Názory k článku Cacti: ziskávání vlastních dat pomocí SSH
-
rexxor (neregistrovaný)
Mno, sice ziskavani dat pres ssh je urcite bezpecna metoda, ale nechapu, proc se rovnou nespousti dany script pres privatni vetev SNMP, napr : exec .1.3.6.1.4.1.4502.1.9.10.1 cidlo0 /usr/local/sbin/cidlo0.sc v /etc/snmp/snmpd.conf … cidlo0.sc je perlovy script. Trochu to nechapu … moznost neukonceni scriptu, vicero otevrenych SSH konexi a hlavne rezie na vypocty mi trochu odporuji s dobrymi mravy administrace. Kdyby byla jen navazana jedna konexe, v ramci ktere se to dela, dobre … ale tohle je inicializace kazde dalsi po chvilce a urcite to neni nenarocna UDP komunikace. Myslim, ze kde je support SNMP, pak by se melo vyuzivat SNMP. Dalsi moznosti je vystrcit telnet na nestandardnim portu a osetrit firewallem. Tohle je, myslim, nejhorsi mozna moznost presonu monitorovacich dat do sledovaciho systemu. Obzvlaste na zarizenich, jez nemaji support SNMP, predpokladam omezeny vypocetni vykon a procesor z kalkulacky. f.
-
Mate asi pravdu s tou rezii, nikdy jsem nezkousel zmerit, kolik dat protece pri jednom mereni pri vyuziti ssh. To si schvalne zkusim :-) Vykon si myslim, neni az takovy problem. Mam spoustu blackboxu, ktere snmp nepodporuji, ale ssh jim nedela problem. Pak je tohle jedno z mala funkcnich reseni.
Jak jsem psal v minulem dilu – Cacti nema se SNMP nejmensi problem. Nektery z dalsich dilu bude o tom, jak si monitorovat treba prave .1.3.6.1.4.1.4502.1.9.10.1.
-
rexxor (neregistrovaný)
Jiste, to chapu, blackbox je problem … 1/ nainstalovat snmp, pokud jde, podpora privatni vetve {snmpd spousti jen scripty} 2/ nainstalovat telnet a jeho zavolanim spustit script, zafirewallovat 3/ perl umi moc hezky drzet konexe na telnet/ssh a tim padem drzet spojeni. treba seriovy prevodnik od Papoucha rj45/serial line v kruhu je takovy pripad blackboxu bez SNMP … tak se navaze konexe pres perl telnetem, vysype se davka s lock filem v /tmp, sesbiraji data a z nich se udela na druhe masine SNMP prevod… pokud je to switch/wifi , privatni adminovska vlana oddelena od provozni resi i bezpecnost. Ale porovnani rezie by me zajimalo, uz jsem zazil boxy vyprasene SSH konexema, ale jen utokem na sluzbu, kdy to udelalo z dela kalkulacku. Proto to moc rad nemam, predstava ze se zacykli ssh script me desi ..
-
Muj pripad z praxe – monitoruji takhle uz asi 2 roky 40 zarizeni (nekolik zakladnich veci – load, cpu, pameti, RSSI, teplota, …) a nikdy se mi nestalo, ze bych z tech krabicek udelal kalkulacku. Ani v pripade, ze se stroj restartuje, vypadne apod. Za tu dobu uz by se dle meho takovy pripad musel projevit. Ono taky zalezi, jak ten skript, ktery se na druhe strane vykona, vypada. Ja resim jen jednoduche veci, skripty jsou na par radku. Zmeril jsem to. Jeden prenos (v tomto pripade 5 ssh prihlaseni) byl 34 kilobajtu. Ano, je to dost, Dotaz na zjisteni trafficu 2 sitovych karet pres SNMP ma 4 kilobajty Na druhou stranu – kdyz si spocitam, kolik pokusu pres ssh o uhadnuti hesla mi jde denne. Kolik mi takhle protece dat, jsou me monitorovaci prenosy zanedbatelne.
-
rexxor (neregistrovaný)
Asi jsme se nepochopili, traffic je zanedbatelny, me jde o inicializaci SSH spojeni … projedte jedno to zarizeni flood packety na ping -fn, pokud nedropuje procesor stiha … a zkuste inicializovat zaroven ssh konexi a otevrete si top, ci ekvivalent … ono SSHcko je napor na procesor a v pripade routeru je to celkem problem … procesor routuje.
Stejne tak i script … nejde o zacykleni scriptu na masine co je blackbox na SNMP, ale na zacykleni sledovaciho systemu … kdyz se treba SSH spojeni nastradaji z nejakeho duvodu {nepristupny HW} a pusti se najednou z fronty …
-
aha, uz Vas chapu. V tom pripade mam asi stesti, ze mam blackboxy dost silne a nepozoruji problemy. Uznavam, ze rezie u SSH je dosti velka.
K tomu zacykleni – Cacti si hlida, co jak spousti. Neodovli Vam 5× za minutu spustit poller, hlida si casy spusteni. Dale muzete nastavit pocet procesu, jejich vlaken, timeouty, … Sve prcesy po sobe ukoncuje. Na serveru, kde toho monitoruji nejvic si dnes dovolim i vec, ze poller nevypnu a instaluju treba novou verzi PHP. Ani jednou jsem nezaznamenal problem.
-
honza (neregistrovaný)
osobne se mi moc monitoring pres ssh nelibi uz jen to ze nekde jsou ulozene klice co umoznuji pristup bez hesla a i z duvodu toho, ze to docela zvetsuje audit log prihlaseni (5 merenych hodnot x 1min x 24h). Sam to resim tak ze mam rsync(i ftp) a kazdy server ma sadu skriptu pro danou platformu (solaris,aix,linux,widle …) ktery vystupy posilaji na tohle ftp nebo rsync, tam to dal zpracuju. format vystupu je samo ze vseho stejnej i kdyz nekde nejaky hodnoty proste nejsou. hlavni vyhoda i kdyz nefungujou sitove prvky stale se mam data o porovozu :o)
-
Petr (neregistrovaný)
Tento názor se mi zdá velmi rozumný, jasně proč z jednoho stroje přistupovat ke dvaceti různým a stahovat si z nich informace a piplačka s klíči, když to můžu udělat obráceně. Dvacet strojů může nahrávat potřebné informace na jediný stroj, který to pak bude statisticky zpracovávat.
ČLÁNKY DO MAILU