает об этом. Команды с помощью которых выполняются проверки: check_http и check_ping, которые были установлены как дополнительные модули Nagios.

Доступно огромное количество дополнительных модулей Nagios, но если какой-то проверки всё же нет, её можно всегда написать самостоятельно. Например, нет модуля, проверяющего работает или нет Tomcat. Можно написать скрипт, который загружает jsp страницу с удалённого Tomcat-сервера и возвращает результат в зависимости от того, если в загруженной странице какой-то текст на странице или нет. (При добавлении новой команды нужно обязательно упомянуть её в файле checkcommand.cfg, который мы не трогали).

Запуск Nagios

Теперь, после того как сконфигурированы хосты и службы для мониторинга, можно приступать собственно к этому процессу. Выполните запуск Nagios с помощью специального стартового скрипта:
# /usr/local/etc/rc.d/nagios.sh start

Если все пойдёт гладко, Nagios запустится. Следующая команда должна показать вам, работает ли Nagios в действительности, а если да, то какой процесс, с каким идентификатором, ему соответствует:
# /usr/local/etc/rc.d/nagios.sh status

PID TTY TIME CMD

22645 ? 00:00:00 nagios

Web-интерфейс

Сейчас Nagios выполняет мониторинг. Он уже будет присылать оповещения, если возникнет какая-то проблема с каким-нибудь из серверов. Но для того чтобы выполнять интерактивное наблюдение за службами было удобнее, лучше настроить web-интерфейс. Web-интерфейс ещё хорош тем, что даёт полную картину системы благодаря умелому применению графических средств и предоставления дополнительной статистической информации.

Естественно, для того чтобы это можно было сделать, нужно чтобы на хосте работал web-сервер, который сможет предоставить доступ к web-интерфейсу Nagios. В данной статье предполагается, что вы используете Apache. Воспользуемся конфигурацией web-сервера, которая приводится в документации Nagios.

Дополнение к httpd.conf
ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/

<Directory "/usr/local/www/nagios/cgi-bin/">

AllowOverride AuthConfig

Options ExecCGI

Order allow,deny

Allow from all

</Directory>Alias /nagios/ /usr/local/www/nagios/

<Directory "/usr/local/www/nagios">

Options None

AllowOverride AuthConfig

Order allow,deny

Allow from all

</Directory>

Эти строки создают алиас /nagios/cgi-bin/ в web-сервере и указывают его на каталог cgi-bin со скриптами в дистрибутиве Nagios. Если предположить, что web-сервер доступен по адресу http://127.0.0.1/, то web-интерфейс Nagios должен находится здесь: http://127.0.0.1/nagios/. Сейчас web-интерфейс уже должен работать, но некоторые из страниц могут не загружаться.

Похоже, что у вас нет прав на просмотр информации, которую вы запросили. Если так быть не должно, проверьте настройки web-сервера, в особенности, в то что касается доступа к CGI-скриптам. Также проверьте опции авторизации в вашем конфигурационном файле CGI.

Эта предосторожность сделана из соображений безопасности. Только авторизованные пользователи должны иметь возможность работать с интерфейсом Nagios. Аутентификация выполняется браузером по методу Basic HTTP Authentication (проще говоря, через .htaccess). Nagios берёт имя пользователя, под которым прошёл аутентификацию пользователь, и находит секцию с соответствующим contact_name в contacts.cfg. Отсюда он узнаёт, к каким разделам сайта Nagios пользователь имеет доступ, а к каким — нет.

Если web-сервер готов к использованию аутентификации на базе .htaccess, её конфигурирование выполняется очень просто. Если не готов, прочитайте как это сделать в документации на web-сервер. Будем исходить из предположения, что web-сервер готов использовать .htaccess.

Во-первых, нужно создать файл .htaccess в каталоге /usr/local/share/nagios/cgi-bin. Если вы хотите полностью закрыть web-интерфейс Nagios, вы можете положить копию этого файла в каталог /usr/local/share/nagios.

Добавьте следующие строки в конфигурационный файл .htaccess:
AuthName "Nagios Access"

AuthType Basic

AuthUserFile /usr/local/nagios/etc/htpasswd.users

require valid-user

Когда вы создаёте первого пользователя, файл с паролями указанный в .htaccess, не существует. Для того чтобы он создался, при первом вызове htpasswd нужно указать ключ -c:
# htpasswd -c /usr/local/nagios/etc/htpasswd.users bob

New password: ******

Re-type new password: ******

Adding password for user bob

Для всех остальных пользователей команду htpasswd вызывайте без ключа -c, иначе файл будет создан заново. После того как все нужные пользователи будут добавлены, можно вернуться к web-интерфейсу. Должен появится диалог аутентификации. После успешной аутентификации можно использовать web-интерфейс.

Обратите внимание, что пользователи могут получать информацию только о тех серверах, с которыми они ассоциированы в конфигурационном файле. Некоторые из секций web-интерфейса по умолчанию вообще отключены для всех. Если вы хотите их включить, это делается в файле cgi.cfg. Например, для того чтобы пользователю bob разрешить доступ к секции Process Info, раскомментируйте строку authorized_for_system_information и добавьте bob к списку имён, разделённых запятыми.

Это всё что нужно для того чтобы выполнить начальную настройку Nagios с целью выполнения мониторинга ваших серверов и служб. Дальше можно заняться тонкой настройкой системы мониторинга, редактируя конфигурационные файлы в соответствии с вашими мыслями и желаниями.

Посмотрите список дополнительных модулей (plugin) для Nagios. Существует огромное множество всего за чем Nagios может наблюдать, и что может контролировать. В Nagios есть программы для удаленного отслеживания уровня заполненности дискового пространства и нагрузки на систему.

http://system-administrators.info/?p=2721

Обновлено: 12.03.2015