logo article ou rubrique
monitoring - suite et fin.

par lagrenouille

 

  • La doc vient de lectures de documentations sur le web, je fais ici juste que tester les installations et l’utilisation minimum, je mets ici les résultats de mes essais...

 


 

 

  • auditd
  • essais sur le fichier password, pris sur le site de IT-Connect
  • Le paquet audit surveille les accès aux fichiers
  • Si vous subissez une attaque, garder une trace des commandes exécutées par un compte administrateur permet de récupérer les actions effectuées par le craker..
  • installation :
     
  • mettre dans audit.conf
     
  • Rajouter dans audit.rules (pour surveiller le fichier passwd)
     
  • Pour voir si nos règles sont bien prises en compte via la commande suivante :
     

 

  • Pour afficher les logs auditd via la commande suivante
  • On regarde avec cette commande les évènements loguer par auditd concernant la surveillance du fichier ("-f") /etc/passwd .
  • Voir man pour la lecture des logs et l’explication des options..
     

 

  • Synopsis
    auditd [ -f ] [ -l ] [ -n ] [ -s désactiver | activer | nochange ]
    La description
    auditd est le composant de l’ espace utilisateur au système audit Linux. Il est responsable de rédaction dossiers d’audit sur le disque. Affichage des journaux se fait avec l’ ausearch ou aureport services publics. Configuration des règles de vérification se fait avec l’ AUDITCTL utilitaire. Lors démarrage, les règles en /etc/audit/audit.rules sont lus par AUDITCTL . Le démon d’audit lui même a quelques options de configuration que l’administrateur peut souhaiter personnaliser. Ils se trouvent dans le auditd .conf fichier.
    options
  • option -F : laisser le démon d’audit au premier plan pour le débogage. Les messages vont également à stderr plutôt que le journal d’audit.
  • option -l : permettre au démon d’audit de suivre des liens symboliques pour les fichiers de configuration.
  • voir man por les autres options
  • préciser lors du démarrage si auditd doit changer la valeur actuelle du drapeau activé du noyau. Les valeurs valides pour ENABLE_STATE sont « désactiver », « permettre » ou « nochange ». La valeur par défaut est d’activer (et désactiver lorsque auditd se termine). La valeur du drapeau activé peut être modifié pendant la durée de vie auditd en utilisant « -e AUDITCTL ».

 

 
* bmon pour une surveillance réseau et bande passante

 
* nmon est un outils de surveillance, permettant de monitorer les ressources physiques des machines qui sont sous Linux
nmon peut générer un fichier nmon (ressemblant un peu à du CSV
 

  • Lancez nmon avec l’option -f.
  • Essayez par exemple de lancez nmon pour capturer les données pendant une heure en faisant une snapshot.(instantané en français) toutes les 30 secondes, en utilisant :
  • nmon à l’ouverture vous propose des choix
     

     
  • Ici m k n t
  •  

 

 

  • byobu est une d’amélioration à GNU Screen, le multiplexeur de terminaux en mode texte. Byobu permet l’affichage d’informations système et de notifications sur deux lignes dans le bas d’une session de terminal.
     

     
    - Tapez F9 pour la configuration
     

     

     

 

 

QUELQUES COMMANDES

 

  • dstat Combinaison des informations de vmstat, iostat, ifstat, netstat et plus
    est un outil de monitoring complet pour Linux en ligne de commandes..

