Demande d info sur la configuration

[Romuald]

Edit du post de serveur-counter :

Hello,

Je poste pour avoir l avis de personnes qui eux ont l habitude de nagios.

Voila ma problématique, je suis un hébergeur de serveur de jeux et je veux mettre nagios au coeur de ma supervision. Alors que nagios n est pas encore configurer completement il vient déjà de m avertir que sur un de mes serveurs (actuellement que 16) j ai un apache qui se tape une sieste ...

Pour l instant voila ce que j ai mis sur ma machine speciale nagios (elle ne fais que ca)
* nagios
* ndooutils
* mysql
* pnp
* nsca

J ai un iphone et je vais aussi mettre le support inagios qui est en faite une interface pour gerer nagios depuis son iphone via safari

Voila donc ma problématique et vous allez voir ca peut servir je pense de cas d'école.
- Pour monitorer les serveurs distant je pense passer par nsca mais est ce la bonne solution ou doit ton passer par nrpe ou autre en sachant que les serveurs a monitorer sont sous debian
- Au niveau des syslog, j ai commencé a étudie le chapitre pour les retours de logs. Maintenant je voudrais savoir si tout est centralisé sur le serveur hébergeant nagios ou sur chaque machine .En effet pour intervenir rapidement il faut pouvoir etudier les logs.
- Existe t il une série de modules permettant de pouvoir aussi etre alerté contre des attaques sur les serveurs,

Voila je suis sur que pas mal de reponses sont dans le livre j ai pas eu le tps de tout vraiement lire de fond en comble j ai encore bcp de travail. Néanmoins avec vos réponses j espere eviter les galeres
Merci d avance

[Olivier]

Prenons les choses dans l'ordre

Pour monitorer les serveurs distant je pense passer par nsca mais est ce la bonne solution ou doit ton passer par nrpe ou autre en sachant que les serveurs a monitorer sont sous debian

Bon là, c'est la cas typique pour réponse de normand genre tout dépend. Mais grosso modo, à partir du moment où tu veux gérer les données de performance issues des contrôles que tu réalises, c'est de l'actif avec NRPE (pour faire simple .

Au niveau des syslog, j ai commencé a étudie le chapitre pour les retours de logs. Maintenant je voudrais savoir si tout est centralisé sur le serveur hébergeant nagios ou sur chaque machine .En effet pour intervenir rapidement il faut pouvoir etudier les logs.

Tu renvoies tout ou partie des logs de tes machines vers le serveur Nagios qui centralise grâce à syslog-ng ou rsyslog. Il existe aussi deux logiciels spécialisés dans ce genre de choses (splunk et 8pussy). Mais tout ça est dans le bouquin après tout  . Perso, je ne renvoie que certains niveaux des logs (critical, warning...) vers le serveur nagios et j'observe ce qui arrive avec Simple Event Correlator. Ca permet de diminuer de façon drastique le nombre d'alertes à envoyer à nagios. J'ai pas trouvé plus puissant encore que cette solution.

Existe t il une série de modules permettant de pouvoir aussi etre alerté contre des attaques sur les serveurs

Tu peux "brancher" sur Nagios sans trop de problème des outils comme OSSEC. C'est un excellent HIDS. Regarde la liste dans le wiki http://nagios-fr.org/wiki/supervision#securite-monitoring au niveau sécurité pour te donner une idée de ce qui existe comme logiciel de ce type.

[serveur-counter]

Bon là, c'est la cas typique pour réponse de normand genre tout dépend. Mais grosso modo, à partir du moment où tu veux gérer les données de performance issues des contrôles que tu réalises, c'est de l'actif avec NRPE (pour faire simple Clin d'oeil.

Oui en effet en continuant d appronfondir mon apprentissage avec ton book, je me suis rendu compte qu avec nsca nagios été passif donc c est le serveur monitorer qui envoie les action. Perso je trouve que niveau configuration apres sur un gros parc de machine c pas génial. donc j allais en effet me rabattre sur nrpe.

u renvoies tout ou partie des logs de tes machines vers le serveur Nagios qui centralise grâce à syslog-ng ou rsyslog. Il existe aussi deux logiciels spécialisés dans ce genre de choses (splunk et 8pussy). Mais tout ça est dans le bouquin après tout  Clin d'oeil. Perso, je ne renvoie que certains niveaux des logs (critical, warning...) vers le serveur nagios et j'observe ce qui arrive avec Simple Event Correlator. Ca permet de diminuer de façon drastique le nombre d'alertes à envoyer à nagios. J'ai pas trouvé plus puissant encore que cette solution.

