Zockertown: Nerten News

Seit einiger Zeit bin ich begeisterter netdata user.

Auf dem "alten" Debian Buster Server funktionierte alles out of the box.

Auf Bullseye nicht.

Meine Versuche die mailq sichtbar zu machen, führten zu nichts. Bis ich auf die bewährte Methode kam, mal als netdata User das Plugin auszuführen.

Erstes Resultat war auch ohne dem plugin bereits sichtbar

su -s /bin/bash netdata
/usr/sbin/postqueue -p
postqueue: fatal: User netdata(115) is not allowed to view the mail queue

Klarer Fall, netdata ist nicht in der Gruppe von postfix.

netdata hinzugefügt, erneuter test als netdata... erfolglos.

Der Knackpunkt ist, bei Bullseye werden von Postfix die Rechte für andere User in der main.cf definiert.

authorized_mailq_users = nagios, icinga, netdata

Nun ging es und die mailq wird in der Grafik dargestellt.

Postfix kümmert sich also nicht um /etc/group-Einträge.
es lehnt jeden ab, der nicht explizit in der main.cf deklariert ist!

Wenn man Softraid verwendet, sollte einem klar sein, dass da eine monatliche Prüfung die Daten im Monitoring versaut.

Zum Unterschied von collectd und netdata hier ein Beispiel.

Ausgangssituation: In beide Tools wird auffallend hoher Load angezeigt, die Ursache liegt aber nicht an wild gewordenen Prozessen, eingeschleppte Schädlinge, sondern lediglich am 4 Wöchentlichen Rebuild des Raid1. Man muss halt nur wissen, welche Grafiken einem das verraten.

cat /proc/mdstat 
Personalities : [raid1] [linear] [multipath] [raid0] [raid6] [raid5] [raid4] [raid10] 
md1 : active raid1 sdb2[1] sda2[2]
      2929609152 blocks super 1.2 [2/2] [UU]
      [==============>......]  check = 70.0% (2050771840/2929609152) finish=222.2min speed=65892K/sec
      bitmap: 5/22 pages [20KB], 65536KB chunk

md0 : active raid1 sdb1[1] sda1[2]
      523712 blocks super 1.2 [2/2] [UU]
      
unused devices: <none>

Hier sieht man es auch sehr schön. Na klar, sda zeigt es genauso

Siehe auch http://zockertown.de/s9y/index.php?/archives/1630-Den-UEberblick-behalten-collectd-update.html

Hier noch das Ende. Leider kann man nicht minutengenau die Start und Ende Punkte erkennen. Aber das ist jammern auf hohem Niveau. Allerdings ist es bei netdata einfacher den Zeitpunkt zu erfassen.

Vor einiger Zeit habe ich den Verursacher von erhöhter Prozessorlast gesucht. Mangels detailierter Monitoring Graphen war ich da leider etwas behindert bei der Suche. Schliesslich hatte ich es dann doch gefunden, es war der 4 Wöchentliche Softraid Check, den ich gar nicht mehr auf dem Schirm hatte.

Das war der Anlaß das Monitoring etwas aufzubohren.

Collectd bietet das Plugin Processes.

Das lässt sich individuell für seine eigene Zwecke anpassen.

Ich habe folgende Konfiguration gemacht:

<Plugin "processes">
ProcessMatch pg_autovacuum "postgres:.*autovacuum"
# Ergänzung um typische Verdächtige, wenn Proccess Count zu hoch ist
ProcessMatch webuser "web???"
ProcessMatch webcgi "php.cgi"
ProcessMatch vmail "dovecot"
</Plugin>

Die Idee dabei ist, dass man diese Prozessgruppen detailiert beobachten kann und nicht nur die normale Gesamtprozess Graphen.

Heute habe ich in meinem Imap Postfach aufgeräumt und diverse Archiv Ordner verschoben und indiziert. (Innerhalb von Thunderbird)

So sah das in der Graphik, aus man erkennt deutlich, in welchem Zeitraum das indizieren stattfand.

Das macht Hoffnung, für spätere Ernstfälle

Update 13.03.2020:

Mit den Notifications bin ich nun ein Stück weitergekommen.

Hier ein Ausschnitt aus der threshold.conf:

<Plugin "processes-vmail">
    <Type "ps_count">
        Instance "processes"
        Percentage false
        Hits 4
        WarningMax 4
    </Type>
    <Type "ps_rss">
        Percentage false
        Hits 4
        WarningMax 550000000
    </Type>

#   ps_cputime. Ohne Angabe einer Instance gilt WarningMax für jeden
    <Type "ps_cputime">
        Percentage false
        Hits 4
        WarningMax 25000
    </Type>
</Plugin>

Ach, bevor ichs vergesse, während des experimentierens mit den Werten fand ich AutoRefresh auf den Detail Seiten ganz praktisch.

# In detail.php nach Header() ein Echo und gut.

header("Content-Type: text/html");
echo '<meta http-equiv="refresh" content="30"/>';

Mit Überwachungstools ist die Linuxfamilie reichlich gesegnet. 

Seit mehreren Jahren setze ich collectd ein. Dieser Daemon schreibt fortwährend Perfomancedaten im rrd Format auf die Platte und ist netzfähig.

Das umwerfende an collectd ist seine einfache Konfiguration.