[la commande dstat- voir ici ->


 

  • Pour savoir à chaque fois quel processus à utilisé le plus de ressources mémoire et disque, on utilisera la commande suivante :
     

     

    dstat est un outil intéressant car l'affichage qu'il propose permet l'enregistrement et le suivi des métriques, on peut d'ailleurs préciser un fichier de sortie au format CSV, ce qui nous donnera donc un beau tableau que nous pourrons même ouvrir sur Excel. Par exemple si on souhaite avoir les statistiques toutes les dix secondes de l'utilisation du réseau, du cpu, de la mémoire et de la swap et enregistrer le tout dans un fichier CSV. On utilisera la commande suivante

    dstat permet à ses données à écrire directement dans un fichier CSV à importer et utilisé par OpenOffice, Gnumeric ou Excel pour créer des graphiques.
    dstat -tncms --output /tmp/file.csv 10

    L'utilisation de la valeur de temps "10" est là aussi utile, on peut l'ajouter n'importe où dans la commande et cela va faire en sorte qu'une ligne va être générée toutes les 10 secondes


    dstat_app - les processes les plus gourmands du système
       dstat_battery - pourcentage de charge de la batterie (requiert ACPI)
       dstat_cpufreq - fréquence de la CPU (requiert ACPI)
       dstat_dbus - le nombre de connexions dbus (requiert python-dbus)
       dstat_freespace - see the disk usage per partition
       dstat_gpfs - the GPFS read/write IO
       dstat_gpfsop - the GPFS filesystem operations
       dstat_nfs3 - the NFS v3 client operations
       dstat_nfs3op - the extended NFS v3 client operations
       dstat_nfsd3 - the NFS v3 server operations
       dstat_nfsd3op - the extended NFS v3 server operations
       dstat_postfix - counters of the differnt queues (needs postfix)
       dstat_rpc - RPC client calls
       dstat_rpcd - RPC server calls
       dstat_sendmail - counters of the queue (needs sendmail)
       dstat_thermal - CPU temperature
       dstat_utmp - number of utmp sessions (needs python-utmp)
       dstat_wifi - wireless link quality and signal/noise ratio (needs python-wifi)

    dstat options:
     -c, --cpu              enable cpu stats
        -C 0,3,total           include cpu0, cpu3 and total
     -d, --disk             enable disk stats
        -D total,hda           include hda and total
     -g, --page             enable page stats
     -i, --int              enable interrupt stats
        -I 5,eth2              include int5 and interrupt used by eth2
     -l, --load             enable load stats
     -m, --mem              enable memory stats
     -n, --net              enable network stats
        -N eth1,total          include eth1 and total
     -p, --proc             enable process stats
     -s, --swap             enable swap stats
        -S swap1,total         include swap1 and total
     -t, --time             enable time/date output
     -T, --epoch            enable time counter (seconds since epoch)
     -y, --sys              enable system stats
     --ipc                  enable ipc stats
     --lock                 enable lock stats
     --raw                  enable raw stats
     --tcp                  enable tcp stats
     --udp                  enable udp stats
     --unix                 enable unix stats

    dstat --list
    internal:
            aio, cpu, cpu24, disk, disk24, disk24old, epoch, fs, int, int24, io, ipc, load, lock, mem,
            net, page, page24, proc, raw, socket, swap, swapold, sys, tcp, time, udp, unix, vm
    /usr/share/dstat:
            battery, battery-remain, cpufreq, dbus, disk-tps, disk-util, dstat, dstat-cpu, dstat-ctxt,
            dstat-mem, fan, freespace, gpfs, gpfs-ops, helloworld, innodb-buffer, innodb-io, innodb-ops,
            lustre, memcache-hits, mysql-io, mysql-keys, mysql5-cmds, mysql5-io, mysql5-keys, net-packets,
            nfs3, nfs3-ops, nfsd3, nfsd3-ops, ntp, postfix, power, proc-count, qmail, rpc, rpcd, sendmail,
            snooze, squid, test, thermal, top-bio, top-bio-adv, top-childwait, top-cpu, top-cpu-adv,
            top-cputime, top-cputime-avg, top-int, top-io, top-io-adv, top-latency, top-latency-avg,
            top-mem, top-oom, utmp, vm-memctl, vmk-hba, vmk-int, vmk-nic, vz-cpu, vz-io, vz-ubc, wifi

     

 

 