En effet c ce que j ai fait le rsyslog d une machine monitorer envoie toutes les infos sur la machine nagios qui centralise tout dans sa bdd, j ai modifie le menu de nagios pour que je puisse avoir acces directement au log et je vais aussi modifier la definition des hotes pour balancer directement de chaque page de nagios sur les logs specifiques de la machine cible. Maintenant je me demande si l envoie de l ensemble des logs comme je le fais ne va pas saturer la bp et surtout ne va pas faire monter les process mysql de la machine qui centralise en fleche...
Comment fait tu pour n envoyer qu une partie des logs?

Tu peux "brancher" sur Nagios sans trop de problème des outils comme OSSEC. C'est un excellent HIDS. Regarde la liste dans le wiki http://nagios-fr.org/wiki/supervision#securite-monitoring au niveau sécurité pour te donner une idée de ce qui existe comme logiciel de ce type.

Je viens de lire un peu la doc de OSSEC très interessant surtout le coté reactif du soft 

[Olivier]

En effet c ce que j ai fait le rsyslog d une machine monitorer envoie toutes les infos sur la machine nagios qui centralise tout dans sa bdd, j ai modifie le menu de nagios pour que je puisse avoir acces directement au log et je vais aussi modifier la definition des hotes pour balancer directement de chaque page de nagios sur les logs specifiques de la machine cible. Maintenant je me demande si l envoie de l ensemble des logs comme je le fais ne va pas saturer la bp et surtout ne va pas faire monter les process mysql de la machine qui centralise en fleche...
Comment fait tu pour n envoyer qu une partie des logs?

Attention en effet au trafic que peut générer l'envoi des tous les logs de tes serveurs vers nagios. Pour filtrer, c'est au niveau de la configuration de syslog-ng ou rsyslog que ça se fait, directement sur la machine qui doit envoyer ses logs. Tu peux facilement trouver ce genre d'infos sur le web. Sinon, on te donnera un coup de main pour cette partie filtrage.

Tu peux aussi mettre Simple Event Correlator sur les machines et le faire surveiller les fichiers de logs. Tu le fais alors juste réagir à ce que tu veux et il envoie un send_nsca vers nagios.

[serveur-counter]

euh chef ... Comment dire le fil rouge sur le bouton rouge ....

Déja je vais essayer de regler via rsyslog et surtout essayer de me faire une belle config de mes machines dans nagios et de struturer le tout tres proprement

La c est un peu trop d un coup pour moi !!!

Mais je posterai dans le fofo ma config de rsyslog afin que ca profite a d autre

[serveur-counter]

alors j ai lu pas mal de doc, mais c dernier tps entre la creve et mon deuxieme boulot bien fatiguant j ai du mal a bien pigé les règles de la filtration

Je met le fichier de conf :

#  /etc/rsyslog.conf   Configuration file for rsyslog v3.
#
#         For more information see
#         /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability

# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog
#cron.*            /var/log/cron.log
daemon.*         -/var/log/daemon.log
kern.*            -/var/log/kern.log
lpr.*            -/var/log/lpr.log
mail.*            -/var/log/mail.log
user.*            -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info         -/var/log/mail.info
mail.warn         -/var/log/mail.warn
mail.err         /var/log/mail.err

#
# Logging for INN news system.
#
news.crit         /var/log/news/news.crit
news.err         /var/log/news/news.err
news.notice         -/var/log/news/news.notice

#
# Some "catch-all" log files.
#
*.=debug;\
   auth,authpriv.none;\
   news.none;mail.none   -/var/log/debug
*.=info;*.=notice;*.=warn;\
   auth,authpriv.none;\
   cron,daemon.none;\
   mail,news.none      -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg            *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#   news.=crit;news.=err;news.=notice;\
#   *.=debug;*.=info;\
#   *.=notice;*.=warn   /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
#
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#

daemon.*;mail.*;\
   news.err;\
   *.=debug;*.=info;\
   *.=notice;*.=warn   |/dev/xconsole

Je recapitule ce que j ai compris. J espere que ca aideras d autre personne
EL \ permet de pouvoir mettre d autre info a la ligne comme la par exemple

daemon.*;mail.*;\
   news.err;\
   *.=debug;*.=info;\
   *.=notice;*.=warn   |/dev/xconsole

En suite sur cela

*.=debug

ca veut bien dire ressort tout ce qui contient le terme debug

Par contre je comprend pas trop cela

news.err         /var/log/news/news.err
news.notice         -/var/log/news/news.notice

si j ai bien compris le faite de mettre le - devant fait que le fichier sera détruit ?
Maintenant je comprend pas le sens de news.notice et news.err

ET derniere chose voyez vous des choses a améliorer pour ce script