Das meiner Meinung nach am einfachsten zu verwendende grafische Interface ist CGP (Collectd Grafik Panel)

Auf Buster musste ich ein wenig fummeln, bis es wieder lief.

Es war zu lange her, dass ich damit was zu tun hatte, weil es einfach lief

Lange Rede kurzer Sinn:

Damit die Grafiken dargestellt werden können, muss Open_basedir angepasst werden:

Mit dem Plugin Processes habe ich ein wenig rumgespielt, dabei ist mir eine fehlende Grafik im CGP aufgefallen.

Im Apache error.log fand ich:

ERROR: No DS called 'value' in '/var/lib/collectd/rrd/domain.de/processes-pg_autovacuum/io_ops.rrd'

Ich habe es so gelöst.
in CGP/inc/types.db
Added
io_ops read:DERIVE:0:U, write:DERIVE:0:U

und in
CGP/plugin/processes.json
Added

        "ps_io_ops": {
                "title": "IO Operations ({{PI}}) on {{HOST}}",
                "vertical": "Ops per second",
                "type": "io",
                "legend": {
                        "read": {
                                "name": "Read",
                                "color": "0000ff"
                        },
                        "write": {
                                "name": "Write",
                                "color": "00b000"
                        }
                },

Warum blogge darüber nach ca. 6 Jahren Einsatz erst jetzt? Damit ich beim nächsten Mal wenigstens schon mal einen Eintrag habe

Im Ernst, gerade heute hatte ich mich gewundert, warum der Server so einen stark erhöhten Load hat, wo er doch meist nur vor sich rum dümpelt. Ich gebe zu, ich hatte erst wieder einen ungebetenen Gast in Verdacht und fahndete nach einen nicht vorhandenen Geist. Doch dann fiel mir ein, dass Softraid alle 4 Wochen Sonntags immer einen Check durchführte....

Bingo! # dmesg -T |grep md:
[Mon Jan 20 03:42:11 2020] md: data-check of RAID array md0
[Mon Jan 20 03:42:11 2020] md: delaying data-check of md1 until md0 has finished (they share one or more physical units)
[Mon Jan 20 03:42:15 2020] md: md0: data-check done.
[Mon Jan 20 03:42:16 2020] md: data-check of RAID array md1

Schön, das war also geklärt

(Wenn der Check fertig ist, momentan ist er bei:

cat /proc/mdstat |grep check
      [===================>.]  check = 99.6% (2919523968/2929609152) finish=7.4min speed=22487K/sec

Achso, also gleich fertig, dann warte ich noch die paar Minuten und schreibe gleich weiter

# dmesg -T |grep md:
[Mon Jan 20 03:42:11 2020] md: data-check of RAID array md0
[Mon Jan 20 03:42:11 2020] md: delaying data-check of md1 until md0 has finished (they share one or more physical units)
[Mon Jan 20 03:42:15 2020] md: md0: data-check done.
[Mon Jan 20 03:42:16 2020] md: data-check of RAID array md1
[Mon Jan 20 19:25:31 2020] md: md1: data-check done.

Der Check hat also knapp 16 Stunden gedauert und mich dadurch mit vielen (ca. 50 email vom Monitoring System) genervt.

Zu den Benachrichtitungen schreibe nochmal einen Extra Artikel, momentan ist das nämlich nicht mit Collectd realisiert. Dabei sollte ich gleich diesen vorhersehbaren Load Anstieg berücksichtigen und die Schwellwerte  in der Zeit anpassen.

Zum Abschluß heute noch einen Screenshot der Load Grafik, die sich sehr gut mit dem dmesg Eintrag deckt.

Ich habe die Kombi png / Canvas eingestellt, dadurch kann ich in der Detailansicht sehr fein zoomen. 

Ps: Bei Buster ist der Cronjob anders eingestellt, nämlich immer am 20. des Monats

42 3 20 * * root if [ -x /usr/share/mdadm/checkarray ]; then /usr/share/mdadm/checkarray --cron --all --idle --quiet; fi

Beim Durchsehen der Statistiken ist mir besonders beim Disk Traffic aufgefallen, dass ich mir die Bösewicht Sucherei wirklich hätte schenken können, dieses Bild ist eher unüblich für malware.

Update 02.03.2020

Anstatt die inctypesdb zu editieren einfach das Original von collectd verwenden.

Das behebt auch die anderen leeren Grafiken bei disk und smart

cd CGP
cp /usr/share/collectd/types.db inc/types.db

Update: 04.03.2020

Die DF Anzeige war mir viel zu unübersichtlich und 10fach gemoppelt.

Ich habe nun die folgenden Plugin Parameter und bin damit zufrieden.

        # ignore rootfs; else, the root file-system would appear twice, causing
        # one of the updates to fail and spam the log
#       FSType rootfs
        FSType "ext3"
        FSType "ext4"
        MountPoint "/boot"
        MountPoint "/home"
        MountPoint "/var"
        MountPoint "/tmp"
        MountPoint "/home/cloud"
        IgnoreSelected false
        ReportInodes True
#       ValuesAbsolute true
#       ValuesPercentage false
</Plugin>

Update: 07.03.2020

Im erweiterten Eintrag wird das konfigurieren der Notifications besprochen.