  • vmstat : commande permettant d’afficher des statistiques concernant la charge du système, en particulier l’utilisation de la mémoire virtuelle. donc des statistiques de mémoire virtuelle.
  • Il est possible de collecter périodiquement en tâche de fond ces mesures via un script
    vous en trouverez des exemples sur le web

Ces rapports ont pour but d’aider à identifier les goulots d’ étranglement du système. Linux vmstat ne se compte pas comme un processus en cours d’exécution.
process qui bouffent trop de mémoire ou qui en perdent...

exemple : avec -w 1 : une nouvelle ligne de rapport est affichée par vmstat toutes les secondes (le 1 ). le paramètre -w permet d’élargir les colonnes pour éviter un décalage des informations avec de grandes valeurs..
 

http://www.delafond.org/traducmanfr/man/man8/vmstat.8.html
 
 

 

 

dstat —vmstat

 

 

 

 

 

 

 

 

  • ping : (Packet Internet Groper) cette commande permet de tester l’accessibilité d’une autre machine à travers un réseau IP. (utilise le protocole ICMP )
  • cet outils vérifie la connectivité d’un ordinateur à internet.
    exemple :
     
  • ICMP TCP et UDP sont des protocoles utilisés pour envoyer des données via Internet ou un réseau local.

ICMP (Internet Control Message Protocol - Protocole de message de contrôle sur Internet)
pour l’envoi de bits de données, appelées paquets
Il est utilisé pour véhiculer des messages de contrôle et d’erreur pour cette suite de protocoles, par exemple lorsqu’un service ou un hôte est inaccessible.

TCP est un protocole fonctionnant en mode "connecté"

TCP sert à de nombreux protocoles de la couche application:entre autre pour les plus connus

HTTP, qui sert à accéder aux sites internet (autrement dit : le web)
FTP, qui sert à échanger des fichiers entre 2 ordinateurs
POP3 et IMAP qui sert à lire ses emails
SMTP qui sert quant à lui à envoyer des emails

UDP est utilisé pour les DNS, le protocole de résolution des noms de domaines qui permet de connaître l’adresse IP d’un serveur à partir de son nom de domaine
 

 

 

 

  • tcpdump permet d’analyser les paquets envoyés ou reçus sur une interface réseau
  • Il est préférable de lancer tcpdump en root.
  • première commande pour écouter ce qui se passe sur l’interface par défaut sur votre système, ce qui génère une ligne par paquet IP.
     
     

     
     

     

     

 

 

 

  • iptraf
    Pour voir votre réseau, en temps réel, pour diagnostiquer et vérifier vos le trafic de votre réseau, amusez vous, le menu et ses sous-menu sont plein de petites choses sympa.
     

 

 

 

 

 

 

 

  • gkrellm est un moniteur système simple d’accès, munis de nombreuses options
    pour surveiller l’état du processeur, de la mémoire vive, des disques durs, des interfaces réseau, des boîtes de courriel , etc...
  • À installer avec apt-get ou aptitude
    Vous trouverez de nombreux thèmes ici :
    http://www.muhri.net/gkrellm/


 
 

SYSTEMD : quelques infos sur le démon du système

 

  • systemd est un gestionnaire de système et de services pour Linux, comme sysvinit
    qui contient les scripts exécutés lors de l’initialisation du système, situés dans /etc/init.d.
  • le systemd-journal à donc remplacé le SysVInit, il s’execute en tant que service.
  • Vous pouvez lister le fichier de service en tapant :
  • le service systemd est il en cours d’execution, je vérifie en tapant :
  • répertoire de conf à /lib/systemd/system ou /usr/lib/systemd/system.
  • répertoire /etc/systemd/system pour les configurations personnelles
     
    Pour lister toutes les unités présentes sur le système.
     

     

  • si je veux voir l’état du service ssh
  • si un probléme existe, failed et l’erreur seront écrits en rouge

     

  • les principales commandes :

     




Haut de page
Systéme: Gnu_Linux_Debian